信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安信安全”。

近日，工業(yè)和信息化部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則(試行)(征求意見稿)》(以下簡(jiǎn)稱《實(shí)施細(xì)則》)，進(jìn)一步明確了工信數(shù)據(jù)安全評(píng)估制度的重要概念和機(jī)制，標(biāo)志著工信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度距離真正實(shí)施又進(jìn)一步。

去年發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(以下簡(jiǎn)稱《管理辦法》)，將“工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”確立為工信數(shù)據(jù)安全評(píng)估的一項(xiàng)重要制度(第三十一條)?！秾?shí)施細(xì)則》對(duì)于該項(xiàng)重要制度的完善和發(fā)展，可概括為主要回答了“評(píng)估誰”、“誰監(jiān)管”、“誰評(píng)估”三個(gè)基本問題。

01

評(píng)估誰：評(píng)估對(duì)象和范圍

工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的評(píng)估對(duì)象和范圍，無疑是工信數(shù)據(jù)領(lǐng)域廣大從業(yè)者關(guān)心的首要問題之一。《實(shí)施細(xì)則》明確了風(fēng)險(xiǎn)評(píng)估的對(duì)象為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”開展的數(shù)據(jù)處理活動(dòng)(第二條)。全面理解何為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”，至少須包括以下四層意思。

一是“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”的類別。根據(jù)《管理辦法》第三條規(guī)定，“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)三類。其中“工業(yè)數(shù)據(jù)”是指“在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過程中收集和產(chǎn)生的數(shù)據(jù)”;“電信數(shù)據(jù)”是指“在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)”;“無線電數(shù)據(jù)”是指“在開展無線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)”。

二是“重要數(shù)據(jù)和核心數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。這涉及到工信數(shù)據(jù)的分級(jí)規(guī)定。按照《管理辦法》有關(guān)條文，對(duì)工信領(lǐng)域數(shù)據(jù)的分級(jí)主要是根據(jù)數(shù)據(jù)遭到篡改、破壞等情況時(shí)的危害程度，《管理辦法》也明文列舉了重要數(shù)據(jù)和核心數(shù)據(jù)的常見判斷標(biāo)準(zhǔn)，此不贅述?！秾?shí)施細(xì)則》進(jìn)一步明確，對(duì)于“重要”、“核心”二個(gè)級(jí)別的數(shù)據(jù)須納入風(fēng)險(xiǎn)評(píng)估，而對(duì)于“一般”級(jí)別的數(shù)據(jù)，則未做硬性要求，僅規(guī)定可“參照”開展相應(yīng)評(píng)估工作。

三是“數(shù)據(jù)處理者”的范圍。風(fēng)險(xiǎn)評(píng)估面向的數(shù)據(jù)處理者，仍然是《管理辦法》確定的范圍。按其規(guī)定，數(shù)據(jù)處理者是指“數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)和信息化領(lǐng)域各類主體”，包括“工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者和無線電頻率、臺(tái)(站)使用單位等”四類企業(yè)和機(jī)構(gòu)。

四是“數(shù)據(jù)處理活動(dòng)”的主要種類。《管理辦法》第三條從數(shù)據(jù)處理活動(dòng)生命周期的角度，提出了數(shù)據(jù)處理活動(dòng)的主要類型，即“包括但不限于數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等”活動(dòng)。

02

誰監(jiān)管：主管部門和管理機(jī)制

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的管理部門和管理機(jī)制，《實(shí)施細(xì)則》的相關(guān)規(guī)定可歸納為以下兩個(gè)層次。

首先，兩級(jí)、五類管理機(jī)構(gòu)。從層級(jí)上看，監(jiān)管主體的“兩級(jí)”是指部、省兩級(jí)行業(yè)監(jiān)管部門。五類機(jī)構(gòu)為：工業(yè)和信息化部、省級(jí)工信主管部門、省級(jí)通信管理局、省級(jí)無線電管理機(jī)構(gòu)、中央企業(yè)。其中，《實(shí)施細(xì)則》將中央企業(yè)單列，負(fù)責(zé)“督促指導(dǎo)所屬企業(yè)履行屬地?cái)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及評(píng)估報(bào)告報(bào)送要求，并將梳理匯總的企業(yè)集團(tuán)本部、所屬公司的評(píng)估報(bào)告報(bào)送工業(yè)和信息化部”?？梢姡搜肫蟠怪眻?bào)送的情況以外，評(píng)估監(jiān)管基本上遵循省級(jí)屬地管轄的原則。

其次，三項(xiàng)管理機(jī)制。一是統(tǒng)籌和立制，工信部負(fù)責(zé)，工作形式包括統(tǒng)一監(jiān)管指導(dǎo)和制修訂標(biāo)準(zhǔn)等。二是自評(píng)估報(bào)告的接收和審查，主要由省級(jí)監(jiān)管部門負(fù)責(zé)，其中涉及數(shù)據(jù)跨境、跨主體處理等的情況，審查后還需報(bào)工信部復(fù)核。三是監(jiān)督檢查，《實(shí)施細(xì)則》規(guī)定部、省兩級(jí)行業(yè)監(jiān)管部門均可按照工作需要開展，形式包括“專項(xiàng)風(fēng)險(xiǎn)評(píng)估”、“評(píng)估工作落實(shí)情況監(jiān)督檢查”等。

03

誰評(píng)估：評(píng)估實(shí)施機(jī)構(gòu)

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的具體實(shí)施，除了數(shù)據(jù)處理者自行開展外，《實(shí)施細(xì)則》還規(guī)定了委托評(píng)估的重要機(jī)制。而從實(shí)踐情況來看，因受專業(yè)技術(shù)能力、對(duì)法規(guī)標(biāo)準(zhǔn)理解、人員隊(duì)伍素質(zhì)等方面因素的影響，數(shù)據(jù)處理者大概率會(huì)采用委托評(píng)估的方式開展此項(xiàng)工作。因此，第三方評(píng)估機(jī)構(gòu)實(shí)際上往往會(huì)成為評(píng)估工作的主要承擔(dān)者?！秾?shí)施細(xì)則》對(duì)于評(píng)估實(shí)施的規(guī)定，可歸納為三個(gè)方面。

一是對(duì)數(shù)據(jù)處理活動(dòng)的評(píng)估。即數(shù)據(jù)處理者自行或委托第三方機(jī)構(gòu)，對(duì)其相關(guān)數(shù)據(jù)處理活動(dòng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體評(píng)估內(nèi)容包括《實(shí)施細(xì)則》第五條明確的8個(gè)要點(diǎn)，評(píng)估頻次為每年一次，評(píng)估報(bào)告應(yīng)于評(píng)估完成后的10日內(nèi)，向行業(yè)監(jiān)管部門報(bào)送或更新。

二是監(jiān)督檢查評(píng)估。特指第三方評(píng)估機(jī)構(gòu)受行業(yè)監(jiān)管部門委托，協(xié)助行業(yè)監(jiān)管部門履行其風(fēng)險(xiǎn)評(píng)估監(jiān)管職責(zé)，即包括支撐參與前文所述的“專項(xiàng)風(fēng)險(xiǎn)評(píng)估”和“評(píng)估工作落實(shí)情況監(jiān)督檢查”等工作。

三是關(guān)于第三方評(píng)估機(jī)構(gòu)的管理。《實(shí)施細(xì)則》規(guī)定了“能力認(rèn)證”(第十二條)和建立“評(píng)估支撐機(jī)構(gòu)庫”(第十四條)兩種管理模式。

來源：網(wǎng)絡(luò)安全羅盤，部分刪減