開展數(shù)據(jù)安全認證的意義及實施途徑
更新時間:2024-03-12 00:58:29 點擊次數(shù):440 次
隨著我國數(shù)字經(jīng)濟的快速發(fā)展����,數(shù)據(jù)已經(jīng)成為國家重要的基礎(chǔ)性��、戰(zhàn)略性資源���,數(shù)據(jù)對經(jīng)濟社會發(fā)展的帶動和引領(lǐng)作用日益顯現(xiàn)。根據(jù)《數(shù)字中國發(fā)展報告(2022)》��,2022年我國數(shù)字經(jīng)濟規(guī)模已經(jīng)達到50.2億��,位居世界第二���,且在GDP中的占比提升至41.5%���,但與此同時關(guān)于數(shù)據(jù)超范圍收集、違規(guī)使用��、缺乏有效保護措施等問題也引起社會廣泛關(guān)注�����。
為了發(fā)揮認證在規(guī)范數(shù)據(jù)安全管理方面的基礎(chǔ)性作用,2022年6月����、11月,國家市場監(jiān)管總局和國家互聯(lián)網(wǎng)信息辦公室先后聯(lián)合發(fā)出公告��,依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《認證認可條例》有關(guān)規(guī)定��,決定開展數(shù)據(jù)安全管理認證和個人信息保護認證工作�,鼓勵網(wǎng)絡(luò)運營者��、個人信息處理者通過認證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動�,加強網(wǎng)絡(luò)數(shù)據(jù)安全保護。數(shù)據(jù)安全管理認證和個人信息保護認證定位為國家推行的自愿性認證���,以第三方證明的方式證明企業(yè)的數(shù)據(jù)和個人信息處理活動符合法律法規(guī)和標準要求�����。
(一)有力推動相關(guān)法律規(guī)范落地見效
由第三方認證機構(gòu)依據(jù)有關(guān)國家標準�,通過文件評審��、現(xiàn)場核查、人員訪談等方式���,對網(wǎng)絡(luò)運營者的數(shù)據(jù)處理活動進行全面評價�,督促網(wǎng)絡(luò)運營者對數(shù)據(jù)處理方面存在的問題和不足做出優(yōu)化改進���,并通過持續(xù)性的證后監(jiān)督����,確保獲得認證的網(wǎng)絡(luò)運營者能夠持續(xù)符合法律法規(guī)和標準規(guī)范的要求��。特別是在認證實施過程中���,由第三方認證機構(gòu)系統(tǒng)檢視認證范圍內(nèi)業(yè)務所涉及數(shù)據(jù)處理活動相關(guān)的組織架構(gòu)�、制度流程以及技術(shù)管控措施�,逐項對照認證要求進行排查,對發(fā)現(xiàn)的問題即查即改�,實際上是網(wǎng)絡(luò)運營者實現(xiàn)對自身數(shù)據(jù)處理活動的綜合“體檢”,有利于進一步優(yōu)化數(shù)據(jù)安全管理和個人信息保護工作��,促進數(shù)據(jù)安全管理水平的提升�。
(二)有效提升數(shù)據(jù)安全和個人信息保護意識和能力
開展數(shù)據(jù)安全認證,充分發(fā)揮認證“傳遞信任�、服務發(fā)展”的本質(zhì)屬性�,使消費者更容易與網(wǎng)絡(luò)運營者建立信任關(guān)系��,從獲得認證的網(wǎng)絡(luò)運營者�、個人信息處理者中選擇安全可靠、放心透明的數(shù)據(jù)處理服務�,同時利用市場選擇機制,鼓勵網(wǎng)絡(luò)運營者不斷增強數(shù)據(jù)安全管理和個人信息保護主體責任意識����,不斷完善數(shù)據(jù)安全管理機制,從而不斷提升市場競爭力����。
(三)大力促進數(shù)據(jù)合理利用和便捷流動
認證是國際通行的質(zhì)量治理工具�,當前世界主要國家和地區(qū)均把實施認證作為保障數(shù)據(jù)安全、支撐數(shù)據(jù)跨境的重要手段����。作為國際通用“語言”,開展數(shù)據(jù)安全認證有利于加強國際交流與合作��,促進數(shù)據(jù)市場安全合理開放�,降低數(shù)據(jù)流動壁壘。
數(shù)據(jù)安全管理認證�,主要是依據(jù)GB/T 41479:2022《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》等有關(guān)國家標準��,對網(wǎng)絡(luò)運營者開展的收集�、存儲����、使用、加工��、傳輸���、提供��、公開等數(shù)據(jù)處理活動����,從數(shù)據(jù)����、技術(shù)基礎(chǔ)設(shè)施及過程和程序性措施等多個維度進行全面評價,證明其是否采取了必要措施以確保數(shù)據(jù)處于保護和合法利用狀態(tài)����。個人信息保護認證,以GB/T 35273《信息安全技術(shù)?個人信息安全規(guī)范》標準為基礎(chǔ)和通用評價要求���,突出了重在落實政策法規(guī)要求��、基線合規(guī)的特點�。針對個人信息跨境處理這一特殊情形,增加了《網(wǎng)絡(luò)安全標準實踐指南——個人信息跨境處理活動安全認證規(guī)范》的評價要求���,適應當前國際上普遍認同的在數(shù)據(jù)跨境傳輸方面應堅持的基本原則和理念����,目的是證明個人信息處理者個人信息跨境處理活動符合標準要求�,不因跨境提供而降低個人信息保護水平,促進數(shù)據(jù)的合規(guī)流動利用��。
開展數(shù)據(jù)安全認證����,要著重抓好以下工作:
一是做好統(tǒng)籌謀劃�,有序推動認證工作的實施。數(shù)據(jù)安全認證涉及的行業(yè)多�����、數(shù)量大��、社會關(guān)注度高,為了避免出現(xiàn)重復檢測�、重復認證、重復收費�,甚至買證賣證等亂象發(fā)生,有關(guān)認證監(jiān)管部門對從事數(shù)據(jù)安全認證的機構(gòu)要嚴格審核��、嚴格監(jiān)管�����,從源頭上規(guī)范數(shù)據(jù)安全認證行為����。
二是加強能力建設(shè),確保認證實施質(zhì)量和有效性���。要加強對技術(shù)驗證�、現(xiàn)場審核涉及基礎(chǔ)標準��、基礎(chǔ)理論���、基礎(chǔ)評價方法等的研究�,同時對評價項和判定方法進行及時調(diào)整更新,確保與最新的政策法規(guī)和安全要求保持一致���;要加強數(shù)據(jù)安全認證專用工具的研制���,在提升認證效率的同時,提高審核人員的專業(yè)能力����,降低評判尺度把握的差異化程度;要加強技術(shù)驗證機構(gòu)人員��、認證審核員的培訓和管理���,保證驗證質(zhì)量和審核質(zhì)量����,充分發(fā)揮傳遞信任的效能���。
三是發(fā)揮認證作用���,推動認證結(jié)果的采信�����。聯(lián)合地方政府、行業(yè)主管部門共同推動數(shù)據(jù)安全認證工作的深入實施���,加大認證結(jié)果在各項數(shù)據(jù)管理政策中的采信應用力度��,將認證作為支撐監(jiān)管的有力抓手��,不斷增加獲證網(wǎng)絡(luò)運營者的美譽度�。
四是抓好宣傳推廣����,營造認證良好氛圍。以網(wǎng)絡(luò)安全宣傳周���、全國信安標委宣傳周�、世界認可日等活動為契機��,加大數(shù)據(jù)安全管理認證制度和個人信息保護認證制度的宣傳推廣和政策解讀力度����,在網(wǎng)絡(luò)運營者、個人信息處理者中營造“懂認證��、做認證、用認證”的良好氛圍����。
五是加強國際交流與合作,適時推動認證結(jié)果互認���。密切跟蹤國際數(shù)據(jù)安全認證機制建立實施進展�����,加強與相關(guān)國際組織����、代表性機構(gòu)的交流合作���,適時推動數(shù)據(jù)安全認證結(jié)果的雙邊�、多邊互認�����,為跨國企業(yè)的數(shù)據(jù)流動合規(guī)提供便利�����。
