近日,国家市场监督管理总局、国家标准化管理委员会发布了2022年第6号标准公告,正式公布《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022,以下称“《安全要求》”),对网络环境下数据活动的安全要求作出规范。《数据安全法》《个人信息保护法》《网络安全法》等法律法规从不同切入点规定了数据活动的安全义务,《安全要求》对在网络环境的融合场景下落实前述法律的合规要求具有指导和参考意义。汇业网数团队结合立法和执法情况,类似项目经验,对《安全要求》简要解读如下,供参考。
一、功能定位
《安全要求》作为国家推荐性标准,与《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(下称“《个人信息安全规范》”)等国标保持一致,坚持了二元功能定位的原则:
(1)基本功能定位:作为网络运营者开展网络数据活动的技术与管理的安全要求,是落实《数据安全法》《个人信息保护法》《网络安全法》的重要指引。
(2)监管和评估支撑定位:适用于主管监管部门和第三方评估机构的监管和评估,是执法部门对企业落实法律法规合规要求的参考,在当前执法形势和“一案双查”等的大背景下,《安全要求》应当引起企业的重视。
二、适用范围和总体思路
1.术语与适用范围
(1)保持与《数据安全法》《个人信息保护法》《网络安全法》以及《个人信息安全规范》等国标的一致性,兼顾了《民法典》的要求,提出了私人信息的概念。
(2)在网络运营者的术语中明确《安全要求》仅适用于开放公共网络。据此,与外界物理隔离的专用网络、局域网、企事业单位内网、虚拟专网等均不符合开放公共网络的特征,在前述环境下开展的网络活动不适用《安全要求》的规定。但是,目前跨国企业的内网具有跨境的特征,在该网络环境下开展数据活动,可能会存在数据出境的情形,虽然不适用《安全要求》,当仍应按照《数据安全法》《个人信息保护法》《网络安全法》有关数据出境的要求,落实诸如个人信息和重要数据境内存储(CIIO、汽车数据处理者、处理个人信息达到一定数量的企业)、安全评估(重要数据和个人信息)、标准合同或者专业机构认证(个人信息)等义务。
2.总体要求和思路方法
《安全要求》对落实网络数据活动安全要求,按照数据识别、分类分级、风险防控、审计追溯的逻辑顺序,明确了总体要求:
(1)对于数据的多元属性,在开展数据活动时,要通过多维度识别数据个人信息、重要数据、业务数据、行业数据、特殊领域数据的属性。
(2)在数据识别的基础上,按照法律法规、国家标准以及合同、业务需要等开展分类分级管理。同时,在实践中也需要考量按照数据量级、敏感程度、对业务的影响程度等维度进行分级的策略,以平衡合规成本与商业目的实现。
(3)在分类分级的基础上,针对不同的数据类型和级别采取对应的技术和安全措施,完善相关制度、机制。
(4)对数据活动全生存周期进行记录,确保可审计、可追溯。
三、安全与管理制度要求
与《数据安全法》《个人信息保护法》《个人信息安全规范》等保持一致,以数据的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期为主线,增加了私人信息处理、个人信息权利响应保障、投诉举报、访问控制与审计的环节。考虑到网络环境的融合场景下,数据处理活动较为复杂,无法面面俱到的作出详细规定,《安全要求》对前述各个环节仅采取重点、要点进行规范和明确。具体有以下几类:
1.与现有法律法规国标对接的合规要求
2.从国家安全、公共安全、经济安全和社会稳定角度提出要求
3.细化实践操作规定
(1)存储、传输重要数据应当采取加密、脱敏安全存储、访问控制、安全审计等安全措施,接收方按照合同约定履行安全义务;
(2)对私人信息不转发,可转发信息标注始发者平台账号;
(3)对第三方接入应用采取合同约束、加强管理并必要时停止接入、发生侵害行为承担连带责任,加强监测;
(4)将举报、投诉的受理时限明确为3天内,并要求查实后立即处理、采取相关措施;
(5)根据分类分级情况实施访问权限控制,对批量处理数据设置严格审批流程。
4.明确相关岗位职责和制度要求
最后,《安全要求》详细规定数据安全岗位及负责人设置、职责及保障,以及数据安全事件应急处置等安全管理制度和要求。
总体来看,《安全要求》的内容较为简要,仅对数据处理各环节最重要的要点作出规定,因此,企业在对照落实相关合规要求时还需综合法律法规、规章的相关要求,尤其是所属行业的特殊要求,结合实际情况、行业实践,有针对性的制定合规计划,全面的落实合规要求。
声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
