2024年6月1日起,工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《实施细则》),正式生效施行。
《实施细则》完善了工信领域数据安全制度体系,展现了工信数据安全风险评估制度的全貌,可称得上是开行业数据风险评估专项管理制度的“先河”。
一、看变化:管理思路的完善
工信部曾于2023年10月就《实施细则》公开征求了社会意见,与征求意见稿相比,《实施细则》正式稿作了多处修改调整。从中,我们也可以分析管理思路变化完善的某些脉络。
一是监管执法严格化
主要体现在统一管理要求、强化“穿透式”纠错、追责方式全覆盖等方面。在统一管理要求方面,如对于地方评估结果的报送管理,由原来的“根据工作需要”报送,改为了均需报送工信部备案(第十条)。在对认证机构监管纠错方面,强化和进一步明确了在违规认证活动中,认证机构所应承担的“穿透式”纠错主体责任(第十五条)。在追责方式方面,单独增加了第十六条,使得民事、行政、刑事三类追责方式将基于性质和程度不同,实现对违法行为追责的全覆盖。
二是管理要求规范化
主要体现在提高了相关规定科学性、可操作性两方面。在科学性方面,如第十二条将认证机构的选取标准由原来的“具有工作经验”改为“满足资质要求”,可见其评价标准更加客观、科学。在可操作性方面,如第五条对于数据处理人员安全的要求由原来的“相关人员的数据安全意识、知识技能、从业背景情况”,改为“相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能”,可见要求更加直观、便于操作执行。
三是法规衔接体系化
主要体现在《实施细则》各条款之间,以及《实施细则》与其他法规之间的衔接一致。在条款衔接方面,《实施细则》有多处修改,如第五条第(七)项修改为“数据获取方或受托方”的安全保障能力要求,即避免与此前条款的重复。在法规之间衔接方面,《实施细则》对于重要数据评估备案、出境管理等规定的修改,都充分体现出其与《数据安全法》《促进和规范数据跨境流动规定》《数据出境安全评估办法》等法律法规的体系化衔接。
二、看内容:评估的三个基本问题
《实施细则》在制度建设方面,可以视为对《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)的细化和完善。其在《管理办法》构建的制度框架下,详细回答了“谁监管”、“谁评估”、“评估谁”三个基本问题。
(一)谁监管:主管部门和管理职责
对于工信数据安全风险评估的管理部门和管理机制,《实施细则》的相关规定可归纳为以下两个层次。
首先,“两级+五类”管理机构。“两级”是指在管理层级上看,监管主体分为部、省两级行业监管部门。“五类”则主要从职责定位上看,包括:工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。其中,《实施细则》将中央企业单列,负责“督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部”。可见,除了央企垂直报送的情况以外,评估监管基本上遵循省级属地管辖的原则。
其次,三项管理机制。一是统筹和立制,工信部负责,工作形式包括统一监管指导和制修订标准等(第三条)。二是数据处理者自评估报告的接收和审查,主要由省级监管部门负责,其中涉及跨主体处理核心数据等的情况,审查后还需报工信部复核(第十一条)。三是监督检查,《实施细则》规定部、省两级行业监管部门均可按照工作需要开展,形式包括“专项风险评估”、“评估工作落实情况监督检查”等(第十四条)。
(二)谁评估:评估实施主体
对于工信数据安全风险评估工作的具体实施,除了数据处理者自行开展外,《实施细则》还规定了委托评估的重要机制。而从实践情况来看,因受专业技术能力、法规标准理解能力、人员队伍素质等多种因素的影响,数据处理者大概率会采用委托评估的方式开展此项工作。因此,第三方评估机构实际上往往会成为评估工作的主要承担者。《实施细则》对于评估实施的规定,可归纳为三个方面。
一是对数据处理活动的自评估。即数据处理者自行或委托第三方机构,对其相关数据处理活动进行风险评估,具体评估内容包括《实施细则》第五条明确的8项要点;此外,第六条、第七条等还规定了评估频次为每年一次,评估报告应于评估完成后的10日内,向本地区行业监管部门报送或更新等要求。
二是监督检查评估。特指第三方评估机构受行业监管部门委托,协助行业监管部门履行其风险评估监管职责,即包括支撑参与“专项风险评估”和“评估工作落实情况监督检查”等(第十四条)工作。
三是关于第三方评估机构的管理。《实施细则》规定了“能力认证”(第十二条)和建立“评估支撑机构库”(第十四条)两种管理机制,据此预计,后续或将采用目录管理等具体管理形式。
(三)评估谁:评估对象和范围
哪些处理者和哪些数据属于评估的对象,这无疑是工信数据领域广大从业者关心的关键核心问题之一。《实施细则》明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动(第二条)。如何全面理解此规定,笔者认为至少须包括以下四层意思。
一是“工业和信息化领域数据”的类别。根据《管理办法》第三条规定,“工业和信息化领域数据”包括工业数据、电信数据和无线电数据三类。其中“工业数据”是指“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”;“电信数据”是指“在电信业务经营活动中产生和收集的数据”;“无线电数据”是指“在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据”。
二是“重要数据和核心数据”的判断标准。这涉及工信数据的分级规定。《管理办法》对工信领域数据的分级主要是根据数据遭到篡改、破坏等情况的影响程度,也明文列举了重要数据和核心数据的常见判断标准,此不赘述(详见《管理办法》第二章 第十条、第十一条)。《实施细则》则进一步明确,对于“重要”、“核心”两个级别的数据须纳入风险评估,而对于“一般”级别的数据,则未做硬性要求,仅规定可“参照”开展相应评估工作(第十八条)。
三是“数据处理者”的范围。风险评估面向的数据处理者,仍然是《管理办法》确定的范围。按其规定,数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”,包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。
四是“数据处理活动”的主要种类。《管理办法》第三条从数据处理活动生命周期的角度,提出了数据处理活动的主要类型,即“包括但不限于数据收集、存储、使用、加工、传输、提供、公开等”活动。
三、看发展:完善思考
《实施细则》进一步明确和细化了工信数据安全评估制度的机制和要求,标志着工信领域数据安全风险评估制度正式启动。对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等,都具有重要指导意义。
与此同时,工信数据安全风险评估工作涉及面较广,很多具体规定或有待结合实际操作进一步优化完善。如,《实施细则》提出了“满足资质要求的认证机构开展第三方评估机构的能力认证”(第十二条),但对于认证机构应满足哪些“资质要求”,仅提出了原则性规定,也不便于推进落实。再如,对于地方建设“评估支撑机构库”的规定(第十四条),仅规定了“参照建立本地区数据安全风险评估支撑机构库”,但在“地区机构库”与“工信部机构库”二者的关系问题上,诸如服务范围如何区分、涵盖机构名单是否可相同等具体情况,也期待做出进一步细化。
法规完善是一个循序渐进、集思广益的过程。绿盟科技作为服务网络安全战线的科技老兵,将依托自身的长期研发积累和产品技术优势,持续为工信数据安全风险评估制度提供坚实的落地保障;并将结合自身在服务重大工程项目和重大活动保障的扎实经验,为工信数据安全风险评估制度的完善,积极献计献策、发挥应有的支撑作用。
文章来源:网络安全罗盘