《数据安全管理认证实施规则》出台
2022-08-11◆钟鹤/文
◆钟 鹤 / 文
6月9日,国家市场监督管理总局、国家互联网信息办公室发布公告(文号为2022年第18号),决定按照《数据安全管理认证实施规则》(以下简称《规则》)开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。
主要内容
根据《中华人民共和国认证认可条例》,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一定义说明,认证的对象分为三种:产品、服务、管理体系。
(一)法律依据
《规则》制定的主要依据有:《数据安全法》第十八条——国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动;《网络数据安全管理条例(征求意见稿)》第三十五条第二款——数据处理者和数据接收方均通过国家网信部门认定的专业机构进行个人信息保护认证;《中华人民共和国认证认可条例》第二条——本条例所称认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。本次公告开展的是管理体系认证。
(二)认证要求
《规则》中明确了认证依据是已于2022年4月15日发布、将于2022年11月1日实施的GB/T 41479《网络数据处理安全要求》;认证适用的范围是对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证;认证模式是“技术验证+现场审核+获证后监督”;认证过程是认证委托+技术验证+现场审核+认证结果评价和批准+获证后监督。
《规则》提出对认证时限以及认证证书和认证标志使用的相关要求:数据安全管理认证证书的有效期为3年,在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志(图1),不得对公众产生误导。
图1 认证标志
(三)认证责任
认证机构应依据《规则》的要求细化认证实施程序,制定科学、合理、可操作的认证实施细则并对外公布实施,认证实施时其责任是对现场审核结论、认证结论负责;技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告,认证实施时其责任是对技术验证结论负责;认证委托人应当按认证机构要求提交认证委托资料,并配合认证机构和技术验证机构的现场审核与验证工作,其责任是对认证委托资料的真实性、合法性负责。
分析与解读
2021年是我国数据安全立法元年,数据安全政策体系建设取得重大战略进展,数据安全工作迈入了新阶段。这一年,我国正式颁布了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等两部法律,填补了我国数据安全的法律空白,同时推出了《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》,并对车联网等重点行业、数据出境等重点领域进行了落实细化。这些法律法规的密集出台(表1),与2017年6月1日施行的《网络安全法》一起,从国家到社会与个人逐步形成了加强数据安全保护的态势。
表1 2021年密集出台的数据安全相关法律法规
在大数据时代,一方面随着数字经济的快速发展,数据已经成为基础性资源和战略性资源,是决定数字经济发展水平和竞争力的核心资源,另一方面数据安全形势日益严峻,高价值数据泄露、个人信息滥用情况突出,针对数据的攻击、窃取、劫持、滥用等层出不穷,滴滴事件、阿里云事件暴露了数据安全面临的巨大潜在风险。数据安全领域呈现出一系列新特点、新趋势,需要正确认识和把握方向、抓好重点,加快提升数据安全保护能力。
目前,有相当多的企业由于业务因素掌握着大量用户数据,但由于对数据安全的投入产出成果往往无法直接反映在业绩上,不少企业对投入高成本用于数据安全管理缺乏动力,此前就有专家呼吁应设立相关认证制度,让投入成本到数据安全上的企业能够得到正向反馈,从而加强网络数据安全保护。
此次开展数据安全管理认证工作,将督促广大企业在相关标准规范之下,开展网络数据处理活动的合规建设,加强数据安全的防护力度。对于暂不符合认证要求的,机构可要求认证委托人限期整改,具有一定的监督和震慑作用。而在认证有效期内,企业须持续接受机构监督,确保数据安全工作持续落到实处,而非单纯认证时的走过场。
在获证后监督方面,《规则》提出,“认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理”。
认证工作开展后,是否获得数据安全管理认证,对网络运营者也将产生不同的影响。通过认证后,可以证明网络运营者在网络数据处理活动、网络数据安全保护等方面,符合相关标准规范,可以说是对自身数据安全的全方位验证和保障。
其次,通过认证后获得的“认证标志”,可以按照有关规定在广告等宣传中使用,从而增加外界公众对网络运营者的信任度,有助于数据处理相关业务的顺利开展。
从行业影响来看,认证工作将数据安全从法律法规、标准层面推向了监管落地方向。认证工作的推出,势必会增强企业或组织对数据安全落地的积极性,为数据安全行业提供新的助推引擎。
