構建數據安全檢測認證體系

魏 昊

數據作為一種新生產要素，已成為國家基礎性戰略資源，與國家主權、社會秩序和公共利益息息相關.沒有數據安全就沒有國家安全.《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的陸續發布有助于提升國家數據安全保障能力，有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益.這2部法律均提出支持專業機構開展數據安全檢測、認證服務，當前急需加強數據安全檢測認證體系建設，支撐國家數據安全管理.

認證作為國際通行的市場監督管理手段，在全球數據安全治理中被普遍采用.隨著《數據安全法》和《個人信息保護法》的頒布實施，為貫徹落實有關認證工作要求，有力支撐數據安全監管，高效服務數字經濟發展，如何科學構建數據安全認證體系、扎實推進數據安全認證制度實施、加強數據安全認證能力建設，成為當前迫切的工作.

1 數據安全治理引起高度關注，數據安全檢測認證工作陸續開展

為加強數據安全保護，檢測認證工作從法規制度建設、突出問題集中整治、檢測認證項目規劃等方面積極推進：一是相關法律法規對檢測認證工作作出了制度性安排.《數據安全法》和《個人信息保護法》提出，促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動，并將認證作為個人信息處理者向境外提供個人信息的一種方式；二是相關部門針對當前影響范圍廣、危害程度深、群眾反映強烈的數據安全和個人信息保護問題，制定發布相關規定，開展專項治理，產生廣泛影響并取得了顯著成效；三是國家層面的數據安全認證制度逐步推出，根據中央網信辦等四部委關于APP違法違規收集使用個人信息專項治理工作部署，市場監管總局、中央網信辦聯合發布APP安全認證制度，作為APP個人信息保護治理的長效機制和舉措，有效傳導了政策法規標準要求，規范了APP處理個人信息活動，滿足了市場希望權威第三方機構通過客觀評估、傳遞信任的迫切需求，同時，為規范網絡運營者數據處理活動，數據安全管理認證制度建設也在積極推進；四是為滿足市場數據安全檢測認證需求，部分第三方機構依據國際標準、國家標準、行業標準，推出相應的檢測認證項目，如依據國際標準ISO/IEC 27701隱私信息安全管理體系和ISO/IEC 27018公有云個人可識別信息保護體系、國家標準GB/T 37988 數據安全能力成熟度模型、金融行業標準等推出的檢測認證項目.

2 數據安全檢測認證工作急需頂層設計，標準制訂、驗證能力提升等關鍵點有待突破

在積極推進數據安全檢測認證工作的同時，尚需加強制度體系設計、認證依據標準制定、評價方法和工具開發、檢測認證機構管理等工作：一是數據安全認證制度體系頂層設計不足，缺乏數據安全認證工作頂層指導性文件，就統籌建設數據安全認證制度體系、加強數據安全認證制度和其他數據安全管理制度有效銜接、建立數據安全認證結果采信機制等作出安排；二是數據安全檢測認證依據標準缺乏，尚未形成覆蓋數據安全管理、服務、產品、人員等領域的標準體系，缺少個人信息保護認證等急需推出認證項目的依據標準，現有標準大多側重于規范要求，而檢測指標和方法偏少；三是數據安全檢測認證專用工具缺乏，自動化水平不高，數據安全檢測活動當前存在客觀性測量指標項占比不高、數據處理活動個性化特點明顯、數據流動同業務緊密聯系等特點，檢測認證過程較為依賴文件審核、現場查驗、溝通訪談等方式；四是部分機構推出的檢測認證項目以迎合客戶商業推廣、避免合規風險等市場需求作為初衷，未能很好地實現貫徹落實法規標準要求、支撐主管部門監管、引導企業規范數據處理活動的目的.

3 構建統一的數據安全檢測認證體系，支撐數據安全監管，服務數字經濟發展

為發揮數據安全檢測認證制度作用，支撐數據安全治理，促進數據經濟發展，急需加強數據安全檢測認證體系建設，完善數據安全檢測標準體系，推進數據安全認證技術能力建設，積極探索數據安全認證國際互認機制：一是制定頒布數據安全認證工作管理政策文件，規范數據安全檢測認證活動，統籌建設數據安全檢測認證工作體系，科學有序開展認證項目規劃實施，強化認證機構和檢測實驗室管理，建立認證制度同其他數據安全制度的銜接及認證結果采信機制；二是加快推進數據安全檢測認證依據標準制定，優先考慮認證體系規劃的重點領域，快速推進急需的個人信息出境認證依據標準，加強檢測認證評價指標和方法類標準的研制工作，逐步健全數據安全檢測認證標準體系；三是強化數據安全檢測認證技術能力建設，依托有關國家科研專項，構建數據安全評價基礎理論和模型，研發數據安全評價關鍵技術，建設數據安全檢測認證管理平臺和專用工具，充分發揮能力比對驗證機制作用，增強檢測認證工作的一致性，加強數據安全檢測認證人員隊伍建設和管理；四是積極探索構建數據安全認證國際互認機制，積極參與并推進數據安全認證國際互認制度規則建設，加強國際數據跨境流動安全標準制定，適時推動成熟項目開展互認合作，充分發揮認證制度支撐數據跨境流動監管作用的同時，實現便利國際經貿合作、降低交易成本的目標.