【数据安全检测认证与协同保障】
国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
【释义】
本条与《数据安全法(二审稿)》与《数据安全法(一审稿)》的条文相比,不存在变化。最终正式通过的《数据安全法》,增加了第2款:“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”
国家促进数据安全检测评估、认证等服务的发展,数据安全检测评估、认证等服务对于数据安全保障具有至关重要的意义。通过对数据安全检测评估和认证,可以对数据安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,检测评估和认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。国际上,对于数据安全的评估和相关认证体系日渐成熟,欧盟委员会开展数据跨境流动安全评估,成为评判数据能否转移的重要依据。[32]新形势下,国家有必要进一步支持促进数据安全检测评估、认证等服务的发展。《数据安全法》第18条为数据安全检测评估、认证工作发展提供了法律激励。
就网络关键设备和网络安全专用产品,我国实行强制检测认证制度。《网络安全法》第23条规定:“ 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”这一规范,对网络关键设备和网络安全专用产品的认证、检测提出了强制性要求。2017年6月1日《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业和信息化部、公安部、国家认监委公告2017年第1号)将包括数据备份一体机、防火墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品 、安全数据库系统、 网站恢复产品(硬件)等产品,纳入了强制检测认证目录。[33]在数据安全领域,也应进一步明确检测评估和认证范围,充分发挥数据安全检测评估和认证的作用。
国家支持数据安全检测评估、认证等专业机构依法开展服务活动。当前,我国数据安全检测评估、认证工作取得的长远发展,数据安全检测评估、认证等专业服务机构也得到了蓬勃发展。1998年,我国成立了中国信息安全测评中心。中心以“为信息技术安全性提供测评服务”为宗旨,[34]依照国家法律法规和标准,在信息安全领域为国家提供技术保障,向社会提供公共服务。2006年,我国成立了中国网络安全审查技术与认证中心。该中心依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作。2018年3月15日,在《国家认监委、工业和信息化部、公安部、国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(国家认监委、工业和信息化部、公安部、国家互联网信息办公室2018年第12号)中,共包含16家检测评估认证机构。[35]促进数据安全检测评估、认证等服务,使其更好地服务国家大数据战略,必须进一步推动数据安全检测评估、认证等专业机构发展,依法保障其开展服务活动。《数据安全法》第18条规定为数据安全检测评估、认证等专业机构依法从事服务活动,提供了法律保障。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。数据风险具有不同于传统领域风险的特有属性。大数据平台的建立,使得数据具有集中化等特点,但新的技术和架构使得大数据应用的系统边界变得模糊,传统的基于边界的安全保护措施将变得不再有效,当前离散的数据安全防护和缺失的合规检测也不足以面对数据所产生的新的安全风险。现阶段,数据存在较大的安全风险:个人数据过度采集,造成重大社会安全风险;数据处理缺乏防护,存在严重技术安全隐患;隐私信息易于获取,导致地下网络犯罪高发。数据风险防范,尤其需要有关部门、行业组织、企业、教育和科研机构、有关专业机构等多主体的协作与配合。做好数据安全工作离不开各方的有效协同,应进一步加强部门间、部省间、行业间、政企间的工作协同,建立完善横向联系、纵向联动的信息共享和协同治理机制,充分发挥主管部门、地方政府、相关企业、科研机构、行业组织、各方资源和技术优势,推动形成多方协同齐抓共管的数据治理格局。
【关联规定】
《中华人民共和国网络安全法》第23条
(撰稿人:韩富鹏)