【小贝说安全】数安条例百问97、98:关于数据安全审计
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
解读
《条例》第五十八条提出,国家建立数据安全审计制度。可以从以下几个方面理解这一制度设计。
一、数据安全审计制度并非由《条例》首创,而是来自于《个人信息保护法》
《个人信息保护法》第五十四条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”
《个人信息保护法》第六十四条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”
但上述规定并没有交代两个重要问题:谁能开展数据安全审计、出具审计报告?审计报告作何用途?
还可以引出更细致的问题:“定期”是多长时间?数据安全审计标准是什么?
为此,有必要在《条例》中对数据安全审计制度进行展开,特别是对以上问题给出答案。
但客观上,回答这些问题并不容易。作为一项对社会有重大影响的崭新制度,其必然要经历一个相对较长的建设过程,故《条例》目前只是对此作出了原则性的规定。尽管如此,其仍对《个人信息保护法》作了三个方面的细化:
一是从“个人信息保护审计”扩展到了“个人信息保护”与“重要数据安全”审计。从审计制度应该发挥的作用看,这样做是有必要的。
二是通过《条例》第五十三条明确了特定场合下(即针对大型互联网平台)数据安全审计的内容,包括平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等。
三是在《条例》第五十三条要求,大型互联网平台运营者应当进行年度审计,并披露审计结果。这相当于对“定期”和审计结果用途作了进一步规定。
当然,以上的细化也还显不够。特别是,公众非常关心,数据安全审计机构的资格要求是什么?《个人信息保护法》对个人信息处理者的通用安全审计要求是内审还是外审?这些都有待进一步明确。
二、在数据安全审计提出之前,信息系统审计和网络安全审计早有先例,故当前建立数据安全审计制度并不突兀
审计发源于对财务活动的关切,但其延伸至IT领域可谓十分自然。随着信息化快速发展,信息系统的可靠性、安全性对一个单位的财务指标和整体运转构成重大影响。因此,在传统的财务审计基础上,逐渐产生了信息系统审计。
1969年,美国在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),这是目前全球最为知名的信息系统审计行业组织。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。
2001年1月,美国国家审计署(GAO)发布《联邦信息系统控制审计手册》(第一版)(FISCAM),为美国联邦政府实施信息系统审计提供了基本准则和方法;2009年2月发布第二版,该手册成为现阶段美国联邦政府实施信息系统审计的事实标准。
2002年7月,美国爆出安然公司和世通财务欺诈案后,紧急出台了《萨班斯法案》(SOX),其中404条款提出内部控制要求,推动了信息系统审计的快速发展。
与信息技术发达国家比较,我国信息系统审计起步较晚。自2000年前后开始,银行等金融企业自发开展信息系统内部审计,如在内部审计部门设置“IT审计处”,部分行业、上市公司在内审部也设有IT审计岗。此后,我国审计署开始逐步试水官方IT审计,目前已经取得了很多进展,网络安全审计制度也正在加快建设之中,后文将对此详细介绍。
总体而言,在IT领域针对重要关注事项建立严格意义上的专门审计制度,这本身有着强烈的社会需求,且早已有先例,在我国也已进入实践阶段。因此,作为信息系统审计的其中一种,数据安全审计并非无本之木,不是空穴来风。
三、审计制度与认证制度的区别
《条例》同时提及了数据安全审计与认证制度,并在多个条款中要求进行数据安全评估。在观察我国数据安全工作顶层设计时,如何理解三者的区别呢?
审计源于财务领域,是指由专职机构和人员,对被审计单位的财政、财务收支及其他经济活动的真实性、合法性和效益性进行审查和评价的独立性经济监督活动。认证则是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。两者的相同点是独立性,且都由经过审批的权威机构作出,结果均具有“背书”性质,可被后续相关决策所采信。
但如“百问百答”此前所述,认证的目标主要是证明产品、服务、管理体系这三类对象符合相关标准或规范,是一种合格评定活动,其实质是一种标准符合性验证(即按照标准逐项核对),认证结果主要供产品和服务交易方所采信。审计则不同,其关注对象是被审计单位的某种活动,核心是反映活动的真实性、合法性和效益性,且带有监督性质。因此,当需要对数据处理者的数据处理活动进行全面、客观反映,特别是关注其履行法律法规规定的责任义务情况时,应当优先采用审计手段。
评估则是对检测、检查、验证等活动的泛指,不强调活动主体的第三方属性,主体一般也不需要经过专门审批,评估依据往往也不严格指定。因此,相比审计与认证,一般而言评估结果的中立性、背书性质不是最佳的,但其形式灵活,在技术上有时候是最深入的。
四、当前数据安全相关审计业务的开展情况
目前,在国际一些知名会计师事务所的引领下,信息系统审计已经成为一种常态业务,且进一步细分出了网络安全审计等业务,主要在金融领域开展。作为对合规性最为关注的行业,近年来随着金融领域对个人信息保护要求的重视,很多机构正在尝试开展数据安全审计业务。
2020年3月,中国人民银行印发了金融行业标准《个人金融信息保护技术规范》。该规范提出,将个人金融信息保护纳入金融业机构内部安全审计工作,定期开展安全审计,形成审计报告,并根据审计结果完善制度、流程。虽然这是一种内部审计规定,尚不涉及外审,但意味着我国行业主管部门正式在技术规范中明确了个人信息保护审计的地位。
在金融业对个人信息保护强监管的趋势下,一些会计师事务所、律师事务所加大了对数据安全审计业务的探索。在信息系统审计中,无论是一个单位自己的内部审计,还是以审计为业的社会审计,抑或专司国家治理职能的国家审计,其根本之处就在于代表委托方,以审计为手段,对委托方所委托审计的信息系统控制的有效性做出公正、客观的判断,并向委托方报告审计发现。因此,在设计数据安全审计时,目前业内普遍遵循信息系统审计的方法论,即由专业审计人员根据国家法律法规、标准规范及企业内部控制要求,对数据安全治理、数据安全管理、数据生命周期安全(采集、传输、存储、处理、交换、销毁)、数据库安全等内容进行检查,确保组织数据得到安全控制,防范数据完整性、可用性遭到破坏以及发生数据泄露。
数据安全审计的主要目标是提高企业数据安全性和改善企业数据治理,审计方法主要包括问、查、看、测四种类型。
问,即询问法或访谈法,主要通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息,以便快速了解被审计对象的数据安全保护情况。
查,即查阅法或调查法,主要由审计人员通过对相关技术文档、记录等进行查阅,或通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析以获取审计证据。
看,即观察法,主要由审计人员观察被审计组织员工的职责履行情况以及业务操作程序等,对审计对象进行观察和分析,以获取审计证据。
测,即测试法,主要由审计人员通过对审计对象使用相关方法或工具使其产生预定的输出,以此来获取审计证据。
在具体审计过程中,测试法还主要包括:数据库漏洞扫描、数据脱敏有效性测试、数据质量测试(数据准确性、数据完整性、数据有效性、数据唯一性、数据一致性)等数据安全相关测试工作。但总体而言,数据安全审计方法仍在发展之中,特别是数据安全的合规审计更是新事物,还需要在实践中进行更多的摸索。
对应条款
第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
解读
重要数据安全保护是《条例》新提出的重要制度,故针对重要数据开展的安全审计自然也是首次提出,其位于《条例》第五十八条的第二款。那么,这个“首次”体现在什么地方呢?
最关键一点是,《条例》对重要数据审计的实施机构作了特殊规定,即只能由主管、监管部门组织实施。
这说明,鉴于重要数据对国家安全、公共利益的特殊意义,这类审计不能由社会机构实施,必须由官方组织。但是,这里的“主管、监管部门”是指行业主管、监管部门,还是数据安全主管部门?此外,国家审计署在其中是什么关系呢?
这一问题尚需《条例》在后续修改时进一步回答。从目前形势看,短时间内较难完整建立重要数据安全审计制度,但我国官方在IT审计和网络安全审计方面的工作历程可以为这项制度提供很好的借鉴。
2005年前后,我国审计署启动了信息系统国家审计的尝试和探索,但主要是与传统财务财政收支审计、经济责任审计和重大项目审计等结合在一起开展。2007年,审计署组织开展了信息系统审计试点工作,部分特派办和省审计厅逐渐在传统审计项目中开展信息系统审计。此后,国务院、银保监会、证监会、国资委等行政主管部门先后出台了多项要求本行业开展信息系统审计工作的政策文件,对推动各行业开展包括网络安全审计在内的信息系统审计工作起到较大的推动作用。
2008年上半年,审计署组织对多家大型央企集团开展了信息系统审计调查,第一次独立组织了信息系统审计项目。2010年,审计署颁布了《关于检查信息系统相关审计事项的指导意见》,提出了需重点关注信息系统相关审计事项的9个方面,并对信息系统审计的对象、内容及方法进行了明确。2012年,审计署颁布了《信息系统审计指南》(计算机审计实务公告第34号),各级审计机关参照指南相继开展了信息系统审计工作。2014年10月,《国务院关于加强审计工作的意见》(国发〔2014〕48号)提出“推进对各部门、单位信息系统安全性、可靠性和经济性的审计”。2016年,审计署印发《“十三五”国家审计工作发展规划》强调:加大对政府部门、国有企事业单位信息化建设项目及信息系统审计力度,促进国家大数据战略的顺利实施。
党中央国务院高度关注信息系统审计工作。2016年5月,国务院办公厅关于印发政务信息系统整合共享实施方案的通知提出,“开展常态化的政务信息系统和政务信息共享审计,加强对政务信息系统整合共享成效的监督检查”;“审计机关要依法履行职责,加强对政务信息系统的审计,保障专项资金使用的真实性、合法性和效益性,推动完善相关政策制度,审计结果及时报国务院。探索政务信息系统审计的方式方法”。2017年8月,中央印发《党委(党组)网络安全工作责任制实施办法》(厅字〔2017〕32号),要求“各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围”。2018年12月18日,审计署下发了《审计署关于印发加强信息系统审计工作指导意见的通知》(审数据发〔2018〕35号),要求根据党中央、国务院的有关要求,进一步加强信息系统审计工作。
2021年7月,中央公开了《党委(党组)网络安全工作责任制实施办法》,文件进入加速实施期,目前相关部门正在研究制定其中提出的网络安全审计制度。借此东风,重要数据安全审计制度料将加快推出。
下期预告
99
为什么要成立个人信息保护行业组织?
100
如何理解“附则”?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息?
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者?
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求?
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别?
62、为什么要单设“数据跨境安全管理”一章?
63、如何理解数据出境?
64、为什么在数据出境的“认证”条件中,要求数据接收方也要经过个人信息保护认证?
72、为什么要求境内用户访问境内网络时,流量不得被路由至境外?
73、为什么要求数据处理者按照国家数据跨境安全监管要求,建立健全相关技术和管理措施?
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗?
75、网络平台运营者的规则、隐私政策往往改动频繁,均需公开征求意见吗?
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系?
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求?
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系?
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任?
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制?
89、《条例》对大型互联网平台提出的审计与《个人信息保护法》是什么关系?
(文章来源:小贝说安全)