「 道可特法视界第 1695 篇原创文章 」
引言: 2022年6月5日,国家市场监督管理总局和国家互联网信息办公室共同发布《关于开展数据安全管理认证工作的公告》(以下简称《公告》)及 《 数据安全管理认证实施规则》,两部门决定开展数据安全管理认证工作。本文拟对新出台的《数据安全管理认证实施规则》(以下简称《实施规则》)及其依据的国家标准GB/T 41479《信息安全技术网络数据处理安全要求》进行初步系统解读。
正如笔者在上一篇解读的文末所述,国标GB/T 41479-2022虽然借鉴了相关法律、条例及标准,但由于仅节选部分内容作为标准的组成部分,而不具有相关法律法规的前后文背景,故此存在不够协调、不够明晰等问题,仍有待标准的更新或制定新的标准予以进一步的完善。 例如,GB/T 41479-2022第5.7.2条第二款规定的“境内用户在境内访问境内网络时,其流量不应路由至境外”,令人不解该条文指向的行为,并且容易使人联想到是否与“翻墙”用VPN有关。但该部分内容实则源自《网络数据安全管理条例(征求意见稿)》第四十一条 ① 第三款,该条第一、二款“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务”旨在对于国家建立“数据跨境安全网关”以及禁止任何个人和组织提供“翻墙”服务进行了规定,因此第三款就不应当再是对于禁止提供“翻墙”服务的重复规定,其旨在说明 当境内用户在境内访问境内网络时,即为实现提供的服务之目的,数据跨境并非必须时,不应当以任何原因和方式跨境,使得其流量路由至境外。 可供参考的有2020年视频会议软件Zoom部分流量路由到中国从而使其在境外饱受争议的实例。Zoom作为一家极度依赖中国工程师的互联网企业,其大部分的产品研发人员均位于中国,并在中国大陆境内拥有数据中心。加拿大多伦多大学公布的一份研究报告显示,Zoom使用了一种非标准的加密方式,即便通话主体均在北美,其也存在向中国传输加密信息的情形。对此,Zoom承认在提高服务器容量以应对超高负载的过程中,其内部允许将部分境外流量路由到中国境内的数据中心。 ② 这使其数据安全性受到严重质疑,并使得NASA、Tesla等多家境外主体弃用Zoom。 对应到GB/T 41479-2022中,第5.7.2第二款指向的即是网络运营者在提供境内主体访问境内网络的服务时,不能将境内流量路由至境外,使得存在数据泄露的风险。禁止该情形既不会影响网络运营者提供境内主体访问境内网络的服务,又能避免Zoom事件对应的国内版出现。 此外,标准的某些规定目前仍欠缺实操性。如第5.4.2(b)规定网络运营者发现第三方应用没有落实安全管理责任的,应及时督促整改,必要时停止接入。但是却没有对何为“必要时”“及时”作出进一步的具体规定。第5.11投诉、举报受理处置中虽规定了受理投诉、举报的受理时间不能超过3天,但未规定后续的处理时限。这在实践中可能会引起争议,导致数据安全事故发生时,难以界定网络运营者是否应当承担相应的责任。 数据安全管理认证与APP认证、网安等保
2019年3月,国家市场监督管理总局和国家互联网信息办公室还曾联合发布《 关于开展APP认证工作的公告 》,建立国内首个由国家行政机关推行的APP安全认证。将APP认证与数据安全管理认证相比,可发现两者认证模式相同,均为“技术验证+现场核查+获证后监督”,但在认证对象以及认证依据方面存在以下差异。 认证对象不同。 App认证的对象是移动互联网应用程序(App),数据安全管理认证的对象是网络运营者的数据处理活动。对于获得App认证的App而言,与其相关的网络运营者一般为多个,但这些网络运营者未必能获得数据安全管理认证;同样,对于某一个网络运营者而言,即便其获得了数据安全管理认证,也不代表其参与提供数据相关服务的App一定能够获得App认证,因为一个App涉及的网络经营者通常有多个。 认定标准亦不同。 App认证依据的是GB/T 35273《信息安全技术个人信息安全规范》及相关标准规范;数据安全管理认证依据的是上文分析的GB/T 41479《信息安全技术网络数据处理安全要求》及相关标准规范。前者规定了“开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求”,后者规定了“网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。”据此可知,后者规制的范围要明显大于前者,因为除了个人信息保护之外,它还规定了重要数据的处理等方面的内容。但是前者在个人信息保护方面更为细致全面。 因此,两种认证适用的实际上是不同的情形,相关主体可依据在实际业务活动中的需求以及所需要花费的时间成本进行选择,当然如果某App已经获得App认证,并且其网络服务运营者均已经获得数据安全管理认证,那么该App所提供服务的数据安全性将会被认为是极高的。
二、数据安全管理认证与网络安全等级保护、网络安全审查、个人信息安全影响评估等程序不能相互替代
数据安全管理认证与网络安全等级保护制度、网络安全审查、个人信息安全影响评估等程序是相互独立的,不同性质且不能替代。 数据安全管理认证是自愿性的, 根据上文可知,国家对于数据安全管理认证工作的开展持鼓励和支持态度,尚未有相关法律法规规定哪些业务的开展或者哪些主体必须要通过数据安全管理认证。 但网络安全等级保护制度、网络安全审查、个人信息安全影响评估则对于特定主体或特定情形是强制性的。根据《网络安全法》第二十一条可知,网络安全等级保护制度对于全部网络运营者而言都是强制性的;根据《网络安全审查办法》第二条可知,网络安全审查对于“关键信息基础设施的运营者采购网络产品和服务,网络平台运营者开展数据处理活动的,影响或者可能影响国家安全的”的情形是必要的;个人信息安全影响评估则是在具有《个人信息保护法》第五十五条规定的“处理敏感个人信息”“利用个人信息进行自动化决策”“委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息”“向境外提供个人信息”“其他对个人权益有重大影响的个人信息处理活动”等情形时,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。 因此,就目前的情况而言,获得数据安全认证是对网络运营者在数据安全管理能力方面的有力背书,从而增强其在市场竞争中的综合实力。 而网络安全等级保护制度、网络安全审查、个人信息安全影响评估则是国家实现对于网络安全、信息安全监管的强制手段,如相关主体不按照相关法律法规进行审查、评估,则丧失进行相应活动的资格。
实施数据安全管理认证的积极作用
作为隐私、数据监管发展较早的西方,已经存在不少在全球具有一定影响力的相关认证,例如由美国隐私认证权威机构TrustArc颁发的TRUSTe隐私认证,还有欧洲隐私认证权威机构ePrivacy颁发的ePrivacyseal认证,两项认证均涵盖了GDPR的要求,从法律和技术的角度对相关主体进行综合评估。 我国《认证认可条例》第二条规定:“本条例所称认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。”在数据安全管理认证之前,我国亦存在由商业机构组织开展的基于相关标准的数据安全类认证,但是并未形成较高影响力。此次的数据安全管理认证工作由政府通过规范性文件发布对网络运营者开展的认证活动,故数据安全管理认证的实施有望在国家的鼓励支持下,成为由中国认证机构进行的具有一定国际影响力的认证。 获得认证的企业将被视为拥有更好的数据安全管理能力,从而提升其在商业竞争中的综合实力。随着用户数据安全意识的加强,将会有更多用户倾向于选择获得认证的企业提供的服务,因此在激烈的市场竞争下,也将会有更多的网络运营者选择进行数据安全管理认证,进一步地推动我国企业的数据安全管理能力,创建更加安全、规范的数据环境。
①《网络数据安全管理条例(征求意见稿)》第四十一条规定:“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。境内用户访问境内网络的,其流量不得被路由至境外。”
② 新闻来源:《美国视频会议软件Zoom被指向中国传输加密信息》 https://www.163.com/dy/article/F9C5E5390534BTNA.html 《Zoom停止中国个人用户注册,研发重心向美国转移》 https://www.huxiu.com/article/357655.html
杨 爽 北京市道可特律师事务所律师 业务领域: 知识产权、竞争与反垄断、信息网络与文化娱乐、数据及隐私保护
手机:13161987144
邮箱:yangshuang@dtlawyers.com.cn
道可特研究 |《数据安全管理认证实施规则》的解读(上)