(1.數(shù)安信(北京)科技有限公司���,北京 100027�;2.中國社會科學(xué)院法學(xué)研究所�����,北京 100029�����;3.杭州北山數(shù)字科技有限公司���,杭州 310059)
0 引言
數(shù)據(jù)作為重要的生產(chǎn)要素[1]已經(jīng)深入人心,并深刻影響了包括政務(wù)在內(nèi)各個行業(yè)的發(fā)展��。為了保障數(shù)據(jù)的安全����,我國近年來也陸續(xù)出臺了一系列相關(guān)的法律法規(guī)�,作為承載了大量公民個人信息和國家重要數(shù)據(jù)的政務(wù)系統(tǒng)���,如何確保政務(wù)數(shù)據(jù)安全合法合規(guī)也成為當前各級政府部門所需要重點關(guān)注的工作����。對于政務(wù)數(shù)據(jù)安全合規(guī)監(jiān)管要求���,國務(wù)院也明確指出要落實主體責(zé)任和監(jiān)督責(zé)任�,構(gòu)建數(shù)字政府全方位安全保障體系[2]���。
2021年可以稱得上是我國數(shù)據(jù)安全的法律元年����。2021年1月1日起施行的《中華人民共和國民法典》明確規(guī)定了“隱私權(quán)和個人信息保護”的相關(guān)要求����;2021年9月1日起施行的《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)則明確規(guī)定了針對整個數(shù)據(jù)處理活動的數(shù)據(jù)安全保護責(zé)任及義務(wù);2021年11月1日起施行的《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)明確規(guī)定了個人信息處理者對于個人信息處理活動各個階段的保護要求及個人信息主體相關(guān)權(quán)利要求等�����。另外,國務(wù)院及部委在2021年也發(fā)布過很多重要的數(shù)據(jù)安全相關(guān)的政策與法規(guī)�����,如2021年7月30日發(fā)布2021年9月1日起施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》����,2021年12月28日發(fā)布2022年2月15日起施行的《網(wǎng)絡(luò)安全審查辦法》,以及2021年4月6日發(fā)布的《交通運輸政務(wù)數(shù)據(jù)共享管理辦法》等�。
除了國家與部委層面,很多地方在2021年也出臺了一些地方數(shù)據(jù)相關(guān)的法規(guī)��,如北京市發(fā)布了《北京市公共數(shù)據(jù)管理辦法》����,上海市發(fā)布了《上海市數(shù)據(jù)條例》,江蘇發(fā)布了《江蘇省公共數(shù)據(jù)管理辦法》���,安徽發(fā)布了《安徽省大數(shù)據(jù)發(fā)展條例》,福建發(fā)布了《福建省大數(shù)據(jù)發(fā)展條例》���,廣東發(fā)布了《廣東省數(shù)字經(jīng)濟促進條例》等�����。
政務(wù)數(shù)據(jù)安全合規(guī)需要遵守國家所有已經(jīng)正式發(fā)布并施行的法律和行政法規(guī)��,同時地方政務(wù)數(shù)據(jù)處理單位還需要遵守當?shù)叵嚓P(guān)的數(shù)據(jù)安全政策法規(guī)����,以及政務(wù)數(shù)據(jù)處理單位所屬行業(yè)部門(如教育部門、醫(yī)療部門等)所頒發(fā)的部門相關(guān)文件�����。
數(shù)據(jù)合規(guī)與數(shù)據(jù)安全是兩個緊密聯(lián)系又有明顯區(qū)別的概念����。數(shù)據(jù)安全側(cè)重的是如何防范數(shù)據(jù)被泄露、數(shù)據(jù)被破壞����、數(shù)據(jù)被濫用的風(fēng)險所進行的安全防護措施,重點是防范壞人做壞事����;數(shù)據(jù)合規(guī)則是根據(jù)數(shù)據(jù)法律法規(guī)相關(guān)要求落實數(shù)據(jù)安全相關(guān)責(zé)任與義務(wù),本質(zhì)是指導(dǎo)好人做好事�����。
1 政務(wù)數(shù)據(jù)安全合規(guī)分析
政務(wù)數(shù)據(jù)安全合規(guī)最基礎(chǔ)的法律法規(guī)包括《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等,以及地方針對政務(wù)數(shù)據(jù)或公共數(shù)據(jù)所頒布的數(shù)據(jù)管理條例或辦法等文件���,下面針對政務(wù)數(shù)據(jù)合規(guī)最重要的幾個法律法規(guī)的合規(guī)要求進行具體分析�����。
1.1 《數(shù)據(jù)安全法》合規(guī)分析
《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域最基礎(chǔ)���、最重要的一部法律,是包括政務(wù)數(shù)據(jù)在內(nèi)的各行各業(yè)數(shù)據(jù)處理都必須嚴格遵守的法律�。
《數(shù)據(jù)安全法》明確規(guī)定了各類數(shù)據(jù)處理者在數(shù)據(jù)處理活動中所應(yīng)該遵守的數(shù)據(jù)安全相關(guān)責(zé)任與義務(wù),數(shù)據(jù)處理者角色除了面向所有數(shù)據(jù)的通用數(shù)據(jù)處理者外����,其他還包括重要數(shù)據(jù)的處理者、數(shù)據(jù)交易中介��、國家機關(guān)等�,政務(wù)數(shù)據(jù)的合規(guī)要考慮除了數(shù)據(jù)交易中介之外的所有數(shù)據(jù)處理者所應(yīng)該遵守的法律責(zé)任和義務(wù)。針對政務(wù)數(shù)據(jù)處理者所應(yīng)該遵守的《數(shù)據(jù)安全法》中的法律要求及合規(guī)思路分析見表1����。
表1 《數(shù)據(jù)安全法》合規(guī)性分析
續(xù)表1
1.2 《個人信息保護法》合規(guī)分析
《個人信息保護法》中涉及的個人信息處理者角色包括:面向所有個人信息處理場景的個人信息處理者�����、境外個人信息處理者、重要互聯(lián)網(wǎng)平臺服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個人信息處理者���、接受委托處理個人信息的受托人��、處理個人信息的國家機關(guān)����。依據(jù)政務(wù)數(shù)據(jù)相關(guān)業(yè)務(wù)特點�,政務(wù)數(shù)據(jù)涉及其中的個人信息處理者、重要互聯(lián)網(wǎng)平臺服務(wù)/用戶數(shù)量巨大/業(yè)務(wù)類型復(fù)雜的個人信息處理者�����、接受委托處理個人信息的受托人���、處理個人信息的國家機關(guān)等幾個角色的相關(guān)法律要求����,具體相關(guān)分析見表2�����。
表2 《個人信息保護法》合規(guī)分析
續(xù)表2
1.3 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》合規(guī)分析
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》明確規(guī)定了包括電子政務(wù)在內(nèi)的領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施,因此對于電子政務(wù)平臺上的相關(guān)政務(wù)數(shù)據(jù)安全合規(guī)也必須符合該條例中的相關(guān)要求�。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者提出了一系列安全責(zé)任和義務(wù),這些責(zé)任義務(wù)大部分也都在《數(shù)據(jù)安全法》中有所體現(xiàn)����,下面僅針對《數(shù)據(jù)安全法》中沒有體現(xiàn)的條款進行合規(guī)分析。
(1)第十二條提出“三同步”原則����,即安全保護措施要與關(guān)鍵信息基礎(chǔ)設(shè)施進行同步規(guī)劃、同步建設(shè)和同步使用����。這也就要求電子政務(wù)等相關(guān)平臺或應(yīng)用在規(guī)劃和建設(shè)時必須同步考慮安全的規(guī)劃和建設(shè),其中也涵蓋數(shù)據(jù)安全及個人信息保護相關(guān)內(nèi)容��。
(2)第十四條提出需要對安全管理機構(gòu)負責(zé)人和關(guān)鍵崗位人員進行安全背景審查�����。
(3)第十七條提出需要每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估���。
(4)第十九條提出采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的���,需要進行網(wǎng)絡(luò)安全審查。
(5)第二十條提出應(yīng)當與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議���。
1.4 地方法規(guī)合規(guī)分析
近年來���,很多地方都出臺了地方數(shù)據(jù)法規(guī),這也是地方政務(wù)數(shù)據(jù)合規(guī)所必須嚴格遵守的法規(guī)依據(jù)����。地方數(shù)據(jù)相關(guān)法規(guī)都是在國家法律的基礎(chǔ)上,結(jié)合當?shù)財?shù)據(jù)相關(guān)產(chǎn)業(yè)發(fā)展特色及要求提出了更有針對性的相關(guān)要求��,但是對于數(shù)據(jù)安全相關(guān)要求大部分還是在《數(shù)據(jù)安全法》等基礎(chǔ)上提出一些具體要求��。
以2022年3月1日起施行的《浙江省公共數(shù)據(jù)條例》[3]為例進行地方法規(guī)合規(guī)分析��。
(1)公共數(shù)據(jù)收集與歸集的合規(guī)要求包括:遵循合法���、正當��、必要原則����,按照法定權(quán)限����、范圍����、程序等收集���;通過身份證件驗明身份的���,不得強制收集指紋等隱私信息進行驗證。
(2)公共數(shù)據(jù)共享的合規(guī)要求包括:科學(xué)評估并制定公共數(shù)據(jù)共享屬性���;共享的數(shù)據(jù)僅限履行法定職責(zé)需要����,不得用于其他目的���。
(3)公共數(shù)據(jù)開放與利用的合規(guī)要求包括:遵循依法���、規(guī)范、公平�、優(yōu)質(zhì)、便民的原則;編制開放目錄�,可能危及國家安全、公共利益���、個人信息及商業(yè)秘密等禁止開放;涉及個人信息并匿名化處理����、涉及商業(yè)秘密并脫敏處理等可以受限或無條件開放;獲取開放數(shù)據(jù)應(yīng)具備數(shù)據(jù)安全保護能力����。
(4)公共數(shù)據(jù)安全總體要求包括:實行誰收集誰負責(zé)、誰使用誰負責(zé)����、誰運行誰負責(zé)的責(zé)任制;建立數(shù)據(jù)安全管理制度�,明確責(zé)任人,定期組織培訓(xùn)����,加強日常管理與檢查,監(jiān)測平臺風(fēng)險�,制定應(yīng)急預(yù)案等。這些總體要求基本與《數(shù)據(jù)安全法》等保持一致。
2 政務(wù)數(shù)據(jù)安全合規(guī)實踐創(chuàng)新思路
2.1 國內(nèi)合規(guī)相關(guān)研究現(xiàn)狀
數(shù)據(jù)合規(guī)已經(jīng)成為當前國內(nèi)的一個研究熱點�����,同時也已經(jīng)成為各地的一個重點監(jiān)管方向���。
廣州市國資委2021年發(fā)布了國內(nèi)首個數(shù)據(jù)安全合規(guī)方面的指導(dǎo)文件《廣州市國資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南(試行2021年版)》[4]�����,面向監(jiān)管的相關(guān)企業(yè)單位提出了數(shù)據(jù)安全合規(guī)監(jiān)管方面的一些重點要求��;上海市楊浦區(qū)檢察院聯(lián)合多家單位于2022年1月發(fā)布了上海市首個《企業(yè)數(shù)據(jù)合規(guī)指引》[5]��,系統(tǒng)性提出企業(yè)數(shù)據(jù)合規(guī)所應(yīng)該落實的數(shù)據(jù)安全管理與技術(shù)等方面的措施��。
2.2 數(shù)據(jù)安全合規(guī)評估思路
國內(nèi)針對數(shù)據(jù)安全評估已經(jīng)有一些研究和實踐����。2019年��,發(fā)布了國家標準GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(簡稱“DSMM”)[6]�,提出了一套基于數(shù)據(jù)生存周期的安全能力成熟度模型,業(yè)內(nèi)基于該標準也推出了DSMM評估產(chǎn)品���,主要針對DSMM標準中的30 個安全能力域進行梳理及分析����。針對數(shù)據(jù)安全治理方面的評估,業(yè)內(nèi)也有相關(guān)研究��。文獻[7]基于團體標準T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》提出了一套數(shù)據(jù)安全治理能力評估框架�����,文獻[8]提出了一種數(shù)據(jù)安全評估措施及方法���,文獻[9]則針對數(shù)據(jù)安全的部分關(guān)鍵措施提出了一種數(shù)據(jù)安全評估方法,文獻[10]提出了一種涵蓋數(shù)據(jù)基礎(chǔ)風(fēng)險���、數(shù)據(jù)安全能力�、數(shù)據(jù)安全合規(guī)風(fēng)險及數(shù)據(jù)全生命周期風(fēng)險的安全評估思路���。國家市場監(jiān)管總局聯(lián)合國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理認證實施規(guī)則》[11]提出了一套數(shù)據(jù)安全管理認證(簡稱“DSM認證”)方法����,該認證主要依據(jù)國家標準GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》進行展開�。國家網(wǎng)信辦對于數(shù)據(jù)出境安全也出臺了相關(guān)評估辦法[12]。
數(shù)據(jù)安全合規(guī)評估主要思路是從合規(guī)的視角進行評估,與從數(shù)據(jù)安全能力視角進行的數(shù)據(jù)安全評估在評估目標����、評估模型及評估方法均有明顯差異(見表3)。
數(shù)據(jù)安全合規(guī)評估主要開展思路如下�����。
(1)數(shù)據(jù)安全法律法規(guī)知識庫構(gòu)建與分析
結(jié)合組織所屬行業(yè)及所在地區(qū)��,全面梳理及分析該組織所應(yīng)遵循的國家法律�����,以及國家���、地方及行業(yè)相關(guān)的政策法規(guī)����,并輸出合規(guī)評估相關(guān)材料�����,包括但不限于合規(guī)調(diào)研問卷�����、合規(guī)知識庫、合規(guī)指標參數(shù)等�。
(2)制定數(shù)據(jù)安全合規(guī)能力成熟度模型
構(gòu)建數(shù)據(jù)安全合規(guī)能力成熟度模型參見圖1。
表3 數(shù)據(jù)安全與數(shù)據(jù)合規(guī)評估對比分析
圖1 數(shù)據(jù)安全合規(guī)能力成熟度模型
數(shù)據(jù)安全合規(guī)能力成熟度模型包括三個方面:數(shù)據(jù)安全合規(guī)覆蓋整個數(shù)據(jù)處理活動�,包括數(shù)據(jù)收集、存儲�����、使用����、加工��、傳輸����、提供/共享、公開/開放��、銷毀/刪除�;數(shù)據(jù)安全合規(guī)涵蓋數(shù)據(jù)安全組織保障、規(guī)范制度與技術(shù)工具各個方面����;數(shù)據(jù)安全合規(guī)成熟度等級分為基礎(chǔ)級���、標準級和優(yōu)化級。
(3)執(zhí)行數(shù)據(jù)安全合規(guī)評估
基于合規(guī)分析及數(shù)據(jù)安全合規(guī)能力成熟度模型�,執(zhí)行數(shù)據(jù)安全合規(guī)評估,主要評估要點如表4所示��。
執(zhí)行數(shù)據(jù)安全合規(guī)評估可以基于評估人員現(xiàn)場調(diào)研及采用自動化評估工具進行����,但是基于評估人員調(diào)研的方式存在調(diào)研人員評估業(yè)務(wù)技能要求很高、評估時效性比較差��、與數(shù)據(jù)應(yīng)用強耦合的應(yīng)用場景難以覆蓋等問題���,因此建議采用以自動化評估工具為主���、人工調(diào)研為輔的方式進行展開。
2.3 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實踐設(shè)計
政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實踐設(shè)計總體框架如圖2所示��。
表4 數(shù)據(jù)安全合規(guī)評估要點
圖2 政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實踐設(shè)計框架
政務(wù)數(shù)據(jù)安全合規(guī)創(chuàng)新實踐主要包括以下方面�����。
(1)梳理合規(guī)依據(jù)。主要涉及國家法律�、中央及地方政府法規(guī)、政府行業(yè)相關(guān)的規(guī)范����、國家/行業(yè)/地方等標準,以及相關(guān)組織內(nèi)的規(guī)章制度等都是合規(guī)重要的參考依據(jù)���,這些材料的重要性不完全相同��,如果相關(guān)要求存在沖突或不一致��,應(yīng)以上位法律法規(guī)相關(guān)要求為準���。
(2)合規(guī)咨詢評估。主要對于所有梳理的合規(guī)依據(jù)進行相關(guān)法律法規(guī)以及標準規(guī)范等的分析解讀��,重點是根據(jù)組織所在的業(yè)務(wù)及地區(qū)等相關(guān)要求進行合規(guī)性分析�,并提取相關(guān)的合規(guī)要點�����,進一步根據(jù)合規(guī)要點輸出合規(guī)知識等信息以及對評估中發(fā)現(xiàn)的合規(guī)風(fēng)險及問題提出合理的改進建議����。
(3)合規(guī)知識庫的建設(shè)��。重點根據(jù)合規(guī)咨詢評估等獲取的合規(guī)知識��,持續(xù)進行積累和更新����。
(4)合規(guī)運營管理平臺的建設(shè)�����。主要包括合規(guī)數(shù)據(jù)采集���、合規(guī)數(shù)據(jù)分析及合規(guī)數(shù)據(jù)運營等基礎(chǔ)功能組件�����。合規(guī)運營管理平臺主要是基于合規(guī)知識庫�,采用大數(shù)據(jù)分析����、自然語言處理NLP、用戶實體行為分析UEBA等相關(guān)技術(shù)對采集的合規(guī)數(shù)據(jù)進行深入分析���,并對數(shù)據(jù)安全合規(guī)結(jié)果進行閉環(huán)處置管理����。
2.4 政務(wù)數(shù)據(jù)合規(guī)自動化監(jiān)控設(shè)計思路
對于政務(wù)數(shù)據(jù)合規(guī)的自動化監(jiān)控,主要是基于“合規(guī)運營管理平臺”的承載和支撐��,從數(shù)據(jù)處理活動的各個數(shù)據(jù)處理活動出發(fā)��,結(jié)合數(shù)據(jù)相關(guān)的業(yè)務(wù)場景識別其合規(guī)要點并制定針對性的合規(guī)監(jiān)控策略�����。合規(guī)監(jiān)控策略是指能夠?qū)?shù)據(jù)處理業(yè)務(wù)場景中所發(fā)生的數(shù)據(jù)處理活動本身的合規(guī)符合度進行持續(xù)性�、周期性或按需觸發(fā)地分析判定,分析判定的依據(jù)和被判定的對象來源能夠被采集���、被識別����、關(guān)聯(lián)和持續(xù)學(xué)習(xí)��。
自動化監(jiān)控中合規(guī)性判定的方向主要有三個方面���。
(1)需要聚焦到政府組織內(nèi)組織架構(gòu)設(shè)立的正式發(fā)文�����、人員責(zé)任落實記錄���、制度規(guī)范的關(guān)鍵細則與施行情況記錄、涉及到個人信息的告知/同意/授權(quán)等服務(wù)協(xié)議的關(guān)鍵細則等靜態(tài)數(shù)據(jù)的掃描檢測等方面���。
(2)需要落實到具體數(shù)據(jù)處理相關(guān)的行為稽核�,通過法律法規(guī)的深入解讀和規(guī)則化的轉(zhuǎn)化�����,能夠?qū)?shù)據(jù)處理行為進行捕捉記錄��、環(huán)境背景等因素的綜合關(guān)聯(lián)以及最終的合規(guī)性校驗分析��。
(3)針對技術(shù)手段應(yīng)用的滿足度和有效性進行檢測����,典型如加密、脫敏技術(shù)措施的應(yīng)用與否判斷�,以及應(yīng)用后的密文數(shù)據(jù)加密強度、脫敏數(shù)據(jù)再識別的風(fēng)險等情況。
3 結(jié)束語
數(shù)據(jù)安全作為支撐數(shù)據(jù)要素持續(xù)發(fā)展的基礎(chǔ)保障�����,國家也在持續(xù)完善數(shù)據(jù)安全相關(guān)的法律法規(guī)�����,除了已經(jīng)發(fā)布的法律法規(guī)�,包括《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》[13]等在內(nèi)的國家及相關(guān)行業(yè)數(shù)據(jù)安全法律法規(guī)也將陸續(xù)發(fā)布。保障政府部門等重要數(shù)據(jù)符合各種數(shù)據(jù)安全法律法規(guī)的最新要求也是各級政務(wù)數(shù)據(jù)管理運營等的重點工作�����。另外����,法律法規(guī)也助推了數(shù)據(jù)安全合規(guī)技術(shù)及產(chǎn)業(yè)的發(fā)展,并且數(shù)據(jù)安全合規(guī)也已經(jīng)成為數(shù)據(jù)安全產(chǎn)業(yè)中極其重要的一環(huán)��。
