随着我国数字经济的快速发展,数据已经成为国家重要的基础性、战略性资源,数据对经济社会发展的带动和引领作用日益显现。根据《数字中国发展报告(2022)》,2022年我国数字经济规模已经达到50.2亿,位居世界第二,且在GDP中的占比提升至41.5%,但与此同时关于数据超范围收集、违规使用、缺乏有效保护措施等问题也引起社会广泛关注。
为了发挥认证在规范数据安全管理方面的基础性作用,2022年6月、11月,国家市场监管总局和国家互联网信息办公室先后联合发出公告,依据《网络安全法》《数据安全法》《个人信息保护法》《认证认可条例》有关规定,决定开展数据安全管理认证和个人信息保护认证工作,鼓励网络运营者、个人信息处理者通过认证方式规范网络数据处理活动,加强网络数据安全保护。数据安全管理认证和个人信息保护认证定位为国家推行的自愿性认证,以第三方证明的方式证明企业的数据和个人信息处理活动符合法律法规和标准要求。
一、开展数据安全认证的重要意义
(一)有力推动相关法律规范落地见效
由第三方认证机构依据有关国家标准,通过文件评审、现场核查、人员访谈等方式,对网络运营者的数据处理活动进行全面评价,督促网络运营者对数据处理方面存在的问题和不足做出优化改进,并通过持续性的证后监督,确保获得认证的网络运营者能够持续符合法律法规和标准规范的要求。特别是在认证实施过程中,由第三方认证机构系统检视认证范围内业务所涉及数据处理活动相关的组织架构、制度流程以及技术管控措施,逐项对照认证要求进行排查,对发现的问题即查即改,实际上是网络运营者实现对自身数据处理活动的综合“体检”,有利于进一步优化数据安全管理和个人信息保护工作,促进数据安全管理水平的提升。
(二)有效提升数据安全和个人信息保护意识和能力
开展数据安全认证,充分发挥认证“传递信任、服务发展”的本质属性,使消费者更容易与网络运营者建立信任关系,从获得认证的网络运营者、个人信息处理者中选择安全可靠、放心透明的数据处理服务,同时利用市场选择机制,鼓励网络运营者不断增强数据安全管理和个人信息保护主体责任意识,不断完善数据安全管理机制,从而不断提升市场竞争力。
(三)大力促进数据合理利用和便捷流动
认证是国际通行的质量治理工具,当前世界主要国家和地区均把实施认证作为保障数据安全、支撑数据跨境的重要手段。作为国际通用“语言”,开展数据安全认证有利于加强国际交流与合作,促进数据市场安全合理开放,降低数据流动壁垒。
二、开展数据安全认证的方法途径
数据安全管理认证,主要是依据GB/T 41479:2022《信息安全技术 网络数据处理安全要求》等有关国家标准,对网络运营者开展的收集、存储、使用、加工、传输、提供、公开等数据处理活动,从数据、技术基础设施及过程和程序性措施等多个维度进行全面评价,证明其是否采取了必要措施以确保数据处于保护和合法利用状态。个人信息保护认证,以GB/T 35273《信息安全技术 个人信息安全规范》标准为基础和通用评价要求,突出了重在落实政策法规要求、基线合规的特点。针对个人信息跨境处理这一特殊情形,增加了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》的评价要求,适应当前国际上普遍认同的在数据跨境传输方面应坚持的基本原则和理念,目的是证明个人信息处理者个人信息跨境处理活动符合标准要求,不因跨境提供而降低个人信息保护水平,促进数据的合规流动利用。
开展数据安全认证,要着重抓好以下工作:
一是做好统筹谋划,有序推动认证工作的实施。数据安全认证涉及的行业多、数量大、社会关注度高,为了避免出现重复检测、重复认证、重复收费,甚至买证卖证等乱象发生,有关认证监管部门对从事数据安全认证的机构要严格审核、严格监管,从源头上规范数据安全认证行为。
二是加强能力建设,确保认证实施质量和有效性。要加强对技术验证、现场审核涉及基础标准、基础理论、基础评价方法等的研究,同时对评价项和判定方法进行及时调整更新,确保与最新的政策法规和安全要求保持一致;要加强数据安全认证专用工具的研制,在提升认证效率的同时,提高审核人员的专业能力,降低评判尺度把握的差异化程度;要加强技术验证机构人员、认证审核员的培训和管理,保证验证质量和审核质量,充分发挥传递信任的效能。
三是发挥认证作用,推动认证结果的采信。联合地方政府、行业主管部门共同推动数据安全认证工作的深入实施,加大认证结果在各项数据管理政策中的采信应用力度,将认证作为支撑监管的有力抓手,不断增加获证网络运营者的美誉度。
四是抓好宣传推广,营造认证良好氛围。以网络安全宣传周、全国信安标委宣传周、世界认可日等活动为契机,加大数据安全管理认证制度和个人信息保护认证制度的宣传推广和政策解读力度,在网络运营者、个人信息处理者中营造“懂认证、做认证、用认证”的良好氛围。
五是加强国际交流与合作,适时推动认证结果互认。密切跟踪国际数据安全认证机制建立实施进展,加强与相关国际组织、代表性机构的交流合作,适时推动数据安全认证结果的双边、多边互认,为跨国企业的数据流动合规提供便利。
来源:《中国认证认可》杂志 2023年第12期