本文来自微信公众号“德恒律师事务所”(ID:bjdeheng),作者:高亚平 徐晶,36氪经授权发布。
在《灵活用工平台如何打造数据安全合规体系(上)——自身定位的责任厘清》一文中,通过对违规内容对应的法律责任梳理,可以让灵工平台相关责任人清晰界定自身和企业的法律责任。在数据安全领域,面对多监管部门的压力和更加严密的法律法规的颁布,建立全流程的数据安全合规体系已经成为灵工平台迫在眉睫的需求。
笔者通过对灵工平台的主要风险来源进行分析,认为灵工平台的数据安全核心起点在于个人数据安全,而构建整个灵工平台数据安全合规体系首先要重视个人信息安全影响评估,然后通过类似三级等保、ISO27001(信息安全认证体系)构建起整体的数据安全合规体系,并最终将责任落实到具体的负责人(详见《灵活用工平台如何打造数据安全合规体系(下)——数据安全应当责任到人》)。下文就按照这个逻辑展开分析:
根据《GB/T 35273—2020信息安全技术 个人信息安全规范》的定义“个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。”
根据《数据安全法》第三十条:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”虽然目前“重要数据”的范围尚未厘清,但根据《个人信息保护法(草案)》第五十五条:“ 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息; (五)其他对个人有重大影响的个人信息处理活动。”
可见,即使尚未出台关于“重要数据”的解释,但依据《个人信息保护法(草案)》以及相应的国家标准,对于灵工平台收集处理个人敏感信息、共享转让数据等行为亦应当进行个人信息安全影响评估。
通过评估,可以识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施;引导合作伙伴能够采取适当的安全控制措施;加强对员工的个人信息安全教育;最重要的是还有助于减轻、免除组织相关责任和名誉损失。
在进行个人信息安全影响评估之前,要进行相应的准备工作。首先要通过企业内部选任或聘请外部专业机构等方式,组建评估团队;其次,准确界定所需评估场景,是针对个人信息收集?还是共享、转让?还是数据出境?最后,梳理平台已经采取的该场景项下的数据安全控制措施与相关法律法规具体要求的差距,如在收集某敏感个人信息的时候,是否取得了用户的单独同意?之后,灵工平台便可按照以下的流程图1,进行个人信息安全影响评估。
根据《数据安全法》第二十七条:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”《个人信息保护法(草案)》第五十一条亦规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:(一)制定内部管理制度和操作规程;”
从上述二十七条的规定分析,“应当”两字已经属于法律法规中的强制性义务,因此,对于汇集海量个人数据的灵工平台而言,应当清楚地认知到,建立全流程的数据安全保护管理制度是一个法定义务。根据上文的表格梳理,若违反该法定义务,相应的具体法律责任和责任人十分清晰:法律责任是平台罚和个人罚并举,分一般后果和严重后果,一旦造成大量数据泄漏属于严重后果,平台接受罚款的同时会被责令暂停业务、停业整顿和吊销相关许可证或吊销营业执照,而对此负责的责任人也一并处以罚款。
笔者建议,针对该法定义务,需要借鉴一些最佳实践为灵工平台构建数据安全合规体系。
笔者将从一个独特的视角来帮助大家理解构建针数据安全的最佳实践。笔者经常作为平台方的律师面对投资人的投资尽调,投资人尽调数据合规方面时,通常关注平台的两个资质:三级等保资质或ISO27001认证体系资质。从下文分析这两个资质的内容就能清晰看到,灵工平台如何通过这两个认证构建信息/数据安全管理体系,建立全流程数据安全管理制度。
1.“三级等保”资质
“三级等保”全称:国家信息安全等级保护中的三级认证。信息系统安全等级保护是目前中国最权威的信息产品安全等级资格认证,它由公安机对平台信息系统安全等级保护状况进行认可及评定。
根据《网络安全法》,我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。
根据《信息安全等级保护管理办法(试行)》(公安部公通字[2006]7号)(以下简称“等保管理办法”)第二条规定:信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
《等保管理办法》第四条,根据信息系统受到破坏后的影响程度,从没有损害、轻微损害、有损害、严重损害到特别严重损害这五个维度定义了信息系统的五个等级保护层级。
其中第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
现在大多数的互联网平台被列为第三级的监督保护级(简称“三级等保”)。三级等保是对非银行机构的最高等级保护认证,测评内容涵盖信息保护、安全审计、通信保密等在内的近300项要求。三级等保在七大关键点上对网络安全进行全方位保护,包括了:身份验证、访问控制、安全审计、入侵防范、恶意防范、数据完整性、数据的保密性。
目前已经有一些相对比较成熟和规范的灵活用工平台取得了三级等保资质,相信接下来会有更多的灵工平台关注并实践信息安全等级保护制度。通过下文“(3)‘三级等保’与‘ISO27001’的比较分析”中所示的“三级等保”认证覆盖的内容和风险控制点的思维导图,帮助理解如何建立全流程数据安全管理制度。
2. ISO27001信息安全管理体系认证
信息安全管理体系(ISMS)的概念起源于英国标准协会(BSI)制定的BS 7799标准系列,后形成国际系列标准群。ISO27001即“信息安全管理实施指南”(Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;ISO/IEC27000族是国际标准化组织专门为ISMS预留的相关标准的总称,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems)。
从标准的两个部分来理解,一部分ISO 27001是一个总的指导思想,依据是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明环”管理思想,是一个整体的信息安全管理框架,强调的是建立一个持续循环的长效管理机制;另一部分是在组织内部建立信息安全管理体系(ISMS)的一套规范,通过管理来保护组织信息的机密性、完整性和可用性,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。
因此,ISO27001认证的本质是组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过国际认证机构的严格审核,获得国际信息安全认证证书。该认证框架如下文“(3).‘三级等保’与‘ISO27001’的比较分析”中“ISO27001思维导图”所示。
3. “三级等保”与“ISO27001”的比较分析
简单来说,ISO27001和三级等保,一个是国际的信息安全标准,一个是国家的信息安全政策,两者既存在着差异又有共性,等级保护是一个宏观的信息安全政策,而ISO 27001标准是一个具体的信息安全管理标准。那么对于灵工平台,应当如何选择一种认证体系,而不至于重复投资,这就需要充分了解两者之间的细节异同。通过对照,我们认为,组织实施了ISO 27001标准,基本能够符合信息安全等级保护制度的要求;但对于需要三级以上等保要求的承载国家安全的信息系统而言,等级保护的要求就高于ISO27001。
因此,对于在三级等保要求上的灵工平台而言,在没有特殊要求的前提下,选择三级等保和ISO27001均可以满足建立数据安全保护体系的要求。若要两者并举,也可以考虑以ISO 27001标准为主线落实三级等保制度,因为三级的安全要求基本和ISO 27001标准内容匹配,因此两者可以协同完成。等级保护检查准则基本和ISO 17799(ISO27001的具体管理)的条款类似,都从管理和技术两个方面入手,横向的IT系统的整个生命周期,纵向的分层次安全。等级保护的检查和ISO 27001的审查也比较类似。
但是两者也存在显著差异,虽然从外观上看,两者都从技术和管理两个方面提出了信息安全的具体要求,但是分类标准有差异。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理;而ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。
上述分类差异并非两者的本质差异,笔者认为,等保制度和ISO27001的根本差异在于以下两点:
首先两者的目的不同。三级等保的目的是国家安全、社会秩序和公共利益为,而ISO 27001标准的目的是保证组织安全和利益。因此等保制度是为了构建国家整体的信息安全保障体系,而ISO 27001标准是以为了保证组织业务的连续性,缩减业务风险,组织在风险可控前提下的收益最大化。目的差异在两者实施不同的分级标准中充分体现。
其次,两者的分级标准不同。这一点至关重要,也是理解等保制度和ISO27001差异的核心。等级保护实施的前提是分级,针对不同的等级,提出了不同的安全要求;ISO 27001标准的第一步也是风险评估,根据资产的价值和所面临的风险进行分级,然后针对不同的风险选择相应的风险处置措施。
虽然都是从分级入手,但是两者的分级标准不同,充分体现了各自保护的目的。等级保护的分级主要考虑四个方面的风险,即根据信息系统遭到破坏后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响程度大小,分为五级,因此,该分级理念的关键依据是组织外部的影响程度。而ISO 27001标准的分级是组织根据根据自己对风险的接受程度,对资产、威胁、脆弱点、影响、风险等各个因素之间的关系进行评估后,进行分级分类,再根据分级决定自身采取何种风险处置措施。因此,ISO 27001标准的分级理念的关键依据是组织内部的影响程度。
由此可以看出ISO27001标准的实施对于组织而言有更多的定制化特性,组织可以结合自身的行业特性、发展阶段要求、外部监管的环境变化而做出不一样的分级标准,进而选择适合自身的风险控制措施。
为了如何帮助灵工平台在两个认证体系中做出恰当选择或者两者并举,我们根据相关标准2将相关“三级等保”与“ISO27001”认证内容及风险控制点整理如下思维导图。
伴随着灵工平台的发展,自2017年正式开展灵工平台合规服务起,笔者深感该领域的发展之快、变化之大,从灵工平台这一概念尚且模糊逐渐发展成具有个体户、委托代征、临时登记等多种运营模式并举,甚至还出现了许多细分垂直领域的灵工平台,时至今日,仍在不少合规环节存在模糊地带,比如个体户的管辖权问题,比如个人经营所得和劳务的收入的区分问题,比如委托代账模式的增值税问题等等。这一领域大有发展前景,很多灵工平台也在不断跨越障碍一路发展,一方面是国家政策的鼓励,另一方面是平台自身带来的市场生命力。正因为此,笔者更加关注平台在不同发展阶段需要重点关注的合规问题,本文探讨的正是基于灵工平台发展到目前阶段已经出现:集合大量个人信息数据、与大量服务商对接、在集团大量关联主体之间的数据交互以及与政府界面上的大量数据提交等现状,由此提出数据合规体系的构建的必要性和迫切性。
通过一些灵工数据合规项目,笔者发现,数据问题不仅仅牵涉到数据领域的合规,亦与灵工平台的系统搭建、业务真实性、真实合作关系的建立等灵工基础合规问题紧密相连。实践中证明,平台通过搭建数据安全体系,来整体梳理平台的合规制度,正好与灵工平台的整体合规一脉相承,在基础合规法律问题中贯穿数据合规的内容,亦在数据合规体系中呈现基础合规法律问题的解决方案,举例来说,灵工平台最关心的业务真实性问题,在打造数据合规体系过程中,对于数据的真实性就是一个重要的要素指标,因此两者是互通的。由此,笔者建议,通过灵工平台构建数据合规体系,通过责任落实到个人信息保护/数据安全负责人,来推动平台全方位合规。具体个人信息保护/数据安全负责人应当如何落实,将在下文《灵活用工平台如何打造数据安全合规体系(下)——数据安全应当责任到人》中展开讨论。
文中备注:
[1]根据《信息安全技术 个人信息安全影响评估指南》整理。数据映射是指组织在针对个人信息处理过程进行全面的调研后,形成清晰的数据清单及数据映射图表。数据映射分析阶段需结合个人信息处理的具体场景。梳理数据映射分析的结果时,根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。
[2]《GB/T 22239一2019 信息安全技术 网络安全等级保护基本要求》、《ISO27001-2013_信息技术 安全技术 信息安全管理体系要求》