(1.數安信(北京)科技有限公司����,北京 100027��;2.中國社會科學院法學研究所���,北京 100029;3.杭州北山數字科技有限公司�,杭州 310059)
0 引言
數據作為重要的生產要素[1]已經深入人心�����,并深刻影響了包括政務在內各個行業的發展。為了保障數據的安全���,我國近年來也陸續出臺了一系列相關的法律法規,作為承載了大量公民個人信息和國家重要數據的政務系統��,如何確保政務數據安全合法合規也成為當前各級政府部門所需要重點關注的工作�����。對于政務數據安全合規監管要求�,國務院也明確指出要落實主體責任和監督責任�,構建數字政府全方位安全保障體系[2]。
2021年可以稱得上是我國數據安全的法律元年�。2021年1月1日起施行的《中華人民共和國民法典》明確規定了“隱私權和個人信息保護”的相關要求����;2021年9月1日起施行的《中華人民共和國數據安全法》(簡稱《數據安全法》)則明確規定了針對整個數據處理活動的數據安全保護責任及義務�����;2021年11月1日起施行的《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)明確規定了個人信息處理者對于個人信息處理活動各個階段的保護要求及個人信息主體相關權利要求等���。另外�,國務院及部委在2021年也發布過很多重要的數據安全相關的政策與法規����,如2021年7月30日發布2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》����,2021年12月28日發布2022年2月15日起施行的《網絡安全審查辦法》,以及2021年4月6日發布的《交通運輸政務數據共享管理辦法》等��。
除了國家與部委層面��,很多地方在2021年也出臺了一些地方數據相關的法規����,如北京市發布了《北京市公共數據管理辦法》�����,上海市發布了《上海市數據條例》��,江蘇發布了《江蘇省公共數據管理辦法》,安徽發布了《安徽省大數據發展條例》,福建發布了《福建省大數據發展條例》����,廣東發布了《廣東省數字經濟促進條例》等�����。
政務數據安全合規需要遵守國家所有已經正式發布并施行的法律和行政法規,同時地方政務數據處理單位還需要遵守當地相關的數據安全政策法規,以及政務數據處理單位所屬行業部門(如教育部門、醫療部門等)所頒發的部門相關文件。
數據合規與數據安全是兩個緊密聯系又有明顯區別的概念�����。數據安全側重的是如何防范數據被泄露��、數據被破壞�、數據被濫用的風險所進行的安全防護措施�,重點是防范壞人做壞事;數據合規則是根據數據法律法規相關要求落實數據安全相關責任與義務,本質是指導好人做好事����。
1 政務數據安全合規分析
政務數據安全合規最基礎的法律法規包括《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等,以及地方針對政務數據或公共數據所頒布的數據管理條例或辦法等文件,下面針對政務數據合規最重要的幾個法律法規的合規要求進行具體分析�����。
1.1 《數據安全法》合規分析
《數據安全法》作為數據安全領域最基礎��、最重要的一部法律�,是包括政務數據在內的各行各業數據處理都必須嚴格遵守的法律。
《數據安全法》明確規定了各類數據處理者在數據處理活動中所應該遵守的數據安全相關責任與義務,數據處理者角色除了面向所有數據的通用數據處理者外,其他還包括重要數據的處理者�����、數據交易中介����、國家機關等,政務數據的合規要考慮除了數據交易中介之外的所有數據處理者所應該遵守的法律責任和義務。針對政務數據處理者所應該遵守的《數據安全法》中的法律要求及合規思路分析見表1���。
表1 《數據安全法》合規性分析
續表1
1.2 《個人信息保護法》合規分析
《個人信息保護法》中涉及的個人信息處理者角色包括:面向所有個人信息處理場景的個人信息處理者、境外個人信息處理者、重要互聯網平臺服務/用戶數量巨大/業務類型復雜的個人信息處理者、接受委托處理個人信息的受托人��、處理個人信息的國家機關�。依據政務數據相關業務特點,政務數據涉及其中的個人信息處理者、重要互聯網平臺服務/用戶數量巨大/業務類型復雜的個人信息處理者��、接受委托處理個人信息的受托人�、處理個人信息的國家機關等幾個角色的相關法律要求,具體相關分析見表2。
表2 《個人信息保護法》合規分析
續表2
1.3 《關鍵信息基礎設施安全保護條例》合規分析
《關鍵信息基礎設施安全保護條例》明確規定了包括電子政務在內的領域屬于關鍵信息基礎設施,因此對于電子政務平臺上的相關政務數據安全合規也必須符合該條例中的相關要求���。
《關鍵信息基礎設施安全保護條例》對于關鍵信息基礎設施運營者提出了一系列安全責任和義務,這些責任義務大部分也都在《數據安全法》中有所體現,下面僅針對《數據安全法》中沒有體現的條款進行合規分析��。
(1)第十二條提出“三同步”原則�����,即安全保護措施要與關鍵信息基礎設施進行同步規劃、同步建設和同步使用�����。這也就要求電子政務等相關平臺或應用在規劃和建設時必須同步考慮安全的規劃和建設�����,其中也涵蓋數據安全及個人信息保護相關內容���。
(2)第十四條提出需要對安全管理機構負責人和關鍵崗位人員進行安全背景審查����。
(3)第十七條提出需要每年至少進行一次網絡安全檢測和風險評估�。
(4)第十九條提出采購網絡產品和服務可能影響國家安全的,需要進行網絡安全審查�����。
(5)第二十條提出應當與網絡產品和服務提供者簽訂安全保密協議��。
1.4 地方法規合規分析
近年來���,很多地方都出臺了地方數據法規���,這也是地方政務數據合規所必須嚴格遵守的法規依據����。地方數據相關法規都是在國家法律的基礎上��,結合當地數據相關產業發展特色及要求提出了更有針對性的相關要求���,但是對于數據安全相關要求大部分還是在《數據安全法》等基礎上提出一些具體要求。
以2022年3月1日起施行的《浙江省公共數據條例》[3]為例進行地方法規合規分析��。
(1)公共數據收集與歸集的合規要求包括:遵循合法�、正當、必要原則���,按照法定權限、范圍��、程序等收集�;通過身份證件驗明身份的,不得強制收集指紋等隱私信息進行驗證�。
(2)公共數據共享的合規要求包括:科學評估并制定公共數據共享屬性��;共享的數據僅限履行法定職責需要,不得用于其他目的����。
(3)公共數據開放與利用的合規要求包括:遵循依法��、規范���、公平���、優質����、便民的原則�����;編制開放目錄�,可能危及國家安全���、公共利益����、個人信息及商業秘密等禁止開放���;涉及個人信息并匿名化處理�、涉及商業秘密并脫敏處理等可以受限或無條件開放;獲取開放數據應具備數據安全保護能力。
(4)公共數據安全總體要求包括:實行誰收集誰負責�����、誰使用誰負責�、誰運行誰負責的責任制;建立數據安全管理制度,明確責任人,定期組織培訓��,加強日常管理與檢查�����,監測平臺風險�,制定應急預案等�����。這些總體要求基本與《數據安全法》等保持一致����。
2 政務數據安全合規實踐創新思路
2.1 國內合規相關研究現狀
數據合規已經成為當前國內的一個研究熱點�����,同時也已經成為各地的一個重點監管方向�����。
廣州市國資委2021年發布了國內首個數據安全合規方面的指導文件《廣州市國資委監管企業數據安全合規管理指南(試行2021年版)》[4]��,面向監管的相關企業單位提出了數據安全合規監管方面的一些重點要求���;上海市楊浦區檢察院聯合多家單位于2022年1月發布了上海市首個《企業數據合規指引》[5]��,系統性提出企業數據合規所應該落實的數據安全管理與技術等方面的措施。
2.2 數據安全合規評估思路
國內針對數據安全評估已經有一些研究和實踐��。2019年�,發布了國家標準GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》(簡稱“DSMM”)[6],提出了一套基于數據生存周期的安全能力成熟度模型��,業內基于該標準也推出了DSMM評估產品�����,主要針對DSMM標準中的30 個安全能力域進行梳理及分析����。針對數據安全治理方面的評估�����,業內也有相關研究��。文獻[7]基于團體標準T/ISC-0011-2021《數據安全治理能力評估方法》提出了一套數據安全治理能力評估框架�,文獻[8]提出了一種數據安全評估措施及方法�����,文獻[9]則針對數據安全的部分關鍵措施提出了一種數據安全評估方法����,文獻[10]提出了一種涵蓋數據基礎風險���、數據安全能力�、數據安全合規風險及數據全生命周期風險的安全評估思路��。國家市場監管總局聯合國家網信辦發布的《數據安全管理認證實施規則》[11]提出了一套數據安全管理認證(簡稱“DSM認證”)方法�����,該認證主要依據國家標準GB/T 41479《信息安全技術 網絡數據處理安全要求》進行展開。國家網信辦對于數據出境安全也出臺了相關評估辦法[12]���。
數據安全合規評估主要思路是從合規的視角進行評估,與從數據安全能力視角進行的數據安全評估在評估目標�、評估模型及評估方法均有明顯差異(見表3)����。
數據安全合規評估主要開展思路如下����。
(1)數據安全法律法規知識庫構建與分析
結合組織所屬行業及所在地區,全面梳理及分析該組織所應遵循的國家法律�,以及國家���、地方及行業相關的政策法規����,并輸出合規評估相關材料����,包括但不限于合規調研問卷、合規知識庫��、合規指標參數等��。
(2)制定數據安全合規能力成熟度模型
構建數據安全合規能力成熟度模型參見圖1���。
表3 數據安全與數據合規評估對比分析
圖1 數據安全合規能力成熟度模型
數據安全合規能力成熟度模型包括三個方面:數據安全合規覆蓋整個數據處理活動,包括數據收集、存儲���、使用、加工、傳輸、提供/共享����、公開/開放���、銷毀/刪除����;數據安全合規涵蓋數據安全組織保障�、規范制度與技術工具各個方面;數據安全合規成熟度等級分為基礎級�����、標準級和優化級����。
(3)執行數據安全合規評估
基于合規分析及數據安全合規能力成熟度模型,執行數據安全合規評估�,主要評估要點如表4所示���。
執行數據安全合規評估可以基于評估人員現場調研及采用自動化評估工具進行����,但是基于評估人員調研的方式存在調研人員評估業務技能要求很高、評估時效性比較差��、與數據應用強耦合的應用場景難以覆蓋等問題���,因此建議采用以自動化評估工具為主�、人工調研為輔的方式進行展開�����。
2.3 政務數據安全合規創新實踐設計
政務數據安全合規創新實踐設計總體框架如圖2所示���。
表4 數據安全合規評估要點
圖2 政務數據安全合規創新實踐設計框架
政務數據安全合規創新實踐主要包括以下方面����。
(1)梳理合規依據�����。主要涉及國家法律����、中央及地方政府法規���、政府行業相關的規范���、國家/行業/地方等標準����,以及相關組織內的規章制度等都是合規重要的參考依據,這些材料的重要性不完全相同,如果相關要求存在沖突或不一致,應以上位法律法規相關要求為準。
(2)合規咨詢評估��。主要對于所有梳理的合規依據進行相關法律法規以及標準規范等的分析解讀���,重點是根據組織所在的業務及地區等相關要求進行合規性分析����,并提取相關的合規要點�����,進一步根據合規要點輸出合規知識等信息以及對評估中發現的合規風險及問題提出合理的改進建議���。
(3)合規知識庫的建設���。重點根據合規咨詢評估等獲取的合規知識��,持續進行積累和更新。
(4)合規運營管理平臺的建設�。主要包括合規數據采集�����、合規數據分析及合規數據運營等基礎功能組件。合規運營管理平臺主要是基于合規知識庫�,采用大數據分析�、自然語言處理NLP�����、用戶實體行為分析UEBA等相關技術對采集的合規數據進行深入分析���,并對數據安全合規結果進行閉環處置管理���。
2.4 政務數據合規自動化監控設計思路
對于政務數據合規的自動化監控��,主要是基于“合規運營管理平臺”的承載和支撐,從數據處理活動的各個數據處理活動出發���,結合數據相關的業務場景識別其合規要點并制定針對性的合規監控策略。合規監控策略是指能夠對數據處理業務場景中所發生的數據處理活動本身的合規符合度進行持續性���、周期性或按需觸發地分析判定,分析判定的依據和被判定的對象來源能夠被采集����、被識別����、關聯和持續學習�。
自動化監控中合規性判定的方向主要有三個方面。
(1)需要聚焦到政府組織內組織架構設立的正式發文�、人員責任落實記錄�、制度規范的關鍵細則與施行情況記錄����、涉及到個人信息的告知/同意/授權等服務協議的關鍵細則等靜態數據的掃描檢測等方面。
(2)需要落實到具體數據處理相關的行為稽核��,通過法律法規的深入解讀和規則化的轉化�����,能夠對數據處理行為進行捕捉記錄���、環境背景等因素的綜合關聯以及最終的合規性校驗分析�。
(3)針對技術手段應用的滿足度和有效性進行檢測�,典型如加密、脫敏技術措施的應用與否判斷����,以及應用后的密文數據加密強度��、脫敏數據再識別的風險等情況。
3 結束語
數據安全作為支撐數據要素持續發展的基礎保障����,國家也在持續完善數據安全相關的法律法規,除了已經發布的法律法規�,包括《網絡數據安全管理條例》[13]等在內的國家及相關行業數據安全法律法規也將陸續發布�。保障政府部門等重要數據符合各種數據安全法律法規的最新要求也是各級政務數據管理運營等的重點工作���。另外�,法律法規也助推了數據安全合規技術及產業的發展,并且數據安全合規也已經成為數據安全產業中極其重要的一環���。
