数据安全管理认证工作开展,规范与标准亟需完善

算法进化论李润泽子,实习生古宇星 2022-06-09 22:23
《个人信息保护认证实施规则》发布:构建与国际接轨的数据跨境流动认证制度

南方财经全媒体记者 李润泽子 实习生 古宇星 广州报道

据网信办官网6月9日消息,国家市场监督管理总局与国家互联网信息办公室联合发布了《关于开展数据安全管理认证工作的公告》,鼓励网络运营者通过认证方式规范网络数据处理活动,要求从事数据安全管理认证活动的认证机构按照《数据安全管理认证实施规则》(下称《规则》)实施认证。

受访专家告诉21世纪经济报道记者,此次出台的《数据安全管理认证实施规则》是落实《数据安全法》有关国家促进数据安全认证服务发展,支持数据安全认证专业机构依法开展服务活动的相关规定的务实举措。一方面,有助于引导各方主体依法依规,有序参与和开展数据安全认证工作,另一方面,有助于通过认证鼓励推动各方主体形成高水平的数据安全管理能力建设,培育和打造广泛的数据安全业务基础和生态基础。

推动数据安全管理能力建设

此次公布的《规则》中,将网络运营者认定为数据安全管理认证的主体。其阐述了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

据了解,数据安全管理认证指的是通过专门规定认证机构的认证模式、认证实施程序、认证证书和认证标志、认证责任等事项,实现对数据安全认证活动的规范管理。

中央财经大学数字经济与法治研究中心执行主任刘权指出,数据安全管理认证可以有效规范数据安全认证活动,减少数据安全风险,促进数字经济规范健康发展。

“数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免‘一刀切’的政府规制,可以满足社会公众多元的数据安全需求。”

21世纪经济报道记者发现,《规则》中还明确了认证实施程序,包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督等程序。

中央财经大学数字经济与法治研究中心执行主任刘权认为,在这之中尤其是需要重视“获证后监督”,因为数字科技变化多端,“认证即过时”可能是常态。

值得关注的是,《规则》提到,认证证书有效期为3年。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。此外,如若需要变更、注销、暂停和撤销认证证书,也需按《规则》进行申请。

在北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括看来,《规则》在程序层面,明确“技术验证+现场审核+获证后监督”的认证模式值得关注,将有助于各方准确理解认证的流程体系和工作环节,也有助于确保认证结果的权威性和实效性。

中央财经大学数字经济与法治研究中心执行主任刘权表示,数据已成为数字时代的关键生产要素,数据安全风险也日益增多。《规则》对认证模式、认证实施程序、认证证书和认证标志、认证责任等事项作了专门规定,有利于加强网络数据安全保护。

吴沈括认为,《规则》是落实《数据安全法》有关国家促进数据安全认证服务发展,支持数据安全认证专业机构依法开展服务活动的相关规定的务实举措。

“一方面,将有助于引导各方主体依法依规,有序参与和开展数据安全认证工作,另一方面,有助于通过认证鼓励推动各方主体形成高水平的数据安全管理能力建设,培育和打造广泛的数据安全业务基础和生态基础。”吴沈括说。

细化数据安全认证责任

值得注意的是,对于网络运营者进行数据安全管理认证的要求,《规则》用的仍是“鼓励”一词。

刘权认为,“鼓励”一词表明数据安全认证属于“自愿”的。在激烈的网络市场竞争中,互联网企业往往会主动申请认证,因为获得了认证标志就是给自己贴了一个好的标签,有利于获得更多的用户和商业机会。

此外,数据安全认证作为一项新兴活动,其规范与标准仍存在不足。

对此,刘权认为应从三方面进行完善:一是对数据安全认证机构的资质作出具体规定,保障认证的独立性和专业性;二是完善数据安全认证的透明度规定,减少商业腐败;三是细化数据安全认证的公法和私法责任。

而吴沈括则认为,数据安全认证不会是固化的机制,目前以国家标准《信息安全技术 网络数据处理安全要求》为核心已基本形成了数据安全认证工作的规则基础和评判标准,后续随着我国有关数据安全的法律和行政法规的进一步制定颁布,可以预见国家监管机关的细化要求以及技术产业实践的持续迭代等因素,将共同推动数据安全认证的不断革新和优化。

(作者:李润泽子,实习生古宇星 编辑:郭美婷)