网安评估如何发挥抓手作用？大型互联网平台评估指南拟解答

如今，无论是即时通信、社交网络，还是电子商务、网络支付，人们的生活已离不开各类大型互联网平台提供的便利服务，与此同时，掌握大量用户个人信息的他们也被认为应承担起更多安全责任。近年来，开展相关安全评估工作已逐渐成为维护网络安全、促进互联网行业健康发展的重要抓手。

近日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——大型互联网平台网络安全评估指南（征求意见稿）》（下称《评估指南》），试图从可能影响社会稳定和公共利益的角度，为大型互联网平台开展网络安全评估的内容方法提供参考。公开征求意见的截止日期为1月5日前。

在开展网络安全评估之前，首先应明确何为大型互联网平台。《评估指南》拟明确为，通过网络技术将个人与个人、商品、信息、服务、线下资源、数据、资金、软件等进行连接，并以此为基础提供业务的较大规模的网络平台。其中“较大规模”指在过去一年期间，在我国累计活跃用户总数不低于5000万。

《评估指南》拟规定，大型互联网平台需设立专门工作组全面落实网络安全评估工作。在评估内容方面，包括关键业务弹性、容灾备份能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权以及用户权益保护七个方面。

具体来看，围绕对外提供重要数据、个人信息以及已对外提供数据的失控、泄露、滥用风险开展网络安全评估是一大重点。《评估指南》指出，该评估需要平台业务、法务、合规、安全等相关部门共同参与。

一方面，大型互联网平台应对相关管理制度进行评估。评估管理制度中对外提供重要数据、个人信息的审批制度是否集中统一，审批层级在高管层面：审批的适用场景、数据范围，以及审批部门、审批要素、审批流程等内容是否明确；查看审批事项是否包括提供数据的必要性、正当性、合法性；审批人员是否具备充分的安全经验和管理权限。

对于数据接收方，应评估管理制度中对其数据保护义务和责任做出的规定是否充分：是否包含接收方对重要数据和个人信息的使用目的、使用期限、使用方式的限制；是否包含接收方将重要数据和个人信息再转移、再扩散、转委托的处理条件；是否明确要求接收方达成使用目的或约定使用期限到期后，需要及时删除重要数据和个人信息等。

另一方面，平台还需评估已对外提供的个人信息和重要数据是否存在失控、泄露、滥用的风险。包括是否存在接收方未经同意，向其他第三方提供数据的情况；是否具备对已对外提供数据失控、泄露、滥用风险的跟踪、监督、防范措施；过去3年内以及正在提供的重要数据、累计100万以上的个人信息、或累计10万以上的敏感个人信息，接收方是否能够有效保障数据安全以及按照约定合理使用。

平台对重要设施和数据的控制水平对于提升其整体安全防护能力有重要意义。《评估指南》拟提出，在评估平台控制权时，涉及其运营实体的控股主体、实际控制人、高级管理人员、重要岗位人员的国籍、背景、历史信用记录以及遵守中国法律的情况。

同时，需核验重要岗位人员清单台账，核验是否账实相符；评估平台重要岗位设置及相应权限设置情况；评估是否具备完整记录、感知、回溯重要岗位人员的行为操作的能力；评估是否对重要岗位人员开展安全背景审查；评估承担重要岗位人员的外包供应商背景情况，如国籍、背景、历史信用记录等。

《个人信息保护法》是我国第一部个人信息保护方面的专门法律，其构建起了一整套个人信息权益体系。《评估指南》也拟将用户个人信息权益保障情况，以及平台面向用户提供算法应用服务的合理性划入大型互联网平台的网络安全评估范围内。

隐私政策是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件。因此，需对过去一年中，制定或修订隐私政策或使用协议情况进行评估：是否采用社会公示、向内设个人信息保护监管机构通告或其他有效方式充分征求公众意见；是否将公众的反馈意见、采纳情况及其理由在平台界面的显著位置发布公示等。

《个人信息保护法》规定，个人在信息处理活动中享有多项权利。《评估指南》提出，应对保障用户便利行使其个人信息查询权、复制权、删除权、更正权、转移权等权益的情况进行评估。比如，是否在平台界面便利位置提供行使以上权利的访问或操作渠道；说明平台实际响应用户行权请求的落实情况，包括行权请求的总次数、请求内容、响应完成度、办理时限，拒绝行权请求的，应说明原因。

在算法利用方面，评估平台利用算法向用户定向推送信息的真实性、准确性、安全性以及来源的合法性。具体体现为，是否在显著位置做出标识，是否允许用户拒绝接收定向推送信息，是否向用户提供重置、修改推送参数的选项；是否向用户明示推送算法决策所依赖的用户网络历史行为或个人信息。

另外，网络安全评估应多久开展一次？《评估指南》拟明确，工作组每年组织开展一次完整的网络安全评估。值得一提的是，当平台拟开展部分调整变更前，工作组需补充进行重要事项网络安全评估。

这些调整变更包括，在关键业务中增设或调整具有舆论属性或者社会动员能力的功能；在关键业务中增设或调整与人身安全、人身健康密切相关的自动化决策功能；对外提供重要数据、累计100万以上个人信息，或10万以上敏感个人信息的，接收方对信息的使用目的、使用方式发生变更等。