「 道可特法视界第1666篇原创文章 」
引言:2022年6月5日,国家市场监督管理总局和国家互联网信息办公室共同发布《关于开展数据安全管理认证工作的公告》(以下简称《公告》)及《数据安全管理认证实施规则》,两部门决定开展数据安全管理认证工作。本文拟对新出台的《数据安全管理认证实施规则》(以下简称《实施规则》)及其依据的国家标准GB/T 41479《信息安全技术网络数据处理安全要求》进行初步系统解读。
根据我国《认证认可条例》和《实施规则》的规定,对数据安全管理认证可概括如下:即由国家认证认可监督管理委员会批准的认证机构(认证主体)证明网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动(认证对象)符合我国现行法律法规及国家标准要求的合格评定活动(认证结果)。在我国于2016年发布《网络安全法》、2021年连续发布《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全法》后,信息数据保护态势已经初步形成,监管层面紧跟科学技术和商业模式的发展,追进细化相关法律法规及标准。数据安全管理认证工作正是监管部门在我国已经初步形成的信息数据保护制度下对数据安全监管工作的进一步细化,该工作的开展需要注意以下法律法规:法律:《个人信息保护法》第六十二条第(四)款、《网络安全法》第十七条、《数据安全法》第十八条规定了国家鼓励支持个人信息保护认证、网络安全认证、数据安全认证工作的开展。
法规:《认证认可条例》系用于规范认证认可活动的行政法规,数据安全认证管理工作亦需要在该条例规范内开展。
国家标准:GB/T 41479《信息安全技术 网络数据处理安全要求》及GB/T 35273《信息安全技术 个人信息安全规范》。
认证机构:根据《认证认可条例》第九条的规定,进行数据安全管理认证的机构应当经国家认证认可监督管理委员会(下称“认监委”)的批准,目前尚未见认监委公布具有相关资质的认证机构,故具体的认证工作还有待认监委公布具有资质的认证机构后方可展开。参与数据安全管理认证过程的除了认证机构外还有技术验证机构,在技术验证阶段系由技术验证机构主要负责,其余各阶段的实施主体均为认证机构。认证模式:根据《数据安全管理认证实施规则》的规定,数据安全管理认证采用“技术验证+现场审核+获证后监督”的模式。认证实施程序及相关机构的主要职责:
图1:数据安全管理认证的主要流程及相关机构的主要职责
03. 认证的对象
《实施规则》开宗明义,其规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。最新版的国标GB/T 41479《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479-2022”)第3.5条规定网络运营者(network operator)为“网络的所有者、管理者和网络服务提供者”,并特别注明“本文件中的网络为开放公共网络”。该定义与《网络安全法》第七十六条第(三)款中“网络运营者”的定义相比,多出了关于开放公共网络的特征。据此可知认证服务尚不涉及本就安全性较高的非开放专用网络。而网络运营者又可细分为以下类型:《网络安全法》第七十六条第(一)款针对网络给出的定义为“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”,因此,网络的所有者和运营者则分别对应上述定义中系统的所有者和管理者。移动、电信等搭建基础系统并提供服务的运营商是常见的开放公共网络的所有者和管理者。《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条对刑法第二百十六条之一规定的“拒不履行信息网络安全管理义务罪”中的“网络服务提供者”细化为三类:① 网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;
② 信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;
③ 利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
不难看出,网络服务提供者的范围十分广泛,几乎所有依据网络系统提供服务的主体均可被视为“网络服务提供者”。
在2021年新修订的《网络安全审查办法》中,出现了与“网络运营者”在表述上相近的“网络平台运营者”的概念,该办法在第二条中将“网络平台运营者开展数据处理活动”作为新增内容纳入了安全审查范围。但作为网络安全审查的两大主体对象之一的“网络平台运营者”目前尚未见有权威定义。而国家网信办在2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中,使用了“互联网平台运营者”这一近似概念并将其定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”,不妨将这一定义暂且作为对“网络平台运营者”的理解和参考。①笔者主张,虽然“网络平台运营者”与“网络运营者”的表述相近,但实际上前者为后者的下位概念。并且“网络平台运营者”与“网络运营者”下“网络服务提供者”的范围更加接近,而不包括“网络的所有者、管理者”。而从认证的角度而言,“网络平台运营者”由于从属于“网络运营者”而也应被纳入认证范畴。国标GB/T 41479-2022对认证的重要作用GB/T 41479-2022作为认证所依据的主要标准,对认证的数据处理活动进行了全方位的规定。其中第5章数据处理安全技术要求尤其值得关注,该章具体规定了对网络运营者收集、存储、使用、加工、传输、提供、公开等处理活动的要求。主要可分为以下方面:明示和告知义务。如5.2b)规定在收集个人信息前应当明示个人信息保护政策,5.2c)规定改变处理个人信息的事项前应当及时告知个人信息主体,5.2d)规定应当明示所提供产品或服务的类型以及该产品或服务所必需的个人信息;第5.4.1b)规定在向个人信息主体提供信息合成服务时,应当明确告知用户;第5.7.1a)规定在向他人提供个人信息前,应向个人信息主体告知接收方的名称、联系方式、处理目的、处理方式、个人信息的种类、存储期限等;应当遵循最小使用范围及自愿性原则。如第5.2条规定不应收集与其提供的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息;5.2b)规定信息保护政策及其改动都应当征得个人信息主体的同意;5.2f)规定收集敏感个人信息前应当取得个人信息主体的单独同意;5.3b)规定在存储重要数据和个人信息时,不应超过与重要数据和个人信息主体约定的存储期限或个人信息主体授权同意有效期等等;不得通过服务设置强制或误导用户提供、被使用个人信息。如5.2e)规定不应以改善服务质量、提供用户体验、定向推送消息、研发新产品等为目的,强制要求、误导用户同意收集个人信息;5.4.1a)规定利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;第5.9条规定即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项等等;对第三方应用的监管义务。如5.4.2b)规定应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及时督促整改,必要时停止接入,5.4.2c)规定网络运营者知道或应知第三方利用其平台侵害用户民事权益,未采取必要措施的,应与第三方应用运营者承担连带责任;5.4.2d)规定宜对接入或嵌入的第三方应用展开检测,确保其数据处理行为符合双方约定要求,对审计发现超出双方约定的行为及时停止接入等等;应当以合同约定具体的数据安全责任。该标准第5.3条第二款规定数据接收方存储数据时,应按要求采取安全措施并以合同进行约定;第5.4.2a)规定网络运营者应当通过合同等形式明确与接入或嵌入其产品或服务的第三方的数据安全保护责任和义务;第5.6b)规定网络运营者在向数据接收方传输数据时,应按要求采取安全措施并以合同约定;第5.7.1c)规定网络运营者在委托第三方开展数据处理活动的,应通过合同等形式明确约定委托处理的目的、期限等等。此外,GB/T 41479-2022第5章在数据处理安全技术要求方面,还对于个人信息查阅、更正、删除及用户账号注销,投诉、举报受理处置,访问控制与审计,数据删除和匿名化处理的要求进行了规定。第6章则对数据处理安全管理方面作出了具体的规定。仔细阅读GB/T 41479-2022的具体内容可知,其虽然借鉴了相关法律、条例及标准,但由于仅节选部分内容作为标准的组成部分,而不具有相关法律法规的前后文背景,故此存在不够协调、不够明晰等问题,仍有待标准的更新或制定新的标准予以进一步的完善。笔者将在下一期的解读中对其问题进行进一步的论述。
脚注:
https://mp.weixin.qq.com/s/nf-pKS6LyAvpAxGssganIg
杨 爽北京市道可特律师事务所律师
业务领域:知识产权、竞争与反垄断、信息网络与文化娱乐、数据及隐私保护手机:13161987144
邮箱:yangshuang@dtlawyers.com.cn