工信领域数据安全风险评估细则公开征求意见,细化标准或持续落地

2023年10月11日 19:42   21世纪经济报道 21财经APP   吴立洋
在金融、医疗等专门领域,未来可能会出台更多相应的实施细则。

南方财经全媒体记者吴立洋 上海报道 作为识别与评估数据资源管理风险、提升安全事件应对能力的重要手段,数据安全风险评估近年来在政策指引、市场实践等各个层面得到广泛重视与应用。2021年正式施行的《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”,随着数据安全合规监管的深入,相关要求已在各类细分领域和具体场景陆续落地。

近日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。

据工信部发布的起草说明介绍,该《征求意见稿》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。

在工信领域,数据资源要素存在数据量大、处理速度快、风险传导快三个主要特征。”北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括在接受南方财经全媒体记者采访时指出,上述特征要求工信领域的数据安全管理具备智能化、敏捷性与全流程性的治理要求,本次发布的《征求意见稿》可视为在安全风险评估方面对这些要求的具体落实标准。

构建工信领域数据安全闭环

在本次《征求意见稿》公布之前,工信部已于去年发布的《工业和信息化领域数据安全管理办法(试行)》中对数据安全评估提出了具体措施,要求“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。

在具体评估内容方面,主要包含合规评估和风险研判:合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求,风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。

多位相关领域专家与从业人士在与记者交流中指出,工业和信息化领域的数据体量往往较大,数据集可达PB(1024TB)乃至EB(1024PB)级别,且往往涉及研发、生产、管理、运维等多个环节的各类数据,因此其安全风险评估工作也较为复杂。

“值得注意的是,工业与信息化领域研发设计、生产、服务等不同环节的数据需要进行关联,因此整个数据处理链条是闭环及动态关联的。且由于对数据真实性、准确性和可靠性要求高,因此也更注重数据质量。”世辉律师事务所合伙人王新锐表示,在该领域的数据安全保护工作中,尤其注重数据保护的覆盖面,依据不同类型数据实施分类分级保护,实施差异化管理和闭环保护。

具体到重要数据处理者的安全评估中,应当注重数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素的呈现,判断对国家安全、公共利益或者个人、组织合法权益等的影响程度。

本次发布的《征求意见稿》中也指出,当重要数据和核心数据处理者的评估报告内容在一年有效期内出现新增跨主体提供、委托处理、转移重要数据或者核心数据,安全状态发生变化对数据安全造成不利影响的,发生涉及重要数据、核心数据的安全事件等情形时,处理者需及时重新开展数据安全风险评估,并更新评估报告。

吴沈括则进一步表示,相关数据处理者在安全风险评估中,应特别注意在不同的数据处理环节可能触发的风险类型,以及对应的后果预判。

专门领域安全评估或将持续落地

去年7月,国家互联网信息办公室公布《数据出境安全评估办法》,要求涉及向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息等情形的数据处理者需申报数据出境安全评估。

在本次发布《征求意见稿》中亦对数据出境安全评估部分有所规定,其第五条“评估内容”中指出:涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的规模、范围、种类、敏感程度等要素与申报事项的符合情况。

同样是安全评估,上述两种要求又有何区别?

吴沈括指出,《征求意见稿》相关的数据安全风险评估是一种定期的自评估,而数据出境安全评估是一种官方评估,两种评估是相互独立的、并行的制度要求。

“二者的使用情形不同,但是也存在衔接。”王新锐表示,数据出境安全评估是专门针对数据出境活动,而重要数据处理者的定期风险评估不限于数据出境活动,是覆盖面更广,适用于数据处理活动全周期的风险评估。其中,就数据出境活动而言,重要数据处理者的定期风险评估类似于对数据出境安全评估要求落实情况的检验,合规要求是一致的,仍来自于《数据出境安全评估办法》。

值得注意的是,2021年正式施行的《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”,随着上述针对具体场景、领域的数据安全评估标准细则落地,可预见的是,未来将有更多专门领域的实施细则落地。

2023年7月,中国人民银行就曾发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,规范中国人民银行业务领域数据的安全管理,也规定了重要数据处理者的数据安全风险评估内容。

王新锐表示,在重要数据的监管上,《数据安全法》赋予了各部门在国家数据分类分级保护框架下重要数据管理的相应职责;其次,数据在各部门业务活动中扮演着日益重要的角色,各部门也有着重要数据的保护需求。因此在金融、医疗等专门领域,未来可能会出台相应的实施细则。

但另一方面,随着数据资源开发利用的不断深入,实践中的数据量级、种类都在持续增长,应用场景也不断复杂化,对于涉及数据处理场景较多、业务范围较广的处理者而言,是否可能面临安全评估合规工作任务较重,成本过高的问题?

吴沈括表示,合规要求愈加严格是相关处理者必须面对的问题,在处理应对上可引入技术手段,实现智能化、敏捷化的安全评估,以提升安全管理能力、完善机制设计。

此外,整合评估要求也是相关主体降本增效的重要手段。王新锐表示,在实际评估实践中,遇到能合并开展的评估事项,数据处理者可以一齐处理。同时,在日常业务活动中内化合规要求,建立起一套灵活有效的数据合规管理机制,通过成熟的机制提高效率,减少资源浪费。

在本次发布的《征求意见稿》中,亦对当前很多数据处理者进行安全评估的重要途径——委托第三方评估机构进行了规定,明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求,并提出建立支撑行业监管工作的第三方评估机构库。

“当前我国第三方机构发展还处于早期阶段,制度机制尚未完全建立,相应的准入和退出机制也在完善过程中。从目前来看,如何保证相关机构的中立性、专业性和权威性是重要的核心内容,需要结合本次发布的《征求意见稿》加以解决。”吴沈括表示。

关注我们