文│華為技術有限公司 劉海軍
随着《網絡安全法》《資料安全法》《個人資訊保護法》的陸續釋出與實施,企業作為合規主體,需要在内部落實責任,建立合規管理組織,建構網絡安全與資料安全治理和管理體系,開展合規管理與風險控制工作,確定企業業務營運的安全合規。在企業開展這些工作的過程中,需充分認知資訊安全、網絡安全、個人資訊保護、資料安全的内涵和合規要求之間的内在聯系,從企業組織和責任視角思考如何更好地落實網絡安全和資料安全合規治理。
一、從資訊安全、個人資訊保護到資料安全的内涵演進
早在《資料安全法》《個人資訊保護法》之前,在企業資訊化建設的同時,從保護企業自身的資訊資産安全的角度出發,大多數企業也都開展了資訊安全工作,标志性的管理實踐是建構以國際标準 ISO/IEC 27001 和 27002(前身是 BS7799)/國家标準 GB/T 22080 和 22081 為基礎的資訊安全管理體系。此時,資訊安全的内涵基本上就是國際标準 ISO/IEC 27000/ 國家标準 GB/T 29246 對資訊安全的定義:對資訊的保密性、完整性和可用性的保持。
随着基于網際網路面向消費者業務的大發展,大量個人資訊被各網際網路企業掌握和使用,僅保護資訊的安全性已經不夠。歐洲《通用資料保護條例》(GDPR)(包括之前各國頒布的個人資料保護法)、中國《個人資訊保護法》對個人資訊保護的内涵進行了擴充,強調在保障個人資訊安全的同時,還要保護作為資料主體的個人享有個人資訊的衆多權益,如知情權、決定權、限制/拒絕權、查閱/複制權、可攜帶權、更正/補充權、删除權等。個人資訊權益保護建立在個人資訊安全基礎上,企業管理體系建設也是如此,例如在ISO/IEC 27001 資訊安全管理體系(ISMS)基礎上建立 ISO/IEC 27701 隐私資訊管理體系(PIMS)。
中國的《資料安全法》作為資料領域的綜合性立法,将資訊或資料保護的内涵與外延做了更豐富的擴充。《資料安全法》第 3 條規定:“資料安全是指通過采取必要措施,確定資料處于有效保護和合法利用的狀态,以及具備保障持續安全狀态的能力。”第 21 條規定:“根據資料在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法擷取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對資料實行分類分級保護。”
可以看出,資料安全内涵的擴充既展現在對保護利益的擴充,也展現在對防範威脅或限制對象的擴充。可見,資料安全擴充到“二層四維”(見圖 1)(或者将國家和社會次元合并後為“二層三維”)。
圖 1 資料安全内涵拓展至二層四維
“二層”是指資料保護“防黑”和資料利用“律己”。第一層是上圖中内圈的資料保護,對應《資料安全法》第三條定義中的“有效保護”,對應的威脅是第 21 條中描述的“篡改、破壞、洩露”,這與傳統資訊安全工作中資料的保密性、完整性、可用性相對應。在這一層,考慮的是對資料的威脅,防範的威脅來源主要是黑客,也包括内鬼,可以稱之為“防黑”,這是資料安全的基礎。第二層是上圖中外圈的資料利用,對應《資料安全法》第 3 條定義中的“合法利用”,對應的威脅是第 21 條中描述的“非法擷取、非法利用”,這正是資料時代的新課題,要利用好資料,但又不能亂用。在這一層,考慮的是資料對外部的影響,限制的是組織自身的行為,從企業角度可以稱之為“律己”,包括在擷取和利用資料方面遵守法律法規、尊重社會公德和倫理、遵守商業道德和職業道德。
“四維”是指資料利用時要保障國家、社會、組織和個人四個次元的權益。“四維”對應《資料安全法》第 21 條中表述的“國家安全、公共利益或者個人、組織合法權益”。四個次元分别有不同的重要性和影響程度判斷标準。從國家或社會次元看,考慮的是國家安全和公共利益,依據影響程度可以将資料分級為核心資料、重要資料和一般資料,因管理屬性相同,從企業合規管理角度看,國家和社會也可以合為一個次元(合并後為“三維”)。從個人次元看,考慮的是個人權益,依據個人資訊的影響程度将其分為敏感個人資料、一般個人資料。從組織次元看,考慮的是組織自身的利益。依據價值及影響程度,通常企業内部也分别采取多個等級劃分,例如有些企業将資料分為絕密、機密、秘密不同等級。但是,四個次元的影響也并非界限分明,有時同一批資料會同時産生多個次元的影響。資料對權益的影響有可能從組織和個人次元上升至國家或社會次元,例如海量個人資訊的資料挖掘分析結果、部分影響國家安全和公共利益的企業商業秘密(如政府和軍工機關客戶清單、未公開的産品和服務采購情況)等。相關情況在國家标準《資訊安全技術 重要資料識别指南》(征求意見稿)中都有規定。
表 1 資料安全内涵的演進
資訊安全、個人資訊保護和資料安全的内涵、保護範圍、可參考的管理體系标準都有所不同(見上表)。“二層四維”在理論上使資料安全的覆寫面較廣,但是在企業的實踐中,很多工作并非從零開始。在具體工作中,企業需要重點關注有差異的增量部分。是以,在很多涉及資料安全的場合,企業需要更多關注新擴充出的第二層資料的合法擷取和合法利用,以及對國家安全和公共利益次元的考慮。
二、從網絡安全到網絡(空間)安全的内涵演進
在很長一段時間,網絡安全(network security)要麼和資訊安全并列,要麼作為資訊安全的基礎支撐部分,例如在資訊安全管理體系的控制集中的網絡安全(network security)管理子集。随着網際網路的廣泛使用,網絡也從效率工具成為數字化社會的基礎設施,原有資訊安全或者網絡安全的概念都不足以覆寫數字化時代的需求。例如,制定 ISO27000 系列國際标準的組織 ISO/IEC JTC1 SC27 的名稱從以前的資訊安全(information security)分技術委員會,變更為資訊安全、網絡安全和隐私保護(information security,cybersecurity and privacy protection)分技術委員會,在最初資訊安全的基礎上增加了對網絡(空間)安全和隐私保護的關注。
表 2 網絡安全内涵的演進
從國際和國家标準中網絡安全、早期的網絡(空間)安全概念到最新的網絡(空間)安全概念的變化(詳見表 2)可以看出,ISO 标準對網絡(空間)安全的新定義是“保護人、社會、組織和國家免受網絡風險”,這相對于以前的定義,在對保護對象和威脅來源的認知和理念上發生了巨大變化。從傳統的資訊安全/網絡安全理念看,保護對象是資訊和網絡,威脅來源是實體世界(黑客、内鬼、災害等)。從新的網絡(空間)安全理念看,保護對象是實體世界(人、組織、社會和國家),威脅來源是網絡空間。當然,“威脅來源是網絡空間”是直接表現,其背後最終的源頭還是來自實體世界,但是這一概念反映出的是網絡空間對這一威脅的放大,一定程度就是網絡空間獨有或更嚴重的威脅。例如。網絡詐騙的最終威脅源頭還是來自實體世界的人,但是,網絡詐騙和傳統詐騙不同的是,基于網絡空間資料洩露、利用個人資訊畫像等問題而引發讓人更難防範的精準性、批量性。
從資料安全與網絡(空間)安全内涵的演進可以看出,國内、國際兩個層面的認知和理念是一緻的。首先,兩個層面都将保護的目标從對資料或網絡本身的影響擴充到資料或網絡的外在影響;其次,受影響的對象都考慮到國家、社會、個人群組織四個次元,都反映了數字化時代網絡安全工作面臨的新問題和新挑戰。
三、從企業合規視角了解資料安全與網絡安全治理
以往企業在提到資訊安全時,經常指的是資訊安全管理,但是在提到網絡安全時,特别是從自上而下的視角,常常用“治理”而不是“管理”。在個人資訊保護、資料安全、人工智能等領域,通常也指的是治理。那麼,這裡為什麼要說治理而非管理呢?
要了解為什麼要治理,首先要了解一個來自經濟學領域的重要概念外部性(externality),又稱為溢出效應、外部影響,是指一個人或一群人的行動和決策使另一個人或一群人受損或受益的情況。在這種情況下,組織和個人開展活動的成本與後果并不完全由該行為人承擔。
從傳統看,企業做資訊安全工作,保護的是自身的利益,防範的威脅來源主要是外部攻擊者、内鬼或災害等。從組織視角看,上、下各層級利益是一緻的。
對于個人資訊、資料安全,根據前面的分析,防範的威脅歸結為兩層,一層是和資訊安全一樣的“防黑”工作,另一層需要注意的是,組織自身群組織外、組織内不同層級間、不同部門間的利益目标可能是不一緻的,例如怎樣擷取資料或怎樣利用已有的資料。如果處置不當,有可能此處的獲益會造成彼處的利益受損。這與黑客未被授權而竊取資料行為不同,企業内部對資料的擷取、使用被認為是在企業授權下的業務行為。是以,在企業内部必須對自己的行為進行限制,不僅僅是遵守明确的法律法規,甚至還包括道德倫理、公序良俗方面的未必有明确規則的限制,這對應前面提到的“律己”。這種情況涉及對不同利益方向之間的協調和監督,常常需要治理而非管理。
四、從企業組織和責任視角綜合性地落實網絡安全與資料安全治理
在網絡安全與資料安全領域,從頂層的法律法規到部門/地方政府規章、行政規範性檔案、國家标準、行業标準林林總總,而且,各法規提到的法規角色、合規要求也多種多樣。綜合看,網絡安全與資料安全問題的視角大體可以分為兩類,一類是從網絡運作視角出發的《網絡安全法》《關鍵資訊基礎設施安全保護條例》等,另一類是從資料處理角度出發的《資料安全法》《個人資訊保護法》等。這些法規标準并非獨立,其間互相有關聯、有支撐。網絡營運和網絡資料處理是網絡營運者日常業務營運活動中的“一體兩面”。
個人資訊保護和資料安全需要建立在網絡安全基礎之上。《網絡安全法》第 21 條規定:“網絡營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改”。可以看到,網絡自身的運作和網絡資料都是網絡安全保護的目标,但是《網絡安全法》規定的保護網絡資料隻關注到資料安全兩層内涵中的第一層——資料保護。《個人資訊保護法》第 9 條要求:“個人資訊處理者應當對其個人資訊處理活動負責,并采取必要措施保障所處理的個人資訊的安全”。《網絡資料安全管理條例(征求意見稿)》第 9 條要求:“處理重要資料或者一百萬以上個人資訊的系統應當滿足三級網絡安全等級保護要求”。
一些網絡安全和資料安全要求需要綜合處理。《網絡安全法》第 25 條規定:“網絡營運者應當制定網絡安全事件應急預案”;《資料安全法》第 29 條規定:“發生資料安全事件時,應當立即采取處置措施”;《個人資訊保護法》第 51 條規定:“個人資訊處理者應當……制定并組織實施個人資訊安全事件應急預案”。對企業來說,在實踐中落實這些要求,都需采取網絡監測的技術措施,遵循大緻類似的處理流程,是以,不需要分别制定三個不同處理流程來處置這三類事件。《網絡資料安全管理條例(征求意見稿)》第 56 條要求:“國家建立健全資料安全應急處置機制,完善網絡安全事件應急預案和網絡安全資訊共享平台,将資料安全事件納入國家網絡安全事件應急響應機制……”也展現出了資料安全事件與網絡安全事件融合處置的理念。
企業做合規工作,首先要清楚自己的業務符合哪個法規中的角色,有哪些合規要求。例如,《網絡安全法》對“網絡營運者”有 10 條要求,對“關鍵資訊基礎設施營運者”有 10 條增強要求;《資料安全法》對“資料處理者”有 11 條要求,對“重要資料處理者”有 4 條增強要求。對于一個營運較大規模網絡、處理較大規模資料的組織來說,會同時符合多部法規中的角色,也會面臨來自各法規的合規要求。這就需要企業從合規落地的視角綜合考慮,系統性、有機地融合這些相關合規要求依規執行,而不能孤立地把每一部法規标準獨立看待。從企業組織和責任視角,可以将需落實的這些合規要求融合總結為“123N”,即一把手責任制、二個安全機構、三個負責人、N 項管理制度和技術措施(見圖 2)。
圖 2 組織和責任視角落實網絡安全與資料安全合規的“123N”
“1”是指建立網絡安全與資料安全的“一把手責任制”。雖然法規隻是對部分機構明确提出了主要負責人是第一責任人的要求。但是,在實踐中,如果不把網絡安全和資料安全工作作為一把手工程實施,就很難做好。這需要将網絡安全、資料安全治理融入企業合規治理體系,把網絡安全、資料安全工作納入最高管理層的議事日程,建立責任體系、考核機制,一把手直接部署重點工作、參與重大事件處置等。
“2”是指設定網絡安全與資料安全相關二個安全管理機構。在符合規定的法規角色時,例如關鍵資訊基礎設施營運者(通常可能同時是重要資料處理者),需設定這兩個法規中規定的安全管理機構。考慮到兩者的強相關性,在企業實踐中,可以考慮根據組織規模和工作重心予以合設或分設,需要對安全管理機構予以人力、财力和物力保障。
“3”是指定網絡安全、個人資訊保護和資料安全工作三個負責人。對于符合規定條件的企業,需要設定部分或全部三個負責人角色。考慮到三者的強相關性,在企業實踐中可以考慮根據業務規模等情況,對這三個法規角色予以合設或分設。負責人,一方面,需要具備專業能力,另一方面,要清楚該法定角色所承擔的責任,在“一把手”的支援下落實具體的工作。
“N”是指梳理各個法規來源的合規要求,綜合建立 N 項安全管理制度和技術措施。包括從網絡營運視角考慮的等級保護定級備案與測評、網絡安全風險評估與報告、産品檢測認證評估、漏洞管理、安全監測與事件處置、供應鍊安全管理、人員安全管理、安全審計、考核與問責等制度,也包括從資料處理視角的資料分類分級保護、資料風險評估與報告、資料出境安全評估、資料安全風險監測與資料安全事件處置、資料安全教育教育訓練、合作方管理、舉報投訴處理等制度,并采取适當的技術來支撐管理制度的有效實施。在實踐中,一些網絡安全和資料安全的制度和技術措施通常可以根據相關性綜合考慮後,融合在一起建立,例如,在風險評估中同時評估包括網絡安全和資料安全的風險。
網絡安全和資料安全工作是一個持續的合規與風險管理和能力建設過程,不存在絕對的安全,也不存在一勞永逸的安全方案,需要适時審視不足,持續改進管理和技術措施的适宜性、充分性和有效性,以保證業務營運持續合規。
(本文刊登于《中國資訊安全》雜志2022年第9期)