信息系统安全等级保护(信息系统安全等级保护基本要求中对不同级别的信息系统)
导读
网络货运经营者要满足本行业的监管要求,建立上全流程数据管理制度,首要任务应是建立数据分类分级管理制度。
根据《网络平台道路货物运输经营管理暂行办法》的定义:“网络货运经营,是指经营者依托互联网平台整合配置运输资源,以承运人身份与托运人签订运输合同,委托实际承运人完成道路货物运输,承担承运人责任的道路货物运输经营活动。
网络货运经营不包括仅为托运人和实际承运人提供信息中介和交易撮合等服务的行为。”故,业内通常意义上所称的“网络货运平台”(全称为网络平台道路货物运输经营者),即网络货运经营者,是指以网络平台为工具,在线为托运人和实际承运人整合配置货源和运力资源,并对上述信息进行管理的承运人。
交通运输部办公厅发布的《网络平台道路货物运输经营服务指南》中,对网络货运经营者的线上服务能力提出了:“信息发布,线上交易、全程监控,金融支付、咨询投诉、在线评价、查询统计、数据调取八大功能要求。”因此,网络货运平台内不仅沉淀了大量的数据,如运单、资金流水单、车辆和驾驶员基本信息、驾驶员位置信息等,还需对运输、交易全过程进行实时监控,并按照监管要求将数据共享给交通运输、税务等相关部门。
对于收集和存储的如此之多的数据,网络货运经营者承担了哪些数据安全义务?将于2021年9月1日起施行的《数据安全法》,从国家法律的层面要求数据处理者应建立健全全流程数据安全管理制度,对网络货运经营者的数据合规明确了新的规则。《数据安全法》作为一部行为约束法,着眼于“数据处理活动与安全监管”,在解释和适用规则时不必拘泥于适用主体范围的划定,而专注于数据处理活动本身的安全、可靠性。
一、网络货运企业的安全保护义务
《数据安全法》要求开展数据处理活动,应当在网络安全等级保护制度的基础上。这已由《网络安全法》、《信息安全技术—网络安全等级保护基本要求》从系统层面要求数据的安全可靠。具体到网络货运平台,一般被要求取得三级以上信息系统安全等级保护备案证明。
从数据层面来看,不同的相关主体需履行不同的义务,在《数据安全法》中,针对国家机关、重要数据处理者、市场参与者、相关行业组织等各个主体,都提出了相应的具体要求。
关于网络货运经营者,其可能涉及到的数据安全保护义务包括重要数据合规、个人信息保护、风险监测、报送安全风险评估报告等多个方面。其中,最重要的应是建立全流程的数据风险管理制度,该全流程涵盖了数据收集、存储、使用、加工、传输、提供、公开等流程的管理制度
因此,网络货运经营者要满足本行业的监管要求,建立上全流程数据管理制度,首要任务应是建立数据分类分级管理制度。
二、数据分类分级
参考《数据安全法》、《YD/T3813-2020 基础电信企业数据分类分级方法》、《汽车数据安全管理若干规定(征求意见稿)》等规定,可将网络货运经营者处理的数据分为以下几类:
1、个人信息 :根据《民法典》第 1034 条对个人信息的定义4,即可直接或间接识别出特定自然人的信息。由于网络货运经营者的法律责任主体是承运人身份,其需要履行核验托运人和实际承运人的身份信息的义务,处理数据的过程中必然涉及到大量的用户数据。
以驾驶员信息为例,其上传至平台的姓名、身份证号、联系方式、从业人员资格证号、机动车驾驶证号等数据,可联系到该名自然人的身份,属于个人信息。
2、企业自身数据:网络货运平台涉及的企业基本信息数据、系统数据、业务数据、日志数据、埋点数据等各类数据。
3、统计分析数据:基于网络货运平台数据库,通过数据挖掘等技术分析、研究有价值的信息,例如对装卸货、结算的有效管控,物流信息全流程跟踪能力分析,平台线上服务能力。这类数据是网络货运平台的重要资产,是数据的最大价值所在。
4、数据分级:《数据安全法》提出了国家核心数据和重要数据的概念,并要求各地区、各部门制定重要数据目录。网络货运企业应持续关注交通、公安等部门的重要数据目录的制定动态,识别运单信息、货运保险、资金流水等相关处理的数据,是否会落入重要数据的范畴。
关于个人信息部分,根据《信息安全技术-个人信息安全规范》(GB/T35273-2020),驾驶员身份证、车辆行驶证等留存证件、驾驶员位置信息等,不仅是公民个人信息,更是个人敏感信息。
对于个人敏感信息,除了“正当、合法、必要”的原则性要求外,应依据《个人信息保护法(草案)》等规定,进行更加严格的保护。如网络货运经营者须实时采集的承运车辆运输轨迹,而该运输轨迹又同时属于驾驶员的行踪轨迹。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《检察机关办理侵犯公民个人信息案件指引》都将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”规定为“情节严重”,可见其敏感性。
所以,网络货运经营者应注意收集的地理位置数据的访问时间、频率,判断是否超出必要限度。访问实时行驶轨迹数据应在运单起运和货物确认送达的过程中;并且事先经驾驶员授权同意后,实时采集和上传驾驶员地理位置信息数据。
数据完成上述分类分级后,网络货运企业目前可以开始为达到重要数据的合规要求做好准备。落实数据安全负责人和管理机构;对不同级别的数据分类分级标识,根据数据重要程度确定标记是否细化到数据库表的字段级;同时对数据访问权限设置严格的审批流程。
《民法典》1034 条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
三、合作方互相共享与转让
网络货运平台用户在注册、使用网络货运系统服务期间提供、形成的信息,在平台大量沉淀后,可能因平台进行油品、金融等各类增值服务而对外提供数据;或平台为开展运力互联等原因,从如货拉拉等其他拥有较多数据的外部合作方处导入的数据。
此类与合作方互相共享、转让数据的行为,若涉及个人信息的,应符合《数据安全法》等对个人信息保护的要求,不得窃取或者以其他非法方式获取数据。为合法、正当获取数据,除维护国家安全等特殊情形外6, 网络货运企业合法对外提供个人信息的方式一般有两种:一是信息主体的授权。二是去标识化。
《数据安全管理办法(征求意见稿)》第二十七条:网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:
(一)从合法公开渠道收集且不明显违背个人信息主体意愿;(二)个人信息主体主动公开;(三)经过匿名化处理;(四)执法机关依法履行职责所必需;(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。
1、个人信息主题授权:首先,根据 GB/T35273 的要求,网络货运企业应事先进行个人信息安全影响评估。
其次,无论是网络货运企业集团内部关联企业还是外部企业之间的个人信息共享、转让, 都需遵循三重授权原则,以确保获得数据主体的知情同意。网络货运企业可以通过平台向托运人、驾驶员展示隐私权政策,告知其收集信息的目的、方式、范围、使用规则,以及个人有同意或拒绝的权利。尤其是对于个人敏感信息,需要征得该主体的明示同意。
例如,驾驶员在登录平台了解隐私权政策时,应主动作出声明或者自主作出肯定性动作8。但实践中,当实际承运人为单位时,如何取得该单位驾驶员的明示同意,是企业面临的一大难点。由于平台账号以及信息的登记都掌握在实际承运人手中,驾驶员本人通常不愿进行登录操作,此时网络货运经营者可能会采用单独发送短信提示或提供点击链接的方式来解决知情同意问题。但该种方式不仅会增加企业成本且未必完全有效。
第三,网络货运企业要确保个人信息接收方的处理数据能力可以达到相关规定对其的要求, 并与其签订协议确定各自责任。同时,网络货运企业要妥善记录和保存共享、转让情况。
2、个人信息主题授权:将个人数据通过去标识化技术处理为“非个人信息”,因该类数据不属于个人信息,自然也无须承担个人信息保护的义务。但需要注意的是,去标识化的数据与匿名化不同,并非不可还原,其仍可能结合其他信息识别出特定的数据主体,则仍然属于个人信息,收到相关规定的约束。所以,网络货运企业需要选择合适的处理方式以及对数据的“不可识别性”进行验证评估,确保数据接收方无法重新识别个人信息。
另外,与其他各合作方之间的共享和转让,还应事先通过协议的方式界定数据的收集和使用规则,避免因擅自抓取或者不当利用他人数据而导致的不正当竞争纠纷。
《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条:处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
四、监管部门对数据的监管
网络货运平台目前已被要求已接入省市级的网络货运监测系统,按照《部网络货运信息交互系统接入指南》的要求,网络货运经营者实时上传将运单、资金流水单等数据至省级网络货运信息监测系统。监管部门对数据的监管已经从线下的事后稽查转为数字化的实时监管模式。
根据《数据安全法》的规定,企业的数据处理活动将受到各行业的主管部门、公安、国安、网信等多部门的数据安全监管工作;对违法行为的处罚力度也明显加强,如:“对于拒不配合数据调取的,可以并处最高50万元罚款,对直接负责的主管人员和其他直接责任人员最高10万元罚款。”
因此,网络货运企业应在技术上符合交通运输、税务等相关部门从其依法调取 数据的条件;此后主动与各个监管部门保持沟通,积极了解将来具体的数据监管要求。
《数据安全法》第六条中“工业、电信交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”。
五、数据安全法的要点解读和提炼
数安法的发布标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。
本法一共七章五十五条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
1、总则要点
1)适用范围:在中国境内开展数据活动的组织和个人。
2)定义:定义数据是指任何以电子或者其它方式对信息的记录。
3) 保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
4) 责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5) 特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。
2、数据安全与发展要点
6) 发展原则:国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。
7) 战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。
8) 标准体系:国家主管部门负责相关标准和体系的制定。
9) 评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。
10) 人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。
11)特别地,加强了公共服务的要求,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
3、数据安全制度要点
12) 分类分级:国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
13) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
14) 应急处置:要建立数据安全应急处置机制。
15) 安全审查:要建立数据安全审查制度。
16) 出口管制:对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。
4、数据安全保护义务要点
17) 管理制度:在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。
18) 风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件,应当立即采取处置措施,并按规定上报。
19) 风险评估:定期开展风险评估并上报风评报告。
20) 数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
21) 数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
22) 经营备案:数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。
23) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。
24) 特别的,对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
5、政务数据安全与开放要点
25) 管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。
26) 存储加工:委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。
27) 数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。
28) 适用主体:法律、法规授权的具有管理公共事务职能的组织。
6、法律责任要点
29) 不履行规定保护义务:责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。
30)危害国家安全和损害合法权益的:给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。
31)向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。
32) 交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。
33) 拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处5万元至50万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。
34) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。
35)未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。
36) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分。
37)窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。
38) 给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。