網絡安全審查——筑起數據安全的第七道防線

發布時間:2021-07-12

文 | 黃春林 馮莉 匯業律師務所

國家首次激活了網絡安全審查這一重要制度,先后啟動了對滴滴出行、滿幫、Boss直聘等的網絡安全審查。與此同時,為了適應當前時代背景,為了細化落地《網絡安全法》及《數據安全法》的安全審查相關制度,國家網信辦牽頭修訂了《網絡安全審查辦法》并公開征求意見。事實上,在此之前,國家已經分別從不同的角度,通過不同法律法規,構筑起我國數據安全的多重防線。

本文中,為了幫助企業全面理解我國法律意義上的“數據”及“數據安全”,準確把握網絡安全審查的關聯制度及體系邏輯,匯業律師事務所黃春林律師團隊全面梳理我國數據安全的七道防線如下:

第一道防線:運營者的自我修養

根據《網絡安全法》、《數據安全法》、《民法典》及《個人信息保護法(草案)》等法律,網絡運營者及數據處理者(以下合稱“運營者”)應當承擔數據安全的主體責任,采取包括但不限于如下技術及管理策略,確保網絡及數據安全(以下合稱“數據安全”),提高數據安全自我修養:

(1)制定數據安全制度及操作規程;

(2)設置數據安全崗位及負責人;

(3)采取分級分類、加密備份等數據安全措施;

(4)組織開展數據安全教育培訓;

(5)制定并演練數據安全應急預案;等等。

第二道防線:電信業務準入及業務監管

根據《電信條例》《互聯網信息服務管理辦法》《移動互聯網應用程序信息服務管理規定》《計算機信息網絡國際聯網安全保護管理辦法》等法規政策,運營者開展電信業務或者開通承載數據資源的聯網系統的,應當依法辦理:

(1)非經營性信息服務備案(ICP備案),申請備案時需要提供網絡安全承諾及安全負責人資料等;

(2)國際聯網備案(BCP備案),涉及交互式服務時,運營者還應當按照《互聯網交互式服務安全管理要求》等要求辦理交互式備案,確保網絡安全制度、組織機構及人員、訪問控制、業務安全等的符合性,并可能會面臨現場檢查;

(3)電信業務許可(例如ICP、ISP、EDI等),申請提交后審批時,還會審查運營者的網絡安全及信息安全符合性;

(4)其他主管部門監管合規要求,例如辦理應用商店備案、直播備案、金融APP備案、區塊鏈備案、醫療器械注冊審查中的數據安全審查;

(5)以及,一系列的目錄(例如《網絡關鍵設備和網絡安全專用產品目錄》)、認證(例如CCRC認證)、檢測(例如0054密評)、自查責任;等等。

第三道防線:網絡安全等級保護

《網絡安全法》、《數據安全法》均從法律層面強調了網絡安全等級保護(下稱“MLPS2.0”)的強制性,《網絡安全等級保護條例》也正在緊鑼密鼓的制定過程中,公安機關也加大了等保合規的日常監管。

根據等保最新政策實踐及相關標準文件,MLPS2.0的定級對象除了網絡系統外,還包括單獨的數據資源。一旦被定級為三級及以上的,運營者應當確保相關網絡系統及數據資源符合MLPS2.0標準體系下的200余項技術及管理合規控制項,并定期開展測評及整改,確保數據安全。

第四道防線:關鍵信息基礎設施安全保護

根據《網絡安全法》、公安部1960號文等法律和政策,國家對關鍵信息基礎設施(下稱“CII”) 在網絡安全等級保護制度的基礎上實行重點保護。運營者一旦被認定為關鍵信息基礎設施運營(下稱“CIIO”)的,應當按照《網絡安全法》、《密碼法》和即將發布的《關鍵信息基礎設施安全保護條例》等規定,采取CII的增強網絡安全義務。

第五道防線:數據安全評估/審計

《網絡安全法》、《數據安全法》、《個人信息保護法(草案)》分別從不同的角度設置了針對不同對象、適用不同場景的數據安全評估制度。

《網絡安全法》37條規定了CIIO在境內收集的個人信息及重要數據的出境安全評估制度;《個人信息保護法(草案)》將前述37條的適用主體擴大到了“處理個人信息達到國家網信部門規定數量的個人信息處理者”,作為落地文件的是CAC正在制定中的《個人信息出境安全評估辦法》及配套政策、標準文件;此外,《個人信息保護法(草案)》還增加了運營者的定期合規審計責任。

《數據安全法》則規定了更為廣泛的數據安全評估制度,例如第30條的定期數據風險評估制度,以及第31條的“其他數據處理者”的出境合規義務,作為落地文件的是CAC正在制定中的重要數據出境安全評估辦法及配套政策、標準文件。

第六道防線:數據出口管制

根據《數據安全法》、《出口管執法》等法律規定,國家對管制物項相關的技術資料等數據采取出口許可制度。即,運營者出口管制清單所列管制物項或者臨時管制物項相關的數據,應當向國家出口管制管理部門申請許可;未經許可,不得出口。

第七道防線:網絡安全審查

根據《網絡安全法》第36條規定,CIIO采購網絡產品和服務,影響或可能影響國家安全的,應當開展網絡安全審查,作為配套制度,網信辦等制定了當前有效的《網絡安全審查辦法》。

根據《數據安全法》第24條規定,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

為了適應新的時代背景,近日網信辦修訂了《網絡安全審查辦法》(下稱“修訂版”)并公開征求意見。為了筑起數據安全的強大防線,根據修訂版規定,運營者存在下列情形之一的,應當開展數據安全審查:

(1)CIIO采購網絡產品和服務,影響或可能影響國家安全的;

(2)數據處理活動,影響或者可能影響國家安全的;

(3)掌握超過100萬用戶個人信息的運營者赴國外上市的。

上述七道防線,相互交織互為補充,如我魏巍萬里長城,共同構筑起我國數據安全的堅強堡壘,是數字中國發展戰略的重要支撐,充分體現了黨和國家保護國家安全的堅強決心,極大的增強了人民群眾的數據安全獲得感。

匯業黃春林律師提醒,值得注意的是,結合近期執法熱點及立法趨勢,企業應當重新審視《數據安全法》及其配套立法意義下的“數據”概念,摒棄任何單一維度的狹義的數據概念(數字化),轉而從計算機學、統計學、會計學及檔案學等不同維度去理解廣義的數據概念(一切記錄)。進而,應當充分認識和理解“數據安全”和“數據合規”的內涵與外延,確保企業業務全面遵從國家安全法、網絡安全法、數據安全法、個人信息保護法、保守國家秘密法、密碼法、檔案法、統計法、會計法、證券法、出口管制法等多維度法律法規。


返回列表