2023年5月5日,全国信息安全标准化技术委员会秘书处发布了关于公开征求国家标准《信息安全技术 终端计算机通用安全技术规范》(征求意见稿)(“《规范(征求意见稿)》”)意见的通知,该《规范(征求意见稿)》适用于指导终端计算机通用安全功能的设计、开发、测试和评价,但是,其对于终端计算机开发者以外的其他利益相关方也有着重要意义。
在行业层面,目前,随着技术的更新换代,我国众多行业均提出要建设新型的生产、运行系统,例如新型电力系统,新型医疗系统等。这类新型系统的结构更加庞大,需要接入大量终端设备,网络空间更加复杂,针对终端设备,尤其是对终端计算机提出安全技术方面的要求对于整个系统的安全防护具有重要意义。在企业层面,出于竞争与知识产权等因素的考量,越来越多的企业开始重视对终端工作用途计算机的防护,即“外部防入侵、内部防泄漏”,采取的做法往往是五花八门,在国家层面出台关于终端计算机安全技术的标准有助于为企业建立体系化的终端防护工作提供指引。
同时,正如《规范(征求意见稿)》所定义,终端计算机是指供个人使用的、能独立进行数据处理及提供网络服务访问的计算机,网络安全与数据(包括个人信息)保护也是在终端计算机的安全建设中绕不开的话题。
我国计算机信息系统安全、网络安全与数据保护制度具有多层级性,通过法律、配套法规、国家/行业标准等共同构建。
自2017年起,《网络安全法》《数据安全法》和《个人信息保护法》相继颁布实施,形成当前国内对网络、数据、个人信息保护的“三驾马车”。对于终端计算机而言,总体适用较为概括性的合规义务,例如,《网络安全法》要求采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
早在2011年,国务院就发布了《中华人民共和国计算机信息系统安全保护条例(2011修订)》,以保障计算机及其相关的和配套的设备、设施(含网络)、运行环境、信息的安全。但是同法律层面的规定类似,相关合规要求如何最终落实到技术、实操层面仍有大量留白,这给国家标准和指南的出台留下了发挥的空间。
除了上述法律法规外,我国还制定了相关国家标准,例如《信息安全技术 终端计算机通用安全技术要求与测试评价方法》《信息安全技术 终端计算机系统安全等级评估准则》《信息安全技术 终端计算机系统安全等级技术要求》等,指导安全技术的具体实施。其中,《信息安全技术 终端计算机通用安全技术要求与测试评价方法》为推荐性国家标准,其对照国家信息安全等级保护的要求,规定了终端计算机的安全技术要求和测试评价方法;后两者为推荐性行业标准,明确了终端计算机安全等级的技术要求和标准。
对于计算机使用端的企业而言,采购符合《规范(征求意见稿)》要求的终端计算机(包括硬件系统、操作系统和应用系统等)有助于满足相关法律法规项下的网络安全与数据保护合规义务。例如,根据《网络安全法》和《数据安全法》,企业应当采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,采取监测、记录网络运行状态、网络安全事件的技术措施,并建立全流程数据安全管理制度。终端计算机是新型网络系统中的关键一环,也可能被用于处理大量数据,《规范(征求意见稿)》中提出的恶意代码防护、安全审计、访问控制、身份识别、个人信息保护等安全技术要求能够有效提升终端计算机应对网络攻击的能力、降低机密文件和数据遭受未经授权的访问的风险、合法正当地收集和处理个人信息。《规范(征求意见稿)》中的很多安全技术要求也与当前最佳行业实践相符合,例如身份标识与鉴别部分中关于密码的设置要求,多次失败登录尝试后的处理方式等。
另一方面,对于开发测试端的生产者而言,研发和制造符合包括《规范(征求意见稿)》在内的一系列安全技术标准的终端计算机,理论上能够在销售市场上有较好的表现,这是因为需求端对网络与数据安全越来越重视,《网络安全法》也要求网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求。诚然,成本也是生产者需要考量的因素,但总体而言,《规范(征求意见稿)》所提出的多数安全技术及其测试手段并不过分复杂。例如针对硬件接口安全测试方法包括四个步骤,(1)检验终端计算机是否包含有外部硬件接口;(2)检验外部硬件接口是否均有明示标记;(3)检验是否存在未明示的硬件调试接口;(4)检验终端计算机是否配备有摄像头模块,如果配备,检验终端计算机是否有物理开关来关闭或遮蔽摄像头。这些操作对于计算机的生产者来说并不需要耗费较高的成本即可完成。
《规范(征求意见稿)》对于终端计算机个人信息的保护也提出了一定的要求,但总体而言不甚完善。按照《规范(征求意见稿)》,若终端计算机存在采集个人生物特征信息(包括:指纹、声纹、人脸、虹膜等识别数据)的情况,应满足《信息安全技术 个人信息安全规范》第5章中的要求。
首先是在此项要求对应的对象方面。需要注意的是,《信息安全技术 个人信息安全规范》第5章中所针对的主体是个人信息控制者,也即《个人信息保护法》下的“个人信息处理者”,指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。终端计算机并非组织或个人,因此《规范(征求意见稿)》该部分所针对的对象应当是使用计算机的个人,或该个人所属的企业。因此,若要落实终端计算机的个人信息安全,应当重点从个人信息处理者(通常是企业)的合规建设层面入手。
其次是在安全保护要求的内容方面。一方面,根据行业实践,目前的很多计算机在出厂后首次开机使用时可能会要求用户进行注册,在此过程中可能也会收集个人信息,例如姓名、出生日期等,此等个人信息并不属于个人生物特征信息,但也理应受到保护,因此,建议将《规范(征求意见稿)》中涉及个人信息安全的表述调整为涵盖所有个人信息,而非仅包含个人生物特征信息。另一方面,终端计算机在使用过程中对于个人信息的处理往往不仅限于收集,还可能包括存储、加工、删除等,因此,也建议《规范(征求意见稿)》中个人信息安全的要求涵盖整个个人信息处理周期,而不限于采集,相应地,除满足《信息安全技术 个人信息安全规范》第5章中的要求外,第6章至第11章的要求也应同时考虑。
整体来看,《规范(征求意见稿)》具有重要的参考意义。对于企业而言,采购符合《规范(征求意见稿)》等一系列标准要求的终端计算机是实现网络与数据安全合规建设的关键一环。对于设备生产端而言,生产安全防护级别较高的终端计算机才能更好地匹配市场需求。
从内容来看,《规范(征求意见稿)》中多数安全技术要求均呼应法律法规项下的义务或目前的行业实践,且对于生产者来说并未增加过高的成本,具有良好的可行性和实操性。但是其中对于个人信息安全所提出的要求仍有完善空间,某台计算机的个人信息安全程度也仅仅是整个企业个人信息保护制度的一个缩影。不过说到底,个人信息的使用,或是网络与数据的运营和处理,企业都负有着重要的责任义务,维护网络与数据安全不应当仅仅依靠设备本身的安全性,企业也应当从自身业务场景出发,自上而下,构建完整的网络与数据安全合规体系。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。