2018年6月24日,公安部颁布了《网络安全等级保护条例(征求意见稿)》(下称“网安等保条例”)。该“网安等保条例”具有如下亮点:
一、数据安全
该“网安等保条例”的一个亮点就是把“网安法”和“保守国家秘密法”都列为“等保条例”的上位法,这既提高了“网安等保条例”的位阶,又解决了“网安法”以及等保实践中的一个怪现象:看重网络安全、看轻数据安全——与IT相关的操作风险被关注、与数据相关的合规风险和欺诈风险被看轻。
上述这个问题在《网安等保条例》中被彻底扭转。该条例第四条明确规定:网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
这一条也非常明确地回答了我们的题述问题:你的网络如果收集、储存、传输或者用其他方式处理数据的,《网安等保条例》就适用你!同时从某种程度上印证了我们的一个观点:数据的保护和合规不能头痛医头、脚痛医脚——今天出了一个管数据X的规定只去管X、明天出了一个管数据Y的规定只去管Y——相反,我们既应当考虑不同数据对于同一平台的不同合规要求(个人信息、国家秘密、竞争情报、商业秘密、重要数据等对于网络的不同要求或者对于网络脆弱程度的不同考量);我们也应当考虑同一数据的不同合规特性(比如地理测绘数据既是商业秘密同时又是国家机密,再比如定价机制既是商业秘密又是竞争情报)。另外,企业还必须考虑不同利害关系方因为网络的脆弱(vulnerability)而所可能遭受的不同损害。
二、风险防控
“网安等保条例”的第三个亮点就是加入了合规管理、风险防控的概念——合规管理最终一定要落实到风险防控,没有对风险的控制,合规不能落实到实处。
关于风险防控,《网安等保条例》第四条提出了网络安全等级保护工作点三个原则:突出重点、主动防御、综合防控。这与我们针对“智能网联安全出行”提出的风险管控三原则也是不谋而合,它们是:风险穿透、主动管理、联合管理。
三、自查自纠
“网安等保条例”的另一个亮点就是提出网络运营者的自查工作。这也是广大企业在网安实务当中非常纠结的一件事——网安合规或网安等保的底限在哪里:是内部的自查自纠还是外部测评机构的测评?很多企业想做自我测评,甚至想借助外部力量比如律所来做自我测评,但又怀疑自我测评的效力——《网安等保条例》也彻底地解决了这个问题:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告(第二十五条)。换言之,自查工作不是要不要做的问题,而是必须要做的问题。