本文來自微信公衆號“德恆律師事務所”（ID:bjdeheng），作者：高亞平 徐晶，36氪經授權發佈。

引言

在《靈活用工平臺如何打造數據安全合規體系（上）——自身定位的責任釐清》一文中，通過對違規內容對應的法律責任梳理，可以讓靈工平臺相關責任人清晰界定自身和企業的法律責任。在數據安全領域，面對多監管部門的壓力和更加嚴密的法律法規的頒佈，建立全流程的數據安全合規體系已經成爲靈工平臺迫在眉睫的需求。

筆者通過對靈工平臺的主要風險來源進行分析，認爲靈工平臺的數據安全核心起點在於個人數據安全，而構建整個靈工平臺數據安全合規體系首先要重視個人信息安全影響評估，然後通過類似三級等保、ISO27001（信息安全認證體系）構建起整體的數據安全合規體系，並最終將責任落實到具體的負責人（詳見《靈活用工平臺如何打造數據安全合規體系（下）——數據安全應當責任到人》）。下文就按照這個邏輯展開分析：

一、分析風險：個人信息安全影響評估（一）概念界定：

根據《GB/T 35273—2020信息安全技術 個人信息安全規範》的定義“個人信息安全影響評估是指針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用於保護個人信息主體的各項措施有效性的過程。”（二）必要性分析：

根據《數據安全法》第三十條：“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，並向有關主管部門報送風險評估報告。”雖然目前“重要數據”的範圍尚未釐清，但根據《個人信息保護法（草案）》第五十五條：“ 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,並對處理情況進行記錄:(一)處理敏感個人信息;(二)利用個人信息進行自動化決策;(三)委託處理個人信息、向第三方提供個人信息、公開個人信息;(四)向境外提供個人信息; (五)其他對個人有重大影響的個人信息處理活動。”

可見，即使尚未出臺關於“重要數據”的解釋，但依據《個人信息保護法（草案）》以及相應的國家標準，對於靈工平臺收集處理個人敏感信息、共享轉讓數據等行爲亦應當進行個人信息安全影響評估。

通過評估，可以識別可能導致個人信息主體權益遭受損害的風險，並據此採用適當的個人信息安全控制措施；引導合作伙伴能夠採取適當的安全控制措施；加強對員工的個人信息安全教育；最重要的是還有助於減輕、免除組織相關責任和名譽損失。（三）如何進行評估？

在進行個人信息安全影響評估之前，要進行相應的準備工作。首先要通過企業內部選任或聘請外部專業機構等方式，組建評估團隊；其次，準確界定所需評估場景，是針對個人信息收集？還是共享、轉讓？還是數據出境？最後，梳理平臺已經採取的該場景項下的數據安全控制措施與相關法律法規具體要求的差距，如在收集某敏感個人信息的時候，是否取得了用戶的單獨同意？之後，靈工平臺便可按照以下的流程圖1，進行個人信息安全影響評估。

二、制度體系：建立全流程的數據安全管理制度（一）必要性分析：法定義務

根據《數據安全法》第二十七條：“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。”《個人信息保護法（草案）》第五十一條亦規定：“個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等，採取必要措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除:（一）制定內部管理制度和操作規程；”

從上述二十七條的規定分析，“應當”兩字已經屬於法律法規中的強制性義務，因此，對於彙集海量個人數據的靈工平臺而言，應當清楚地認知到，建立全流程的數據安全保護管理制度是一個法定義務。根據上文的表格梳理，若違反該法定義務，相應的具體法律責任和責任人十分清晰：法律責任是平臺罰和個人罰並舉，分一般後果和嚴重後果，一旦造成大量數據泄漏屬於嚴重後果，平臺接受罰款的同時會被責令暫停業務、停業整頓和吊銷相關許可證或吊銷營業執照，而對此負責的責任人也一併處以罰款。

筆者建議，針對該法定義務，需要借鑑一些最佳實踐爲靈工平臺構建數據安全合規體系。（二）如何建立全流程數據安全管理制度？

筆者將從一個獨特的視角來幫助大家理解構建針數據安全的最佳實踐。筆者經常作爲平臺方的律師面對投資人的投資盡調，投資人盡調數據合規方面時，通常關注平臺的兩個資質：三級等保資質或ISO27001認證體系資質。從下文分析這兩個資質的內容就能清晰看到，靈工平臺如何通過這兩個認證構建信息/數據安全管理體系，建立全流程數據安全管理制度。

1.“三級等保”資質

“三級等保”全稱：國家信息安全等級保護中的三級認證。信息系統安全等級保護是目前中國最權威的信息產品安全等級資格認證，它由公安機對平臺信息系統安全等級保護狀況進行認可及評定。

根據《網絡安全法》，我國實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務。

根據《信息安全等級保護管理辦法（試行）》（公安部公通字[2006]7號）（以下簡稱“等保管理辦法”）第二條規定：信息安全等級保護，是指對國家祕密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

《等保管理辦法》第四條，根據信息系統受到破壞後的影響程度，從沒有損害、輕微損害、有損害、嚴重損害到特別嚴重損害這五個維度定義了信息系統的五個等級保護層級。

其中第三級爲監督保護級，適用於涉及國家安全、社會秩序和公共利益的重要信息系統，其受到破壞後，會對國家安全、社會秩序和公共利益造成損害。

現在大多數的互聯網平臺被列爲第三級的監督保護級（簡稱“三級等保”）。三級等保是對非銀行機構的最高等級保護認證，測評內容涵蓋信息保護、安全審計、通信保密等在內的近300項要求。三級等保在七大關鍵點上對網絡安全進行全方位保護，包括了：身份驗證、訪問控制、安全審計、入侵防範、惡意防範、數據完整性、數據的保密性。

目前已經有一些相對比較成熟和規範的靈活用工平臺取得了三級等保資質，相信接下來會有更多的靈工平臺關注並實踐信息安全等級保護制度。通過下文“（3）‘三級等保’與‘ISO27001’的比較分析”中所示的“三級等保”認證覆蓋的內容和風險控制點的思維導圖，幫助理解如何建立全流程數據安全管理制度。

2. ISO27001信息安全管理體系認證

信息安全管理體系（ISMS）的概念起源於英國標準協會（BSI）制定的BS 7799標準系列，後形成國際系列標準羣。ISO27001即“信息安全管理實施指南”（Code of practice for Information Security Management Systems），提出了在組織內部啓動、實施、保持和改進信息安全管理的指南和一般原則，包括11個要素，39個控制目標和133種控制措施；ISO/IEC27000族是國際標準化組織專門爲ISMS預留的相關標準的總稱，其中ISO 27001是“信息安全管理體系要求”（Specification for Information Security Management Systems）。

從標準的兩個部分來理解，一部分ISO 27001是一個總的指導思想，依據是“PDCA”（PLAN、DO、CHECK、ACTION）的“戴明環”管理思想，是一個整體的信息安全管理框架，強調的是建立一個持續循環的長效管理機制；另一部分是在組織內部建立信息安全管理體系（ISMS）的一套規範，通過管理來保護組織信息的機密性、完整性和可用性，其中詳細說明了建立、實施、運行、監視、評審、保持和改進信息安全管理體系的模型和要求，其最終目的，通過規範的過程，建立適合組織實際要求的信息安全管理體系。

因此，ISO27001認證的本質是組織通過若干管理和技術措施，形成一個以體系文檔爲保證的控制流程，從而保證組織業務的連續性，並可以通過國際認證機構的嚴格審覈，獲得國際信息安全認證證書。該認證框架如下文“（3）.‘三級等保’與‘ISO27001’的比較分析”中“ISO27001思維導圖”所示。

3. “三級等保”與“ISO27001”的比較分析

簡單來說，ISO27001和三級等保，一個是國際的信息安全標準，一個是國家的信息安全政策，兩者既存在着差異又有共性，等級保護是一個宏觀的信息安全政策，而ISO 27001標準是一個具體的信息安全管理標準。那麼對於靈工平臺，應當如何選擇一種認證體系，而不至於重複投資，這就需要充分了解兩者之間的細節異同。通過對照，我們認爲，組織實施了ISO 27001標準，基本能夠符合信息安全等級保護制度的要求；但對於需要三級以上等保要求的承載國家安全的信息系統而言，等級保護的要求就高於ISO27001。

因此，對於在三級等保要求上的靈工平臺而言，在沒有特殊要求的前提下，選擇三級等保和ISO27001均可以滿足建立數據安全保護體系的要求。若要兩者並舉，也可以考慮以ISO 27001標準爲主線落實三級等保制度，因爲三級的安全要求基本和ISO 27001標準內容匹配，因此兩者可以協同完成。等級保護檢查準則基本和ISO 17799（ISO27001的具體管理）的條款類似，都從管理和技術兩個方面入手，橫向的IT系統的整個生命週期，縱向的分層次安全。等級保護的檢查和ISO 27001的審查也比較類似。

但是兩者也存在顯著差異，雖然從外觀上看，兩者都從技術和管理兩個方面提出了信息安全的具體要求，但是分類標準有差異。等級保護有10個方面的要求，技術方面有：物理安全、網絡安全、主機系統安全、應用安全、數據安全，管理方面有：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理；而ISO 27001標準有11個方面，分別是：安全策略、組織信息安全、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理、符合性。而且兩者在各個大分類下面又規定了若干的小項目。

上述分類差異並非兩者的本質差異，筆者認爲，等保制度和ISO27001的根本差異在於以下兩點：

首先兩者的目的不同。三級等保的目的是國家安全、社會秩序和公共利益爲，而ISO 27001標準的目的是保證組織安全和利益。因此等保制度是爲了構建國家整體的信息安全保障體系，而ISO 27001標準是以爲了保證組織業務的連續性，縮減業務風險，組織在風險可控前提下的收益最大化。目的差異在兩者實施不同的分級標準中充分體現。

其次，兩者的分級標準不同。這一點至關重要，也是理解等保制度和ISO27001差異的核心。等級保護實施的前提是分級，針對不同的等級，提出了不同的安全要求；ISO 27001標準的第一步也是風險評估，根據資產的價值和所面臨的風險進行分級，然後針對不同的風險選擇相應的風險處置措施。

雖然都是從分級入手，但是兩者的分級標準不同，充分體現了各自保護的目的。等級保護的分級主要考慮四個方面的風險，即根據信息系統遭到破壞後，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益所造成的影響程度大小，分爲五級，因此，該分級理念的關鍵依據是組織外部的影響程度。而ISO 27001標準的分級是組織根據根據自己對風險的接受程度，對資產、威脅、脆弱點、影響、風險等各個因素之間的關係進行評估後，進行分級分類，再根據分級決定自身採取何種風險處置措施。因此，ISO 27001標準的分級理念的關鍵依據是組織內部的影響程度。

由此可以看出ISO27001標準的實施對於組織而言有更多的定製化特性，組織可以結合自身的行業特性、發展階段要求、外部監管的環境變化而做出不一樣的分級標準，進而選擇適合自身的風險控制措施。

爲了如何幫助靈工平臺在兩個認證體系中做出恰當選擇或者兩者並舉，我們根據相關標準2將相關“三級等保”與“ISO27001”認證內容及風險控制點整理如下思維導圖。

三、結語

伴隨着靈工平臺的發展，自2017年正式開展靈工平臺合規服務起，筆者深感該領域的發展之快、變化之大，從靈工平臺這一概念尚且模糊逐漸發展成具有個體戶、委託代徵、臨時登記等多種運營模式並舉，甚至還出現了許多細分垂直領域的靈工平臺，時至今日，仍在不少合規環節存在模糊地帶，比如個體戶的管轄權問題，比如個人經營所得和勞務的收入的區分問題，比如委託代賬模式的增值稅問題等等。這一領域大有發展前景，很多靈工平臺也在不斷跨越障礙一路發展，一方面是國家政策的鼓勵，另一方面是平臺自身帶來的市場生命力。正因爲此，筆者更加關注平臺在不同發展階段需要重點關注的合規問題，本文探討的正是基於靈工平臺發展到目前階段已經出現：集合大量個人信息數據、與大量服務商對接、在集團大量關聯主體之間的數據交互以及與政府界面上的大量數據提交等現狀，由此提出數據合規體系的構建的必要性和迫切性。

通過一些靈工數據合規項目，筆者發現，數據問題不僅僅牽涉到數據領域的合規，亦與靈工平臺的系統搭建、業務真實性、真實合作關係的建立等靈工基礎合規問題緊密相連。實踐中證明，平臺通過搭建數據安全體系，來整體梳理平臺的合規制度，正好與靈工平臺的整體合規一脈相承，在基礎合規法律問題中貫穿數據合規的內容，亦在數據合規體系中呈現基礎合規法律問題的解決方案，舉例來說，靈工平臺最關心的業務真實性問題，在打造數據合規體系過程中，對於數據的真實性就是一個重要的要素指標，因此兩者是互通的。由此，筆者建議，通過靈工平臺構建數據合規體系，通過責任落實到個人信息保護/數據安全負責人，來推動平臺全方位合規。具體個人信息保護/數據安全負責人應當如何落實，將在下文《靈活用工平臺如何打造數據安全合規體系（下）——數據安全應當責任到人》中展開討論。

文中備註：

[1]根據《信息安全技術 個人信息安全影響評估指南》整理。數據映射是指組織在針對個人信息處理過程進行全面的調研後，形成清晰的數據清單及數據映射圖表。數據映射分析階段需結合個人信息處理的具體場景。梳理數據映射分析的結果時，根據個人信息的類型、敏感程度、收集場景、處理方式、涉及相關方等要素，對個人信息處理活動進行分類，並描述每類個人信息處理活動的具體情形，便於後續分類進行影響分析和風險評價。

[2]《GB/T 22239一2019 信息安全技術 網絡安全等級保護基本要求》、《ISO27001-2013_信息技術 安全技術 信息安全管理體系要求》

來源：36氪