近日,工業(yè)和信息化部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實(shí)施細(xì)則(試行)(征求意見稿)》(以下簡稱《實(shí)施細(xì)則》),進(jìn)一步明確了工信數(shù)據(jù)安全評估制度的重要概念和機(jī)制,標(biāo)志著工信領(lǐng)域數(shù)據(jù)安全風(fēng)險評估制度距離真正實(shí)施又進(jìn)一步。
2022年發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(以下簡稱《管理辦法》),將“工信數(shù)據(jù)安全風(fēng)險評估”確立為工信數(shù)據(jù)安全評估的一項(xiàng)重要制度(第三十一條)?!秾?shí)施細(xì)則》對于該項(xiàng)重要制度的完善和發(fā)展,可概括為主要回答了“評估誰”、“誰監(jiān)管”、“誰評估”三個基本問題。
Part.1/ 評估誰:評估對象和范圍
工信數(shù)據(jù)安全風(fēng)險評估制度的評估對象和范圍,無疑是工信數(shù)據(jù)領(lǐng)域廣大從業(yè)者關(guān)心的首要問題之一?!秾?shí)施細(xì)則》明確了風(fēng)險評估的對象為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”開展的數(shù)據(jù)處理活動(第二條)。全面理解何為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”,至少須包括以下四層意思。
一是“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”的類別。根據(jù)《管理辦法》第三條規(guī)定,“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)三類。其中“工業(yè)數(shù)據(jù)”是指“在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運(yùn)維服務(wù)、平臺運(yùn)營、應(yīng)用服務(wù)等過程中收集和產(chǎn)生的數(shù)據(jù)”;“電信數(shù)據(jù)”是指“在電信業(yè)務(wù)經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)”;“無線電數(shù)據(jù)”是指“在開展無線電業(yè)務(wù)活動中產(chǎn)生和收集的無線電頻率、臺(站)等電波參數(shù)數(shù)據(jù)”。
二是“重要數(shù)據(jù)和核心數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。這涉及工信數(shù)據(jù)的分級規(guī)定。按照《管理辦法》有關(guān)條文,對工信領(lǐng)域數(shù)據(jù)的分級主要是根據(jù)數(shù)據(jù)遭到篡改、破壞等情況時的危害程度,《管理辦法》也明文列舉了重要數(shù)據(jù)和核心數(shù)據(jù)的常見判斷標(biāo)準(zhǔn),此不贅述。《實(shí)施細(xì)則》進(jìn)一步明確,對于“重要”、“核心”二個級別的數(shù)據(jù)須納入風(fēng)險評估,而對于“一般”級別的數(shù)據(jù),則未做硬性要求,僅規(guī)定可“參照”開展相應(yīng)評估工作。
三是“數(shù)據(jù)處理者”的范圍。風(fēng)險評估面向的數(shù)據(jù)處理者,仍然是《管理辦法》確定的范圍。按其規(guī)定,數(shù)據(jù)處理者是指“數(shù)據(jù)處理活動中自主決定處理目的、處理方式的工業(yè)和信息化領(lǐng)域各類主體”,包括“工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者和無線電頻率、臺(站)使用單位等”四類企業(yè)和機(jī)構(gòu)。
四是“數(shù)據(jù)處理活動”的主要種類。《管理辦法》第三條從數(shù)據(jù)處理活動生命周期的角度,提出了數(shù)據(jù)處理活動的主要類型,即“包括但不限于數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等”活動。
Part.2/ 誰監(jiān)管:主管部門和管理機(jī)
對于工信數(shù)據(jù)安全風(fēng)險評估的管理部門和管理機(jī)制,《實(shí)施細(xì)則》的相關(guān)規(guī)定可歸納為以下兩個層次。
首先,兩級、五類管理機(jī)構(gòu)。從層級上看,監(jiān)管主體的“兩級”是指部、省兩級行業(yè)監(jiān)管部門。五類機(jī)構(gòu)為:工業(yè)和信息化部、省級工信主管部門、省級通信管理局、省級無線電管理機(jī)構(gòu)、中央企業(yè)。其中,《實(shí)施細(xì)則》將中央企業(yè)單列,負(fù)責(zé)“督促指導(dǎo)所屬企業(yè)履行屬地數(shù)據(jù)安全風(fēng)險評估及評估報告報送要求,并將梳理匯總的企業(yè)集團(tuán)本部、所屬公司的評估報告報送工業(yè)和信息化部”??梢?,除了央企垂直報送的情況以外,評估監(jiān)管基本上遵循省級屬地管轄的原則。
其次,三項(xiàng)管理機(jī)制。一是統(tǒng)籌和立制,工信部負(fù)責(zé),工作形式包括統(tǒng)一監(jiān)管指導(dǎo)和制修訂標(biāo)準(zhǔn)等。二是自評估報告的接收和審查,主要由省級監(jiān)管部門負(fù)責(zé),其中涉及數(shù)據(jù)跨境、跨主體處理等的情況,審查后還需報工信部復(fù)核。三是監(jiān)督檢查,《實(shí)施細(xì)則》規(guī)定部、省兩級行業(yè)監(jiān)管部門均可按照工作需要開展,形式包括“專項(xiàng)風(fēng)險評估”、“評估工作落實(shí)情況監(jiān)督檢查”等。
Part.3/ 誰評估:評估實(shí)施機(jī)構(gòu)
對于工信數(shù)據(jù)安全風(fēng)險評估工作的具體實(shí)施,除了數(shù)據(jù)處理者自行開展外,《實(shí)施細(xì)則》還規(guī)定了委托評估的重要機(jī)制。而從實(shí)踐情況來看,因受專業(yè)技術(shù)能力、對法規(guī)標(biāo)準(zhǔn)理解、人員隊(duì)伍素質(zhì)等方面因素的影響,數(shù)據(jù)處理者大概率會采用委托評估的方式開展此項(xiàng)工作。因此,第三方評估機(jī)構(gòu)實(shí)際上往往會成為評估工作的主要承擔(dān)者?!秾?shí)施細(xì)則》對于評估實(shí)施的規(guī)定,可歸納為三個方面。
一是對數(shù)據(jù)處理活動的評估。即數(shù)據(jù)處理者自行或委托第三方機(jī)構(gòu),對其相關(guān)數(shù)據(jù)處理活動進(jìn)行風(fēng)險評估,具體評估內(nèi)容包括《實(shí)施細(xì)則》第五條明確的8個要點(diǎn),評估頻次為每年一次,評估報告應(yīng)于評估完成后的10日內(nèi),向行業(yè)監(jiān)管部門報送或更新。
二是監(jiān)督檢查評估。特指第三方評估機(jī)構(gòu)受行業(yè)監(jiān)管部門委托,協(xié)助行業(yè)監(jiān)管部門履行其風(fēng)險評估監(jiān)管職責(zé),即包括支撐參與前文所述的“專項(xiàng)風(fēng)險評估”和“評估工作落實(shí)情況監(jiān)督檢查”等工作。
三是關(guān)于第三方評估機(jī)構(gòu)的管理。《實(shí)施細(xì)則》規(guī)定了“能力認(rèn)證”(第十二條)和建立“評估支撐機(jī)構(gòu)庫”(第十四條)兩種管理模式。
思考展望
《實(shí)施細(xì)則》初步展現(xiàn)了工信數(shù)據(jù)安全風(fēng)險評估制度的全貌,對于業(yè)界學(xué)習(xí)理解制度要求、預(yù)判自身數(shù)據(jù)評估工作需求、以及提前部署自身評估工作安排等,都具有重要指導(dǎo)意義。
與此同時,工信數(shù)據(jù)安全風(fēng)險評估工作涉及面較廣,很多具體規(guī)定或有待結(jié)合實(shí)際操作進(jìn)一步優(yōu)化完善。如,是否需要明確認(rèn)證機(jī)構(gòu)范圍或?qū)嵭心夸浌芾恚渴欠裥枰獙{入“評估支撐機(jī)構(gòu)庫”的第三方機(jī)構(gòu)接受數(shù)據(jù)處理者委托開展自評估的行為做出適當(dāng)限制,以確保評估公正性?是否應(yīng)當(dāng)建立全國統(tǒng)一的“評估支撐機(jī)構(gòu)庫”?是否需要對行業(yè)監(jiān)管部門啟動監(jiān)督檢查或?qū)m?xiàng)評估的條件做出適當(dāng)明確等等。
法規(guī)完善是一個循序漸進(jìn)、集思廣益的過程。綠盟科技作為服務(wù)網(wǎng)絡(luò)安全戰(zhàn)線的科技老兵,將依托自身的長期研發(fā)積累和產(chǎn)品技術(shù)優(yōu)勢,持續(xù)為工信數(shù)據(jù)安全風(fēng)險評估制度提供堅實(shí)的落地保障;并將結(jié)合自身在服務(wù)重大工程項(xiàng)目和重大活動保障的扎實(shí)經(jīng)驗(yàn),為工信數(shù)據(jù)安全風(fēng)險評估制度的完善,積極獻(xiàn)計獻(xiàn)策、發(fā)揮應(yīng)有的支撐貢獻(xiàn)。