站長資訊網10月24日,科技部官網更新了6條處罰信息,華大基因、藥明康德、復旦大學附屬華山醫院、昆皓睿誠、廈門艾德生物、阿斯利康等6家單位涉及其中。值得注意的是,根據安全狗核實的資料,這是科技部首度公開涉及人類遺傳資源的行政處罰。
根據公開新聞的報道
經查明,存在以下違法違規行為:華大科技與華山醫院未經許可與英國牛津大學開展中國人類遺傳資源國際合作研究,華大科技未經許可將部分人類遺傳資源信息從網上傳遞出境。上述行為違反了《人類遺傳資源管理暫行辦法》第四條、第十一條、第十六條規定。
《人類遺傳資源管理暫行辦法》第四條規定,國家對重要遺傳家系和特定地區遺傳資源實行申報登記制度;未經許可,任何單位和個人不得擅自采集、收集、買賣、出口、出境或以其他形式對外提供。
新聞的詳細內容安全狗就不在這里引用了,感興趣的小伙伴可以自行搜索了解,總之,就華大科技這一案例而言,這是涉及了14萬孕婦基因信息、公開可查的第一例數據出境處罰的案例。
從網絡安全的角度來說,數據的存儲和傳輸是受到《網絡安全法》的約束的
第37條:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當進行安全評估。
這里有兩個關鍵詞:
關鍵信息基礎設施和安全評估。
首先是關鍵信息基礎設施的問題
雖然沒有明確的直接說明,但這樣一個滿足了等保三級標準、儲存了至少14萬人重要信息的信息系統,重要性是不言而喻的,而在實際操作過程中,關鍵信息基礎設施的等級保護定級標準一般不會小于三級。
至于安全評估的標準,我們可以參考這份文件:《信息技術 數據出境安全評估指南》,狗哥把相關的條目截了個圖。
很顯然,按照附錄A.18 的規定,此次華大基因的14萬中國孕育DNA數據是數據重要數據,在出境前是需要進行安全評估的。
根據法律的規定,向境外提供重要數據的需要啟動自評估流程,同時制定數據出境計劃,包括但不限于:
數據出境目的、范圍、類型、規模
涉及的信息系統
中轉國家和地區及安全控制措施等
如果數據出境活動不具有合法性和正當性,那么不得出境;在此基礎上再評估數據出境計劃是否風險可控,避免數據出境后被泄露、濫用等風險。最終,網絡運營者需要形成一份數據出境計劃評估報告,至少保存5年。
同樣來自于《信息技術 數據出境安全評估指南》的原文規定,合法正當評估中應包括以下要點
我們還要注意一點,如果出境的數據涉及到了個人信息,那么被采集信息的個人是必須授權同意的,這一點在這個新聞案例里存疑,這14萬孕婦不見得每人都同意出境,或者被用于其他的用途,這也是這個案例值得深思的另一面。
守信、守法、合規是企業應盡的義務,本次案例說明,網絡安全的建設不僅僅是技術和設備方面的更新迭代,也需要企業的高度自律,更重要的是更有效的監管。數據主權是事關國家的核心利益的問題,是網絡安全的重要組成部分,安全狗將會和安全行業一道守好國家網絡安全的藩籬。
