数安条例解读:关于数据处理者的安全保护义务

小贝案语

11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。

需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。

数安条例解读:关于数据处理者的安全保护义务

数安条例解读:关于数据处理者的安全保护义务

对应条款

第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。

数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

数据处理者应当使用密码对重要数据和核心数据进行保护。

解读

明确各方的权利、义务与责任,这是法律法规的基本功能。之所以要制定数据安全相关的法律法规,一个重要的目的是规定数据处理者应当履行的安全保护义务。

但在客观上,无论是网络安全还是数据安全,其保护要求一定是全面和成体系的,这导致法律条文不可能穷尽所有要求,更多的需要通过标准规范予以落实。

因此,法律法规中一般都是原则性规定安全保护的目标,以列举形式提出应当采取的技术措施。《网络安全法》第二十一条如此,《数据安全法》第二十七条如此,《条例》第九条亦是如此。

不能认为,数据处理者应当履行的安全保护义务仅限于条款列举的技术措施。相关条款的重点是确立保护制度,特别是建立监管体系。监管所依据的标准规范对数据处理者而言肯定要严格遵循,这同样是履行法律义务所必需。当然,这也对标准规范的科学性合理性提出了要求。特别是,目前我国已经制定了300余部网络安全国家标准,从发展趋势看,其中数据安全标准占比正不断上升,一定要确保数据安全标准的高质量。尤其是要避免在没有顶层设计时分散制定数据安全标准,导致数据处理者对多部标准无所适从的情况出现。

当前,有一种现象要引起注意。由于法律法规对数据安全技术措施的规定较为原则,很多企业、机构可能会有自己的解释,包括提出自己的产品体系、技术方案。这有利于提升全社会数据安全意识,有利于帮助客户提高技术防护能力,但不能将这些产品解释为法律法规的要求。法律法规永远不会规定具体的技术产品,无论是监管部门还是企业都不能以此强迫或误导用户。

数安条例解读:关于数据处理者的安全保护义务

对应条款

第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。

数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

数据处理者应当使用密码对重要数据和核心数据进行保护。

解读

虽然我国针对网络安全和数据安全分别立法,且理论界、监管部门一直在探讨网络安全立法和数据安全立法孰为上孰为下的问题,但毫无疑问的是,保护网络安全与保护数据安全的措施不可能完全区分开。很难说,防黑客入侵的网络安全技术手段不是为了保护数据安全。因此,不能脱离网络安全保护而谈数据安全,网络安全是基础。

正因为如此,《数据安全法》第二十七条提出,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。这一要求符合技术规律。

当然,这并不意味着所有的数据安全保护目标都可以通过等级保护制度去实现,例如数据处理者收集使用数据的合规性便不在传统的等级保护要求之中。等级保护要求主要是防范外部攻击和内部人员滥用。但如果数据处理者自身非法收集、滥用数据呢?这的确超出了以往安全技术体系的范畴。

多数保护数据安全的技术措施要求,的确与等级保护是一致的。为此,《条例》需要落实《数据安全法》第二十七条的规定,说清楚什么叫做“在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。

为此,《条例》规定,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。

对上述规定,还可以从两个角度进行延伸理解。

一是,数据安全的法律法规将数据安全与等级保护进行关联后,等级保护的技术标准(包括等保测评规范)有可能需要修订,以突出数据安全的内容。

二是,数据安全保护同关键信息基础设施保护是什么关系?某些重要的数据处理平台,是不是有可能被列为关键信息基础设施?《条例》试图解决这个问题。但鉴于《关键信息基础设施安全保护条例》已规定了关键信息基础设施的认定程序,故《条例》不拟在认定程序之外硬性指定某类系统或平台为关键信息基础设施。但《条例》规定,处理重要数据的系统原则上应当满足关键信息基础设施安全保护要求,这实际上是非常严肃的法律义务,因为上位法和其他有关法律法规对关键信息基础设施提出的安全要求非常严格,面向的是有组织、大规模、高烈度网络攻击的防护。

数安条例解读:关于数据处理者的安全保护义务

对应条款

第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。

解读

《条例》第十条补充完善了《数据安全法》第二十九条的规定。

《数据安全法》第二十九条要求,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

但就技术原理而言,“数据安全缺陷、漏洞”的提法不太容易被理解和接受,因为人们常说的是网络安全缺陷、漏洞。例如,由于操作系统或应用软件存在漏洞,导致攻击者侵入了系统,从而对数据造成了损害,这是典型的网络安全漏洞,怎么能称为数据安全漏洞呢?即使数据库、数据处理系统存在漏洞,这也是网络安全漏洞,“数据”怎么能有“缺陷”和“漏洞”呢?

因此,《数据安全法》第二十九条的表述容易引起误解和歧义。《条例》第十条则在技术上对此作了澄清,便于理解和实施上位法的要求。

数安条例解读:关于数据处理者的安全保护义务

对应条款

第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

解读

可以从以下四个方面理解《条例》第十一条对数据处理者应急处置义务的一般要求:

一是,该条分层次提出了数据安全应急处置要求。首先是规定了通用的一般要求,在此基础上规定了重要数据或者十万人以上个人信息安全事件的应急处置义务。有的人提出,为什么不把后者放到“重要数据安全”一章中呢?这不是不可以,但会带来理解上的不便。故《条例》还是将两者放在了同一条款之中。

二是,“三个工作日内”指的是对事件发生的事实进行通报,并不是要求通报事情处理的完整情况。一些人提出,三个工作日内恐怕无法对事件处理完毕,这是对条款的误解。

三是,该条的一般要求实际上是建立“泄露通知”制度,但把国际上通行的“泄露-通知”制度从个人信息保护扩大到了个人信息和其他数据的保护,要求通知到“利害关系人”,这可以是个人或组织。从实际工作需求看,这样的规定是十分必要的。

四是,《网络安全法》《数据安全法》和《个人信息保护法》对制定应急预案的要求不完全一致,《条例》作了折中。《网络安全法》第二十五条要求,网络运营者应当制定网络安全事件应急预案。《数据安全法》第二十九条要求,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。《个人信息保护法》第五十一条要求,个人信息处理者应当制定并组织实施个人信息安全事件应急预案。显然,作为一般和通用要求,《网络安全法》要求制定网络安全应急预案,但《数据安全法》却没有要求制定数据安全应急预案。而《个人信息保护法》又要求制定个人信息安全事件应急预案。那么,网络安全应急预案中难道不包含数据安全事件吗?个人信息安全事件应急预案难道不是数据安全应急预案的一种吗?对这种不一致,《条例》作了折中处理,未明确规定数据安全应急预案(不同场景下各自遵循上位法即可),而是要求事发时启动应急响应“机制”。

数安条例解读:关于数据处理者的安全保护义务

对应条款

第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:

(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

解读

可以从以下四个方面理解《条例》第十一条对重要数据或者十万人以上个人信息事件应急处置义务的要求:

一是,在履行重要数据或者十万人以上个人信息事件应急处置义务时,应当同步履行一般应急处置义务(《条例》措辞是“还应当”),主要是“泄露-通知”义务,以及就犯罪线索向公安机关报告的义务。

二是,“十万”有具体的考量。有的人提出,即使是一万人的个人信息泄露(例如信用卡信息被窃取),也会带来很大的社会影响。这是事实。但考虑到前款已经规定了“泄露-通知”制度,对保护当事人合法权益而言已经适宜,且《个人信息保护法》还在第六十四条进一步规定了有关部门对个人信息安全事件的查处权限(可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计),故《条例》不宜对数据处理者增加太多的义务。而将这个数量定在一百万也不合适,个人信息安全事件的影响毕竟非同小可。经综合考量,《条例》将此类应急处置义务的门槛定在“十万”。

三是,“八小时”指向网信部门和有关主管部门报告事件发生的事实,而并不是要求必须在八小时内处置完毕。“五个工作日”指事件处置完毕后五个工作日内上报调查评估报告。至于事件处置需要花费多长时间,这与事件具体情况有关,《条例》不作规定。

四是,除向网信部门报告外,还应报告有关主管部门。在具体事件处置中,这个“有关主管部门”要根据事件性质、涉及的领域、部门职责等因素确定,《条例》不作统一规定。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

本文转为转载文章,本文观点不代表威客安全立场。