等保2.0是怎么肥4?(003)| 数据安全与个人信息安全
在上一篇文章《等保2.0是这么肥4!(002)| 安全管理中心》中我们对等保2.0中的安全管理中心做了解读。本文是“肥4系列”的第三篇文章《等保2.0是怎么肥4(003)| 数据安全与个人信息安全》。
敲黑板!!!
什么是“等保2.0”,我们不仅要看发布的标准——《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等,还要看与等保2.0相关的上位法——包括《网络安全法》(下称“网安法”)及等级保护条例(征求意见稿)》(下称“网安等保条例”)。
“等保2.0”时代的法律法规、标准都在趋同。比如,他们不仅关注“网络安全”还关注“数据安全”。同时,“等保2.0”还在进一步演化,不仅重视“数据安全”,还特别重视“个人信息安全”。
一、个人信息安全
“网安法”大家都很了解,其中的数据安全主要体现在个人信息保护上,并用大篇幅对个人信息进行了规制。
2018年6月24日,公安部颁布了“网安等保条例”。该“网安等保条例”的一大亮点就是,解决了网安实务中看重网络安全、看轻数据安全的怪现象——“网安法”合规与等保交给IT处理,与法务和合规没有关系。
“网安等保条例”扭转了这个局面,其明确要求网络运营者应当建立并落实“重要数据和个人信息安全保护制度” 。并且该条例第四条还明确规定:网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
这一条也非常明确地告诉我们:如果你的网络收集、储存、传输或者用其他方式处理数据的,《网安等保条例》就适用你!同时从某种程度上印证了我们的一个观点:数据的保护和合规不能头痛医头、脚痛医脚——今天出了一个管数据X的规定只去管X、明天出了一个管数据Y的规定只去管Y——相反,我们既应当考虑不同数据对于同一平台的不同合规要求(个人信息、国家秘密、竞争情报、商业秘密、重要数据等对于网络的不同要求或者对于网络脆弱程度的不同考量);我们也应当考虑同一数据的不同合规特性(比如地理测绘数据既是商业秘密同时又是国家机密,再比如定价机制既是商业秘密又是竞争情报)。另外,企业还必须考虑不同利害关系方因为网络的脆弱(vulnerability)而所可能遭受的不同损害。
“网安等保条例”的另一亮点就是加入了合规管理、风险防控的概念——合规管理最终一定要落实到风险防控,没有对风险的控制,合规不能落实到实处——风险不防控、合规一场空。
关于风险防控,《网安等保条例》第四条提出了网络安全等级保护的三个原则:突出重点、主动防御、综合防控。这与我们为某世界著名互联网搜索引擎公司针对其“无人驾驶智能网联项目”所提出的风险管控三原则也是不谋而合,它们是:风险穿透、主动管理、联合管理。
二、等保2.0标准
接下来,我们再回过头来看“肥4系列”的主角——等保2.0标准。等保2.0标准与《网安法》及《网安等保条例》遥相呼应,加强了对数据安全的保护,尤其是明确了“个人信息保护”的相关要求。
从等保1.0标准来看,数据分为了系统管理数据、鉴别信息和重要业务信息,对其完整性、保密性进行保护。但是等保2.0标准更进一步,特别强调了“重要个人信息”,加强了个人信息在数据完整性、保密性中的戏份。
其次,在等保2.0时代,个人信息保护成为等保的一个控制点。《信息安全技术 网络安全等级保护基本要求》(以下简称“等保基本要求”)在安全计算环境(安全技术要求)控制项下增加了个人信息保护控制点,具体要求为:
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访间和非法使用用户个人信息。
换句话说,公司要从技术层面来控制个人信息的采集、保存、访问和使用,如果没有做到,这将会成为等级测评中的一个丢分项。
三、风险防控
大家不要小看“等保2.0”看重数据安全的重大意义,它背后的重要意义在于,在网络安全下,我们既要看操作风险,又要看法律合规风险和欺诈风险。但在实务中,存在着很多误区:
误区1:网络安全只交给IT来做(只看重“网络安全”,不看重“数据安全”)
误区2:只看到法律合规风险,看不到欺诈风险与操作风险
误区3:只看到风险stand alone,看不到风险的叠加
误区4:隐私数据合规不做风险的识别与评价,越左越安全,不惜牺牲正常的商业模式和商业活动
误区5:眼中只看到风险,看不到机遇;风险管理与业务发展脱节
总结:
l 再次敲黑板,做好等保就要把《网安法》、《网安等保条例》等法律法规以及等保2.0标准结合起来。
l 不仅要实现网络安全、还要实现数据安全,尤其是个人信息安全。
l 既要管控操作风险,同时还要管控法律合规风险和欺诈风险,避免步入五大误区。
关于等保和隐私数据合规业务,您有任何服务需求的也请与陈立彤律师联系。陈立彤律师是“全球智能网联论坛”首席数据合规顾问,该论坛的运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组公司成员——该工作组负责起草的标准之一是《信息安全技术 个人信息安全规范》。陈立彤律师团队是中国为数不多的可以通过等保咨询服务帮助客户获得《信息系统安全等级保护备案证明》的团队。
以下是陈立彤律师团队所做的过往培训以及即将做的新的培训:
等保进入2.0时代!5月23日大成上海分享会直奔主题,大家千万不要迟到!
等保进入2.0时代!5月23日大成上海分享会直奔主题,大家千万不要迟到!
(点击上文,免费参与培训)
——END——
中国合规网培育、倡导合规文化,以文化的软约束和持久力维持、提升合规效果,是中国权威的合规教育培训、人力资源输送、合规评估认证平台。中文官网:Complianceinchina.com; 英文官网:Compliance.reviews。“合规”及“调查”是中国合规网旗下官方认证公众号,相关栏目由北京大成(上海)律师事务所高级合伙人陈立彤律师主持。陈立彤律师是大成上海办公室高级合伙人、中国律师、美国纽约州律师、福特公司前亚太区合规总监、香港国际仲裁中心仲裁员、国际风险与合规协会副会长(Deputy Chairman of International Risk and Compliance Association)、中国企业文化促进会合规文化工作委员会会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长;著有《商业贿赂风险管理》、《企业国际化中合规风险的爆发与防控》(即将出版);担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”。陈律师的业务包括协助中国某大型央企建设全球合规管理体系、为全球最大的搜索引擎公司的无人驾驶项目提供法律服务、为众多国内外企业提供合规法律服务、公司服务、争议解决。陈立彤律师是“全球智能网联论坛”首席数据合规顾问,该论坛的运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组公司成员——该工作组负责起草的标准之一是《信息安全技术 个人信息安全规范》。陈立彤律师的联系方式:
henry.chen@dentons.cn
长按二维码关注我们
点击阅读原文加入“中国企业文化促进会合规文化工作委员会”