时间:2021-05-08 16:53:12 来源:信息安全与通信保密杂志社 责任编辑:商密君
数据生产要素化为传统数据安全保障提出新挑战,而数据安全合规性评估是应对网络数据安全风险挑战的有力举措。近年来国际主要发达国家纷纷围绕组织机构自评估、监督执法检查以及第三方评估认证等多方面,开展数据安全合规性评估实践。我国亟需在借鉴国外数据安全合规性评估通用做法的基础上,进一步健全完善我国数据安全合规性评估管理体系,促进数据有序流动和安全应用,为构建以数据为关键要素的数字经济保驾护航。
4.3 构建多方协同联动的数据安全合规性评估管理体系近年来,数字经济在全球迎来了前所未有的高速发展,数字经济的崛起叠加新科技周期的来临,逐步成为驱动经济发展的重要力量。我国积极布局新基建、数据要素培育,为数字经济注入了强劲的发展势能;全球主要发达国家把数字经济作为经济发展的重点,积极推进国家发展战略和政策,推动经济和社会持续转型。在数字经济发展推动下,数据汇聚、融合、流动与应用等场景大幅增加,数据应用技术的复杂性、数据海量汇聚的风险性、数据深度挖掘隐私安全性都对新形势下网络数据安全保护提出新挑战。目前,全球数据安全形势依然严峻,据Verizon数据泄露调查报告计算,2018—2020年全球数据泄露事件达8000多起,影响范围包括住宿、零售、教育、金融、信息制造业、政府部门等多个行业和部门。2020年以来,全球各地深受数据安全事件的困扰,以色列640万选民信息遭到泄露;2.67亿Facebook用户信息在暗网出售;视频会议软件Zoom由于频频出现的数据安全问题被推上风口浪尖,数据安全事件为国家政治安全、经济安全、社会稳定、人民财产带来了巨大的影响。 在诸多的数据安全保护和治理手段当中,数据安全合规性评估作为一项能够有效监测和防范数据安全风险的制度约束,对于增强企业等数据主体对自身数据的安全保护,助力行业的健康与可持续发展具有重要意义,目前在国内外已具有多年实践积累并形成了较为统一的认知。企业应定期开展数据安全合规性评估,以保护数据安全性为目的,针对与数据安全相关的基础保障、技术能力以及数据采集、传输、存储、使用、开放共享、销毁等重点环节,是否符合并遵守相关法律、法规、标准和其他管理要求进行评估,并采取适当的措施以防范安全风险或者使得影响最小化。此外,数据安全合规性评估应与政府管理、行业自律、社会监督、技术监测等数据治理手段相结合,共同构建多措并举的数据安全治理格局。数据安全合规性评估在国际上已有多年的发展历程,在法律法规、国际标准等方面积累了大量参考依据。近年来,针对日益严峻的数据安全风险,世界各国围绕组织机构自评估、监督执法检查以及第三方评估认证等多方面,开展数据安全合规性评估实践,形成了较好的经验和做法,具有参考和借鉴意义。在国际法律方面,国际组织规则及各国立法为数据安全合规性评估提供了多维度的规范依据。经合组织(OECD)隐私准则、亚太经合组织(APEC)隐私框架明确提出数据控制者应满足隐私合规。美欧等国家和地区通过立法明确不同类型的数据安全合规性要求。欧盟《通用数据保护条例》、巴西《通用数据保护法》、印度《2019 个人数据保护法案》均将数据安全影响评估作为预防处理个人数据安全风险的重要手段,对于达到某种条件的数据处理行为,考虑到处理行为的性质、范围、内容和目的可能会对自然人的权利和自由产生高风险时,要求数据控制者在处理前完成一份拟进行的数据处理对个人数据保护影响的评估报告。美国《联邦信息安全管理法案》(FISMA)要求各联邦机构制定并实施适用于本机构的信息安全计划,并对受到非授权访问、使用、泄露、破坏、修改或者损毁后的信息可能造成的风险和危害程度进行定期评估,并持续监测评估信息安全政策、流程和管理的有效性。在国际标准方面,国际标准组织针对数据安全管理以及隐私保护等方面发布一系列标准,提出数据安全保护要求以及安全评估指南,采用一定的方法对信息安全产品或系统安全性进行评价,可为安全评估提供行动指引。美国国防部的 TCSEC(可信计算机系统评估标准)、欧共体委员会的 ITSEC(信息技术安全评估标准)、美加英法德荷六国的 CC(信息技术安全评价通用标准,后逐渐形成国际标准 ISO 15408)、日本电子工业发展协会的 JCSEC-FR(日本计算机安全评估准则 - 功能要求)等标准,均对数据保密性等方面提出安全要求和评估方法。美国 NIST SP 800(信息安全系列指南)系列标准针对机密敏感信息提出安全评估指南;英国 BSI BS7799(信息安全管理,后逐步形成国际标准ISO/IEC 17799 等)系列标准为组织机构数据资源管理内部控制提出评估指引;ISO/IEC 27000(信息安全管理体系)系列标准提出信息系统数据安全保护要求,并持续推进和发布多项隐私安全标准,包括:ISO/IEC 29134(隐私影响评估准则)、ISO/IEC 29190(隐私能力评估模型)、ISO/IEC 27554(ISO 31000在身份管理相关风险评估中的应用)等。在组织机构自评估方面,国外相关组织机构对标国内外规则、标准、立法要求,开展多种形式数据安全合规性评估实践。依托信息系统安全要求的基础性数据安全(保密性、完整性、可用性)合规性评估始于 30 年前,组织机构依据各国的法律法规以及国际标准开展合规性评估,落实计算机系统安全防护能力分级和信息安全保障合规等具体要求。之后,基础性数据安全评估随着各国信息系统安全评估工作的广泛开展,演变为普遍性组织实践延续至今。在个人数据保护方面,国外个人数据保护实践已开展了40多年,企业以完善的法律规则为基础,形成了一套成熟的数据安全合规机制,例如:欧洲的数据保护影响评估、美国企业广泛开展的隐私影响评估等。目前,欧盟已经形成关于个人数据和非个人数据的全类型法律保护体系,全方位明确企业数据安全保护要求。在监督执法检查方面,国外数据安全监管机构通过对企业开展监督执法,督促企业落实法律数据安全合规性评估要求。在个人数据保护方面,监管机构对标个人数据保护法,对企业违反合规性评估要求的行为进行执法处罚。从欧盟监管机构执法情况来看,数据安全影响评估制度检查审计已成为监管重点,成员国监管机构陆续对企业忽视数据安全影响评估的行为进行行政罚款。同时,随着GDPR实施的不断深入,数据安全保护监管机构的执法权进一步强化,机构之间的合作与配合不断提升。在数据安全方面,在延续传统信息系统安全评估检测的基础上,监管机构创新评估方式,将评估拓展为长效执法监督。美国联邦贸易委员会(FTC)要求违反数据安全保护要求的企业实施全面的数据安全计划,由FTC对该计划进行严格的两年期评估,以确保数据安全保护措施落实。在第三方评估认证方面,国际上积极倡导行业自律和第三方认证,引入多方模式开展评估治理。欧盟将行业组织作为其数据安全管理体系的重要补充,规定数据控制者可以成立协会并提出所遵守的详细行为准则。在非个人数据流动管理过程中,鼓励通过行业自治规范数据迁移行为,在客户改变云服务提供商或者将数据转移至其他系统的情况下,明晰相关方的行为条例。欧盟的多方治理模式在督促企业数据安全合规、配合执法机构监管等方面发挥了重要作用。美国从产业利益出发,倡导和贯彻自律自治原则,创造开放的产业发展空间,积极促进互联网产业的发展,通过TrustArc、Better Business Bureau等知名认证公司开展网络隐私认证,对网络服务供应商现有的数据安全保护措施进行合规审查,为达到相应标准的机构颁发认证,以此督促相关机构加强数据安全保护。通过网络隐私认证后,隐私认证机构将对企业隐私体系运行情况进行持续监控,一方面需要进行年审,年审时需要重新填写评估问卷,确保产品、服务的数据收集或处理发生任何改变都能被重新评估,并且也将评估企业在过去的一年里,体系中相应内容的执行情况;另一方面,认证机构将持续关注企业的隐私合规行为,如发现有违规行为,企业需及时澄清相关问题,如果逾期未能澄清,隐私认证将被暂时撤回,直到企业整改完成时才会被恢复。近年来,我国围绕法律标准制定、政府监督指引、企业责任落实、评估综合能力提升等方面,形成并逐步完善数据安全合规性评估工作体系,合规性评估整体取得初步成效。在法律层面,我国充分借鉴国外数据安全合规性评估通用做法,《中华人民共和国计算机信息系统安全保护条例》以等级保护测评为依托,明确数据保密性、完整性、可用性的安全保护合规性评估要求。《中华人民共和国网络安全法》《中华人民共和国电信条例》提出网络运营者建立健全内部安全保障制度和用户信息保护制度的相关要求。《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》分别就重要数据以及个人信息安全评估提出要求,并明确国家促进数据安全检测评估业务发展的态度。在标准层面,我国正在逐步构建数据安全合规性评估标准体系。在通用标准方面,《信息安全技术 数据库管理系统安全评估准则》《信息安全技术 数据出境安全评估指南》《信息安全技术 个人信息安全影响评估指南》《信息安全技术 大数据安全管理指南》《数据管理能力成熟度评估模型》等标准可针对个人信息保护、数据出境场景以及大数据、数据库业务和系统提供安全评估参考。在行业标准方面,电信和互联网行业加快研制合规性评估配套标准,制定《电信网和互联网数据安全通用要求》《电信网和互联网数据安全评估规范》《电信网和互联网数据安全评估实施技术要求》《电信网和互联网数据安全评估服务机构能力认定准则》等系列标准,形成覆盖通用要求、基本规范、实施要求以及机构认定等方面较为完备的数据安全合规性评估标准体系。在政府监督指导方面,一是在中央网信办统筹协调下,多部门联合开展个人信息安全相关评估工作。中央网信办、工信部、公安部、国家标准委四部委组织开展网络产品和服务的隐私条款专项工作,对 40 余款产品的隐私条款和实现机制进行评估。中央网信办、工信部、公安部、国家市场监管总局联合开展 App 违法违规收集使用个人信息专项治理行动,评估 App个人信息保护策略是否遵循相关国家标准规范要求。二是各部门在各自职责范围内,指导相关企业开展数据安全合规性评估。工信部建立数据安全合规性评估机制,开展行业数据安全保护专项行动,连续两年滚动印发《电信和互联网企业网络数据安全合规性评估要点》(2019年、2020 年),引导企业结合法律规章要求、风险防范关键环节对标开展评估。依托基础电信企业安全责任考核以及“双随机一公开”检查,监督企业数据安全合规性评估开展情况。此外,金融、医疗等行业也根据《征信机构管理办法》《人口健康信息管理办法(试行)》等管理规范,开展个人信用信息系统安全测评、人口健康信息定期备份和恢复检测等合规性评估有关工作。在企业评估责任落实方面,企业基于法律法规和相关标准要求,能够积极开展数据安全自评估。在多部委联合开展的专项行动中,出行旅游、生活服务、影视娱乐、工具资讯和网络支付等方面,有关企业能够落实自评估工作要求,并联合签署个人信息保护倡议书,公开承诺并积极履行个人信息保护责任和义务。在工信部指导下,现阶段全国基础电信企业(含93家省级公司和32家专业公司)以及阿里巴巴、滴滴、小米、途牛、贝壳等重点大型互联网企业均已开展合规性评估。从企业上报的评估报告来看,多数企业已稳步推进敏感数据访问权限管理、安全审计、数据防泄露等技术支撑能力建设,同步完善优化应急响应和投诉处理机制设计,企业级数据安全防护体系初步建立。在评估综合能力建设方面,中国互联网协会成立网络数据安全合规性评估服务工作组,为企业提供高质量的测评服务指导,鼓励引导并促进市场供需对接,帮助企业落实数据安全主体责任,提升数据安全合规性评估第三方服务的标准化、规范化水平。同时,数据安全合规性评估系统、个人信息保护等合规性评估工具陆续上线运行,可为企业提供数据安全以及个人信息保护合规自查评估服务。总的来看,我国稳步推进数据安全合规性评估工作,在法规标准依据以及行业评估实践方面具有一定积累,但政策法规中对数据安全合规性评估的规定有待进一步明确细化,数据使用、共享、销毁等环节的标准规范仍需强化,行业组织和第三方机构的补充作用尚未充分发挥,中小企业对数据安全保护要求有待进一步落实。我国作为信息化发展尤为迅速的国家,数据安全形势严峻,为有效应对数据安全风险,我国初步建立数据安全保障体系,持续推进相关政策标准制定,强化数据安全事件态势感知和应急保障能力建设,网络数据安全保护能力显著提升。当前,数据生产要素化为传统数据安全保障提出新挑战,为进一步促进数据有序流动和安全应用,我国亟需借鉴国外有益做法,健全完善数据安全合规性评估管理体系,增强数据主体对自身数据的掌控和保护,以安全促发展,为构建以数据为关键要素的数字经济保驾护航。“软硬兼施”强调指导,持续滚动制定数据安全合规性评估要点,不断优化合规性评估制度设计,清晰界定企业自评估与行业重点评估两级评估体系,明确事前事中管理定位,为企业提供方向性指引,并通过下发配套指导文件、提供在线辅助评估平台等方式引导行业企业开展对标评估。同时,围绕数据使用、共享、销毁等数据流通的重点环节补充制定合规性评估标准,指导企业不断提升全生命周期数据安全风险防范能力。健全完善数据安全常态化、持续性监管机制,强化对数据收集、存储、使用等行为的监督检查力度,进一步扩充合规性评估监督检查对象,强化中小型互联网企业数据安全合规性评估责任落实。加大数据安全合规性评估公共服务平台推广使用力度,对企业通过公共服务平台填报情况开展监督,提升企业自评估填报真实性,提高数据安全测试检查效率和规范化水平。4.3 构建多方协同联动的数据安全合规性评估管理体系加强政府部门、相关企业、行业组织、科研机构等多方协同联动,各自落实合规性评估主体责任的同时,实现数据安全风险或事件的迅速应对。组织相关企业和科研机构,针对数据流通共享、数据市场化交易等管理思路尚未明确的重点领域,加大研究攻关力度,研究提出合规性评估政策建议;加强数据安全风险监测以及主动防御技术研究,有效应对数据要素流通过程中动态变化的数据安全风险。持续开展数据安全合规性评估优秀案例评选,通过最佳践案例推介等方式,为企业提供标杆和参考。在数据生产要素化、数据流动日益增多的大背景下,数据安全合规性评估是应对网络数据安全风险挑战的有力举措,我国亟需借鉴国外数据安全评估有关经验做法,构建适应我国国情和数据安全保护特点的合规性评估体系,进一步以安全促发展。引用本文:张琳琳,李晓伟.大力开展数据安全合规性评估 为数字经济发展保驾护航[J].信息安全与通信保密,2021(4):84-90.
张琳琳(1982—),女,硕士,高级工程师,主要研究方向为数据安全与个人信息保护、互联网新技术新业务安全评估、监管政策研究以及标准研制等;李晓伟(1985—),女,博士,工程师,主要研究方向为数据安全与个人信息保护政策法规。选自《信息安全与通信保密》2021年第4期(为便于排版,已省去原文参考文献)
(文章来源:信息安全与通信保密杂志社)
注:来源于互联网内容,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
