推动数据安全认证工作 助力数据基础制度建设 |
来源:《中国信息安全》杂志2022年第12期 文│中国网络安全审查技术与认证中心 布宁 今年 6 月,中央全面深化改革委员会审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,习近平总书记在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。 为落实党中央重要部署,中央网信办和市场监管总局依据《网络安全法》《数据安全法》《个人信息保护法》有关要求,连续发布关于开展数据安全管理认证、开展个人信息保护认证等的联合公告,初步建立起以个人信息保护认证和数据安全管理认证制度为核心的数据安全认证制度体系,迈出了支撑数据安全基础制度建设,加强数据安全监管,压实企业数据安全主体责任的重要一步。 一、数据安全认证工作开展情况 数据安全认证制度体系建设的总体目标是落实《网络安全法》《数据安全法》《个人信息保护法》要求,规范数据和个人信息处理活动,保障数据和个人信息安全,促进数据和个人信息开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。围绕这个总体目标,市场监管总局联合中央网信办围绕个人信息保护和数据安全管理,初步建立了数据安全认证基础制度体系。 个人信息保护认证主要针对个人信息处理者的个人信息处理活动,依据 GB/T 35273《个人信息安全规范》,证明个人信息处理者开展的个人信息收集、存储、使用、共享、转让、公开披露、删除等活动符合标准规定的原则和安全要求,能够保障个人信息主体的合法权益。当个人信息处理者开展个人信息跨境处理活动时,还要依据TC260-PG-20222A《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,证明个人信息跨境处理活动符合标准规定的基本原则、基本要求和个人信息主体权益保障要求。 数据安全管理认证主要针对网络运营者的数据处理活动,依据 GB/T 41479《网络数据处理安全规范》,证明网络运营者对其通过网络收集、存储、使用、加工、传输、提供、公开的个人信息、重要数据和其他数据,采取了必要和有效措施以确保数据处于有效保护和合法利用的状态,并具备保障持续安全状态的能力。 二、数据安全认证对数据基础制度建设的重要作用 数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。《关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据基础制度”,从根本上为数字经济发展打造了负重致远的新动能。 构建数据基础制度,核心是让数据要素的获取、加工、流通、利用以及收益分配等行为有法可依、有规可循,确保数据安全,推动数据要素市场规范化、制度化建设,从而提升数据要素的市场化配置效率。认证制度作为市场经济运行的信用工具和基础性制度,在推进数据基础制度建设方面能发挥不可替代的重要作用。认证制度起源于工业革命时代工业化大生产对质量控制和安全保障的需求,经过近 120 年发展,已成为国家质量基础设施的重要组成部分,与标准化、计量和认可等制度共同构成了一套成熟运行的,在提升质量、促进贸易方面发挥着重要作用的制度体系。 在推进数据基础制度建设方面,数据安全认证能够推进建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,支撑数据要素权益保护;数据安全认证能够帮助完善数据全流程合规和监管规则体系,从而支撑建立合规高效的数据要素流通和交易制度;数据安全认证有助于把安全贯穿数据治理全过程,明确监管红线,压实企业数据安全责任,守住安全底线,从而贯彻总体国家安全观,支撑完善数据全流程合规和监管规则体系。 三、不断完善数据安全认证体系,做好与其他数据安全基础制度的衔接 《网络安全法》《数据安全法》《个人信息保护法》和正在起草的《网络数据安全管理条例》构成了我国数据安全顶层制度框架,并从数据安全治理需求出发,提出了建立数据分类分级保护、数据安全审查、数据出口管制、数据出境安全评估、个人信息跨境安全认证等一系列数据安全基础制度的要求。 由于数据处理活动的复杂性,其环节涉及收集、存储、使用、加工、传输、提供、公开和删除,其参与主体可能涉及数据控制者、数据处理者、共同数据控制者、数据接收者,以及数据加工、交易等第三方,其形态可能包括产品、服务等。针对数据处理活动的不同环节、对象,数据安全基础制度从不同监管角度、对象,提出了不同的监管要求,并相互配合,共同构成支撑数据安全治理、支撑数据基础制度建设的制度体系。相关制度基于共同的制度目标展开设计,其底层技术基础存在许多共同之处。数据安全认证制度作为国家数据安全治理体系的基础性技术支撑,一方面要不断完善自身体系,既考虑全面覆盖数据处理所有环节的通用认证制度,也应考虑针对监管中的关键、重点、难点,对特殊产品、服务等设立专门认证制度;另一方面也要做好与其他数据安全基础制度的衔接,尽量复用技术评价结果,减少重复评价,减轻企业负担,更好促进数据要素流通。 |