*本文首发于LexisNexis律商联讯《中国法律透视》
引 言
随着数字经济的发展,数据已成为重要的生产要素和战略资源。工业和信息化领域作为数字经济的重要支柱,其数据安全对于国家安全、经济发展和社会稳定具有重要意义。为了确保工业和信息化领域数据安全,2023年10月,国家工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称“《征求意见稿》”),旨在规范数据安全风险评估工作,提高数据安全保障能力。
《征求意见稿》对在境内的工业和信息化领域重要数据与核心数据处理者数据安全风险评估活动提供规范指引。依据《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),工业和信息化领域数据包括工业数据、电信数据和无线电数据。
工业和信息化领域数据 | |
数据类型 | 数据内容 |
工业数据 | 指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。 |
电信数据 | 指在电信业务经营活动中产生和收集的数据。 |
无线电数据 | 指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。 |
上述产业领域大量涉及重要数据及核心数据处理,依据数据类别与等级,仅要求针对重要数据及核心数据进行年度风险评估。
重要数据 | |
序号 | 数据内容 |
1 | 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域。 |
2 | 对工业和信息化领域发展、生产、运行和经济利益等造成严重影响。 |
3 | 造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大。 |
4 | 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响。 |
5 | 经工业和信息化部评估确定的其他重要数据。 |
核心数据 | |
序号 | 数据内容 |
1 | 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域。 |
2 | 对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响。 |
3 | 对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等。 |
4 | 经工业和信息化部评估确定的其他核心数据。 |
在重要数据及核心数据的定义上,通过数据安全事件风险结果进行概念定义,以威胁及影响严重性进行概念判定具有一定的主观性及不确定性。
评估工作重点关注数据安全管理、防护能力及规范遵守程度,具体包括:(1)数据处理目的、方式及范围;(2)数据安全管理制度与流程策略;(3)数据安全组织架构、岗位配置及履责情况;(4)数据安全技术防护能力;(5)人员数据安全意识、知识技能及从业背景情况;(6)数据安全事件风险;(7)数据提供、委托处理、转移情况下相对方情况;(8)数据出境安全评估情况。
评估工作每年度至少一次,评估报告结果有效期为一年,报告完成后10日内需向本地区行业监管部门报送或更新评估报告。
《征求意见稿》明确行业监管部门监督职权,对评估报告及数据处理者数据处理活动开展审核监督。
其一,行业监管部门可对报送的评估报告根据管理需要自行或委托专业机构进行审核,涉及数据跨境的需报工业和信息化部进行复核。
其二,行业监管部门可根据需要,对重要数据和核心数据处理者数据处理活动开展专项风险评估,对风险评估工作落实情况进行监督检查。
行业监管部门职责的确定,从行政管理上强化了工业与信息化领域重要数据及核心数据处理者数据安全保障与风险评估责任,由监管推动关联领域的数据发展的合规化。
针对行政强制监管的数据安全风险评估,需在先明确监管的企业对象及数据内容。现有对工业和信息化领域重要数据及核心数据的界定存在较大的主观性,在具体企业及数据的判定上存在不确定性,使得实务运用存在一定的困难。对此,建议就本领域内重要数据及核心数据出具具体的分类指引,明确并落实相关数据处理者的安全风险评估责任。
数据安全风险评估工作由企业自行或委托第三方开展,在评估开展过程中或评估完成后通常伴随着安全风险修正与整改,评估报告结果往往体现良好。由此,对报送的评估报告审核,存在不合规范要求的可能性较低。不可置否,行业监管部门对于评估报告的实质审查,极大程度上能保障评估报告的质量,但在书面审查之外,与此同时,良好的监督有赖于专项风险评估。可对行业监管部门专项评估审查工作设定频次及抽查概率要求,结合书面审查与实体审查,从而实质上提升监督管理作用。
《征求意见稿》中指出“各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构”统称“地方行业监管部门”,“工业和信息化部机地方行业监管部门”统称“行业监管部门”。各行业监管部门之间的权限及职能范围未做明确,实施推进过程中可能出现权责不清、履职不明的情况,建议进一步进行细化与拆分。
工业与信息化领域涉及大量重要数据及核心数据的处理,关系企业发展及国家安全。强化工业及信息化领域数据安全风险把控、实行监管导向,严格关键行业关键领域数据管理,是数据安全法治发展的必然,也是其他产业数据安全管控的先导试行。工业及信息化行业企业及其他产业领域数据处理者应重视数据安全发展趋势,依规开展数据安全风险评估,从而降低数据安全风险事件发生可能性、提升数据安全管理水平,维护企业及国家整体安全和发展利益。