1. 中国资产评估协会发布《数据资产评估指导意见》,健全数据资产评估规则体系
【内容概述】2023年9月8日,中国资产评估协会发布《数据资产评估指导意见》(以下简称《指导意见》)。《指导意见》共7章28条,旨在规范数据资产评估执业行为,保护资产评估当事人合法权益和公共利益,自2023年10月1日起施行。
《指导意见》正文主要包括以下4部分内容。一是评估对象。明确数据资产作为评估对象的基本属性,如:信息属性、法律属性、价值属性等;基本特征,如:非实体性、依托性、可共享性、可加工性、价值易变性等;以及权利类型,如:数据资源持有权、数据加工使用权、数据产品经营权等。二是操作要求。提出影响价值的关键因素,如:成本因素、场景因素、市场因素和质量因素;数据质量评价采用的方法,如:层次分析法、模糊综合评价法和德尔菲法等。三是评估方法。确定了数据资产价值的评估方法,包括:收益法、成本法和市场法等。四是披露要求。明确了数据资产评估报告应当说明的基本信息和评估方法等相关要求。
【导读分析】为落实中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》中提出的“通过数据商为数据交易双方提供数据资产合规化和标准化等服务,促进提高数据交易效率”、“探索数据资产入表新模式”等要求,财政部出台了《企业数据资源相关会计处理暂行规定》等政策文件。《数据资产评估指导意见(审议稿)》于2022年起草,此前中国资产评估协会在2019年还发布了《资产评估专家指引第9号——数据资产评估》,作为探索数据资产评估管理的系列动作。
《指导意见》明确了数据资产的定义,即“指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源”;提出了数据资产的三大属性、四大因素和五大特征,以及数据要素价值计量的基本解决方案。为数资产评估提供了重要的基本操作指导。
当前在国家标准层面,数据资产评估尚处空白,《指导意见》作为资产评估行业的操作守则,对从业机构具有较强的约束力,无疑会成为该领域后续国家标准起草工作的重要参考。当然,如何保障评估过程中相关数据信息的安全、合规,也是评估标准需要考量的重要内容。尤其是如何运用技术手段实现受评估数据资产的安全保障等,也是网络安全行业需要重点关注的课题之一。
2.全国信息安全标准化技术委员会发布《信息安全技术 网络安全保险应用指南》(征求意见稿),推进网络安全保险规范化
【内容概述】2023年9月13日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全保险应用指南》(征求意见稿)(以下简称《征求意见稿》)。《征求意见稿》概述了网络安全保险的概念、作用和主要应用阶段,提出了网络安全保险应用各阶段的流程和方法。该文件适用于指导采用网络安全保险转移风险的组织,也可为保险人和服务方提供参考。
《征求意见稿》主要内容包括以下3个方面。第一,阐述网络安全保险概念及对风险管理的作用,明确可以通过保险转移的网络安全事件和主要损失类型,建立网络安全风险与保险保障范围的关系。第二,阐述网络安全保险应用的主要环节以及主要参与方,各参与方的主要作用和职责。第三,提出在网络安全保险应用主要环节中的基本方法和内容,对投保前风险评估、保险期间风险控制以及出险后事件评估等给出基本的方法和内容,为不同环节中的保险应用提供可操作性的指导建议。
【导读分析】伴随数字经济的蓬勃发展,企业面临愈发严峻的网络安全威胁态势,网络安全保险新业态应运而生。近年来,我国积极探索网络安全保险管理体制建设,出台了相关政策文件。2021年7月,工信部在《网络安全产业高质量发展三年行动计划(2021-2023年)》(征求意见稿)中明确提出,要“探索开展网络安全保险,开展网络安全保险服务试点,加快网络安全保险政策引导和标准制定”;2023年7月,工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》,提出了网络安全保险标准体系的基本构成,包括:网络安全保险行业术语规范、风险量化评估标准、监测管理服务标准、理赔实施标准等。
《征求意见稿》是网络安全保险领域的首个国家标准(稿),该稿主要从风险管理角度描述了网络安全保险中各方的主要行为、及网络安全保险的基本流程。对于推进网络安全保险的落地实施勾画了基本框架。而对于网络安全保险中的风险量化、检测管理、理赔实施等重点内容,或将成为网络安全保险标准领域未来关注的核心问题。
对网络安全行业来说,《征求意见稿》或将为推动网络安全产业发展带来新机会。一是服务于保险人,开展保险标的风险评估和风险控制,包括风险量化评估产品、风险监测预警工具的开发等。二是服务于被保险人,开展风险整改、及发生网络安全事件时提供应急响应和技术取证等。三是由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求,如咨询规划、方案设计服务等。
3.国务院常务会议审议通过《未成年人网络保护条例》,强化未成年人特殊群体的网络保护
【内容概述】2023年9月20日,国务院第15次常务会议通过《未成年人网络保护条例》(以下简称《条例》)。《条例》共7章60条,旨在营造有利于未成年人身心健康的网络环境,保障未成年人合法权益,将于2024年1月1日起施行。
《条例》重点规定了以下5方面内容。一是健全未成年人网络保护体制机制。明确国家网信部门负责统筹协调未成年人网络保护工作,明确国务院教育、电信、公安等有关部门依据各自职责做好未成年人网络保护工作等。二是促进未成年人网络素养。明确未成年人网络保护软件、专门供未成年人使用的智能终端产品的功能要求。规定未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者应当履行的未成年人网络保护义务等。三是加强网络信息内容建设。明确网络产品和服务提供者发现危害或者可能影响未成年人身心健康信息的处置措施和报告义务等。四是保护未成年人个人信息。规定监护人应当教育引导未成年人增强个人信息保护意识和能力、指导未成年人行使相关权利。明确发生或者可能发生未成年人个人信息泄露、篡改、丢失时,个人信息处理者的安全事件应急处置要求。规定个人信息处理者应当严格设定未成年人个人信息访问权限、开展个人信息合规审计等。五是防治未成年人沉迷网络。规定网络服务提供者应当合理限制不同年龄阶段未成年人在使用其服务中的消费数额,防范和抵制流量至上等不良价值倾向等。
【导读分析】随着移动互联网的普及发展,未成年人使用互联网的比例迅速提升。与此同时,网络攻击、个人信息滥用等传统网络安全问题也加速向未成年人群体扩散。国家网信部门将未成年人网络保护工作列入部门重要监管任务之一,并组织开展“清朗·2023年暑期未成年人网络环境整治”等专项行动。此前发布的《未成年人保护法》《关于规范网络直播打赏 加强未成年人保护的意见》《移动互联网未成年人模式建设指南(征求意见稿)》等政策法规,均对未成年人网络保护提出相应要求。本次《未成年人网络保护条例》以行政法规的形式出台,进一步明确了相关要求,也体现出党中央、国务院对未成年人网络保护工作的高度重视。
2022年3月,国家网信办发布《未成年人网络保护条例(征求意见稿)》(以下简称《征求意见稿》)。与《征求意见稿》相比,《条例》主要有以下3方面修改。一是进一步明确相关管理制度和依据,如明确授权制定“网络平台服务提供者认定办法”等。;二是加强与《个人信息保护法》等上位法制度衔接,如与《个人信息保护法》中“网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销”等规定衔接;三是加强新兴技术手段应用,如要求网络产品和服务提供者采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测等。
对网络安全行业来说,在未成年人网络安全保护方面有以下业务机会值得重点关注。一是定制开发针对未成年人的上网行为安全管理产品,加入防沉迷、过滤有害信息等功能。二是与政府主管部门、学校、专业机构合作,开发针对未成年人网络安全意识培训的课程或者配套安全培训服务。三是在个人信息保护解决方案的基础上,结合相关法律法规的具体化要求,制定针对未成年人等特定人群的隐私保护解决方案。
4.中央网信办发布《云计算服务安全评估专业技术机构》,持续完善云计算服务安全评估机制
【内容概述】2023年9月25日,中央网络安全和信息化办公室(以下简称“中央网信办”)发布《云计算服务安全评估专业技术机构》(以下简称《技术机构》)。新版《技术机构》在原有的国家信息技术安全研究中心、中国信息安全测评中心、中国信息通信研究院、中国电子技术标准化研究院等4家评估机构基础上,又增加了4家机构,分别是国家计算机网络与信息安全管理中心、国家信息中心、中国电子科技集团公司第十五研究所、国家工业信息安全发展研究中心。此外,中央网信办还公布《云计算服务安全评估专家组成员名单》,共23人入选。
【导读分析】2019年7月,国家互联网信息办公室、工业和信息化部等四部门联合印发《云计算服务安全评估办法》,旨在“提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平”。云计算服务安全评估的一般流程是:申报—受理—专业技术机构评估—专家组评价—协调机制审议—网信办核准—发布—持续监督。截止到2023年7月底,通过云计算服务安全评估的云平台已有70余家。
云计算服务安全评估由国家市场监管总局下属的中国网络安全审查技术与认证中心牵头组织开展,最初专业技术机构有四家。此次专业技术机构新增四家,或主要反映两方面情况:一是云计算安全评估业务量增长的需要;二是与目前的“云计算服务安全评估工作协调机制”、“专家组”机制等相适应。
对网络安全行业来说,云计算服务安全评估或将带来以下两方面市场机遇。一方面,服务于云服务提供商,开展云计算服务系统安全自评,提供云安全相关技术产品和服务支撑等。另一方面,服务于云安全评估机构,提供专业安全技术、工具支持、开展云平台威胁情报监测等。
5.国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,优化完善数据跨境流动管理制度
【内容概述】2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》)。《征求意见稿》共计11条,旨在保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动。
《征求意见稿》主要内容包括以下4方面。一是明确了无需办理数据出境手续的情形,如国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境;为订立、履行个人作为一方当事人的合同所必需,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理等,必须向境外提供个人信息的等场景。二是明确了未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。三是根据向境外提供不同数量的个人信息情形分别规定了对应合规要求,如不满1万人无需办理数据出境手续;1万人以上、不满100万人应当签订个人信息出境标准合同或申请个人信息保护认证;100万人以上应当申报数据出境评估。四是建立自由贸易试验区负面清单制度,自贸区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”),负面清单外数据出境,无需办理数据出境手续。
【导读分析】数据的跨境流动,一向是数据安全和个人信息安全监管的核心领域之一。对此,国家网信办曾先后出台实施了《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南(第一版)》等相关规章和规范文件。
从本次《征求意见稿》的条文内容来看,其出台目的主要是进一步明确“数据出境安全评估”制度的申报范围,对某些无需申报的情形做出规定(第1-6条);同时,对特定地区、部门的数据出境法规依据进行明确。此外,进一步明确了“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,并将出境个人信息数量统计的时间范围从“自上年1月1日起累计”调整为“一年内”。
《征求意见稿》是在此前数据跨境相关制度实施一段时间后提出的,具有对监管实践的阶段总结和反馈的属性,一定程度上体现了减轻相关方面合规负担的特点。对于网络安全行业,有两方面需要重点关注。一是密切关注数据跨境流动的市场机会,研发适用于数据跨境流动场景的技术、产品和解决方案;二是持续强化自身数据资产的梳理监测,切实加强对相关数据跨境情形的合规管理。