構(gòu)建數(shù)據(jù)安全檢測(cè)認(rèn)證體系

魏 昊

數(shù)據(jù)作為一種新生產(chǎn)要素，已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源，與國(guó)家主權(quán)、社會(huì)秩序和公共利益息息相關(guān).沒(méi)有數(shù)據(jù)安全就沒(méi)有國(guó)家安全.《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》)和《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》)的陸續(xù)發(fā)布有助于提升國(guó)家數(shù)據(jù)安全保障能力，有效應(yīng)對(duì)數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國(guó)家安全風(fēng)險(xiǎn)與挑戰(zhàn)，切實(shí)維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益.這2部法律均提出支持專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全檢測(cè)、認(rèn)證服務(wù)，當(dāng)前急需加強(qiáng)數(shù)據(jù)安全檢測(cè)認(rèn)證體系建設(shè)，支撐國(guó)家數(shù)據(jù)安全管理.

認(rèn)證作為國(guó)際通行的市場(chǎng)監(jiān)督管理手段，在全球數(shù)據(jù)安全治理中被普遍采用.隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布實(shí)施，為貫徹落實(shí)有關(guān)認(rèn)證工作要求，有力支撐數(shù)據(jù)安全監(jiān)管，高效服務(wù)數(shù)字經(jīng)濟(jì)發(fā)展，如何科學(xué)構(gòu)建數(shù)據(jù)安全認(rèn)證體系、扎實(shí)推進(jìn)數(shù)據(jù)安全認(rèn)證制度實(shí)施、加強(qiáng)數(shù)據(jù)安全認(rèn)證能力建設(shè)，成為當(dāng)前迫切的工作.

1 數(shù)據(jù)安全治理引起高度關(guān)注，數(shù)據(jù)安全檢測(cè)認(rèn)證工作陸續(xù)開(kāi)展

為加強(qiáng)數(shù)據(jù)安全保護(hù)，檢測(cè)認(rèn)證工作從法規(guī)制度建設(shè)、突出問(wèn)題集中整治、檢測(cè)認(rèn)證項(xiàng)目規(guī)劃等方面積極推進(jìn)：一是相關(guān)法律法規(guī)對(duì)檢測(cè)認(rèn)證工作作出了制度性安排.《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》提出，促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專(zhuān)業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)，并將認(rèn)證作為個(gè)人信息處理者向境外提供個(gè)人信息的一種方式；二是相關(guān)部門(mén)針對(duì)當(dāng)前影響范圍廣、危害程度深、群眾反映強(qiáng)烈的數(shù)據(jù)安全和個(gè)人信息保護(hù)問(wèn)題，制定發(fā)布相關(guān)規(guī)定，開(kāi)展專(zhuān)項(xiàng)治理，產(chǎn)生廣泛影響并取得了顯著成效；三是國(guó)家層面的數(shù)據(jù)安全認(rèn)證制度逐步推出，根據(jù)中央網(wǎng)信辦等四部委關(guān)于APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作部署，市場(chǎng)監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布APP安全認(rèn)證制度，作為APP個(gè)人信息保護(hù)治理的長(zhǎng)效機(jī)制和舉措，有效傳導(dǎo)了政策法規(guī)標(biāo)準(zhǔn)要求，規(guī)范了APP處理個(gè)人信息活動(dòng)，滿(mǎn)足了市場(chǎng)希望權(quán)威第三方機(jī)構(gòu)通過(guò)客觀評(píng)估、傳遞信任的迫切需求，同時(shí)，為規(guī)范網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)處理活動(dòng)，數(shù)據(jù)安全管理認(rèn)證制度建設(shè)也在積極推進(jìn)；四是為滿(mǎn)足市場(chǎng)數(shù)據(jù)安全檢測(cè)認(rèn)證需求，部分第三方機(jī)構(gòu)依據(jù)國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，推出相應(yīng)的檢測(cè)認(rèn)證項(xiàng)目，如依據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC 27701隱私信息安全管理體系和ISO/IEC 27018公有云個(gè)人可識(shí)別信息保護(hù)體系、國(guó)家標(biāo)準(zhǔn)GB/T 37988 數(shù)據(jù)安全能力成熟度模型、金融行業(yè)標(biāo)準(zhǔn)等推出的檢測(cè)認(rèn)證項(xiàng)目.

2 數(shù)據(jù)安全檢測(cè)認(rèn)證工作急需頂層設(shè)計(jì)，標(biāo)準(zhǔn)制訂、驗(yàn)證能力提升等關(guān)鍵點(diǎn)有待突破

在積極推進(jìn)數(shù)據(jù)安全檢測(cè)認(rèn)證工作的同時(shí)，尚需加強(qiáng)制度體系設(shè)計(jì)、認(rèn)證依據(jù)標(biāo)準(zhǔn)制定、評(píng)價(jià)方法和工具開(kāi)發(fā)、檢測(cè)認(rèn)證機(jī)構(gòu)管理等工作：一是數(shù)據(jù)安全認(rèn)證制度體系頂層設(shè)計(jì)不足，缺乏數(shù)據(jù)安全認(rèn)證工作頂層指導(dǎo)性文件，就統(tǒng)籌建設(shè)數(shù)據(jù)安全認(rèn)證制度體系、加強(qiáng)數(shù)據(jù)安全認(rèn)證制度和其他數(shù)據(jù)安全管理制度有效銜接、建立數(shù)據(jù)安全認(rèn)證結(jié)果采信機(jī)制等作出安排；二是數(shù)據(jù)安全檢測(cè)認(rèn)證依據(jù)標(biāo)準(zhǔn)缺乏，尚未形成覆蓋數(shù)據(jù)安全管理、服務(wù)、產(chǎn)品、人員等領(lǐng)域的標(biāo)準(zhǔn)體系，缺少個(gè)人信息保護(hù)認(rèn)證等急需推出認(rèn)證項(xiàng)目的依據(jù)標(biāo)準(zhǔn)，現(xiàn)有標(biāo)準(zhǔn)大多側(cè)重于規(guī)范要求，而檢測(cè)指標(biāo)和方法偏少；三是數(shù)據(jù)安全檢測(cè)認(rèn)證專(zhuān)用工具缺乏，自動(dòng)化水平不高，數(shù)據(jù)安全檢測(cè)活動(dòng)當(dāng)前存在客觀性測(cè)量指標(biāo)項(xiàng)占比不高、數(shù)據(jù)處理活動(dòng)個(gè)性化特點(diǎn)明顯、數(shù)據(jù)流動(dòng)同業(yè)務(wù)緊密聯(lián)系等特點(diǎn)，檢測(cè)認(rèn)證過(guò)程較為依賴(lài)文件審核、現(xiàn)場(chǎng)查驗(yàn)、溝通訪談等方式；四是部分機(jī)構(gòu)推出的檢測(cè)認(rèn)證項(xiàng)目以迎合客戶(hù)商業(yè)推廣、避免合規(guī)風(fēng)險(xiǎn)等市場(chǎng)需求作為初衷，未能很好地實(shí)現(xiàn)貫徹落實(shí)法規(guī)標(biāo)準(zhǔn)要求、支撐主管部門(mén)監(jiān)管、引導(dǎo)企業(yè)規(guī)范數(shù)據(jù)處理活動(dòng)的目的.

3 構(gòu)建統(tǒng)一的數(shù)據(jù)安全檢測(cè)認(rèn)證體系，支撐數(shù)據(jù)安全監(jiān)管，服務(wù)數(shù)字經(jīng)濟(jì)發(fā)展

為發(fā)揮數(shù)據(jù)安全檢測(cè)認(rèn)證制度作用，支撐數(shù)據(jù)安全治理，促進(jìn)數(shù)據(jù)經(jīng)濟(jì)發(fā)展，急需加強(qiáng)數(shù)據(jù)安全檢測(cè)認(rèn)證體系建設(shè)，完善數(shù)據(jù)安全檢測(cè)標(biāo)準(zhǔn)體系，推進(jìn)數(shù)據(jù)安全認(rèn)證技術(shù)能力建設(shè)，積極探索數(shù)據(jù)安全認(rèn)證國(guó)際互認(rèn)機(jī)制：一是制定頒布數(shù)據(jù)安全認(rèn)證工作管理政策文件，規(guī)范數(shù)據(jù)安全檢測(cè)認(rèn)證活動(dòng)，統(tǒng)籌建設(shè)數(shù)據(jù)安全檢測(cè)認(rèn)證工作體系，科學(xué)有序開(kāi)展認(rèn)證項(xiàng)目規(guī)劃實(shí)施，強(qiáng)化認(rèn)證機(jī)構(gòu)和檢測(cè)實(shí)驗(yàn)室管理，建立認(rèn)證制度同其他數(shù)據(jù)安全制度的銜接及認(rèn)證結(jié)果采信機(jī)制；二是加快推進(jìn)數(shù)據(jù)安全檢測(cè)認(rèn)證依據(jù)標(biāo)準(zhǔn)制定，優(yōu)先考慮認(rèn)證體系規(guī)劃的重點(diǎn)領(lǐng)域，快速推進(jìn)急需的個(gè)人信息出境認(rèn)證依據(jù)標(biāo)準(zhǔn)，加強(qiáng)檢測(cè)認(rèn)證評(píng)價(jià)指標(biāo)和方法類(lèi)標(biāo)準(zhǔn)的研制工作，逐步健全數(shù)據(jù)安全檢測(cè)認(rèn)證標(biāo)準(zhǔn)體系；三是強(qiáng)化數(shù)據(jù)安全檢測(cè)認(rèn)證技術(shù)能力建設(shè)，依托有關(guān)國(guó)家科研專(zhuān)項(xiàng)，構(gòu)建數(shù)據(jù)安全評(píng)價(jià)基礎(chǔ)理論和模型，研發(fā)數(shù)據(jù)安全評(píng)價(jià)關(guān)鍵技術(shù)，建設(shè)數(shù)據(jù)安全檢測(cè)認(rèn)證管理平臺(tái)和專(zhuān)用工具，充分發(fā)揮能力比對(duì)驗(yàn)證機(jī)制作用，增強(qiáng)檢測(cè)認(rèn)證工作的一致性，加強(qiáng)數(shù)據(jù)安全檢測(cè)認(rèn)證人員隊(duì)伍建設(shè)和管理；四是積極探索構(gòu)建數(shù)據(jù)安全認(rèn)證國(guó)際互認(rèn)機(jī)制，積極參與并推進(jìn)數(shù)據(jù)安全認(rèn)證國(guó)際互認(rèn)制度規(guī)則建設(shè)，加強(qiáng)國(guó)際數(shù)據(jù)跨境流動(dòng)安全標(biāo)準(zhǔn)制定，適時(shí)推動(dòng)成熟項(xiàng)目開(kāi)展互認(rèn)合作，充分發(fā)揮認(rèn)證制度支撐數(shù)據(jù)跨境流動(dòng)監(jiān)管作用的同時(shí)，實(shí)現(xiàn)便利國(guó)際經(jīng)貿(mào)合作、降低交易成本的目標(biāo).