今日,市监总局和网信办联合发布《关于开展数据安全管理认证工作的公告》(以下简称“认证公告”),鼓励网络运营者通过数据安全管理认证(DSM)方式规范网络数据处理活动,加强网络数据安全保护。同时发布的还有《数据安全管理认证实施规则》(以下简称“认证细则”),明确规定了认证依据、认证程序及证书标志等内容。
结合近期立法及类似项目经验,汇业律师事务所黄春林律师团队就《认证公告》及《认证细则》有关内容快速问答如下:
1. DSM认证对象是什么?
根据《认证公告》、《认证细则》的规定,DSM的认证主体为企业,即网络运营者。根据《网络安全法》规定,网络运营者是指网络的所有者、管理者和网络服务提供者。同时,根据《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022,下称“41479”)规定,这里的网络指开放公共网络。因此,不同于此前的APP安全认证,DSM是发给企业及组织的,而不是针对单个的产品或服务。
2. DSM认证是强制的吗?
首先,《认证公告》明确,“鼓励网络运营者通过认证方式规范网络数据处理活动”,明确DSM认证的性质是鼓励性、推荐性的。作为认证依据的国标《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)也是推荐性国标。
其次,《网络安全法》、《数据安全法》及《个人信息保护法》项下,网络运营者/数据处理者/个人信息处理者(以下统称“企业”)没有数据安全管理认证的强制法律义务。
再次,DSM认证不同于《个人信息保护法》第38条规定的数据出境路径之个人信息保护认证,且个人信息保护认证也仅仅是企业数据出境的可选路径之一,并非强制性、唯一性路径。
最后,DSM认证也不能代替《个人信息保护法》第54条规定的审计合规义务。
3. DSM认证有什么价值?
根据汇业黄春林律师团队理解,DSM认证的价值主要有如下几个方面:
(1)DSM认证过程可以在一定程度上帮助企业发现、识别数据安全管理风险;
(2)DSM认证结果可以在一定程度上作为企业数据安全管理合规工作的证明,尤其是在网信办、市监局体系的监管执法活动中;但是,在当前多头监管体系下,能否作为工信部、公安部等监管执法的抗辩材料,还需要实践检验;
(3)与ISO等认证、资质一起,DSM认证结果可以作为供应商准入的参考标准之一。
4. 谁可以做DSM认证?
根据《中华人民共和国认证认可条例》及《认证公告》等规定,DSM认证机构应当依法设立。根据本所从国家认证认可委官方网站查询,暂未查询到认证机构的“认证类别及认证领域”中含有“数据安全管理认证”的描述,包括中国网络安全审查技术与认证中心、公安部第三研究所、数据安全认证(贵州)有限公司等机构。据悉,相关机构的增项(认证机构扩大业务范围)目前还在申请、公示中。
根据我们联系此前已经广泛开展APP安全认证的中国网络安全审查技术与认证中心,明确答复可以开展DSM认证,但相关认证细则及流程还在制定过程中,目前暂不受理。
5. DSM认证依据是什么?
《认证细则》明确,DSM认证的依据是国家推荐性标准41479及《个人信息安全规范》等相关标准规范的最新版本。据黄春林律师团队介绍,推标41479的发布日期为2022年4月15日,生效日期为2022年11月1日。
推标41479主要从网络数据管理的维度,详细规定了数据处理的分类分级、审计追溯等总体要求,贯穿数据生命周期的数据处理安全技术要求,以及数据安全负责人、事件应急处置等数据处理安全管理要求。
6. DSM认证的主要内容是什么?
从名字文意理解,数据安全管理认证,应该主要侧重“管理要求”而不是“技术要求”。
但是,根据《认证细则》及作为认证依据的推标41479的内容,认证内容可能会不限于管理要求,会扩大到“网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动”的全过程。
7. DSM认证模式是什么?
根据《认证细则》,参照ISO等认证模式,DSM认证的认证模式为:技术验证+现场审核+获证后监督。
8. 其他信息
DSM认证证书有效期为三年。认证费用还未公布,参照以前类似项目经验,预计人民币10-30万不等。
声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
