《網絡數據安全管理條例(征求意見稿)》(“《條例》”)將數據安全的風險評估作為一項普遍和常態的風險控制和管理手段,這體現在《條例》對評估的多條款規定上。
整體而言,《條例》的評估可以分為年度評估和日常評估(定期、非定期)兩大類。在兩類下又針對一般事項和特定事項,進一步細化為若干評估。
當然如果體系化,還可以依據實施評估的主體,將評估區分為數據處理者啟動的評估和網信部門等監管機構發起的評估;以及《網絡安全法》以來就有所規定的自評估和外部第三方評估等等。一個初步細化后的評估分類體系主要歸納如下:
一、數據處理者基于業務需求發起的業務評估
此類評估一般為處理者自行發起,主要包括:
1、在境外“分析、評估境內個人、組織的行為” 的數據活動,……適用本條例。
《條例》此規定的評估,是數據處理者為業務需要發起的經營活動,非基于監管的強制性評估。但在某些具體的業務場景中,此條的評估可以細化為若干具體的強制評估,如下。
2、“數據處理者在采用自動化工具訪問、收集數據時,應當評估對網絡服務的性能、功能帶來的影響,不得干擾網絡服務的正常功能”。
此即一種具體的業務評估活動。即對于爬蟲類數據活動,需進行強制評估。盡管該評估不需直接報送監管或主管機構,但一般認為應在監管機構檢查中體現,并作為可能的年度評估(如為重要數據處理者)的重要組成部分。
3、“數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息”。
此為企業針對生物特征收集必要性進行的業務評估,與上段一樣為強制評估。
4、“互聯網平臺運營者利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動的,應當按照國家有關規定進行安全評估”。
此為針對平臺新技術、新應用的強制評估,例如目前《互聯網信息服務算法推薦管理規定》征求意見稿的算法評估要求,以及早先網信部門就新聞信息服務的評估規定。
二、數據處理者針對數據安全事件的調查評估
此評估規定主要指:“發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:……在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告”。
按照上述表述,該評估指的是發生數據安全事件(“傳統”意義上也屬于網絡安全或者信息安全事件的一個類別)后,就整個事件處置的調查報告。也正是從這個意義上,以及評估程序的前置性要求上,可以考慮避免使用評估字樣避免混淆。
三、企業和行業、領域實施的定期評估(定期的頻率未規定)
盡管嚴格講年度數據安全評估也屬于定期的評估,但不屬于本類定期評估。主要包括兩種情況:
1、企業發起的定期評估,指:“重要數據的處理者,應當……定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動”。
這一類定期評估,類似于《網絡安全法》對關鍵信息基礎設施運營者的額外義務要求。重要數據處理者通常會基于兩種緣由發起定期評估:(1)在企業數據安全的規章制度中明確風險評估的頻率和次數;(2)基于特定業務需要、監管要求發起的定期評估。因此與年度數據安全評估不同,也不能相互替代。
2、行業發起的定期評估是《條例》規定的:“主管部門應當定期組織開展本行業、本領域的數據安全風險評估,對數據處理者履行數據安全保護義務情況進行監督檢查,指導督促數據處理者及時對存在的風險隱患進行整改”。
這一類定期評估,在《網絡安全法》等中也有明確體現。實務中的對標包括兩年一度的最新一期為歐盟“網絡歐洲2020”的演習,一般認為是歐洲網絡與信息安全局(ENISA)牽頭,多行業參與。
四、針對平臺規則、云計算服務等的特定評估
主要包括兩類:
1、“日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意”。
之所以此條單列,主要是因為其提出了評估應當由“網信部門認定的第三方機構”進行,這就和認證認可條例等資質認證建立了聯系。換言之,企業通過聘請第三方協助進行的自評估的絕大多數情形,并無強制的認定資質要求。
2、其他特定評估,主要包括“國家機關和關鍵信息基礎設施運營者采購的云計算服務,應當通過國家網信部門會同國務院有關部門組織的安全評估”的情況,評估依據包括《云計算服務安全評估辦法》和其他可能適用的規定。
五、重要數據處理者等的實施并報送的年度數據安全評估
盡管《條例》對年度評估的主體和事項規定為:“處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門……”
但在該條第4款,對“重點評估”內容的表述的主體是“數據處理者”,這可能會產生是否所有的數據處理者都需要年度評估的疑惑。在我們仍然假定此處的數據處理者指的是處理重要數據或者赴境外上市的數據處理者的前提下,更關注的是其增加規定的重點評估的額外事項,并明確“評估認為可能危害國家安全、經濟發展和公共利益,數據處理者不得共享、交易、委托處理、向境外提供數據”——這里就可能隱含了一個對年度數據安全評估報告的監管“評價”活動。
六、網信部門實施的出境安全評估
出境評估屬于針對專門事項的特定評估,但立法者給與了更多條款關注。“數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:(一)通過國家網信部門組織的數據出境安全評估……并規定了在涉及重要數據、關鍵信息基礎設施、一百萬以上用戶的情形下,應當適用數據出境安全評估,而不能選擇”個人信息保護認證“或”標準合同“的方式。
值得注意的是,出境評估條款中還針對個人信息和重要數據區分規定了兩類”評估“,這體現出個人信息和重要數據在適用數據出境安全評估時的不同:
(1)”數據處理者向境外提供數據應當履行以下義務:(一)不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息……“,此條的評估指向《個人信息保護法》規定的個人信息保護影響評估。
(2)”數據處理者向境外提供數據應當履行以下義務:……(二)不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據“。
七、結論
評估作為風險控制、管理的機制,一般理解為事前、事中的前置或過程機制,而非事后報告機制,這在《條例》也得到體現。例如對出境事項,在事后提交的是”數據出境安全報告“而非評估報告。把握這一點,也有利于識別和準確應用《條例》規定的各類評估。
