(1.数安信(北京)科技有限公司,北京 100027;2.中国社会科学院法学研究所,北京 100029;3.杭州北山数字科技有限公司,杭州 310059)
0 引言
数据作为重要的生产要素[1]已经深入人心,并深刻影响了包括政务在内各个行业的发展。为了保障数据的安全,我国近年来也陆续出台了一系列相关的法律法规,作为承载了大量公民个人信息和国家重要数据的政务系统,如何确保政务数据安全合法合规也成为当前各级政府部门所需要重点关注的工作。对于政务数据安全合规监管要求,国务院也明确指出要落实主体责任和监督责任,构建数字政府全方位安全保障体系[2]。
2021年可以称得上是我国数据安全的法律元年。2021年1月1日起施行的《中华人民共和国民法典》明确规定了“隐私权和个人信息保护”的相关要求;2021年9月1日起施行的《中华人民共和国数据安全法》(简称《数据安全法》)则明确规定了针对整个数据处理活动的数据安全保护责任及义务;2021年11月1日起施行的《中华人民共和国个人信息保护法》(简称《个人信息保护法》)明确规定了个人信息处理者对于个人信息处理活动各个阶段的保护要求及个人信息主体相关权利要求等。另外,国务院及部委在2021年也发布过很多重要的数据安全相关的政策与法规,如2021年7月30日发布2021年9月1日起施行的《关键信息基础设施安全保护条例》,2021年12月28日发布2022年2月15日起施行的《网络安全审查办法》,以及2021年4月6日发布的《交通运输政务数据共享管理办法》等。
除了国家与部委层面,很多地方在2021年也出台了一些地方数据相关的法规,如北京市发布了《北京市公共数据管理办法》,上海市发布了《上海市数据条例》,江苏发布了《江苏省公共数据管理办法》,安徽发布了《安徽省大数据发展条例》,福建发布了《福建省大数据发展条例》,广东发布了《广东省数字经济促进条例》等。
政务数据安全合规需要遵守国家所有已经正式发布并施行的法律和行政法规,同时地方政务数据处理单位还需要遵守当地相关的数据安全政策法规,以及政务数据处理单位所属行业部门(如教育部门、医疗部门等)所颁发的部门相关文件。
数据合规与数据安全是两个紧密联系又有明显区别的概念。数据安全侧重的是如何防范数据被泄露、数据被破坏、数据被滥用的风险所进行的安全防护措施,重点是防范坏人做坏事;数据合规则是根据数据法律法规相关要求落实数据安全相关责任与义务,本质是指导好人做好事。
1 政务数据安全合规分析
政务数据安全合规最基础的法律法规包括《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等,以及地方针对政务数据或公共数据所颁布的数据管理条例或办法等文件,下面针对政务数据合规最重要的几个法律法规的合规要求进行具体分析。
1.1 《数据安全法》合规分析
《数据安全法》作为数据安全领域最基础、最重要的一部法律,是包括政务数据在内的各行各业数据处理都必须严格遵守的法律。
《数据安全法》明确规定了各类数据处理者在数据处理活动中所应该遵守的数据安全相关责任与义务,数据处理者角色除了面向所有数据的通用数据处理者外,其他还包括重要数据的处理者、数据交易中介、国家机关等,政务数据的合规要考虑除了数据交易中介之外的所有数据处理者所应该遵守的法律责任和义务。针对政务数据处理者所应该遵守的《数据安全法》中的法律要求及合规思路分析见表1。
表1 《数据安全法》合规性分析
续表1
1.2 《个人信息保护法》合规分析
《个人信息保护法》中涉及的个人信息处理者角色包括:面向所有个人信息处理场景的个人信息处理者、境外个人信息处理者、重要互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者、接受委托处理个人信息的受托人、处理个人信息的国家机关。依据政务数据相关业务特点,政务数据涉及其中的个人信息处理者、重要互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者、接受委托处理个人信息的受托人、处理个人信息的国家机关等几个角色的相关法律要求,具体相关分析见表2。
表2 《个人信息保护法》合规分析
续表2
1.3 《关键信息基础设施安全保护条例》合规分析
《关键信息基础设施安全保护条例》明确规定了包括电子政务在内的领域属于关键信息基础设施,因此对于电子政务平台上的相关政务数据安全合规也必须符合该条例中的相关要求。
《关键信息基础设施安全保护条例》对于关键信息基础设施运营者提出了一系列安全责任和义务,这些责任义务大部分也都在《数据安全法》中有所体现,下面仅针对《数据安全法》中没有体现的条款进行合规分析。
(1)第十二条提出“三同步”原则,即安全保护措施要与关键信息基础设施进行同步规划、同步建设和同步使用。这也就要求电子政务等相关平台或应用在规划和建设时必须同步考虑安全的规划和建设,其中也涵盖数据安全及个人信息保护相关内容。
(2)第十四条提出需要对安全管理机构负责人和关键岗位人员进行安全背景审查。
(3)第十七条提出需要每年至少进行一次网络安全检测和风险评估。
(4)第十九条提出采购网络产品和服务可能影响国家安全的,需要进行网络安全审查。
(5)第二十条提出应当与网络产品和服务提供者签订安全保密协议。
1.4 地方法规合规分析
近年来,很多地方都出台了地方数据法规,这也是地方政务数据合规所必须严格遵守的法规依据。地方数据相关法规都是在国家法律的基础上,结合当地数据相关产业发展特色及要求提出了更有针对性的相关要求,但是对于数据安全相关要求大部分还是在《数据安全法》等基础上提出一些具体要求。
以2022年3月1日起施行的《浙江省公共数据条例》[3]为例进行地方法规合规分析。
(1)公共数据收集与归集的合规要求包括:遵循合法、正当、必要原则,按照法定权限、范围、程序等收集;通过身份证件验明身份的,不得强制收集指纹等隐私信息进行验证。
(2)公共数据共享的合规要求包括:科学评估并制定公共数据共享属性;共享的数据仅限履行法定职责需要,不得用于其他目的。
(3)公共数据开放与利用的合规要求包括:遵循依法、规范、公平、优质、便民的原则;编制开放目录,可能危及国家安全、公共利益、个人信息及商业秘密等禁止开放;涉及个人信息并匿名化处理、涉及商业秘密并脱敏处理等可以受限或无条件开放;获取开放数据应具备数据安全保护能力。
(4)公共数据安全总体要求包括:实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制;建立数据安全管理制度,明确责任人,定期组织培训,加强日常管理与检查,监测平台风险,制定应急预案等。这些总体要求基本与《数据安全法》等保持一致。
2 政务数据安全合规实践创新思路
2.1 国内合规相关研究现状
数据合规已经成为当前国内的一个研究热点,同时也已经成为各地的一个重点监管方向。
广州市国资委2021年发布了国内首个数据安全合规方面的指导文件《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》[4],面向监管的相关企业单位提出了数据安全合规监管方面的一些重点要求;上海市杨浦区检察院联合多家单位于2022年1月发布了上海市首个《企业数据合规指引》[5],系统性提出企业数据合规所应该落实的数据安全管理与技术等方面的措施。
2.2 数据安全合规评估思路
国内针对数据安全评估已经有一些研究和实践。2019年,发布了国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》(简称“DSMM”)[6],提出了一套基于数据生存周期的安全能力成熟度模型,业内基于该标准也推出了DSMM评估产品,主要针对DSMM标准中的30 个安全能力域进行梳理及分析。针对数据安全治理方面的评估,业内也有相关研究。文献[7]基于团体标准T/ISC-0011-2021《数据安全治理能力评估方法》提出了一套数据安全治理能力评估框架,文献[8]提出了一种数据安全评估措施及方法,文献[9]则针对数据安全的部分关键措施提出了一种数据安全评估方法,文献[10]提出了一种涵盖数据基础风险、数据安全能力、数据安全合规风险及数据全生命周期风险的安全评估思路。国家市场监管总局联合国家网信办发布的《数据安全管理认证实施规则》[11]提出了一套数据安全管理认证(简称“DSM认证”)方法,该认证主要依据国家标准GB/T 41479《信息安全技术 网络数据处理安全要求》进行展开。国家网信办对于数据出境安全也出台了相关评估办法[12]。
数据安全合规评估主要思路是从合规的视角进行评估,与从数据安全能力视角进行的数据安全评估在评估目标、评估模型及评估方法均有明显差异(见表3)。
数据安全合规评估主要开展思路如下。
(1)数据安全法律法规知识库构建与分析
结合组织所属行业及所在地区,全面梳理及分析该组织所应遵循的国家法律,以及国家、地方及行业相关的政策法规,并输出合规评估相关材料,包括但不限于合规调研问卷、合规知识库、合规指标参数等。
(2)制定数据安全合规能力成熟度模型
构建数据安全合规能力成熟度模型参见图1。
表3 数据安全与数据合规评估对比分析
图1 数据安全合规能力成熟度模型
数据安全合规能力成熟度模型包括三个方面:数据安全合规覆盖整个数据处理活动,包括数据收集、存储、使用、加工、传输、提供/共享、公开/开放、销毁/删除;数据安全合规涵盖数据安全组织保障、规范制度与技术工具各个方面;数据安全合规成熟度等级分为基础级、标准级和优化级。
(3)执行数据安全合规评估
基于合规分析及数据安全合规能力成熟度模型,执行数据安全合规评估,主要评估要点如表4所示。
执行数据安全合规评估可以基于评估人员现场调研及采用自动化评估工具进行,但是基于评估人员调研的方式存在调研人员评估业务技能要求很高、评估时效性比较差、与数据应用强耦合的应用场景难以覆盖等问题,因此建议采用以自动化评估工具为主、人工调研为辅的方式进行展开。
2.3 政务数据安全合规创新实践设计
政务数据安全合规创新实践设计总体框架如图2所示。
表4 数据安全合规评估要点
图2 政务数据安全合规创新实践设计框架
政务数据安全合规创新实践主要包括以下方面。
(1)梳理合规依据。主要涉及国家法律、中央及地方政府法规、政府行业相关的规范、国家/行业/地方等标准,以及相关组织内的规章制度等都是合规重要的参考依据,这些材料的重要性不完全相同,如果相关要求存在冲突或不一致,应以上位法律法规相关要求为准。
(2)合规咨询评估。主要对于所有梳理的合规依据进行相关法律法规以及标准规范等的分析解读,重点是根据组织所在的业务及地区等相关要求进行合规性分析,并提取相关的合规要点,进一步根据合规要点输出合规知识等信息以及对评估中发现的合规风险及问题提出合理的改进建议。
(3)合规知识库的建设。重点根据合规咨询评估等获取的合规知识,持续进行积累和更新。
(4)合规运营管理平台的建设。主要包括合规数据采集、合规数据分析及合规数据运营等基础功能组件。合规运营管理平台主要是基于合规知识库,采用大数据分析、自然语言处理NLP、用户实体行为分析UEBA等相关技术对采集的合规数据进行深入分析,并对数据安全合规结果进行闭环处置管理。
2.4 政务数据合规自动化监控设计思路
对于政务数据合规的自动化监控,主要是基于“合规运营管理平台”的承载和支撑,从数据处理活动的各个数据处理活动出发,结合数据相关的业务场景识别其合规要点并制定针对性的合规监控策略。合规监控策略是指能够对数据处理业务场景中所发生的数据处理活动本身的合规符合度进行持续性、周期性或按需触发地分析判定,分析判定的依据和被判定的对象来源能够被采集、被识别、关联和持续学习。
自动化监控中合规性判定的方向主要有三个方面。
(1)需要聚焦到政府组织内组织架构设立的正式发文、人员责任落实记录、制度规范的关键细则与施行情况记录、涉及到个人信息的告知/同意/授权等服务协议的关键细则等静态数据的扫描检测等方面。
(2)需要落实到具体数据处理相关的行为稽核,通过法律法规的深入解读和规则化的转化,能够对数据处理行为进行捕捉记录、环境背景等因素的综合关联以及最终的合规性校验分析。
(3)针对技术手段应用的满足度和有效性进行检测,典型如加密、脱敏技术措施的应用与否判断,以及应用后的密文数据加密强度、脱敏数据再识别的风险等情况。
3 结束语
数据安全作为支撑数据要素持续发展的基础保障,国家也在持续完善数据安全相关的法律法规,除了已经发布的法律法规,包括《网络数据安全管理条例》[13]等在内的国家及相关行业数据安全法律法规也将陆续发布。保障政府部门等重要数据符合各种数据安全法律法规的最新要求也是各级政务数据管理运营等的重点工作。另外,法律法规也助推了数据安全合规技术及产业的发展,并且数据安全合规也已经成为数据安全产业中极其重要的一环。
