【重要数据处理者的风险评估义务】
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
【释义】
本条明确了重要数据的处理者定期开展风险评估的责任,并进一步明确了风险评估报告应包括的内容。
“收集、存储、加工、使用数据的情况”不能涵括“开展数据处理活动的情况”,改为后者更为全面而严谨。删除“本组织掌握的”,笔者认为系由于如果出现组织未掌握但是处理了部分重要数据,以“未掌握”为免责事由进行抗辩,删除“掌握”一词,实则加强了重要数据的处理者在处理数据过程中的责任,达到了强化责任的立法目的。
风险评估是指在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作[32],即量化测评某一事件或事物带来的影响或损失的可能程度。[33]
从数据安全的角度来讲,风险评估是对开展数据处理活动或研究开发数据新技术所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。[34]作为风险管理的基础,风险评估是组织确定信息安全需求的重要途径,属于组织信息安全管理体系策划的过程。[35]
在一些人眼中,数据中心的关键数据是可以交易并牟利的,在经济利益的驱使下,不法分子使用非法手段,如非授权访问来获取数据中心的关键数据。这些操作会造成数据中心的关键数据被篡改、损坏、监听、伪造、窃取甚至导致数据中心服务器的性能下降及运行缓慢,不能对外提供数据服务,造成严重损失。数据中心在网络中直接负责收集数据,整合数据资源,提供数据服务,维护整个网络的运行,是各种网络活动安全运行的基础。它必须提供快速的响应速度,满足整个时间段提供服务的要求。(https://www.daowen.com)
基于上述风险以及潜在危害,风险评估就显得极为重要。风险评估有以下益处,如可以确定潜在危险、潜在危险的严重性、危险的频率、最小化危险及确认避免危险的措施。笔者认为,应从风险评估的负责人、参与风险评估过程的主体、风险评估的内容和基本步骤等方面来全面理解。具体来说:
风险评估的负责人是重要数据的处理者,识别数据需求者、收集数据者、分析数据者、评价并改进数据分析者均系重要数据的处理者。
参与风险评估过程的主体应选择多元化和具有合格资质的群体。除了重要数据的处理者之外,还应包括数据的运营商、维护人、数据安全专业人员等。
风险评估过程的基本步骤包括[36]:识别工作中的任务和相关危害,评估危害的概率和严重程度,通过消除危害或使用保护措施降低危害的风险,记录过程和结果。
数据安全风险预警应建立从源头上评估数据安全风险的机制。国家需要建立统一的数据安全风险评估机制,包括信息交换、报告、检测和预警,重点把握下面几点:
一是建立数据安全风险预警机制,识别可能影响经济社会发展的内外部潜在因素,分析潜在因素的风险,明确数据安全风险预警标准,然后设置建立预警机制。二是建立数据安全风险识别机制,数据安全风险评估必须能识别一定的风险,特别是量化不确定风险的程度和风险可能造成的损失程度。[37]国家必须建立常设监控机制,实时关注数据安全风险的变化。[38]三是建立数据安全风险处置机制,《数据安全法》明确提出建立基于数据安全风险识别和采取不同措施应对已知安全风险的数据安全应急机制。应特别注意重要数据,国家有关部门应建立有效、可靠的数据安全风险评估机制,通过缩短评估周期来降低数据安全风险。
本条还明确了重要数据处理者的责任。经济合作与发展组织1980年颁布了《隐私保护和个人数据跨境流通指南》,上述指南第14条确立了责任原则(Accountability Principle)。[39]
数据控制者是数据和数据利用行为的权利主体,数据控制者从日常数据的占有、使用、交易和处分等行为中获取收益。既然数据控制者从中受益,自然也要承担相应的责任。责任原则要求数据控制者应根据国内法的规定负责遵守隐私保护规则和决定。违反有关规定造成数据主体损害的,数据控制者应当承担损害赔偿责任。上述指南第14条规定的数据控制者的责任应为严格责任。即使数据处理行为不是由控制者本人实施,而是由控制者委托或指示其他主体实施,数据控制者也应承担连带责任。此外,除了数据控制者本人,数据控制者的委托代理人、数据处理者及其员工也有责任遵守和实施数据保护原则。例如,所有受托提供个人信息的实体都因违反保密义务而受到制裁。责任原则中的“责任”不仅包括法律规定的法定责任,还包括行为准则和自治规则中的特别责任。[40]
【关联规定】
《中华人民共和国网络安全法》第17条、第53条,《中华人民共和国个人信息保护法》第36条、第55条、第56条,《数据安全管理办法(征求意见稿)》第18条
(撰稿人:刘建)