魏 昊

數(shù)據(jù)作為一種新生產(chǎn)要素，已成為國家基礎(chǔ)性戰(zhàn)略資源，與國家主權(quán)、社會秩序和公共利益息息相關(guān).沒有數(shù)據(jù)安全就沒有國家安全.《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的陸續(xù)發(fā)布有助于提升國家數(shù)據(jù)安全保障能力，有效應(yīng)對數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國家安全風險與挑戰(zhàn)，切實維護國家主權(quán)、安全和發(fā)展利益.這2部法律均提出支持專業(yè)機構(gòu)開展數(shù)據(jù)安全檢測、認證服務(wù)，當前急需加強數(shù)據(jù)安全檢測認證體系建設(shè)，支撐國家數(shù)據(jù)安全管理.

認證作為國際通行的市場監(jiān)督管理手段，在全球數(shù)據(jù)安全治理中被普遍采用.隨著《數(shù)據(jù)安全法》和《個人信息保護法》的頒布實施，為貫徹落實有關(guān)認證工作要求，有力支撐數(shù)據(jù)安全監(jiān)管，高效服務(wù)數(shù)字經(jīng)濟發(fā)展，如何科學構(gòu)建數(shù)據(jù)安全認證體系、扎實推進數(shù)據(jù)安全認證制度實施、加強數(shù)據(jù)安全認證能力建設(shè)，成為當前迫切的工作.

1 數(shù)據(jù)安全治理引起高度關(guān)注，數(shù)據(jù)安全檢測認證工作陸續(xù)開展

為加強數(shù)據(jù)安全保護，檢測認證工作從法規(guī)制度建設(shè)、突出問題集中整治、檢測認證項目規(guī)劃等方面積極推進：一是相關(guān)法律法規(guī)對檢測認證工作作出了制度性安排.《數(shù)據(jù)安全法》和《個人信息保護法》提出，促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動，并將認證作為個人信息處理者向境外提供個人信息的一種方式；二是相關(guān)部門針對當前影響范圍廣、危害程度深、群眾反映強烈的數(shù)據(jù)安全和個人信息保護問題，制定發(fā)布相關(guān)規(guī)定，開展專項治理，產(chǎn)生廣泛影響并取得了顯著成效；三是國家層面的數(shù)據(jù)安全認證制度逐步推出，根據(jù)中央網(wǎng)信辦等四部委關(guān)于APP違法違規(guī)收集使用個人信息專項治理工作部署，市場監(jiān)管總局、中央網(wǎng)信辦聯(lián)合發(fā)布APP安全認證制度，作為APP個人信息保護治理的長效機制和舉措，有效傳導了政策法規(guī)標準要求，規(guī)范了APP處理個人信息活動，滿足了市場希望權(quán)威第三方機構(gòu)通過客觀評估、傳遞信任的迫切需求，同時，為規(guī)范網(wǎng)絡(luò)運營者數(shù)據(jù)處理活動，數(shù)據(jù)安全管理認證制度建設(shè)也在積極推進；四是為滿足市場數(shù)據(jù)安全檢測認證需求，部分第三方機構(gòu)依據(jù)國際標準、國家標準、行業(yè)標準，推出相應(yīng)的檢測認證項目，如依據(jù)國際標準ISO/IEC 27701隱私信息安全管理體系和ISO/IEC 27018公有云個人可識別信息保護體系、國家標準GB/T 37988 數(shù)據(jù)安全能力成熟度模型、金融行業(yè)標準等推出的檢測認證項目.

2 數(shù)據(jù)安全檢測認證工作急需頂層設(shè)計，標準制訂、驗證能力提升等關(guān)鍵點有待突破

在積極推進數(shù)據(jù)安全檢測認證工作的同時，尚需加強制度體系設(shè)計、認證依據(jù)標準制定、評價方法和工具開發(fā)、檢測認證機構(gòu)管理等工作：一是數(shù)據(jù)安全認證制度體系頂層設(shè)計不足，缺乏數(shù)據(jù)安全認證工作頂層指導性文件，就統(tǒng)籌建設(shè)數(shù)據(jù)安全認證制度體系、加強數(shù)據(jù)安全認證制度和其他數(shù)據(jù)安全管理制度有效銜接、建立數(shù)據(jù)安全認證結(jié)果采信機制等作出安排；二是數(shù)據(jù)安全檢測認證依據(jù)標準缺乏，尚未形成覆蓋數(shù)據(jù)安全管理、服務(wù)、產(chǎn)品、人員等領(lǐng)域的標準體系，缺少個人信息保護認證等急需推出認證項目的依據(jù)標準，現(xiàn)有標準大多側(cè)重于規(guī)范要求，而檢測指標和方法偏少；三是數(shù)據(jù)安全檢測認證專用工具缺乏，自動化水平不高，數(shù)據(jù)安全檢測活動當前存在客觀性測量指標項占比不高、數(shù)據(jù)處理活動個性化特點明顯、數(shù)據(jù)流動同業(yè)務(wù)緊密聯(lián)系等特點，檢測認證過程較為依賴文件審核、現(xiàn)場查驗、溝通訪談等方式；四是部分機構(gòu)推出的檢測認證項目以迎合客戶商業(yè)推廣、避免合規(guī)風險等市場需求作為初衷，未能很好地實現(xiàn)貫徹落實法規(guī)標準要求、支撐主管部門監(jiān)管、引導企業(yè)規(guī)范數(shù)據(jù)處理活動的目的.

3 構(gòu)建統(tǒng)一的數(shù)據(jù)安全檢測認證體系，支撐數(shù)據(jù)安全監(jiān)管，服務(wù)數(shù)字經(jīng)濟發(fā)展

為發(fā)揮數(shù)據(jù)安全檢測認證制度作用，支撐數(shù)據(jù)安全治理，促進數(shù)據(jù)經(jīng)濟發(fā)展，急需加強數(shù)據(jù)安全檢測認證體系建設(shè)，完善數(shù)據(jù)安全檢測標準體系，推進數(shù)據(jù)安全認證技術(shù)能力建設(shè)，積極探索數(shù)據(jù)安全認證國際互認機制：一是制定頒布數(shù)據(jù)安全認證工作管理政策文件，規(guī)范數(shù)據(jù)安全檢測認證活動，統(tǒng)籌建設(shè)數(shù)據(jù)安全檢測認證工作體系，科學有序開展認證項目規(guī)劃實施，強化認證機構(gòu)和檢測實驗室管理，建立認證制度同其他數(shù)據(jù)安全制度的銜接及認證結(jié)果采信機制；二是加快推進數(shù)據(jù)安全檢測認證依據(jù)標準制定，優(yōu)先考慮認證體系規(guī)劃的重點領(lǐng)域，快速推進急需的個人信息出境認證依據(jù)標準，加強檢測認證評價指標和方法類標準的研制工作，逐步健全數(shù)據(jù)安全檢測認證標準體系；三是強化數(shù)據(jù)安全檢測認證技術(shù)能力建設(shè)，依托有關(guān)國家科研專項，構(gòu)建數(shù)據(jù)安全評價基礎(chǔ)理論和模型，研發(fā)數(shù)據(jù)安全評價關(guān)鍵技術(shù)，建設(shè)數(shù)據(jù)安全檢測認證管理平臺和專用工具，充分發(fā)揮能力比對驗證機制作用，增強檢測認證工作的一致性，加強數(shù)據(jù)安全檢測認證人員隊伍建設(shè)和管理；四是積極探索構(gòu)建數(shù)據(jù)安全認證國際互認機制，積極參與并推進數(shù)據(jù)安全認證國際互認制度規(guī)則建設(shè)，加強國際數(shù)據(jù)跨境流動安全標準制定，適時推動成熟項目開展互認合作，充分發(fā)揮認證制度支撐數(shù)據(jù)跨境流動監(jiān)管作用的同時，實現(xiàn)便利國際經(jīng)貿(mào)合作、降低交易成本的目標.