《中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十五個(gè)五年規(guī)劃的建議》明確要求，加強(qiáng)網(wǎng)絡(luò)、數(shù)據(jù)等新興領(lǐng)域國(guó)家安全能力建設(shè)。近日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱《辦法》），標(biāo)志著我國(guó)在網(wǎng)絡(luò)數(shù)據(jù)安全制度體系建設(shè)方面又邁出重要一步，對(duì)于加強(qiáng)國(guó)家網(wǎng)絡(luò)數(shù)據(jù)安全能力建設(shè)具有重要意義。

一、《辦法》是以底線思維保障國(guó)家數(shù)據(jù)安全的重要舉措

當(dāng)前，數(shù)據(jù)依賴度提升帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)加劇，國(guó)家數(shù)據(jù)安全底線面臨更為復(fù)雜的考驗(yàn)。底線思維的核心要求是“防患于未然”?！掇k法》明確了安全評(píng)估的主管部門(mén)、數(shù)據(jù)處理者、第三方機(jī)構(gòu)的各自責(zé)任，確保守牢國(guó)家數(shù)據(jù)安全底線。

關(guān)于主管部門(mén)的責(zé)任。明確了“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”的原則。一是加強(qiáng)統(tǒng)籌協(xié)調(diào)，明確國(guó)家網(wǎng)信部門(mén)在國(guó)家數(shù)據(jù)安全工作機(jī)制指導(dǎo)下，統(tǒng)籌開(kāi)展風(fēng)險(xiǎn)評(píng)估，避免重復(fù)評(píng)估、重復(fù)檢查。二是報(bào)送工作計(jì)劃，要求各有關(guān)主管部門(mén)定期組織本行業(yè)、本領(lǐng)域的風(fēng)險(xiǎn)評(píng)估，并于每年1月底前向國(guó)家網(wǎng)信部門(mén)報(bào)送年度計(jì)劃。三是報(bào)告抽查核驗(yàn)，明確省級(jí)以上網(wǎng)信部門(mén)和有關(guān)部門(mén)可對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理者的評(píng)估報(bào)告真實(shí)性、準(zhǔn)確性進(jìn)行抽查核驗(yàn)。四是開(kāi)展指定評(píng)估，明確省級(jí)以上網(wǎng)信部門(mén)和有關(guān)部門(mén)在風(fēng)險(xiǎn)評(píng)估報(bào)告核驗(yàn)、監(jiān)督等工作中發(fā)現(xiàn)存在較大安全風(fēng)險(xiǎn)等情形時(shí)，應(yīng)當(dāng)要求其委托通過(guò)認(rèn)證的評(píng)估機(jī)構(gòu)開(kāi)展風(fēng)險(xiǎn)評(píng)估。五是提出整改和停止處理，要求有關(guān)部門(mén)在組織風(fēng)險(xiǎn)評(píng)估工作中發(fā)現(xiàn)存在可能危害國(guó)家安全、公共利益的網(wǎng)絡(luò)處理活動(dòng)，應(yīng)當(dāng)責(zé)令整改；對(duì)整改不到位、拒不整改的網(wǎng)絡(luò)數(shù)據(jù)處理者，可以采取要求其停止處理重要數(shù)據(jù)等措施。六是加強(qiáng)信息共享和協(xié)同處置，要求各地區(qū)、各部門(mén)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)信息共享和協(xié)同處置，及時(shí)處置發(fā)現(xiàn)的風(fēng)險(xiǎn)和問(wèn)題，并按照有關(guān)規(guī)定及時(shí)報(bào)告。

關(guān)于網(wǎng)絡(luò)數(shù)據(jù)處理者的責(zé)任。一是評(píng)估的組織方式，明確網(wǎng)絡(luò)數(shù)據(jù)處理者可以自行或者委托第三方評(píng)估機(jī)構(gòu)開(kāi)展風(fēng)險(xiǎn)評(píng)估。二是評(píng)估的具體內(nèi)容，要求風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)按照有關(guān)法律法規(guī)要求和國(guó)家標(biāo)準(zhǔn)開(kāi)展，另有規(guī)定的從其規(guī)定。三是評(píng)估的時(shí)間周期，要求處理重要數(shù)據(jù)處理者應(yīng)當(dāng)每年度開(kāi)展風(fēng)險(xiǎn)評(píng)估，重要數(shù)據(jù)狀態(tài)發(fā)生重大變化或者對(duì)數(shù)據(jù)安全造成不利影響，應(yīng)當(dāng)及時(shí)開(kāi)展，并鼓勵(lì)一般數(shù)據(jù)處理者至少每三年開(kāi)展一次。四是評(píng)估報(bào)告的撰寫(xiě)，要求應(yīng)當(dāng)按照《辦法》提供的模板編制評(píng)估報(bào)告，另有規(guī)定的從其規(guī)定。五是評(píng)估報(bào)告的報(bào)送，要求在年度風(fēng)險(xiǎn)評(píng)估完成后的10個(gè)工作日內(nèi)按照有關(guān)部門(mén)要求報(bào)送。報(bào)送部門(mén)不明確的，向省級(jí)網(wǎng)信部門(mén)或者國(guó)家網(wǎng)信部門(mén)報(bào)送。六是配合指定評(píng)估，要求網(wǎng)絡(luò)數(shù)據(jù)處理者按照要求委托評(píng)估機(jī)構(gòu)評(píng)估的，應(yīng)當(dāng)履行為評(píng)估機(jī)構(gòu)提供必要支持等各項(xiàng)義務(wù)。

關(guān)于第三方評(píng)估機(jī)構(gòu)的責(zé)任。一是資質(zhì)獲得，明確經(jīng)國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門(mén)依法批準(zhǔn)的具有數(shù)據(jù)安全服務(wù)認(rèn)證資質(zhì)的認(rèn)證機(jī)構(gòu)，可按照《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全評(píng)估機(jī)構(gòu)能力要求》（GB/T 45389）等有關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對(duì)評(píng)估機(jī)構(gòu)開(kāi)展認(rèn)證。二是工作原則，要求應(yīng)當(dāng)遵守法律法規(guī)、公正客觀地作出風(fēng)險(xiǎn)判斷，并對(duì)所出具的風(fēng)險(xiǎn)評(píng)估報(bào)告真實(shí)性、有效性、完整性負(fù)責(zé)。三是報(bào)告責(zé)任，要求評(píng)估機(jī)構(gòu)在風(fēng)險(xiǎn)評(píng)估過(guò)程中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)存在重大數(shù)據(jù)安全風(fēng)險(xiǎn)的，應(yīng)當(dāng)及時(shí)通報(bào)網(wǎng)絡(luò)數(shù)據(jù)處理者，并按照有關(guān)規(guī)定向省級(jí)以上網(wǎng)信部門(mén)、有關(guān)主管部門(mén)報(bào)告。四是保密責(zé)任，要求評(píng)估機(jī)構(gòu)及其工作人員應(yīng)當(dāng)對(duì)在風(fēng)險(xiǎn)評(píng)估過(guò)程中獲得的數(shù)據(jù)、商業(yè)秘密、保密商務(wù)信息等依法予以保密。

二、《辦法》是以系統(tǒng)思維助力數(shù)據(jù)安全合規(guī)的關(guān)鍵環(huán)節(jié)

網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、數(shù)據(jù)安全管理認(rèn)證、個(gè)人信息保護(hù)合規(guī)審計(jì)、商用密碼應(yīng)用安全性評(píng)估等，共同構(gòu)成了網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)的制度體系?！掇k法》制定中充分考慮了這些制度的內(nèi)在邏輯關(guān)系。

一方面，這些制度各司其職、各有側(cè)重。其中，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估聚焦風(fēng)險(xiǎn)識(shí)別與預(yù)判，針對(duì)數(shù)據(jù)處理全生命周期開(kāi)展風(fēng)險(xiǎn)排查，目標(biāo)是識(shí)別數(shù)據(jù)泄露、篡改、濫用等潛在風(fēng)險(xiǎn)，提出管控建議；網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)針對(duì)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)按等級(jí)開(kāi)展安全測(cè)評(píng)，目標(biāo)是確保網(wǎng)絡(luò)系統(tǒng)具備符合等級(jí)要求的安全防護(hù)能力；數(shù)據(jù)安全管理認(rèn)證聚焦組織管理體系合規(guī)性，由第三方機(jī)構(gòu)對(duì)組織的數(shù)據(jù)安全管理體系，進(jìn)行審核認(rèn)證，目標(biāo)是驗(yàn)證組織是否建立了符合國(guó)家標(biāo)準(zhǔn)的數(shù)據(jù)安全管理機(jī)制并有效運(yùn)行；個(gè)人信息保護(hù)合規(guī)審計(jì)聚焦個(gè)人信息處理合規(guī)性，對(duì)個(gè)人信息處理活動(dòng)開(kāi)展審計(jì)，目標(biāo)是監(jiān)督組織是否遵守個(gè)人信息保護(hù)相關(guān)法律法規(guī)；商用密碼應(yīng)用安全性評(píng)估聚焦密碼技術(shù)應(yīng)用合規(guī)性與有效性，針對(duì)網(wǎng)絡(luò)與信息系統(tǒng)中商用密碼的應(yīng)用開(kāi)展評(píng)估，目標(biāo)是驗(yàn)證密碼應(yīng)用是否符合國(guó)家標(biāo)準(zhǔn)、是否能有效保障數(shù)據(jù)機(jī)密性、完整性和可用性。

另一方面，這些制度遞進(jìn)支撐、互補(bǔ)聯(lián)動(dòng)。其中，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是安全決策的核心依據(jù)，貫穿數(shù)據(jù)處理的全流程，形成的評(píng)估結(jié)果可為其他評(píng)測(cè)提供風(fēng)險(xiǎn)導(dǎo)向；網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)是數(shù)據(jù)安全的基礎(chǔ)前提，是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全管理認(rèn)證有效實(shí)施的基礎(chǔ)；數(shù)據(jù)安全管理認(rèn)證是風(fēng)險(xiǎn)管控的體系保障，它將風(fēng)險(xiǎn)評(píng)估、等保測(cè)評(píng)的“技術(shù)要求”轉(zhuǎn)化為“管理規(guī)范”，形成長(zhǎng)效機(jī)制；個(gè)人信息是數(shù)據(jù)的重要組成部分，個(gè)人信息保護(hù)合規(guī)審計(jì)對(duì)數(shù)據(jù)處理者個(gè)人信息合規(guī)情況進(jìn)行監(jiān)督審計(jì)，審計(jì)結(jié)果為數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等提供個(gè)人信息侵權(quán)風(fēng)險(xiǎn)校驗(yàn)；商用密碼應(yīng)用安全性評(píng)估為其他機(jī)制提供加密防護(hù)支撐，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的泄露、篡改風(fēng)險(xiǎn)，最終需依托密碼技術(shù)實(shí)現(xiàn)防護(hù)，在數(shù)據(jù)安全管理認(rèn)證中，密鑰管理制度、密碼設(shè)備運(yùn)維流程是管理體系的重要組成部分。

值得注意的是，《辦法》明確，上述制度實(shí)施時(shí)內(nèi)容重合的，相關(guān)結(jié)果可以互相采信，避免重復(fù)評(píng)估、審計(jì)、認(rèn)證，這將進(jìn)一步加強(qiáng)這些制度之間的相互支撐和配合。

三、《辦法》是以創(chuàng)新思維提升數(shù)據(jù)治理能力的重大突破

《辦法》在全面總結(jié)以往網(wǎng)絡(luò)數(shù)據(jù)安全制度建設(shè)經(jīng)驗(yàn)的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管的行業(yè)特點(diǎn)，圍繞新一輪科技革命和產(chǎn)業(yè)變革給數(shù)據(jù)安全帶來(lái)的挑戰(zhàn)，進(jìn)行了大膽創(chuàng)新。

在制度設(shè)計(jì)上，實(shí)現(xiàn)授權(quán)用權(quán)制權(quán)相統(tǒng)一。為加強(qiáng)和完善評(píng)估過(guò)程中權(quán)力配置運(yùn)行的制約和監(jiān)督機(jī)制，《辦法》通過(guò)“精準(zhǔn)授權(quán)、規(guī)范用權(quán)、有效制權(quán)”的邏輯閉環(huán)，實(shí)現(xiàn)三者統(tǒng)一。授權(quán)層面，明確“誰(shuí)主管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數(shù)據(jù)、誰(shuí)管數(shù)據(jù)安全”，明確監(jiān)管權(quán)限。同時(shí)，僅授權(quán)具備數(shù)據(jù)安全服務(wù)資質(zhì)的認(rèn)證機(jī)構(gòu)開(kāi)展認(rèn)證，確保評(píng)估行為“有權(quán)必有責(zé)”。用權(quán)層面，規(guī)范評(píng)估流程與標(biāo)準(zhǔn)，要求按照《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》有關(guān)要求和《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 45577）有關(guān)國(guó)家標(biāo)準(zhǔn)開(kāi)展，實(shí)現(xiàn)“用權(quán)受監(jiān)督”。制權(quán)層面，建立評(píng)估結(jié)果應(yīng)用與責(zé)任追溯機(jī)制，評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn)需限期整改，對(duì)未按要求評(píng)估或整改不到位的主體追責(zé)，同時(shí)監(jiān)管部門(mén)對(duì)評(píng)估活動(dòng)全程監(jiān)督，形成“制權(quán)有閉環(huán)”。三者相互支撐，既保障評(píng)估權(quán)依法依規(guī)行使，又通過(guò)風(fēng)險(xiǎn)管控實(shí)現(xiàn)數(shù)據(jù)安全與利用的平衡。

在方式方法上，實(shí)現(xiàn)內(nèi)部外部監(jiān)督相結(jié)合。為確保評(píng)估過(guò)程的公正性、專業(yè)性和合規(guī)性，提升評(píng)價(jià)結(jié)果的可信度和行業(yè)整體服務(wù)質(zhì)量，《辦法》通過(guò)“內(nèi)部自控+外部監(jiān)管”的雙重機(jī)制，實(shí)現(xiàn)內(nèi)外監(jiān)督相統(tǒng)一。內(nèi)部監(jiān)督層面，要求網(wǎng)絡(luò)數(shù)據(jù)處理者指定專人負(fù)責(zé)，建立健全內(nèi)部質(zhì)量管控體系，對(duì)評(píng)估過(guò)程和結(jié)果進(jìn)行自我約束。外部監(jiān)督層面，要求網(wǎng)絡(luò)數(shù)據(jù)處理者按照模板完成評(píng)估報(bào)告并報(bào)送主管部門(mén)。監(jiān)管部門(mén)依法對(duì)評(píng)估報(bào)告真實(shí)性和準(zhǔn)確性進(jìn)行抽查核驗(yàn)。同時(shí)暢通社會(huì)監(jiān)督渠道，明確任何組織、個(gè)人有權(quán)對(duì)風(fēng)險(xiǎn)評(píng)估中的違法違規(guī)活動(dòng)向有關(guān)部門(mén)進(jìn)行投訴舉報(bào)。內(nèi)部監(jiān)督聚焦評(píng)估過(guò)程的細(xì)節(jié)規(guī)范，外部監(jiān)督強(qiáng)化整體合規(guī)性把控，且外部監(jiān)管發(fā)現(xiàn)的問(wèn)題可倒逼評(píng)估主體優(yōu)化內(nèi)部管控，內(nèi)部自控結(jié)果也為外部監(jiān)督提供核查依據(jù)。這種雙向聯(lián)動(dòng)既保障評(píng)估行為的規(guī)范性，又提升監(jiān)督效能，筑牢數(shù)據(jù)安全評(píng)估的合規(guī)防線。

在目標(biāo)對(duì)象上，實(shí)現(xiàn)全周期多要素全覆蓋。為有效應(yīng)對(duì)人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)給數(shù)據(jù)安全帶來(lái)的挑戰(zhàn)，《辦法》提供了評(píng)估報(bào)告模板，通過(guò)“全生命周期貫穿+多要素整合”，構(gòu)建全覆蓋的評(píng)估體系。全周期層面，辦法將評(píng)估嵌入數(shù)據(jù)處理各環(huán)節(jié)，包括數(shù)據(jù)收集階段評(píng)估來(lái)源合法性與合規(guī)性，存儲(chǔ)階段核查加密措施與容災(zāi)備份能力，使用和加工階段檢測(cè)訪問(wèn)權(quán)限管控與算法推薦情況，傳輸階段驗(yàn)證傳輸途徑和方式及節(jié)點(diǎn)，刪除階段檢查清除流程與殘留風(fēng)險(xiǎn)，形成“收集－存儲(chǔ)－使用－加工－傳輸－提供－公開(kāi)－刪除”的閉環(huán)評(píng)估鏈。多要素層面，涵蓋技術(shù)、管理、人員、制度等維度。技術(shù)上評(píng)估安全防護(hù)有效性，管理上審查制度流程與執(zhí)行情況，人員上核查職務(wù)角色與任務(wù)分工等。這種全周期與多要素的深度融合，實(shí)現(xiàn)了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的立體化覆蓋，為數(shù)據(jù)安全保障提供全面支撐。

總之，《辦法》的發(fā)布標(biāo)志著我國(guó) 網(wǎng)絡(luò) 數(shù)據(jù)安全管理進(jìn)入系統(tǒng)部署、多方協(xié)同的新階段，對(duì)提升數(shù)據(jù)安全治理能力，促進(jìn)數(shù)據(jù)要素安全有序利用具有重要意義。

作者：王志成　中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任

來(lái)源：“網(wǎng)信中國(guó)”微信公眾號(hào)

編輯：趙文婷

監(jiān)審：張效婧

終審：吳 濤

關(guān)注我們 了解更多

發(fā)布網(wǎng)信政務(wù)信息

解讀網(wǎng)信政策法規(guī)