網安評估如何發揮抓手作用？大型網際網路平台評估指南拟解答

如今，無論是即時通信、社交網絡，還是電子商務、網絡支付，人們的生活已離不開各類大型網際網路平台提供的便利服務，與此同時，掌握大量使用者個人資訊的他們也被認為應承擔起更多安全責任。近年來，開展相關安全評估工作已逐漸成為維護網絡安全、促進網際網路行業健康發展的重要抓手。

近日，全國資訊安全标準化技術委員會秘書處釋出《網絡安全标準實踐指南——大型網際網路平台網絡安全評估指南（征求意見稿）》（下稱《評估指南》），試圖從可能影響社會穩定和公共利益的角度，為大型網際網路平台開展網絡安全評估的内容方法提供參考。公開征求意見的截止日期為1月5日前。

在開展網絡安全評估之前，首先應明确何為大型網際網路平台。《評估指南》拟明确為，通過網絡技術将個人與個人、商品、資訊、服務、線下資源、資料、資金、軟體等進行連接配接，并以此為基礎提供業務的較大規模的網絡平台。其中“較大規模”指在過去一年期間，在大陸累計活躍使用者總數不低于5000萬。

《評估指南》拟規定，大型網際網路平台需設立專門工作組全面落實網絡安全評估工作。在評估内容方面，包括關鍵業務彈性、容災備份能力、關鍵軟硬體産品供應鍊安全性、對外提供資料的可控性、資料洩露事件發生後應急處置、平台控制權以及使用者權益保護七個方面。

具體來看，圍繞對外提供重要資料、個人資訊以及已對外提供資料的失控、洩露、濫用風險開展網絡安全評估是一大重點。《評估指南》指出，該評估需要平台業務、法務、合規、安全等相關部門共同參與。

一方面，大型網際網路平台應對相關管理制度進行評估。評估管理制度中對外提供重要資料、個人資訊的審批制度是否集中統一，審批層級在高管層面：審批的适用場景、資料範圍，以及審批部門、審批要素、審批流程等内容是否明确；檢視審批事項是否包括提供資料的必要性、正當性、合法性；審批人員是否具備充分的安全經驗和管理權限。

對于資料接收方，應評估管理制度中對其資料保護義務和責任做出的規定是否充分：是否包含接收方對重要資料和個人資訊的使用目的、使用期限、使用方式的限制；是否包含接收方将重要資料和個人資訊再轉移、再擴散、轉委托的處理條件；是否明确要求接收方達成使用目的或約定使用期限到期後，需要及時删除重要資料和個人資訊等。

另一方面，平台還需評估已對外提供的個人資訊和重要資料是否存在失控、洩露、濫用的風險。包括是否存在接收方未經同意，向其他第三方提供資料的情況；是否具備對已對外提供資料失控、洩露、濫用風險的跟蹤、監督、防範措施；過去3年内以及正在提供的重要資料、累計100萬以上的個人資訊、或累計10萬以上的敏感個人資訊，接收方是否能夠有效保障資料安全以及按照約定合理使用。

平台對重要設施和資料的控制水準對于提升其整體安全防護能力有重要意義。《評估指南》拟提出，在評估平台控制權時，涉及其營運實體的控股主體、實際控制人、進階管理人員、重要崗位人員的國籍、背景、曆史信用記錄以及遵守中國法律的情況。

同時，需核驗重要崗位人員清單台賬，核驗是否賬實相符；評估平台重要崗位設定及相應權限設定情況；評估是否具備完整記錄、感覺、回溯重要崗位人員的行為操作的能力；評估是否對重要崗位人員開展安全背景審查；評估承擔重要崗位人員的外包供應商背景情況，如國籍、背景、曆史信用記錄等。

《個人資訊保護法》是大陸第一部個人資訊保護方面的專門法律，其建構起了一整套個人資訊權益體系。《評估指南》也拟将使用者個人資訊權益保障情況，以及平台面向使用者提供算法應用服務的合理性劃入大型網際網路平台的網絡安全評估範圍内。

隐私政策是企業與使用者之間關于如何處理和保護使用者個人資訊的基本的權利義務的檔案。是以，需對過去一年中，制定或修訂隐私政策或使用協定情況進行評估：是否采用社會公示、向内設個人資訊保護監管機構通告或其他有效方式充分征求公衆意見；是否将公衆的回報意見、采納情況及其理由在平台界面的顯著位置釋出公示等。

《個人資訊保護法》規定，個人在資訊處理活動中享有多項權利。《評估指南》提出，應對保障使用者便利行使其個人資訊查詢權、複制權、删除權、更正權、轉移權等權益的情況進行評估。比如，是否在平台界面便利位置提供行使以上權利的通路或操作管道；說明平台實際響應使用者行權請求的落實情況，包括行權請求的總次數、請求内容、響應完成度、辦理時限，拒絕行權請求的，應說明原因。

在算法利用方面，評估平台利用算法向使用者定向推送資訊的真實性、準确性、安全性以及來源的合法性。具體展現為，是否在顯著位置做出辨別，是否允許使用者拒絕接收定向推送資訊，是否向使用者提供重置、修改推送參數的選項；是否向使用者明示推送算法決策所依賴的使用者網絡曆史行為或個人資訊。

另外，網絡安全評估應多久開展一次？《評估指南》拟明确，工作組每年組織開展一次完整的網絡安全評估。值得一提的是，當平台拟開展部分調整變更前，工作組需補充進行重要事項網絡安全評估。

這些調整變更包括，在關鍵業務中增設或調整具有輿論屬性或者社會動員能力的功能；在關鍵業務中增設或調整與人身安全、人身健康密切相關的自動化決策功能；對外提供重要資料、累計100萬以上個人資訊，或10萬以上敏感個人資訊的，接收方對資訊的使用目的、使用方式發生變更等。

采寫：南都記者 樊文揚