泰和泰研析丨《数据安全法》合规“疑云”,等保2.0或是“解药”
《数据安全法》的出台,是近期的大热点,相应的解读文章亦有不少,但多聚焦于这部新法的亮点所在,例如:首次从法律层面确定了“数据”的定义、规定了数据分类分级制度、建立数据交易制度、数据出境审批等,笔者在此就不再赘述。
由于《数据安全法》将于2021年9月1日开始实施,预留给企业自行合规的时间不到3个月,笔者认为,除了从宏观上了解《数据安全法》的新规定、新制度外,大部分企业尤其是大数据企业、互联网企业应更加关心规定、制度的落地。
某跨国企业高层:“《数据安全法》规定的数据分类分级制度,在强合规行业,如金融、电信、证券期货已经有相应的尝试,但对其它行业,如何分类分级呢?”
某科技企业信息安全总监:“《重要数据目录》谁来制定?哪些数据是国家核心数据?数据类型有结构化、非结构化的数据;存储的地方很多,服务器数据库中有,员工终端上有。怎么发现重要数据在哪里,是个难点。“
某科技企业法务总监:“《数据安全法》数据跨境,相比《网络安全法》更进了一步,只要在境内的重要数据都要适用。但跨境的概念,在不同领域概念不同。《数据安全法》中的数据跨境怎么定义?对于跨国企业,该遵守国外的法律,如GDPR、CPRA(CCPA2.0)、Cloud法案,还是《数据安全法》?”
某智慧城市业务总监:“视频探头抓拍的照片,可能涉及到个人信息、个人隐私保护,对身份信息、健康码等信息的调用问题,应该怎么合规?”
某互联网企业隐私专家:“第33条规定的交易记录留存。是否只需要形式审核,有记录就行;还是需要实质审查?”
……
对于这些疑问,某跨国金融企业的法总表示:“数据处理流程、数据跨境、数据分类分析,在国外欧盟GDPR、美国CPRA等的合规需求下,已经有了比较细的实践经验。我认为其核心就是要向监管机构报批,例如等级保护三级是每年做一次测评。那么《数据安全法》怎么做呢?我们公司有300套系统,这么复杂的数据流,监管机构要怎么监管?数据保护技术,如隐私计算、多方计算、联邦计算等,虽然已经可以达到数据的可见不可用,但相应的技术都还在开始阶段,未进入成熟阶段。我想《数据安全法》最能够落地的方法就是借鉴等保的经验。”
笔者亦赞同该法总的看法,自2016年欧盟出台GDPR以来,各国便展开了激烈的“数据”之争,虽然各国的模式有所不同,但总体来讲主要有欧盟的“人权基础”、美国的“自由市场+强监管”,和我国的“安全+监管”几种模式。等级保护制度算是我国在此领域的独特经验,境外已有部分国家开始效仿。
《数据安全法》、《网络安全法》和我国信息安全行业密不可分,其与信息安全行业存在已久的等级保护制度更是一脉相承,这一点从《数据安全法》本身也能找到答案。《数据安全法》第二十七条规定“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”可见,对于利用互联网等信息网络开展数据处理的企业,必须根据网络安全等级保护制度履行数据安全保护义务。这与《网络安全法》第21条的规定类似,只是网络安全法的适用主体为网络运营者。
如上文所述,我国的数据合规基因是“安全+监管”,那么笔者认为,当在《数据安全法》相关配套法规尚未出台之前,企业可先根据自身业务先行启动等级保护的相关工作,以助于《网络安全法》的合规及《数据安全法》、《个人信息保护法(草案)》正式实施后的合规工作。
在我国信息安全领域内,过去一直存在着“等保”和“分保”的制度,现在又有了“关保”和“个保”。这四者之间即相互联系又各有侧重。
“等保”,即网络安全等级保护要求,是我国信息安全保障的一项基本制度,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。随着2017年《网络安全法》的出台,等保已经从“信息安全等级保护”即“等保1.0”发展到了“网络安全等级保护”即“等保2.0”。一般认为等保2.0是指《信息安全技术 网络安全等级保护基本要求》及其配套标准。
“分保”是指涉密信息系统分级保护,具体指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
“等保”与“分保”在监管部门、适用对象、分类上都有较大区别。
“关保”是关键信息基础设施保护,与“等保”的关系最为紧密,二者分别对应了《网络安全法》第31条和第21条;“关保”是在“等保”的基础上对关键信息基础设施的重点保护。《网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。目前《关键信息基础设施安全保护条例》正在加紧审议中,相关试点工作已启动。该体系主要的标准有:《关键信息基础设施保护条例(征求意见稿)》(总要求/上位文件)、《关键信息基础设施安全保护要求(征求意见稿)》、《关键信息基础设施安全控制要求(征求意见稿)》、《关键信息基础设施安全控制评估方法(征求意见稿)》。
“个保”是指个人信息保护,是在上述几个制度的基础上,侧重于对个人信息的保护。目前《个人信息保护法(草案)》正在审议。
由于“关保”和“个保”均未有明确的法规出台,笔者在此亦不做进一步的比较。
<图摘自《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)>
等级保护的标准是一个完整的体系,其主要分为4个层面:
1、法律层面:
有《网络安全法》和刚通过的《数据安全法》;
2、法规层面:
有《计算机信息系统安全保护条例》,为等级保护的总要求;若《网络安全等级保护条例(征求意见稿)》通过,将与前者配合适用;
3、总体标准层面:
有《计算机信息系统安全保护等级划分准则》(作为上位标准);
4、具体标准层面:
有《信息安全技术网络安全等级保护实施指南》(GB/T25058-2019)、《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)等超过30项标准文件。
等保分五级,一级到五级依次升高,可以在下表中看到具体的分级情况,其中二级、三级为最常见的定级区间。因为一级为自主保护,即不需要监管机构的参与,对于企业来讲,亦没有主动合规的动力。通常来讲,定级三级以上,其保护力度接近于关键基础设施的保护力度。而定级为四级以上,一般会涉及到公共利益或是国家利益,其还可能属于涉密系统,则需要符合相关的规定。新旧等级的确定参见下表:
等级保护2.0测评的指标根据不同应用场景分为了安全通用要求和安全扩展要求,其中,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出了安全扩展要求。因此,对于云计算、移动互联、物联网、工业控制、大数据5个领域,其适用“安全通用要求+安全扩展要求”。
具体的安全要求又主要包括技术要求和管理要求2个维度。但等保2.0报批稿与等保1.0的分类有所不同,详见下表。
在等保2.0的几个新技术领域中,与“数据”联系最为紧密的就是大数据领域,因此,笔者在此用大数据领域的测评指标作为示例,为各企业《数据安全法》合规提供一些思路。
1、等级的确定。等保2.0报批稿将“对公民、法人和其他组织的合法权益侵害造成特别严重损害”的保护等级从“二级”修改为“三级”。这与社会公众越来越关注“个人信息保护”、“企业、组织数据权益”等热点问题相呼应,从整体上趋于更加严格。
2、增加对新技术新应用的风险管控。等保2.0要求充分评估其所采用的云计算、大数据、人工智能、物联网、工控系统和移动互联等新技术、新应用带来的安全风险,并在“通用要求”的基础上,规定了“扩展要求”。
3、个人信息安全保护。等保2.0中明确了“个人信息保护”的相关管理要求,明确企业应建立并落实个人信息安全保护制度,并在数据生命周期各个环节采取安全保护措施。
4、安全管理中心(二级以上)。等保2.0明确将“安全管理中心”作为5大技术领域之一,明确“一个中心(安全管理中心)和三重防护(安全通信网络、安全区域边界和安全计算环境)”的思想。
5、上线检测。等保2.0要求二级以上系统上线运行前,需要对安全性进行测试;三级以上系统上线前,需要对其测评。
6、本地化存储要求。等保2.0要求三级以上系统应当在境内,若因业务需要,确需进行境外远程技术维护,应当进行安全评估,并采取风险管控措施。因此,三级以上的保护强调从实质上等同于关键信息基础设施的保护要求。
7、安全自查。等保2.0要求各网络运营者应当每年对自己进行一次自查,发现安全隐患及时整改,并将报告向公安备案。而公安机关对三级以上的系统每年至少开展一次安全检查。
8、检测预警和事件通报(三级以上)。等保2.0要求三级以上网络的网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安部门报送信息、和安全事件。
结语
综上,笔者认为,无论是出于对《网络安全法》、《数据安全法》,还是尚在审议中的《个人信息保护法(草案)》的合规需求,无论这几部法律的配套法规文件何时落地,要想驱散笼罩在企业头上的信息安全(包括网络安全、数据安全、个人信息保护等)合规“疑云”,等保2.0或许就是最好的“解药”。因此,律师建议,企业想要减少信息安全相关的合规风险,就应变被动为主动,尽早启动等级保护工作,与监管机构、法律专家、信息安全机构建立起顺畅的沟通机制。
作者简介
近期研析文章推荐
ARTICAL
2021-06-02
2021-05-18
2021-05-14
2021-05-13