數(shù)據(jù)安全評估將是2022年監(jiān)管重點領域

依據(jù)2021年10月1日生效的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第十三條規(guī)定，處理重要數(shù)據(jù)的汽車企業(yè)，應當在每年12月15日前提交企業(yè)數(shù)據(jù)安全管理的年報。

《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》

第三條 重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)，包括：

（一）軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)；

（二）車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；

（三）汽車充電網(wǎng)的運行數(shù)據(jù)；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)。

該《規(guī)定》發(fā)布后，一時之間兵荒馬亂，眾多持有汽車數(shù)據(jù)的企業(yè)最關心的問題是“本企業(yè)需不需要提交年報”“如何做重要數(shù)據(jù)識別”“數(shù)據(jù)安全管理評估怎么做”……這一規(guī)定也推動汽車數(shù)據(jù)處理者率先打開了開展數(shù)據(jù)安全評估，向監(jiān)管提交報告的大門。

近期，上海市通信管理局組織有關行業(yè)組織專家組對各汽車數(shù)據(jù)處理企業(yè)報送的數(shù)據(jù)安全年報進行評審。并于2022年3月1日發(fā)布了評審結果：

上汽大眾汽車有限公司、特斯拉（上海）有限公司、阿利昂斯汽車研發(fā)（上海）有限公司等公司報送的材料完整、目錄清晰、內容充實，整體年報質量較好。同時，本次評審發(fā)現(xiàn)，部分企業(yè)數(shù)據(jù)年報未達到合格要求，主要存在如下問題：內容缺失不完整，描述前后不一致；未提供實施工作的證明材料；缺少用戶請求刪除數(shù)據(jù)的合理渠道；重要數(shù)據(jù)出境未落實評估備案等。針對評審未通過的企業(yè)，市通信管理局已召開評審結果通報會并要求企業(yè)限期重新提交材料。

汽車行業(yè)并非法定需要開展數(shù)據(jù)安全評估的個例。

依據(jù)《數(shù)據(jù)安全法》第三十條的規(guī)定，重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

再依據(jù)《網(wǎng)絡數(shù)據(jù)安全管理條例》（征求意見稿）第三十二條規(guī)定，重要數(shù)據(jù)處理者，需每年自行或委托數(shù)據(jù)安全服務機構開展一次數(shù)據(jù)安全評估，并將年度數(shù)據(jù)安全評估報告提交給網(wǎng)信部門。再依第二十六條規(guī)定，處理100萬以上個人信息的數(shù)據(jù)處理者，比照重要數(shù)據(jù)處理者進行規(guī)范。若該條文正式通過，則意味著用戶數(shù)量達到100萬人以上的互聯(lián)網(wǎng)企業(yè)，每年開展數(shù)據(jù)安全評估提交年度報告成為法定義務。

《網(wǎng)絡數(shù)據(jù)安全管理條例》（征求意見稿）

第二十六條 數(shù)據(jù)處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。

第三十二條 處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應當自行或者委托數(shù)據(jù)安全服務機構每年開展一次數(shù)據(jù)安全評估，并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設區(qū)的市級網(wǎng)信部門。

此外，2022年2月10日公開的《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》第二次公開征求意見稿，第三十一條亦寫明了數(shù)據(jù)安全評估的要求，由工信部制定行業(yè)數(shù)據(jù)安全評估規(guī)范，指導評估機構開展數(shù)據(jù)安全風險評估、合規(guī)評估、能力評估、出境評估等工作。工信領域的重要數(shù)據(jù)處理者和核心數(shù)據(jù)處理者，應當每年至少開展一次安全評估，并向行業(yè)監(jiān)管機構報送數(shù)據(jù)安全評估報告。

《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》（公開征求意見稿）

第三十一條【安全評估】 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估機構管理制度，開展評估機構管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范，指導評估機構開展數(shù)據(jù)安全風險評估、合規(guī)評估、能力評估、出境評估等工作。

工業(yè)和信息化領域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當自行或委托第三方評估機構，每年至少開展一次安全評估，及時整改風險問題，并向地方工業(yè)和信息化主管部門（工業(yè)領域） 或通信管理局（ 電信領域） 或無線電管理機構（無線電領域） 報送評估報告。

雖然《條例》《辦法》征求意見稿的內容仍未最終確定，但不管是從網(wǎng)信部門，還是行業(yè)監(jiān)管部門，都可以看出監(jiān)管的趨勢是要求重要數(shù)據(jù)處理者、核心數(shù)據(jù)處理者以及處理一定量級個人信息的數(shù)據(jù)處理者，每年至少自行或委托第三方評估機構開展一次數(shù)據(jù)安全評估，并提交數(shù)據(jù)安全評估報告給監(jiān)管部門。

與之相對應的，2021年12月3日央行發(fā)布了《金融數(shù)據(jù)安全 數(shù)據(jù)安全評估規(guī)范》（征求意見稿），明確了數(shù)據(jù)安全管理、數(shù)據(jù)安全保護、數(shù)據(jù)安全運維三個主要評估域及其安全評估主要內容和方法。其中亦規(guī)定了觸發(fā)金融數(shù)據(jù)安全評估的具體情形。

《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》也已于2021年12月2日正式發(fā)布，將于2022年4月1日生效。該標準適用于電信網(wǎng)和互聯(lián)網(wǎng)服務提供商組織開展的網(wǎng)絡數(shù)據(jù)安全評估工作，也適用于第三方機構對電信網(wǎng)和互聯(lián)網(wǎng)服務提供商數(shù)據(jù)安全保障能力進行審查和評估。其中也包括觸發(fā)電信網(wǎng)和互聯(lián)網(wǎng)企業(yè)開展數(shù)據(jù)安全評估的情形。

隨著相關實施細則、規(guī)范的落地，工信部2022年2月17日印發(fā)通知，部署做好15個省（區(qū)、市）及計劃單列市工業(yè)領域數(shù)據(jù)安全管理試點工作，三項必選的試點工作重點之一即為組織開展企業(yè)的數(shù)據(jù)安全評估。

（一）數(shù)據(jù)安全評估的整體框架

數(shù)據(jù)安全評估的整體框架分為通用性管理評估和數(shù)據(jù)全生命周管理評估。通用性管理評估包括企業(yè)組織架構、人員保障、數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、權限管理、日志留存、安全審計、應急響應、舉報投訴處理、教育培訓、合作方管理，以及平臺系統(tǒng)安全管理。

數(shù)據(jù)全生命周期管理評估包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)開放共享，以及數(shù)據(jù)銷毀。

數(shù)據(jù)安全評估不僅僅只限于數(shù)據(jù)處理活動的安全評估，亦包括企業(yè)自身組織架構、制度建設相關評估。對于個人信息部分，需依照相關法律法規(guī)進行評估。

（二）數(shù)據(jù)安全評估報告

一個完整的安全評估報告應當包括以下組成部分：

1.概述，包括被評估企業(yè)數(shù)據(jù)安全管理情況、被評估業(yè)務或系統(tǒng)平臺具體功能及數(shù)據(jù)安全情況；

2.數(shù)據(jù)安全評估流程，包括評估工作情況概述、評估人員組成、評估實施流程等；

3.數(shù)據(jù)安全評估矩陣，根據(jù)通用性管理評估規(guī)范及全生命周期管理評估規(guī)范，梳理總結出合規(guī)性評測矩陣表；針對每一項評估指標，綜合運用多種評估方法，收集佐證材料；對佐證材料進行研判評估，得出數(shù)據(jù)安全保障措施合規(guī)或完善程度有關結論；

4.問題分析，根據(jù)評估結論梳理評估指標項中不合規(guī)項，指出存在問題；

5.整改建議，依據(jù)存在問題逐項提出有針對性整改建議；

6.整改落實情況，如涉及整改，需體現(xiàn)整改方案及整改措施、結果；

7.復核結果及簽字。

（三）觸發(fā)評估的條件

1.重要數(shù)據(jù)處理者、核心數(shù)據(jù)處理者應當每年至少一次開展數(shù)據(jù)安全評估；

2.業(yè)務運營階段，在數(shù)據(jù)承載環(huán)境發(fā)生較大變化時開展評估：如數(shù)據(jù)采集渠道變更、數(shù)據(jù)存儲系統(tǒng)升級改造、數(shù)據(jù)處理技術變更等；

3.企業(yè)應在開展數(shù)據(jù)重要操作（如開放數(shù)據(jù)對外接口、數(shù)據(jù)共享、數(shù)據(jù)轉移、數(shù)據(jù)加工、數(shù)據(jù)出境等）前對涉及到的數(shù)據(jù)相關管理措施、技術措施開展評估；

4.行業(yè)主管部門要求企業(yè)進行數(shù)據(jù)安全評估的；

5.滿足國家法律法規(guī)其他有關情形時，應開展數(shù)據(jù)安全評估。

（四）數(shù)據(jù)安全評估的難點和重點

數(shù)據(jù)資產(chǎn)梳理、重要數(shù)據(jù)識別、數(shù)據(jù)分類分級，是數(shù)據(jù)安全評估的基礎性工作，同時也是評估工作的難點和重點。

于擁有大量數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)而言，能否建立數(shù)據(jù)資產(chǎn)梳理統(tǒng)一規(guī)范，做好數(shù)據(jù)資產(chǎn)梳理，盤點清楚企業(yè)全部數(shù)據(jù)資產(chǎn)，是決定能否做好數(shù)據(jù)安全評估工作的基礎。

在梳理清楚數(shù)據(jù)資產(chǎn)的基礎之上，如何根據(jù)法律法規(guī)及行業(yè)監(jiān)管要求制定內部重要數(shù)據(jù)識別方法和規(guī)則，準確識別重要數(shù)據(jù)生成重要數(shù)據(jù)目錄清單，又是一個難題。

此外，建立數(shù)據(jù)分類分級策略和方法，完成各數(shù)據(jù)庫表等字段映射，形成企業(yè)數(shù)據(jù)分類分級清單，對數(shù)據(jù)進行分類分級標識，同樣也是一項耗時耗力的龐大工程。

因各行業(yè)數(shù)據(jù)屬性不同，數(shù)據(jù)可能危害國家安全、公共利益或者個人、組織合法權益的程度不同，重要數(shù)據(jù)的識別最終仍將落到各行業(yè)分別進行規(guī)定。而行業(yè)監(jiān)管部門的要求可能比法律、行政法規(guī)的要求更加嚴格。例如，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第三條中，將“包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)”“涉及個人信息主體超過10萬人的個人信息”定義為重要數(shù)據(jù)。

即便依據(jù)已發(fā)布的相關法律文本與專家解釋，重要數(shù)據(jù)不包含個人信息，但是擁有一定量級的個人信息處理者，極有可能將比照重要數(shù)據(jù)處理者進行規(guī)范，也就是說法律規(guī)定重要數(shù)據(jù)處理者必須履行的義務，會同樣適用于一定量級的（如《條例》所規(guī)定的100萬）個人信息處理者。

對互聯(lián)網(wǎng)企業(yè)而言，平臺越受歡迎，用戶群體越大，擁有用戶個人信息則越多，企業(yè)要做大，必將要做好被列為重要數(shù)據(jù)處理者重點監(jiān)管的準備。

隨著2022年4月1日《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》生效，工信部數(shù)據(jù)安全管理試點工作的大面積鋪開，互聯(lián)網(wǎng)企業(yè)定期開展數(shù)據(jù)安全評估，宜早不宜遲。