2021年11月14日,国家互联网信息办公室对外发布《网络数据安全管理条例(征求意见稿)》公开征求意见。《条例》旨在落实三大上位法关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
01
广大政企机构:六大举措构建完善的数据安全体系
举措一:明确责任、细化义务
对于政企机构而言,首要任务是依据法律条例合规解读,明确责任与义务。
首先,关于适用对象,《条例》在第二条细则中指出,开展数据处理活动、网络数据安全监督管理,以及“以向境内提供产品或者服务为目的;分析、评估境内个人、组织的行为;涉及境内重要数据处理;法律、行政法规规定的其他情形”都适用于本《条例》。
其次,关于责任与义务,按照第六条所说“数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。”
具体来说,《条例》第九条围绕各类场景、等保要求等详细说明了数据处理者的责任与义务,“应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。”
并且,按照网络安全等级保护要求,数据处理者还应“加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。”此外,数据处理者应当使用密码对重要数据和核心数据进行保护。
奇安信认为,
作为上位法的配套细则,《网络数据安全管理条例》明确规定了适用对象,对数据处理者相应的法律责任与义务做出了详细规定,主要集中在三个方面,即明确了必要措施以及应对的安全风险和事件;明确了重要数据系统必须满足等保三级以上和关基保护要求;明确了使用多种综合方法在不同环节保护重要数据和信息数据,便于政企组织依据《条例》进行合规解读、明晰责任,进一步推动后续数据安全管理措施的落地与执行。
举措二:调整组织、确定策略
《条例》第二十八条指出“重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。”
《条例》从国家、政企组织等层面强调健全管理制度,建立数据安全管理机构,明确负责人、处理者各方责任与义务。
对此,奇安信建议,
举措三:摸清家底分级细化
此外,《条例》附则对数据类别、重点行业、数据管理各方对象等进行了明确定义。
识别重要数据、核心数据,对数据进行分类分级和打标,基于数据分类分级结果、敏感数据和重要数据的流转及使用情况,构建数据脉络,并结合场景化的数据安全险分析及数据安全能力需求分析,制定数据安全策略和技术防护保障措施。
在数据安全管理上,要根据数据分级分类做到精细化防护,不同类别、不同级别要求的保护措施不同。
举措四:界定阶段、动态防护
《条例》第三条指出,“国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。”
奇安信认为,企业数字化需要统筹发展与安全,安全是前提,但要找平衡点,要结合自身数字化水平和现状,建立相应的数据安全能力和防御体系。
更进一步来说,传统数据安全以静态地保护数据实体为主,比如数据库本身的安全、文件加密。而数字化时代的数据安全不仅要保护数据实体,还要以分类分级为基础,在数据流转基础之上做动态的防护。
在这个过程中,企业需要在《条例》指引下,在关键环节对重要数据进行精准防护在数据的采集和存储过程中采取必要的脱敏、去标识化、加密等安全保护手段。
对于数据流转和使用的场景,奇安信建议,
同时,围绕数据流转与访问行为,政企机构需建立数据安全态势感知平台,可视化呈现重要数据和个人数据的分布态势,做好风险监测和预警处置,并对数据安全威胁及时预警和处置。
针对客户数字化过程中的动态安全需求,奇安信发布的“数据安全能框架”,以及“数据安全概念运图”(数据安全ConOps),是数据安全建设的套思路、法与具,可以帮助户去设计和构建业务场景的数据安全体系和解决案,展现了“数据安全治理到技术体系落地如何去贯穿,以及安全能在信息化各个层的程化落地法”。
举措五:完善评估定期上报
《条例》第三十二条指出,处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
其中,评估报告的内容包括:处理重要数据的情况;发现的数据安全风险及处置措施;数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;落实国家数据安全法律、行政法规和标准情况;发生的数据安全事件及其处置情况等等。同时《条例》指出,“数据处理者应当保留风险评估报告至少三年。”
举措六:特定场景特别应对
《条例》针对特定情况、特定场景等进行了细化,其中第五章专门介绍了“数据跨境安全管理”的要求细则。
第三十七条指出,“数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估。”情形包括“出境数据中包含重要数据”和“关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息”等。
奇安信建议,
围绕数据跨境需要做好安全管理和评估工作,如涉及业务数据出境,则应明确数据使用范围,对数据出境安全进行自评估,并借助数据跨境监测工具,识别和发现出境流量做好自监管,严格按照法律法规要求进行管控和防护。奇安信在这个领域也给出了针对性数据跨境安全检测方案。
同时,《条例》对规范数据交易、确保数据有序流通提出了明确规定。《条例》第七条指出,“国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。”在具体落实上,包括“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。”
在数据共享开放及交易过程中,通过数据安全分离、隐私计算等技术,实现敏感数据隐私计算的安全能力,在保证原始数据不流出的前提下进行价值挖掘,实现“数据不动程序动、数据可用不可”,保障数据合法合规安全开放与使用。
目前哈工大(深圳)-奇安信数据安全研究院基于“数据不动程序动,数据可用不可见”的隐私保护新理念,研发了数据交易沙箱这一核心产品,实现了在保护数据隐私的前提下,最大限度地挖掘大数据价值。
总体来看,《条例》充分体现了“数据安全是合规、管理与技术体系融合”的观点。奇安信在业内首次推出的数据安全运行构想图,囊括了数据安全应具备的三个状态:治理态、规划态和运行态,细致展现了数据安全治理结果转化到规划设计、技术落地的过程。
02
平台型互联网企业:清晰界定职责履行合规监管
从数量维度对数据安全定级评估
同时,《条例》根据用户数量细化了不同的职责和义务。明确指出,“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。”
对于“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时”,要求“在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息”,“在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。”
确立权限界限保障个人权益
《条例》第十九条指出,“数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。”同时,基于个人同意处理个人信息的,应当满足“提供服务必须”、或者是履行法律、行政法规规定的义务所必需的;同时要满足“限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”。
对个人信息采集前端如APP、小程序、网站等,应该加强技术检测,对自研及外包的用户软件进行全面检测和排查。在这方面,奇安盘古为客户提供了“隐私卫士系统”,它是一款隐私安全合规检测产品,可以帮助企业对移动应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,帮助企业APP合规经营、健康发展。
《条例》第二十二条对数据的删除和匿名化处理,提出了明确要求。并针对“已实现个人信息处理目的”、“达到约定或者规则明确的存储期限”、“终止服务或者个人注销账号”、“自动化采集无法采集到的非必要个人信息或者未经个人同意的个人信息”四类情况之一的,要求数据处理者者应当在十五个工作日内删除个人信息或者进行匿名化处理。
《条例》还规定了“个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的”,数据处理者应当履行的具体义务。
企业应该梳理运营过程中收集的各类个人信息内容,特别是历史运营过程中积累的个人信息,符合上述情况的个人信息内容,执行删除或匿名化操作。
同时,企业运营者应该对用户查阅、复制、更正、删除等合理请求进行及时响应处理,保障用户个人权益。
03
数据安全监管如箭在弦顶层设计和体系建设亟待提速
“在《条例》中,我们可以看到清晰的责任到人制度和违规惩戒力度,可以肯定,在2022年各监管部门将加大对数据安全的监管执行落地,而在这方面建设滞后的企业,势必会面临被巨额处罚甚至停业整顿的风险。”
奇安信认为,对广大政企机构、平台型互联网公司而言,迫切需要在数据安全治理、数据的分类分级,以及数据全流程管理、数据保护体系的建设等方面,加大投入力度。
尤其考虑到数据安全具有监管紧迫、动态变化和复杂度高等特征,建议选择兼具数据安全顶层设计能力,以及完整数据安全解决方案的头部安全企业,共同应对数字化时代的安全挑战,满足监管合规需求,在数字经济的浪潮中行稳致远。