2023年10月9日,为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作,起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。
《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》),指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作。有关情况说明如下:
一、编制背景
数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。
《管理办法》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的具体细化要求。为进一步细化行业数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平,我们研究起草了《实施细则》。
二、主要内容
《实施细则》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。主要内容包括:
(一)关于适用范围及管理职责(第一至四条)。界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,明确工业和信息化部、地方行业监管部门的职责分工,并确立风险评估工作原则。
(二)关于评估对象和内容(第五条)。明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。
(三)关于评估机制要求(第六至十条)。提出了评估期限、重新申报评估的情形、可采取的评估方式,并对委托评估、评估协作、风险控制和评估报告报送等作出要求。
(四)关于审核、监督和管理制度(第十一至十五条)。明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求,并提出建立支撑行业监管工作的第三方评估机构库。
(五)关于保密等其他要求(第十六至十七条)。明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行。
工业和信息化领域数据安全风险评估实施细则(试行)
第一条【目的依据】根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规、政策文件有关要求,引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,制定本细则。第二条【适用范围】本细则适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。第三条【管理机构】工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。工业和信息化部及地方行业监管部门统称为行业监管部门。第四条【工作原则】重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。第五条【评估内容】重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:(一)数据处理目的、方式、范围是否合法、正当、必要;(二)数据安全管理制度、流程策略的制定和落实情况;(五)数据处理活动相关人员的数据安全意识、知识技能、从业背景情况;(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;(七)涉及数据提供、委托处理、转移的,数据提供方、接收方的安全保障能力、诚信守法和责任义务约束情况;(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的规模、范围、种类、敏感程度等要素与申报事项的符合情况。第六条【评估期限】重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。在有效期内出现以下情形之一的,重要数据和核心数据处理者对发生变化及其影响的部分,重新开展数据安全风险评估,并更新评估报告:(一)拟新增跨主体提供、委托处理、转移重要数据或者核心数据的;(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的;第七条【评估方式】重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。第八条【委托评估】重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估的,可以通过订立合同或者其他具有法律效力的文件,明确双方的权利和责任,向第三方评估机构提供必需的材料和条件,确保相关材料的真实性和完整性,并确认评估结果。第九条【风险控制】重要数据和核心数据处理者对评估中发现的数据安全风险隐患,及时采取适当措施消除或降低风险隐患。第十条【评估报送】重要数据和核心数据处理者在评估工作完成后的10个工作日内,向本地区行业监管部门报送或更新评估报告。中央企业督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部。根据工作需要,地方行业监管部门将本地区本领域重要数据和核心数据处理者的评估报告报送工业和信息化部备案。第十一条【报告审核】行业监管部门根据管理需要,可以自行或委托专业机构对评估报告进行审核,发现不符合国家及行业有关规定和标准的,通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的,或者跨主体提供、转移、委托处理核心数据的,地方行业监管部门对评估报告审查后,报工业和信息化部。工业和信息化部按照国家有关规定进行复核。第十二条【评估机构认定】鼓励具有工业和信息化领域数据安全工作经验的认证机构开展第三方评估机构的能力认证。相关认证机构配备相应的人员和技术保障能力,建立第三方评估机构能力评定制度,明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求,跟踪管理第三方评估机构的服务质量,督促第三方评估机构独立、公正、客观、科学的开展数据安全风险评估工作。第十三条【评估机构义务】第三方评估机构应当履行下列义务:(一)对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私等严格保密;(二)严格按照国家法律法规、行业监管部门有关规定以及评估标准,公正、独立地开展评估并出具评估报告,全面、准确地反映重要数据和核心数据处理者的数据安全风险状况,提供务实有效的风险整改建议措施;(三)除重要数据和核心数据处理者明确同意或者法律、行政法规另有规定外,不得向其他组织或个人提供其收集掌握的技术保护措施、关键岗位人员和安全风险等相关信息。第十四条【监督检查】工业和信息化部根据技术能力、人员配备、信誉资质等情况,择优遴选通过能力评定的第三方评估机构,建立工业和信息化领域数据安全风险评估支撑机构库。地方行业监管部门可以参照建立本地区数据安全风险评估支撑机构库。行业监管部门根据工作需要,可以自行或委托数据安全风险评估支撑机构库中的机构,对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。重要数据和核心数据处理者对行业监管部门开展的专项风险评估及监督检查予以配合,并对评估发现的相关问题及时进行改正。第十五条【机构监管】行业监管部门对于违反国家认证认可相关规定的认证机构,将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理,对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构,视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。第十六条【保密要求】行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。第十七条【其他规定参照】涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。