网络安全审查——筑起数据安全的第七道防线
发布时间:2021-07-12
文 | 黄春林 冯莉 汇业律师务所
国家首次激活了网络安全审查这一重要制度,先后启动了对滴滴出行、满帮、Boss直聘等的网络安全审查。与此同时,为了适应当前时代背景,为了细化落地《网络安全法》及《数据安全法》的安全审查相关制度,国家网信办牵头修订了《网络安全审查办法》并公开征求意见。事实上,在此之前,国家已经分别从不同的角度,通过不同法律法规,构筑起我国数据安全的多重防线。
本文中,为了帮助企业全面理解我国法律意义上的“数据”及“数据安全”,准确把握网络安全审查的关联制度及体系逻辑,汇业律师事务所黄春林律师团队全面梳理我国数据安全的七道防线如下:
第一道防线:运营者的自我修养
根据《网络安全法》、《数据安全法》、《民法典》及《个人信息保护法(草案)》等法律,网络运营者及数据处理者(以下合称“运营者”)应当承担数据安全的主体责任,采取包括但不限于如下技术及管理策略,确保网络及数据安全(以下合称“数据安全”),提高数据安全自我修养:
(1)制定数据安全制度及操作规程;
(2)设置数据安全岗位及负责人;
(3)采取分级分类、加密备份等数据安全措施;
(4)组织开展数据安全教育培训;
(5)制定并演练数据安全应急预案;等等。
第二道防线:电信业务准入及业务监管
根据《电信条例》《互联网信息服务管理办法》《移动互联网应用程序信息服务管理规定》《计算机信息网络国际联网安全保护管理办法》等法规政策,运营者开展电信业务或者开通承载数据资源的联网系统的,应当依法办理:
(1)非经营性信息服务备案(ICP备案),申请备案时需要提供网络安全承诺及安全负责人资料等;
(2)国际联网备案(BCP备案),涉及交互式服务时,运营者还应当按照《互联网交互式服务安全管理要求》等要求办理交互式备案,确保网络安全制度、组织机构及人员、访问控制、业务安全等的符合性,并可能会面临现场检查;
(3)电信业务许可(例如ICP、ISP、EDI等),申请提交后审批时,还会审查运营者的网络安全及信息安全符合性;
(4)其他主管部门监管合规要求,例如办理应用商店备案、直播备案、金融APP备案、区块链备案、医疗器械注册审查中的数据安全审查;
(5)以及,一系列的目录(例如《网络关键设备和网络安全专用产品目录》)、认证(例如CCRC认证)、检测(例如0054密评)、自查责任;等等。
第三道防线:网络安全等级保护
《网络安全法》、《数据安全法》均从法律层面强调了网络安全等级保护(下称“MLPS2.0”)的强制性,《网络安全等级保护条例》也正在紧锣密鼓的制定过程中,公安机关也加大了等保合规的日常监管。
根据等保最新政策实践及相关标准文件,MLPS2.0的定级对象除了网络系统外,还包括单独的数据资源。一旦被定级为三级及以上的,运营者应当确保相关网络系统及数据资源符合MLPS2.0标准体系下的200余项技术及管理合规控制项,并定期开展测评及整改,确保数据安全。
第四道防线:关键信息基础设施安全保护
根据《网络安全法》、公安部1960号文等法律和政策,国家对关键信息基础设施(下称“CII”) 在网络安全等级保护制度的基础上实行重点保护。运营者一旦被认定为关键信息基础设施运营(下称“CIIO”)的,应当按照《网络安全法》、《密码法》和即将发布的《关键信息基础设施安全保护条例》等规定,采取CII的增强网络安全义务。
第五道防线:数据安全评估/审计
《网络安全法》、《数据安全法》、《个人信息保护法(草案)》分别从不同的角度设置了针对不同对象、适用不同场景的数据安全评估制度。
《网络安全法》37条规定了CIIO在境内收集的个人信息及重要数据的出境安全评估制度;《个人信息保护法(草案)》将前述37条的适用主体扩大到了“处理个人信息达到国家网信部门规定数量的个人信息处理者”,作为落地文件的是CAC正在制定中的《个人信息出境安全评估办法》及配套政策、标准文件;此外,《个人信息保护法(草案)》还增加了运营者的定期合规审计责任。
《数据安全法》则规定了更为广泛的数据安全评估制度,例如第30条的定期数据风险评估制度,以及第31条的“其他数据处理者”的出境合规义务,作为落地文件的是CAC正在制定中的重要数据出境安全评估办法及配套政策、标准文件。
第六道防线:数据出口管制
根据《数据安全法》、《出口管执法》等法律规定,国家对管制物项相关的技术资料等数据采取出口许可制度。即,运营者出口管制清单所列管制物项或者临时管制物项相关的数据,应当向国家出口管制管理部门申请许可;未经许可,不得出口。
第七道防线:网络安全审查
根据《网络安全法》第36条规定,CIIO采购网络产品和服务,影响或可能影响国家安全的,应当开展网络安全审查,作为配套制度,网信办等制定了当前有效的《网络安全审查办法》。
根据《数据安全法》第24条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
为了适应新的时代背景,近日网信办修订了《网络安全审查办法》(下称“修订版”)并公开征求意见。为了筑起数据安全的强大防线,根据修订版规定,运营者存在下列情形之一的,应当开展数据安全审查:
(1)CIIO采购网络产品和服务,影响或可能影响国家安全的;
(2)数据处理活动,影响或者可能影响国家安全的;
(3)掌握超过100万用户个人信息的运营者赴国外上市的。
上述七道防线,相互交织互为补充,如我魏巍万里长城,共同构筑起我国数据安全的坚强堡垒,是数字中国发展战略的重要支撑,充分体现了党和国家保护国家安全的坚强决心,极大的增强了人民群众的数据安全获得感。
汇业黄春林律师提醒,值得注意的是,结合近期执法热点及立法趋势,企业应当重新审视《数据安全法》及其配套立法意义下的“数据”概念,摒弃任何单一维度的狭义的数据概念(数字化),转而从计算机学、统计学、会计学及档案学等不同维度去理解广义的数据概念(一切记录)。进而,应当充分认识和理解“数据安全”和“数据合规”的内涵与外延,确保企业业务全面遵从国家安全法、网络安全法、数据安全法、个人信息保护法、保守国家秘密法、密码法、档案法、统计法、会计法、证券法、出口管制法等多维度法律法规。