◆鐘 鶴 / 文

6月9日，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室發(fā)布公告（文號為2022年第18號），決定按照《數(shù)據(jù)安全管理認(rèn)證實施規(guī)則》（以下簡稱《規(guī)則》）開展數(shù)據(jù)安全管理認(rèn)證工作，鼓勵網(wǎng)絡(luò)運營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，加強網(wǎng)絡(luò)數(shù)據(jù)安全保護。

主要內(nèi)容

根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》，認(rèn)證是指由認(rèn)證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動。這一定義說明，認(rèn)證的對象分為三種：產(chǎn)品、服務(wù)、管理體系。

（一）法律依據(jù)

《規(guī)則》制定的主要依據(jù)有：《數(shù)據(jù)安全法》第十八條——國家促進數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動；《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第三十五條第二款——數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認(rèn)定的專業(yè)機構(gòu)進行個人信息保護認(rèn)證；《中華人民共和國認(rèn)證認(rèn)可條例》第二條——本條例所稱認(rèn)證，是指由認(rèn)證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動。本次公告開展的是管理體系認(rèn)證。

（二）認(rèn)證要求

《規(guī)則》中明確了認(rèn)證依據(jù)是已于2022年4月15日發(fā)布、將于2022年11月1日實施的GB/T 41479《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》；認(rèn)證適用的范圍是對網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認(rèn)證；認(rèn)證模式是“技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督”；認(rèn)證過程是認(rèn)證委托+技術(shù)驗證+現(xiàn)場審核+認(rèn)證結(jié)果評價和批準(zhǔn)+獲證后監(jiān)督。

《規(guī)則》提出對認(rèn)證時限以及認(rèn)證證書和認(rèn)證標(biāo)志使用的相關(guān)要求：數(shù)據(jù)安全管理認(rèn)證證書的有效期為3年，在認(rèn)證證書有效期內(nèi)，獲得認(rèn)證的網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書和認(rèn)證標(biāo)志（圖1），不得對公眾產(chǎn)生誤導(dǎo)。

圖1 認(rèn)證標(biāo)志

（三）認(rèn)證責(zé)任

認(rèn)證機構(gòu)應(yīng)依據(jù)《規(guī)則》的要求細(xì)化認(rèn)證實施程序，制定科學(xué)、合理、可操作的認(rèn)證實施細(xì)則并對外公布實施，認(rèn)證實施時其責(zé)任是對現(xiàn)場審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)；技術(shù)驗證機構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實施技術(shù)驗證，并向認(rèn)證機構(gòu)和認(rèn)證委托人出具技術(shù)驗證報告，認(rèn)證實施時其責(zé)任是對技術(shù)驗證結(jié)論負(fù)責(zé)；認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機構(gòu)要求提交認(rèn)證委托資料，并配合認(rèn)證機構(gòu)和技術(shù)驗證機構(gòu)的現(xiàn)場審核與驗證工作，其責(zé)任是對認(rèn)證委托資料的真實性、合法性負(fù)責(zé)。

分析與解讀

2021年是我國數(shù)據(jù)安全立法元年，數(shù)據(jù)安全政策體系建設(shè)取得重大戰(zhàn)略進展，數(shù)據(jù)安全工作邁入了新階段。這一年，我國正式頒布了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等兩部法律，填補了我國數(shù)據(jù)安全的法律空白，同時推出了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》，并對車聯(lián)網(wǎng)等重點行業(yè)、數(shù)據(jù)出境等重點領(lǐng)域進行了落實細(xì)化。這些法律法規(guī)的密集出臺（表1），與2017年6月1日施行的《網(wǎng)絡(luò)安全法》一起，從國家到社會與個人逐步形成了加強數(shù)據(jù)安全保護的態(tài)勢。

表1 2021年密集出臺的數(shù)據(jù)安全相關(guān)法律法規(guī)

在大數(shù)據(jù)時代，一方面隨著數(shù)字經(jīng)濟的快速發(fā)展，數(shù)據(jù)已經(jīng)成為基礎(chǔ)性資源和戰(zhàn)略性資源，是決定數(shù)字經(jīng)濟發(fā)展水平和競爭力的核心資源，另一方面數(shù)據(jù)安全形勢日益嚴(yán)峻，高價值數(shù)據(jù)泄露、個人信息濫用情況突出，針對數(shù)據(jù)的攻擊、竊取、劫持、濫用等層出不窮，滴滴事件、阿里云事件暴露了數(shù)據(jù)安全面臨的巨大潛在風(fēng)險。數(shù)據(jù)安全領(lǐng)域呈現(xiàn)出一系列新特點、新趨勢，需要正確認(rèn)識和把握方向、抓好重點，加快提升數(shù)據(jù)安全保護能力。

目前，有相當(dāng)多的企業(yè)由于業(yè)務(wù)因素掌握著大量用戶數(shù)據(jù)，但由于對數(shù)據(jù)安全的投入產(chǎn)出成果往往無法直接反映在業(yè)績上，不少企業(yè)對投入高成本用于數(shù)據(jù)安全管理缺乏動力，此前就有專家呼吁應(yīng)設(shè)立相關(guān)認(rèn)證制度，讓投入成本到數(shù)據(jù)安全上的企業(yè)能夠得到正向反饋，從而加強網(wǎng)絡(luò)數(shù)據(jù)安全保護。

此次開展數(shù)據(jù)安全管理認(rèn)證工作，將督促廣大企業(yè)在相關(guān)標(biāo)準(zhǔn)規(guī)范之下，開展網(wǎng)絡(luò)數(shù)據(jù)處理活動的合規(guī)建設(shè)，加強數(shù)據(jù)安全的防護力度。對于暫不符合認(rèn)證要求的，機構(gòu)可要求認(rèn)證委托人限期整改，具有一定的監(jiān)督和震懾作用。而在認(rèn)證有效期內(nèi)，企業(yè)須持續(xù)接受機構(gòu)監(jiān)督，確保數(shù)據(jù)安全工作持續(xù)落到實處，而非單純認(rèn)證時的走過場。

在獲證后監(jiān)督方面，《規(guī)則》提出，“認(rèn)證機構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進行綜合評價，評價通過的，可繼續(xù)保持認(rèn)證證書；不通過的，認(rèn)證機構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書的處理”。

認(rèn)證工作開展后，是否獲得數(shù)據(jù)安全管理認(rèn)證，對網(wǎng)絡(luò)運營者也將產(chǎn)生不同的影響。通過認(rèn)證后，可以證明網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)數(shù)據(jù)處理活動、網(wǎng)絡(luò)數(shù)據(jù)安全保護等方面，符合相關(guān)標(biāo)準(zhǔn)規(guī)范，可以說是對自身數(shù)據(jù)安全的全方位驗證和保障。

其次，通過認(rèn)證后獲得的“認(rèn)證標(biāo)志”，可以按照有關(guān)規(guī)定在廣告等宣傳中使用，從而增加外界公眾對網(wǎng)絡(luò)運營者的信任度，有助于數(shù)據(jù)處理相關(guān)業(yè)務(wù)的順利開展。

從行業(yè)影響來看，認(rèn)證工作將數(shù)據(jù)安全從法律法規(guī)、標(biāo)準(zhǔn)層面推向了監(jiān)管落地方向。認(rèn)證工作的推出，勢必會增強企業(yè)或組織對數(shù)據(jù)安全落地的積極性，為數(shù)據(jù)安全行業(yè)提供新的助推引擎。