【小贝说安全】数安条例百问89、90:关于大型互联网平台审计与新技术评估
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
解读
《个人信息保护法》有两个条款提到审计。
一是第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”
二是第六十四条:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”
《条例》第五十三条也对审计作了规定,其与《个人信息保护法》的关系有以下几个方面:
一、《条例》所提审计要求与《个人信息保护法》不冲突。落实第五十三条要求前,应当首先遵循《个人信息保护法》相关要求。
二、《条例》所提审计要求是针对大型互联网平台运营者的。按照《条例》在“附则”中给出的定义,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。这也可以解释,为什么《条例》第五十三条的审计要求要比《个人信息保护法》严格。
三、《条例》明确,大型互联网平台运营者的数据安全审计是第三方审计。《个人信息保护法》第五十四条并未对审计的实施主体进行说明,其完全可以是企业自身,即这种审计可以是内审。但《个人信息保护法》第六十四条则规定,如履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。显然,作为处罚手段之一,后者属于外部第三方审计。但这种第三方审计活动并不一定常发生,这毕竟是一种罚则。但《条例》则将大型互联网平台运营者的审计明确为一种常态(每年一次)。
四、《条例》所提审计比《个人信息保护法》规定的审计内容要多。后者只是审计个人信息处理活动,而前者则同时覆盖个人信息和非个人信息,且要求审计平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况。
五、《条例》增加了披露审计结果的要求。一般而言,审计报告含有较多的企业敏感信息,不宜公开。即使公开,也有个详略程度的问题。但企业的数据处理情况涉及公民个人权益和公共利益,有必要通过公布数据安全审计报告而引入社会监督机制,这也是企业履行社会责任的一种方式。
对应条款
第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
解读
新技术新应用往往带有不可预测性,其如果盲目上线运行,可能对国家安全和公共利益带来重大安全风险。为此,早在2010年,根据有关文件精神,工业和信息化部便提出了建立新技术新业务网络信息安全评估机制的工作安排。中央网信办成立后,鉴于有的互联网新技术新应用很可能对互联网信息内容安全管理手段带来冲击,国家网信部门也开始提出对新技术新应用的安全要求。
2017年6月,工业和信息化部印发了《互联网新业务安全评估管理办法(征求意见稿)》。而在此前的2016年,工业和信息化部已经通过了行业标准YD/T 3169-2016《互联网新技术新业务信息安全评估指南》。该标准后来修订为YD/T 3169-2020《互联网新技术新业务安全评估指南》。此外,中国信息通信研究院还建立了互联网新技术新业务安全评估中心,具体负责相关技术工作。
在信息内容安全方面,国家互联网信息办于2017年10月印发了《互联网新闻信息服务新技术新应用安全评估管理规定》;2018年11月,国家互联网信息办、公安部联合印发了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,目的是加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理;2019年8月,国家互联网信息办发布公告,对《区块链信息服务管理规定》第九条“区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估”的要求进行了解释,要求区块链服务机构自行委托已获认证认可的技术机构开展安全风险自评估;2021年3月,国家互联网信息办、公安部发布了《加强对语音社交软件和涉深度伪造技术的互联网新技术新应用安全评估》,以指导各地网信部门、公安机关加强对语音社交软件和涉“深度伪造”技术的互联网新技术新应用安全评估工作。
在上述实践基础上,《条例》将新技术新应用安全评估工作上升为法规的规定,以便为政府部门的有关活动提供上位法依据。考虑到《条例》的定位,其强调了利用新技术开展数据处理活动的行为,并重点突出了人工智能、虚拟现实、深度合成等可能对国家政治安全、社会安全、军事安全等带来重大影响的新技术新应用。
下期预告
91
如何理解数据安全管理中的部门职责分工?
92
如何理解行业主管监管部门的数据安全职责?
93
什么是行业、领域的数据安全规划?
94
如何理解主管部门对数据安全的风险评估、监督检查?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求?
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别?
62、为什么要单设“数据跨境安全管理”一章?
63、如何理解数据出境?
64、为什么在数据出境的“认证”条件中,要求数据接收方也要经过个人信息保护认证?
72、为什么要求境内用户访问境内网络时,流量不得被路由至境外?
73、为什么要求数据处理者按照国家数据跨境安全监管要求,建立健全相关技术和管理措施?
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗?
75、网络平台运营者的规则、隐私政策往往改动频繁,均需公开征求意见吗?
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系?
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求?
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系?
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任?
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制?
(文章来源:小贝说安全)
