最近百度地图和支付宝通过中国网络安全审查技术与认证中心的GB/T 35273-2017管理体系认证——即《信息安全技术个人信息安全规范》2018版,这一“事件”引发业界各方议论。一种声音认为两位取得的认证保护水准和用户自身信息安全的体验差异明显,此举有“自抛自扣”之嫌,如果这两位如此敏感的产品都能妥妥的拿到认证,还有谁不能够证明个人信息安全的内部隐私政策遵从和外部合规性?本着大过年的轻松和谐精神,本文基于公开信息,结合早年信息安全咨询认证的浅薄经验提出建议,以期促进网络安全信息共享和行业良性发展。

硬伤还是软肋

公开信息显示,本次认证证明两位的个人信息安全管理体系除了符合35273之外,还符合隐私政策,从认证机构的角度可能存在两个基本法律问题:(1)如何可以论证各家个人信息安全管理活动在符合标准之外还符合各家的隐私政策?(2)从认证的终极合规目的看,如果说符合35273是为了遵从《网络安全法》体系的个人信息安全还可以理解,但如何能够推导证明隐私政策符合《网络安全法》?这个证明过程存在逻辑自洽问题,同时有背书之嫌。这些法律问题不解决,引发的质疑就无法愉快地消除。而究其根本,本文认为个人信息安全的认证还需要讨论下列基本问题。

个人信息安全规范(35273)在标准体系中的定位

通说认为《信息安全技术个人信息安全规范》2018版是《网络安全法》体系下对个人信息保护相关规范进行指引的推荐性标准类文件,和信息安全领域的主流认证ISO/IEC 27001相同,属于推荐性而非强制性标准。按照35273的适用范围表述:标准规范开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求;适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。因此在无强制性国家标准的情形下,由符合《认证认可条例》的第三方评估机构适用35273进行个人信息安全管理体系的认证试点不失为一种有益尝试但应严格限定和规范认证内容而不应创设认证服务

35273认证在安全管理体系中的定位

个人信息安全规范指引下的个人信息安全管理体系,属于信息安全管理体系(ISMS)的一部分,是企业等组织机构整体管理体系的重要环节之一,涉及基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。在当前的实践领域,实际上也包括了“网络安全”范畴。不仅如此,《网络安全法》的体系和规范充分吸收了包括信息安全管理体系在内的最佳实践,并在实施层面上体现了ISO/IEC 27001从组织架构、方针的顶层设计、资产管理、人员安全、物理和逻辑(访问控制)安全、密码(学)(保障)安全、通信安全、操作安全、外包(供应链)安全、系统获取开发维护、事件管理、业务连续性等多个安全域的安全(风险)控制措施的理念,从而使得法律条文的规定可以通过配套制度和标准指引等方式实现落实。个人信息作为组织的重要资产,其安全保障将可能涉及多个安全域的安全管理。

从新近云服务的发展态势看,基于ISO/IEC 27001认证的“可扩充性”,ISO/IEC 27018公有云个人信息保护实用准则(Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors,最新为2019版)加入了ISO/IEC27001认证体系。个人信息安全管理体系在ISMS大致处于如上的“上层建筑”定位,因此应在ISO/IEC 27001基础认证之上进行个人信息安全管理体系认证而不应作为单独的认证。

认证机构的市场定位

中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是国家市场监督管理总局直属事业单位。在《网络安全法》和有关强制性产品认证、网络安全管理规定下,于2018年3月列入国家认监委、工业和信息化部、公安部、国家互联网信息办公室公布的第一批承担网络关键设备和网络安全专用产品安全认证和安全检测任务名录。目前质疑的缘由之一就在于中国信息安全认证中心的身份。简而言之,CCRC作为直属单位,是否具有独立性和是否可能因潜在的行政垄断而导致认证能力不足,最终催生网络安全风险。

《认证认可条例》的修订旨在通过引入“有进有退”的市场竞争,增强包括个人信息安全在内的网络安全保障能力。不仅是要求CCRC通过年度认证的授予和撤销机制,评价受审核企业、产品或服务的安全管理能力,同时其本身也需要接受市场竞争、认可机构和法律责任的强制约束,以及受审核单位的监督评价。在这方面,统一的《认证认可条例》不仅需要加强对既有规范性文件的整理,其对CCRC等直属单位的适用效力如何,也仍然需要通过认可与否的判定给出说服力。

在全球视野下审视个人信息安全认证

2018年5月实施的欧盟《通用数据保护条例》(GDPR)对个人信息保护给出了全球范式,包括35273在内,各国的个人信息保护多少得到GDPR的启发和借鉴。GDPR同样给出了对个人信息安全保护评价的认证机制,其第42条和43条规定,鼓励在欧盟层面建立数据保护认证机制,以表明数据控制者和处理者符合GDPR规定。简而言之主要原则包括:(1)认证应基于自愿原则和透明程序;(2)认证不应减少或降低数据控制者和处理者责任;(3)认证不应限制监管机构的权力;(4)受审核的数据控制者和处理者应提供任何必要的访问控制权限,接受认证机构和监管机构的审核;(5)认证有效期不超过三年;(6)认证机构应经监管机构授权,并符合ISO/IEC17065(等同国标CNAS-CC02产品、过程和服务认证机构要求)等规定的条件;(7)认证机构应对受审核的认证结果负责;(8)认可机构应对认证机构负责等等。

其中最为关键的原则可以概括为透明度和可追责。将全球视野下的个人信息安全认证聚焦到本国场景,透明度不仅表现为认证过程和结果的透明(认证过程不应对企业商业秘密造成减损自不待言)。更为重要的是,作为认证基础的产品、服务提供企业对控制、处理个人信息的透明度如何,反映在本次百度地图和支付宝认证中,即是其隐私政策的制定和实施过程的透明度。可追责不仅体现为认可机构对认证机构资质的撤销,也包括对认可机构的法律责任;不仅包括认证机构对认证结果的撤销,也包括对认证机构的法律责任;乃至给予符合资质条件的所有主体的平等市场地位和充分竞争环境。2019年1月《信息安全技术 个人信息安全规范》的第一次修订也应当回应这些事件和趋势。

对于本次事件主角而言,无论基于传统行政还是早期市场形成的资历只是拥有竞争的优势机会,只有凭能力才能决定是否可以获得用户的最终“认可”。

 

声明:本文来自信息安全法律大会专委会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。