《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》明确要求,加强网络、数据等新兴领域国家安全能力建设。近日,国家互联网信息办公室发布了《网络数据安全风险评估办法(征求意见稿)》(以下简称《办法》),标志着我国在网络数据安全制度体系建设方面又迈出重要一步,对于加强国家网络数据安全能力建设具有重要意义。
一、《办法》是以底线思维保障国家数据安全的重要举措
当前,数据依赖度提升带来的系统性风险加剧,国家数据安全底线面临更为复杂的考验。底线思维的核心要求是“防患于未然”。《办法》明确了安全评估的主管部门、数据处理者、第三方机构的各自责任,确保守牢国家数据安全底线。
关于主管部门的责任。明确了“谁管业务、谁管业务数据、谁管数据安全”的原则。一是加强统筹协调,明确国家网信部门在国家数据安全工作机制指导下,统筹开展风险评估,避免重复评估、重复检查。二是报送工作计划,要求各有关主管部门定期组织本行业、本领域的风险评估,并于每年1月底前向国家网信部门报送年度计划。三是报告抽查核验,明确省级以上网信部门和有关部门可对网络数据处理者的评估报告真实性、准确性进行抽查核验。四是开展指定评估,明确省级以上网信部门和有关部门在风险评估报告核验、监督等工作中发现存在较大安全风险等情形时,应当要求其委托通过认证的评估机构开展风险评估。五是提出整改和停止处理,要求有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络处理活动,应当责令整改;对整改不到位、拒不整改的网络数据处理者,可以采取要求其停止处理重要数据等措施。六是加强信息共享和协同处置,要求各地区、各部门应当加强风险信息共享和协同处置,及时处置发现的风险和问题,并按照有关规定及时报告。
关于网络数据处理者的责任。一是评估的组织方式,明确网络数据处理者可以自行或者委托第三方评估机构开展风险评估。二是评估的具体内容,要求风险评估工作应当按照有关法律法规要求和国家标准开展,另有规定的从其规定。三是评估的时间周期,要求处理重要数据处理者应当每年度开展风险评估,重要数据状态发生重大变化或者对数据安全造成不利影响,应当及时开展,并鼓励一般数据处理者至少每三年开展一次。四是评估报告的撰写,要求应当按照《办法》提供的模板编制评估报告,另有规定的从其规定。五是评估报告的报送,要求在年度风险评估完成后的10个工作日内按照有关部门要求报送。报送部门不明确的,向省级网信部门或者国家网信部门报送。六是配合指定评估,要求网络数据处理者按照要求委托评估机构评估的,应当履行为评估机构提供必要支持等各项义务。
关于第三方评估机构的责任。一是资质获得,明确经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构,可按照《数据安全技术数据安全评估机构能力要求》(GB/T 45389)等有关国家标准、行业标准对评估机构开展认证。二是工作原则,要求应当遵守法律法规、公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责。三是报告责任,要求评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通报网络数据处理者,并按照有关规定向省级以上网信部门、有关主管部门报告。四是保密责任,要求评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密。
二、《办法》是以系统思维助力数据安全合规的关键环节
网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等,共同构成了网络数据安全合规的制度体系。《办法》制定中充分考虑了这些制度的内在逻辑关系。
一方面,这些制度各司其职、各有侧重。其中,数据安全风险评估聚焦风险识别与预判,针对数据处理全生命周期开展风险排查,目标是识别数据泄露、篡改、滥用等潜在风险,提出管控建议;网络安全等级保护测评针对网络设施、信息系统按等级开展安全测评,目标是确保网络系统具备符合等级要求的安全防护能力;数据安全管理认证聚焦组织管理体系合规性,由第三方机构对组织的数据安全管理体系,进行审核认证,目标是验证组织是否建立了符合国家标准的数据安全管理机制并有效运行;个人信息保护合规审计聚焦个人信息处理合规性,对个人信息处理活动开展审计,目标是监督组织是否遵守个人信息保护相关法律法规;商用密码应用安全性评估聚焦密码技术应用合规性与有效性,针对网络与信息系统中商用密码的应用开展评估,目标是验证密码应用是否符合国家标准、是否能有效保障数据机密性、完整性和可用性。
另一方面,这些制度递进支撑、互补联动。其中,数据安全风险评估是安全决策的核心依据,贯穿数据处理的全流程,形成的评估结果可为其他评测提供风险导向;网络安全等级保护测评是数据安全的基础前提,是数据安全风险评估、数据安全管理认证有效实施的基础;数据安全管理认证是风险管控的体系保障,它将风险评估、等保测评的“技术要求”转化为“管理规范”,形成长效机制;个人信息是数据的重要组成部分,个人信息保护合规审计对数据处理者个人信息合规情况进行监督审计,审计结果为数据安全风险评估等提供个人信息侵权风险校验;商用密码应用安全性评估为其他机制提供加密防护支撑,数据安全风险评估中识别的泄露、篡改风险,最终需依托密码技术实现防护,在数据安全管理认证中,密钥管理制度、密码设备运维流程是管理体系的重要组成部分。
值得注意的是,《办法》明确,上述制度实施时内容重合的,相关结果可以互相采信,避免重复评估、审计、认证,这将进一步加强这些制度之间的相互支撑和配合。
三、《办法》是以创新思维提升数据治理能力的重大突破
《办法》在全面总结以往网络数据安全制度建设经验的基础上,结合网络数据安全监管的行业特点,围绕新一轮科技革命和产业变革给数据安全带来的挑战,进行了大胆创新。
在制度设计上,实现授权用权制权相统一。为加强和完善评估过程中权力配置运行的制约和监督机制,《办法》通过“精准授权、规范用权、有效制权”的逻辑闭环,实现三者统一。授权层面,明确“谁主管业务、谁管业务数据、谁管数据安全”,明确监管权限。同时,仅授权具备数据安全服务资质的认证机构开展认证,确保评估行为“有权必有责”。用权层面,规范评估流程与标准,要求按照《网络数据安全管理条例》有关要求和《数据安全技术数据安全风险评估方法》(GB/T 45577)有关国家标准开展,实现“用权受监督”。制权层面,建立评估结果应用与责任追溯机制,评估发现的风险需限期整改,对未按要求评估或整改不到位的主体追责,同时监管部门对评估活动全程监督,形成“制权有闭环”。三者相互支撑,既保障评估权依法依规行使,又通过风险管控实现数据安全与利用的平衡。
在方式方法上,实现内部外部监督相结合。为确保评估过程的公正性、专业性和合规性,提升评价结果的可信度和行业整体服务质量,《办法》通过“内部自控+外部监管”的双重机制,实现内外监督相统一。内部监督层面,要求网络数据处理者指定专人负责,建立健全内部质量管控体系,对评估过程和结果进行自我约束。外部监督层面,要求网络数据处理者按照模板完成评估报告并报送主管部门。监管部门依法对评估报告真实性和准确性进行抽查核验。同时畅通社会监督渠道,明确任何组织、个人有权对风险评估中的违法违规活动向有关部门进行投诉举报。内部监督聚焦评估过程的细节规范,外部监督强化整体合规性把控,且外部监管发现的问题可倒逼评估主体优化内部管控,内部自控结果也为外部监督提供核查依据。这种双向联动既保障评估行为的规范性,又提升监督效能,筑牢数据安全评估的合规防线。
在目标对象上,实现全周期多要素全覆盖。为有效应对人工智能、大数据、区块链等新技术给数据安全带来的挑战,《办法》提供了评估报告模板,通过“全生命周期贯穿+多要素整合”,构建全覆盖的评估体系。全周期层面,办法将评估嵌入数据处理各环节,包括数据收集阶段评估来源合法性与合规性,存储阶段核查加密措施与容灾备份能力,使用和加工阶段检测访问权限管控与算法推荐情况,传输阶段验证传输途径和方式及节点,删除阶段检查清除流程与残留风险,形成“收集-存储-使用-加工-传输-提供-公开-删除”的闭环评估链。多要素层面,涵盖技术、管理、人员、制度等维度。技术上评估安全防护有效性,管理上审查制度流程与执行情况,人员上核查职务角色与任务分工等。这种全周期与多要素的深度融合,实现了数据安全风险评估的立体化覆盖,为数据安全保障提供全面支撑。
总之,《办法》的发布标志着我国网络数据安全管理进入系统部署、多方协同的新阶段,对提升数据安全治理能力,促进数据要素安全有序利用具有重要意义。
作者:王志成 中央网信办数据与技术保障中心副主任
(来源:“网信中国”微信公众号)
(链接:https://mp.weixin.qq.com/s/lP_4YcSl3ZW-hrVMIuvb-w)