(1.數(shù)安信(北京)科技有限公司�,北京 100027;2.中國社會科學(xué)院法學(xué)研究所,北京 100029����;3.杭州北山數(shù)字科技有限公司,杭州 310059)
0 引言
數(shù)據(jù)作為重要的生產(chǎn)要素[1]已經(jīng)深入人心,并深刻影響了包括政務(wù)在內(nèi)各個行業(yè)的發(fā)展���。為了保障數(shù)據(jù)的安全,我國近年來也陸續(xù)出臺了一系列相關(guān)的法律法規(guī),作為承載了大量公民個人信息和國家重要數(shù)據(jù)的政務(wù)系統(tǒng),如何確保政務(wù)數(shù)據(jù)安全合法合規(guī)也成為當(dāng)前各級政府部門所需要重點(diǎn)關(guān)注的工作���。對于政務(wù)數(shù)據(jù)安全合規(guī)監(jiān)管要求��,國務(wù)院也明確指出要落實(shí)主體責(zé)任和監(jiān)督責(zé)任,構(gòu)建數(shù)字政府全方位安全保障體系[2]。
2021年可以稱得上是我國數(shù)據(jù)安全的法律元年。2021年1月1日起施行的《中華人民共和國民法典》明確規(guī)定了“隱私權(quán)和個人信息保護(hù)”的相關(guān)要求;2021年9月1日起施行的《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)則明確規(guī)定了針對整個數(shù)據(jù)處理活動的數(shù)據(jù)安全保護(hù)責(zé)任及義務(wù)���;2021年11月1日起施行的《中華人民共和國個人信息保護(hù)法》(簡稱《個人信息保護(hù)法》)明確規(guī)定了個人信息處理者對于個人信息處理活動各個階段的保護(hù)要求及個人信息主體相關(guān)權(quán)利要求等。另外,國務(wù)院及部委在2021年也發(fā)布過很多重要的數(shù)據(jù)安全相關(guān)的政策與法規(guī)����,如2021年7月30日發(fā)布2021年9月1日起施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,2021年12月28日發(fā)布2022年2月15日起施行的《網(wǎng)絡(luò)安全審查辦法》�,以及2021年4月6日發(fā)布的《交通運(yùn)輸政務(wù)數(shù)據(jù)共享管理辦法》等���。
除了國家與部委層面���,很多地方在2021年也出臺了一些地方數(shù)據(jù)相關(guān)的法規(guī)�,如北京市發(fā)布了《北京市公共數(shù)據(jù)管理辦法》��,上海市發(fā)布了《上海市數(shù)據(jù)條例》�,江蘇發(fā)布了《江蘇省公共數(shù)據(jù)管理辦法》�,安徽發(fā)布了《安徽省大數(shù)據(jù)發(fā)展條例》,福建發(fā)布了《福建省大數(shù)據(jù)發(fā)展條例》�����,廣東發(fā)布了《廣東省數(shù)字經(jīng)濟(jì)促進(jìn)條例》等。
政務(wù)數(shù)據(jù)安全合規(guī)需要遵守國家所有已經(jīng)正式發(fā)布并施行的法律和行政法規(guī),同時地方政務(wù)數(shù)據(jù)處理單位還需要遵守當(dāng)?shù)叵嚓P(guān)的數(shù)據(jù)安全政策法規(guī),以及政務(wù)數(shù)據(jù)處理單位所屬行業(yè)部門(如教育部門���、醫(yī)療部門等)所頒發(fā)的部門相關(guān)文件。
數(shù)據(jù)合規(guī)與數(shù)據(jù)安全是兩個緊密聯(lián)系又有明顯區(qū)別的概念。數(shù)據(jù)安全側(cè)重的是如何防范數(shù)據(jù)被泄露、數(shù)據(jù)被破壞���、數(shù)據(jù)被濫用的風(fēng)險所進(jìn)行的安全防護(hù)措施,重點(diǎn)是防范壞人做壞事;數(shù)據(jù)合規(guī)則是根據(jù)數(shù)據(jù)法律法規(guī)相關(guān)要求落實(shí)數(shù)據(jù)安全相關(guān)責(zé)任與義務(wù)��,本質(zhì)是指導(dǎo)好人做好事���。
1 政務(wù)數(shù)據(jù)安全合規(guī)分析
政務(wù)數(shù)據(jù)安全合規(guī)最基礎(chǔ)的法律法規(guī)包括《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等�,以及地方針對政務(wù)數(shù)據(jù)或公共數(shù)據(jù)所頒布的數(shù)據(jù)管理?xiàng)l例或辦法等文件,下面針對政務(wù)數(shù)據(jù)合規(guī)最重要的幾個法律法規(guī)的合規(guī)要求進(jìn)行具體分析。
1.1 《數(shù)據(jù)安全法》合規(guī)分析
《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域最基礎(chǔ)�����、最重要的一部法律����,是包括政務(wù)數(shù)據(jù)在內(nèi)的各行各業(yè)數(shù)據(jù)處理都必須嚴(yán)格遵守的法律��。
《數(shù)據(jù)安全法》明確規(guī)定了各類數(shù)據(jù)處理者在數(shù)據(jù)處理活動中所應(yīng)該遵守的數(shù)據(jù)安全相關(guān)責(zé)任與義務(wù)��,數(shù)據(jù)處理者角色除了面向所有數(shù)據(jù)的通用數(shù)據(jù)處理者外,其他還包括重要數(shù)據(jù)的處理者���、數(shù)據(jù)交易中介、國家機(jī)關(guān)等���,政務(wù)數(shù)據(jù)的合規(guī)要考慮除了數(shù)據(jù)交易中介之外的所有數(shù)據(jù)處理者所應(yīng)該遵守的法律責(zé)任和義務(wù)。針對政務(wù)數(shù)據(jù)處理者所應(yīng)該遵守的《數(shù)據(jù)安全法》中的法律要求及合規(guī)思路分析見表1����。
表1 《數(shù)據(jù)安全法》合規(guī)性分析
續(xù)表1
1.2 《個人信息保護(hù)法》合規(guī)分析
《個人信息保護(hù)法》中涉及的個人信息處理者角色包括:面向所有個人信息處理場景的個人信息處理者����、境外個人信息處理者����、重要互聯(lián)網(wǎng)平臺服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個人信息處理者、接受委托處理個人信息的受托人����、處理個人信息的國家機(jī)關(guān)����。依據(jù)政務(wù)數(shù)據(jù)相關(guān)業(yè)務(wù)特點(diǎn)�����,政務(wù)數(shù)據(jù)涉及其中的個人信息處理者�����、重要互聯(lián)網(wǎng)平臺服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個人信息處理者�����、接受委托處理個人信息的受托人��、處理個人信息的國家機(jī)關(guān)等幾個角色的相關(guān)法律要求,具體相關(guān)分析見表2���。
表2 《個人信息保護(hù)法》合規(guī)分析
續(xù)表2
1.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》合規(guī)分析
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確規(guī)定了包括電子政務(wù)在內(nèi)的領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施,因此對于電子政務(wù)平臺上的相關(guān)政務(wù)數(shù)據(jù)安全合規(guī)也必須符合該條例中的相關(guān)要求�����。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提出了一系列安全責(zé)任和義務(wù)�,這些責(zé)任義務(wù)大部分也都在《數(shù)據(jù)安全法》中有所體現(xiàn),下面僅針對《數(shù)據(jù)安全法》中沒有體現(xiàn)的條款進(jìn)行合規(guī)分析�����。
(1)第十二條提出“三同步”原則,即安全保護(hù)措施要與關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行同步規(guī)劃�����、同步建設(shè)和同步使用��。這也就要求電子政務(wù)等相關(guān)平臺或應(yīng)用在規(guī)劃和建設(shè)時必須同步考慮安全的規(guī)劃和建設(shè)��,其中也涵蓋數(shù)據(jù)安全及個人信息保護(hù)相關(guān)內(nèi)容。
(2)第十四條提出需要對安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查�����。
(3)第十七條提出需要每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估�����。
(4)第十九條提出采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,需要進(jìn)行網(wǎng)絡(luò)安全審查����。
(5)第二十條提出應(yīng)當(dāng)與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議�����。
1.4 地方法規(guī)合規(guī)分析
近年來,很多地方都出臺了地方數(shù)據(jù)法規(guī),這也是地方政務(wù)數(shù)據(jù)合規(guī)所必須嚴(yán)格遵守的法規(guī)依據(jù)。地方數(shù)據(jù)相關(guān)法規(guī)都是在國家法律的基礎(chǔ)上����,結(jié)合當(dāng)?shù)財(cái)?shù)據(jù)相關(guān)產(chǎn)業(yè)發(fā)展特色及要求提出了更有針對性的相關(guān)要求���,但是對于數(shù)據(jù)安全相關(guān)要求大部分還是在《數(shù)據(jù)安全法》等基礎(chǔ)上提出一些具體要求���。
以2022年3月1日起施行的《浙江省公共數(shù)據(jù)條例》[3]為例進(jìn)行地方法規(guī)合規(guī)分析���。
(1)公共數(shù)據(jù)收集與歸集的合規(guī)要求包括:遵循合法��、正當(dāng)、必要原則,按照法定權(quán)限�、范圍���、程序等收集�����;通過身份證件驗(yàn)明身份的,不得強(qiáng)制收集指紋等隱私信息進(jìn)行驗(yàn)證�。
(2)公共數(shù)據(jù)共享的合規(guī)要求包括:科學(xué)評估并制定公共數(shù)據(jù)共享屬性�;共享的數(shù)據(jù)僅限履行法定職責(zé)需要���,不得用于其他目的��。
(3)公共數(shù)據(jù)開放與利用的合規(guī)要求包括:遵循依法、規(guī)范���、公平、優(yōu)質(zhì)�����、便民的原則�����;編制開放目錄�����,可能危及國家安全、公共利益���、個人信息及商業(yè)秘密等禁止開放;涉及個人信息并匿名化處理�����、涉及商業(yè)秘密并脫敏處理等可以受限或無條件開放;獲取開放數(shù)據(jù)應(yīng)具備數(shù)據(jù)安全保護(hù)能力。
(4)公共數(shù)據(jù)安全總體要求包括:實(shí)行誰收集誰負(fù)責(zé)���、誰使用誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的責(zé)任制;建立數(shù)據(jù)安全管理制度,明確責(zé)任人���,定期組織培訓(xùn),加強(qiáng)日常管理與檢查,監(jiān)測平臺風(fēng)險�,制定應(yīng)急預(yù)案等����。這些總體要求基本與《數(shù)據(jù)安全法》等保持一致���。
2 政務(wù)數(shù)據(jù)安全合規(guī)實(shí)踐創(chuàng)新思路
2.1 國內(nèi)合規(guī)相關(guān)研究現(xiàn)狀
數(shù)據(jù)合規(guī)已經(jīng)成為當(dāng)前國內(nèi)的一個研究熱點(diǎn)��,同時也已經(jīng)成為各地的一個重點(diǎn)監(jiān)管方向。
廣州市國資委2021年發(fā)布了國內(nèi)首個數(shù)據(jù)安全合規(guī)方面的指導(dǎo)文件《廣州市國資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南(試行2021年版)》[4]�,面向監(jiān)管的相關(guān)企業(yè)單位提出了數(shù)據(jù)安全合規(guī)監(jiān)管方面的一些重點(diǎn)要求��;上海市楊浦區(qū)檢察院聯(lián)合多家單位于2022年1月發(fā)布了上海市首個《企業(yè)數(shù)據(jù)合規(guī)指引》[5],系統(tǒng)性提出企業(yè)數(shù)據(jù)合規(guī)所應(yīng)該落實(shí)的數(shù)據(jù)安全管理與技術(shù)等方面的措施�����。
2.2 數(shù)據(jù)安全合規(guī)評估思路
國內(nèi)針對數(shù)據(jù)安全評估已經(jīng)有一些研究和實(shí)踐����。2019年,發(fā)布了國家標(biāo)準(zhǔn)GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(簡稱“DSMM”)[6]���,提出了一套基于數(shù)據(jù)生存周期的安全能力成熟度模型,業(yè)內(nèi)基于該標(biāo)準(zhǔn)也推出了DSMM評估產(chǎn)品�����,主要針對DSMM標(biāo)準(zhǔn)中的30 個安全能力域進(jìn)行梳理及分析�。針對數(shù)據(jù)安全治理方面的評估,業(yè)內(nèi)也有相關(guān)研究��。文獻(xiàn)[7]基于團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》提出了一套數(shù)據(jù)安全治理能力評估框架����,文獻(xiàn)[8]提出了一種數(shù)據(jù)安全評估措施及方法,文獻(xiàn)[9]則針對數(shù)據(jù)安全的部分關(guān)鍵措施提出了一種數(shù)據(jù)安全評估方法�,文獻(xiàn)[10]提出了一種涵蓋數(shù)據(jù)基礎(chǔ)風(fēng)險�����、數(shù)據(jù)安全能力、數(shù)據(jù)安全合規(guī)風(fēng)險及數(shù)據(jù)全生命周期風(fēng)險的安全評估思路�。國家市場監(jiān)管總局聯(lián)合國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》[11]提出了一套數(shù)據(jù)安全管理認(rèn)證(簡稱“DSM認(rèn)證”)方法,該認(rèn)證主要依據(jù)國家標(biāo)準(zhǔn)GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》進(jìn)行展開���。國家網(wǎng)信辦對于數(shù)據(jù)出境安全也出臺了相關(guān)評估辦法[12]。
數(shù)據(jù)安全合規(guī)評估主要思路是從合規(guī)的視角進(jìn)行評估�����,與從數(shù)據(jù)安全能力視角進(jìn)行的數(shù)據(jù)安全評估在評估目標(biāo)����、評估模型及評估方法均有明顯差異(見表3)。
數(shù)據(jù)安全合規(guī)評估主要開展思路如下。
(1)數(shù)據(jù)安全法律法規(guī)知識庫構(gòu)建與分析
結(jié)合組織所屬行業(yè)及所在地區(qū)�,全面梳理及分析該組織所應(yīng)遵循的國家法律��,以及國家、地方及行業(yè)相關(guān)的政策法規(guī),并輸出合規(guī)評估相關(guān)材料�,包括但不限于合規(guī)調(diào)研問卷��、合規(guī)知識庫、合規(guī)指標(biāo)參數(shù)等。
(2)制定數(shù)據(jù)安全合規(guī)能力成熟度模型
構(gòu)建數(shù)據(jù)安全合規(guī)能力成熟度模型參見圖1���。
表3 數(shù)據(jù)安全與數(shù)據(jù)合規(guī)評估對比分析
圖1 數(shù)據(jù)安全合規(guī)能力成熟度模型
數(shù)據(jù)安全合規(guī)能力成熟度模型包括三個方面:數(shù)據(jù)安全合規(guī)覆蓋整個數(shù)據(jù)處理活動,包括數(shù)據(jù)收集����、存儲����、使用�、加工、傳輸��、提供/共享����、公開/開放��、銷毀/刪除;數(shù)據(jù)安全合規(guī)涵蓋數(shù)據(jù)安全組織保障�、規(guī)范制度與技術(shù)工具各個方面;數(shù)據(jù)安全合規(guī)成熟度等級分為基礎(chǔ)級、標(biāo)準(zhǔn)級和優(yōu)化級���。
(3)執(zhí)行數(shù)據(jù)安全合規(guī)評估
基于合規(guī)分析及數(shù)據(jù)安全合規(guī)能力成熟度模型,執(zhí)行數(shù)據(jù)安全合規(guī)評估,主要評估要點(diǎn)如表4所示。
執(zhí)行數(shù)據(jù)安全合規(guī)評估可以基于評估人員現(xiàn)場調(diào)研及采用自動化評估工具進(jìn)行�����,但是基于評估人員調(diào)研的方式存在調(diào)研人員評估業(yè)務(wù)技能要求很高�����、評估時效性比較差�、與數(shù)據(jù)應(yīng)用強(qiáng)耦合的應(yīng)用場景難以覆蓋等問題���,因此建議采用以自動化評估工具為主��、人工調(diào)研為輔的方式進(jìn)行展開���。
2.3 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)
政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)總體框架如圖2所示����。
表4 數(shù)據(jù)安全合規(guī)評估要點(diǎn)
圖2 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐設(shè)計(jì)框架
政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實(shí)踐主要包括以下方面�����。
(1)梳理合規(guī)依據(jù)�����。主要涉及國家法律、中央及地方政府法規(guī)、政府行業(yè)相關(guān)的規(guī)范、國家/行業(yè)/地方等標(biāo)準(zhǔn),以及相關(guān)組織內(nèi)的規(guī)章制度等都是合規(guī)重要的參考依據(jù),這些材料的重要性不完全相同����,如果相關(guān)要求存在沖突或不一致,應(yīng)以上位法律法規(guī)相關(guān)要求為準(zhǔn)����。
(2)合規(guī)咨詢評估����。主要對于所有梳理的合規(guī)依據(jù)進(jìn)行相關(guān)法律法規(guī)以及標(biāo)準(zhǔn)規(guī)范等的分析解讀����,重點(diǎn)是根據(jù)組織所在的業(yè)務(wù)及地區(qū)等相關(guān)要求進(jìn)行合規(guī)性分析,并提取相關(guān)的合規(guī)要點(diǎn)�,進(jìn)一步根據(jù)合規(guī)要點(diǎn)輸出合規(guī)知識等信息以及對評估中發(fā)現(xiàn)的合規(guī)風(fēng)險及問題提出合理的改進(jìn)建議���。
(3)合規(guī)知識庫的建設(shè)�。重點(diǎn)根據(jù)合規(guī)咨詢評估等獲取的合規(guī)知識�����,持續(xù)進(jìn)行積累和更新�����。
(4)合規(guī)運(yùn)營管理平臺的建設(shè)。主要包括合規(guī)數(shù)據(jù)采集����、合規(guī)數(shù)據(jù)分析及合規(guī)數(shù)據(jù)運(yùn)營等基礎(chǔ)功能組件����。合規(guī)運(yùn)營管理平臺主要是基于合規(guī)知識庫��,采用大數(shù)據(jù)分析����、自然語言處理NLP��、用戶實(shí)體行為分析UEBA等相關(guān)技術(shù)對采集的合規(guī)數(shù)據(jù)進(jìn)行深入分析�����,并對數(shù)據(jù)安全合規(guī)結(jié)果進(jìn)行閉環(huán)處置管理。
2.4 政務(wù)數(shù)據(jù)合規(guī)自動化監(jiān)控設(shè)計(jì)思路
對于政務(wù)數(shù)據(jù)合規(guī)的自動化監(jiān)控����,主要是基于“合規(guī)運(yùn)營管理平臺”的承載和支撐����,從數(shù)據(jù)處理活動的各個數(shù)據(jù)處理活動出發(fā)����,結(jié)合數(shù)據(jù)相關(guān)的業(yè)務(wù)場景識別其合規(guī)要點(diǎn)并制定針對性的合規(guī)監(jiān)控策略。合規(guī)監(jiān)控策略是指能夠?qū)?shù)據(jù)處理業(yè)務(wù)場景中所發(fā)生的數(shù)據(jù)處理活動本身的合規(guī)符合度進(jìn)行持續(xù)性��、周期性或按需觸發(fā)地分析判定��,分析判定的依據(jù)和被判定的對象來源能夠被采集���、被識別�����、關(guān)聯(lián)和持續(xù)學(xué)習(xí)。
自動化監(jiān)控中合規(guī)性判定的方向主要有三個方面��。
(1)需要聚焦到政府組織內(nèi)組織架構(gòu)設(shè)立的正式發(fā)文�����、人員責(zé)任落實(shí)記錄、制度規(guī)范的關(guān)鍵細(xì)則與施行情況記錄、涉及到個人信息的告知/同意/授權(quán)等服務(wù)協(xié)議的關(guān)鍵細(xì)則等靜態(tài)數(shù)據(jù)的掃描檢測等方面。
(2)需要落實(shí)到具體數(shù)據(jù)處理相關(guān)的行為稽核���,通過法律法規(guī)的深入解讀和規(guī)則化的轉(zhuǎn)化,能夠?qū)?shù)據(jù)處理行為進(jìn)行捕捉記錄、環(huán)境背景等因素的綜合關(guān)聯(lián)以及最終的合規(guī)性校驗(yàn)分析��。
(3)針對技術(shù)手段應(yīng)用的滿足度和有效性進(jìn)行檢測���,典型如加密�、脫敏技術(shù)措施的應(yīng)用與否判斷,以及應(yīng)用后的密文數(shù)據(jù)加密強(qiáng)度����、脫敏數(shù)據(jù)再識別的風(fēng)險等情況�。
3 結(jié)束語
數(shù)據(jù)安全作為支撐數(shù)據(jù)要素持續(xù)發(fā)展的基礎(chǔ)保障�����,國家也在持續(xù)完善數(shù)據(jù)安全相關(guān)的法律法規(guī)���,除了已經(jīng)發(fā)布的法律法規(guī)�����,包括《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》[13]等在內(nèi)的國家及相關(guān)行業(yè)數(shù)據(jù)安全法律法規(guī)也將陸續(xù)發(fā)布。保障政府部門等重要數(shù)據(jù)符合各種數(shù)據(jù)安全法律法規(guī)的最新要求也是各級政務(wù)數(shù)據(jù)管理運(yùn)營等的重點(diǎn)工作。另外,法律法規(guī)也助推了數(shù)據(jù)安全合規(guī)技術(shù)及產(chǎn)業(yè)的發(fā)展�����,并且數(shù)據(jù)安全合規(guī)也已經(jīng)成為數(shù)據(jù)安全產(chǎn)業(yè)中極其重要的一環(huán)��。
