8月11日,工业和信息化部发布公告拟对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》(下称《标准体系指南》)公开征求意见。
制定说明总结了我国电信和互联网行业在现阶段的形势和挑战。在信息数据化的大趋势下,电信和互联网行业作为数据传输、产生的主要领域,无疑将面临最严峻、最复杂的数据安全问题。编制说明针对数据安全提出的涉及全生命周期、各环节的保护思路,无疑将是未来加强数据管理的方向所在。
由于数据安全是因技术发展驱动所带来的产业新问题,具有涉及环节多,领域多,相关环节和领域又各具特色的特点。因此,正如编制说明所介绍的,近年来已发布和制定中的百余项数据安全相关标准,但仍存在诸多体系性问题。
《标准体系指南》并不是具体的标准文件,而是对标准文件的统领和体系化分类的梳理。《标准体系指南》的提出有助于未来数据安全标准相关工作的合理发展,也有助于实现相关配套法律法规的落实。
本文拟对《标准体系指南》所涉及的相关内容进行梳理,并结合其中的重点问题从现行相关法律规定的角度加以解读。
一、标准体系指南的内容有助于标准的体系化并指引产业发展
《标准体系指南》按照基础共性、关键技术、安全管理、重点领域四个类别提出了电信和互联网行业数据安全标准体系框架、数据安全重点标准化领域及方向。在每个类别之内又对各自存在的共性技术内容作出了小类别的分类设计。对已经报批或送审的相应标准文稿按照大类别及小类别均在《标准体系指南》中进行了归类。
《标准体系指南》的此项设计至少在技术层面上,对数据的界定、管理以及运维处理等各个方面做出了清晰的梳理。在这种梳理之下,有助于对涉及数据相关问题的企业或实施管理的机构提供较为明确的指引。通过将相关业务内容与《标准体系指南》的分类进行对应,相应的数据业务主体可在此种指引下,更明确地对自身业务进行定位,并确定是否与标准相符合,解决了当前众多标准文件在使用时的体系性问题。
值得一提的是,《标准体系指南》结合新业务新场景,提出要重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,这一方向同时伴随着各项标准的细化有助于对未来相关重点领域的发展给出更合理的参考和指引。
可以说《标准体系指南》的提出,不仅充分认识到现有各项标准频出的现状,也从发展角度给出了对未来标准体系发展的指导。
二、数据安全相关法规与标准体系指南的相互配合值得期待
(一)《标准体系指南》的提出体现了与相关法律规定的结合
数据领域的相关发展与技术密切相关,从标准的制定和规范行业发展的角度,数据领域和传统技术相关产业具有一定的共通性。然而,数据领域的发展是未来涉及国家信息安全,具有国家战略意义的重要产业。因此,在标准的制定和体系建设方面,又体现出诸多需要与法律相互结合的新特点。这一点从《标准体系指南》的制定说明也可以看出,标准体系的建设不仅实现了对标准的梳理和体系划分,也是落实相应法律法规的举措。
《网络安全法》于2016年发布,2017年6月实施。随后在国家层面上接续发布了诸多涉及数据相关的标准文件,从技术角度对行业相关业务作出了规范。《标准体系指南》以及其他的标准并不是独立的技术标准,而是与相应法律法规深入结合,共同维系数据相关行业或产业发展的重要规范以及细化理解相关法律的重要参考依据。
关于《标准体系指南》与相应法律法规的结合体现于诸多方面。《网络安全法》第十五条提出“国家建立和完善网络安全标准体系。”而标准体系的提出,自然是对本条内容的落实。标准体系四个维度的类别划分,实际上也是《网络安全法》诸多内容的相应体现。例如,在基础共性方面,关于术语定义、数据安全框架、数据分类等级的划分就与《网络安全法》附则部分第七十六条关于术语的定义、第三章网络运营安全部分对数据提出的分类管理以及各自运营主体的划分等密切相关。再例如,在关键技术方面,将对数据处理所涉及到的采集、传输、存储、处理、交换、销毁等全生命周期,也与《网络安全法》网络信息安全,网络运营安全等章节的相关内容密切联系。
数据安全是一个覆盖面极广的概念性名词,不仅包含传统的商业或业务在引入数字化之后的新问题,也包含了诸多新型业务领域。在各个行业发展均在技术驱动下实现新发展的大背景下,《网络安全法》作为我国现阶段数据安全领域的统领性法律,显然无法覆盖具体业务的层层面面。为此,各项标准的配套实施,有助于将上位的法律规定在业务场景上具体化。而《标准体系指南》的提出则可以进一步在各项标准频出的阶段更好的与现有法律规定实现条块性的结合,相互之间的互动更有利于促进各个行业在符合法律规定的情况下有序发展。
除《网络安全法》之外,《标准体系指南》与现阶段尚处征求意见阶段的《数据安全法(草案)》也体出现一定的结合。例如,在《数据安全法(草案)》第三条中规定“本法所称数据,是指任何以电子或者非电子形式对信息的记录。数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”《数据安全法》(草案)对数据活动的相关规定与《标准体系》中对数据生命周期的相应划分也是相互呼应的。
(二)标准体系有助于配合相关法律法规实现有效的行业自律和监管
数据安全的相关法规以及标准建设,除了对行业发展有所指导之外,另一个重要作用在于,为行业的自律和监管提供了可参考的依据。《网络安全法》第十一条中规定“网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。”行业自律是为了规范行业行为,使行业参与者实现自我合规经营的发展模式。《体系建设指南》规定“安全管理标准从数据安全框架的管理视角出发,指导行业落实法律法规以及行业主管部门的管理要求”。并从五个角度(数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证)给出了监管者需要关注的视角。配合现行已经颁布的各项标准文件,可以针对相关行业实现多维度的全方位监管。
(三)“关键信息基础措施”随重点领域的细化将具有更明确含义
《体系建设指南》在“重点领域”部分对行业和数据应用的场景进行了领域划分。这些重点领域不仅领域新,而且是未来与数据发展和驱动密切相关的领域。在发展过程中不可忽略的一项就是对《网络安全法》中与“关键信息基础设施”相关的管理。
现阶段除了《网络安全法》外,我国还陆续发布了《关键信息基础设施安全保护条例(征求意见稿)》(下称《保护条例》)和《国家网络安全检查操作指南》(下称《操作指南》)。参考这些法律法规的相关内容,已对“关键信息基础设施”做出了不同层次的规定。例如,《网络安全法》第三十一条从宏观的行业划分和重要性的角度对可能涉及“关键信息基础设施”的范围做出规定,而《保护条例》和《操作指南》则给出了更多的范围阶段。
与目前的相关规定相互配套,在《体系建设指南》对“重点领域”进行划分后,如何对“关键信息基础设施”也可从领域角度给出更进一步的维度。进一步配合对“关键信息基础设施”的识别操作(例如《操作指南》中给出的三步法)更有助于对不同领域和行业实现更好的管理指引。
虽然对于关键信息基础设施的范围通过《保护条例》和《操作指南》得到了进一步明确,但是在《保护条例》第十九条中也明确规定“国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。”然而条例中提到的《关键信息基础设施识别指南》(下称《识别指南》)却一直处于待制定的过程中。
在此次《体系建设指南》的制定中特别对于5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能和区块链这九大子体系的标准有了更为明确的脉络和要求。虽然法律的强制性是标准所不能比拟的,但是法律的进一步规制以及实操性问题也是需要靠标准来解决的,《体系建设指南》中提到的标准也许可以成为国家行业主管或监管部门对于《识别指南》制定的一部分依据,从而使得《网络安全法》和《保护条例》等相关法律法规的实际运用得到保障。
三、结 语
在技术驱动之下,未来各个行业的发展可能都离不开数据。由此使得整个社会将进行生产要素全数据化。将数据安全上升到国家安全角度已不仅仅是一国的观点和口号。伴随长期趋势下的全球化发展和数据大范围流通,标准的指引与法律法规的结合必将成为我国未来对数据安全领域的主要管理手段。
由《体系建设指南》可以看出我国在数据领域的标准化进程中逐渐进入更为合理和规划性的发展阶段。配合相关法律法规的进一步完善,将更加有助于行业的发展。
数据安全标准体系评析及相关法律结合之解读
作者:潘俊林 王泽博 于越来源:兰台律师事务所

8月11日,工业和信息化部发布公告拟对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》(下称《标准体系指南》)公开征求意见。 制定说明总结了我国电信和互联网行业在现阶段的形势和挑战。