数字经济时代,数据作为重要的新型生产要素,在不断流通的过程中,充分释放数据价值的同时,也面临着诸多安全风险与挑战,数据安全风险评估是做好数据安全建设的重要一环。《数据安全法》第三十条规定:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)第三十一条规定:工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规、政策文件有关数据安全风险评估的相关要求,进一步细化工业和信息化领域数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平,2023年10月9日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试用)》(征求意见稿)(以下简称《实施细则》)。
本次发布的《实施细则》征求意见稿共十七条,明确了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。主要内容包括:
1、明确了适用对象为工信领域重要数据和核心数据处理者
第二条明确:该细则适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。一般数据处理者可参照本细则开展数据安全风险评估。
关于重要数据和核心数据的界定,可以参考《管理办法》第十条和第十一条的相关规定。
第十条 危害程度符合下列条件之一的数据为重要数据:(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)经工业和信息化部评估确定的其他重要数据。
第十一条 危害程度符合下列条件之一的数据为核心数据:
(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;
(三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
2、明确工信部、地方行业监管部门的职责分工
第三条规定,由工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。地方行业监管部门,包括省级工信主管部门、省级通信局和无线电管理机构,依据职责分别负责监管本地区工业、电信、无线电领域的重要数据和核心数据处理者开展风险相关评估工作。
之前的《管理办法》明确了工信领域数据包括工业数据、电信数据和无线电数据,并对相关概念进行了界定,具体可参见《管理办法》第三条。
3、明确了数据安全风险评估要素和评估内容
第五条明确:评估要素为数据处理活动的目的和方式、管理体系、技术工具、人员能力、风险影响等,并按照以上要素细化了具体评估内容,包括:
4、提出了评估期限、重新申报评估的情形、可采取的评估方式
第六条明确:重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。
对于需要重新开展数据安全风险评估的情形包括:
(1)新增跨主体提供、委托处理、转移的;
(2)安全状态发生变化对数据安全造成不利影响的;
(3)发生涉及重要数据、核心数据的安全事件的;
(4)行业监管部门要求进行评估的其他情形。
第七条明确:评估方式包括两种,一是自评估;二是委托第三方评估,评估过程要求建立专业化评估团队、制定完整的评估工作方案,配有有效的技术评测工具。
5、对委托评估、风险控制和评估报告报送等作出要求
第八条至第十条对对委托评估、风险控制和评估报告报送等作出要求。
关于委托评估的要求,一是要签订合同或其他具有法律效力的文件;二是向第三方机构提供必须的材料,且材料要确保真实性和完整性;三是要确认评估结果。
关于风险控制的要求,要对评估中发现的数据安全风险隐患及时采取适当措施消除或降低风险隐患。
关于评估报送的要求,一是在评估工作完成后的10个工作日内,向本地区行业监管部门报送或更新评估报告;二是中央企业督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部;三是地方行业监管部门将本地区本领域重要数据和核心数据处理者的评估报告报送工业和信息化部备案。
此外,第十一至十五条明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求。第十六至十七条明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行。
目前,我国也已经出台了一些关于数据安全风险评估的国家标准,可以用于指导风险评估工作的开展。2023年5月,全国信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》,给出了网络数据安全风险评估的评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息评估安全风险。同年8月,全国信安标委发布国家标准《信息安全技术 数据安全风险评估方法》(征求意见稿),提出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容,明确了数据安全风险评估各阶段的实施要点和工作方法。这些文件为数据处理者、第三方机构开展风险评估提供了参考依据。
《实施细则》充分细化落实了《工业和信息化领域数据安全管理办法(试行)》第三十一条对于数据安全风险评估的要求,对指导工业和信息化领域数据处理者规范开展风险评估工作具有重要意义。工信领域重要数据和核心数据处理者应提高重视,结合《实施细则》相关内容及参照相关标准,积极开展数据安全风险评估工作。
文章来源:天津市大数据协会