為了規范網絡數據安全風險評估活動,加強重要數據安全保護,6月18日,國家互聯網信息辦公室、工業和信息化部、公安部三部門聯合發布《網絡數據安全風險評估辦法》(以下簡稱《辦法》)。《辦法》的實施,標志著我國在數據安全風險評估制度建設方面邁出了堅實而重要的一步,是對我國數據安全制度的發展和完善,對指導網絡數據安全風險評估、規范網絡數據處理活動、促進數據要素依法合理有效利用具有重要意義。
一、深刻認識網絡數據安全風險評估的重要意義
(一)網絡數據安全風險評估是履行法律職責的基本要求
《中華人民共和國數據安全法》《網絡數據安全管理條例》等法律法規相繼出臺,為數據安全保護提供了基本的法律框架與制度設計。其中,《中華人民共和國數據安全法》提出,國家建立集中統一、高效權威的數據安全風險評估機制,重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。《網絡數據安全管理條例》提出,重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估,提供、委托處理、共同處理重要數據前,應當進行風險評估。《辦法》對上位法中的原則性規定進行細化與落實,為網絡數據安全風險評估工作提供了具體的制度保障和實施路徑,進一步健全我國數據安全制度,推動數據分類分級保護工作走深走實。
(二)網絡數據安全風險評估是應對數據安全風險的有力舉措
《辦法》所稱的網絡數據安全風險評估,是指對網絡數據和網絡數據處理活動安全進行的風險識別、風險分析和風險評價等活動。進入數字經濟時代,數據泄露、損毀、破壞、濫用的風險日益突出,對國家安全、公共利益或者個人、組織合法權益造成嚴重威脅。數據安全事件案例表明,數據安全風險既來自于信息技術自身的脆弱性,也來自于安全管理體系的滯后;既來自于外部黑客的攻擊入侵,也來自于內部人員的過大權限;既來自于傳統網絡安全風險引發的數據安全風險,也來自于人工智能、云計算等新技術帶來的挑戰。《辦法》明確網絡數據安全風險評估工作的方法、路徑、流程等,為網絡數據處理者提供科學的評估方法,為行業主管監管部門提供感知行業數據安全風險的制度保障,以實現全面地識別風險、科學地分析風險、精準地評價風險的效果,為有效應對數據安全風險提供有力保障。
(三)網絡數據安全風險評估是促進數據要素合法利用的重要保障
促進數據要素依法有效合理利用是增強高質量發展動力的關鍵因素。在建設數據基礎制度、推動數據要素流通利用的過程中,既面臨數據主體“不愿流動”的意愿障礙,也面臨“不會流動”的本領障礙,更面臨“不敢流動”的風險障礙。數據處理者出于對未知風險的擔憂,往往選擇“煙囪式”的數據利用方案,造成了無法連通的數據孤島,極大地阻礙數據要素的價值釋放。網絡數據安全風險評估工作采用有效的評估方法、科學的風險分析和評價手段,系統性識別未知風險與已知風險,用科學的風險管理支撐數據要素利用,必將推動以數據要素為基礎的數字經濟高質量發展。
二、準確把握網絡數據安全風險評估工作的規律特點
網絡數據處理者要落實網絡數據安全風險評估工作,關鍵在于做好以下工作。
(一)牢牢把握網絡數據安全風險評估工作的性質
網絡數據安全風險評估有別于網絡安全等級保護測評、云計算服務安全評估等符合性測評門類,本質上是一種風險評價活動,是對網絡數據安全風險進行識別、分析、評價的有機結合。開展網絡數據安全風險評估的總目標,是基于對網絡數據安全風險客觀規律的認識,通過科學的評估方法,回答好“本單位的網絡數據和網絡數據處理活動有沒有風險、風險是什么、風險在哪里、風險有多大”等問題,為本單位決策層和行業主管監管部門做好風險管理提供參考依據。
(二)深化對數據安全風險特點的認識
數據具有復制成本低、易擴散、非獨占等特點,這決定了網絡數據安全風險評估的范圍應包括本單位所有承載數據副本的信息系統;承載數據的信息系統自身的網絡安全風險可能帶來的數據泄露、篡改、破壞等風險;數據聚合分析、開源數據泄露等數據公開環節的典型風險;人工智能技術的應用帶來過度海量采集、數據投毒污染、模型記憶與隱私泄露等新的風險;數據的委托處理、共同處理等形式將受托方、共同處理者引入風險范圍以及保護責任義務邊界問題等。
(三)掌握科學的評估方法
《辦法》規定“風險評估工作應當按照《中華人民共和國數據安全法》、《網絡數據安全管理條例》有關要求,參照數據安全風險評估有關國家標準開展”。目前,我國已經發布國家標準《數據安全技術 數據安全風險評估方法》(GB/T 45577-2025)作為數據安全風險評估的通用方法。另外,數據安全風險又與行業的業務場景關聯緊密,具有很強的行業特征。故《辦法》又規定“有關主管部門對本行業、本領域風險評估工作有規定的,從其規定”,充分考慮采用靈活方法適用于不同行業特征下的網絡數據安全風險評估工作。
三、推動網絡數據安全風險評估落地見效
(一)統籌協調推動網絡數據安全風險評估
網絡數據安全風險評估是一項涉及網信、電信、公安、國安等部門和各行業主管部門的工作。《辦法》規定“在國家數據安全工作協調機制指導下,國家網信部門會同國務院電信、公安等有關部門建立網絡數據安全風險評估專項工作機制,指導、監督風險評估工作”。具體來說,《辦法》在有關主管部門制定年度檢查計劃、報送共享風險評估報告等方面做出相關規定,由國家網信部門協調年度檢查計劃,避免不必要的檢查和交叉重復檢查;由國家網信部門匯總有關主管部門報送的風險評估報告,并與國務院電信、公安、國家安全等有關部門共享,提高國家和行業層面的協同配合和風險聯動處置能力,增強各行業領域網絡數據安全風險評估效能。
(二)有效組織實施網絡數據安全風險評估
網絡數據安全風險評估工作具有全面性、系統性、綜合性的特點,涉及業務、管理、法務、合規、技術、運維、外包、采購等部門,需要通過有效的組織形式才可以有效實施評估工作。數據安全風險具有很強的業務場景特點,如判定網絡數據接收方處理網絡數據的目的、方式、范圍等是否合法、正當、必要,需要業務、合規、技術等業務部門深度參與;分析以數據接口方式提供數據的風險,需要業務應用、系統維護、網絡安全等崗位人員根據業務需要、接口日志等情況進行綜合判定。《辦法》規定,網絡數據處理者可以自行或者委托第三方評估機構開展風險評估,自行開展風險評估應當指定專人負責,為網絡數據處理者開展風險評估的組織形式提供了科學指引。
(三)加強人才培養,打造專業隊伍
網絡數據安全風險評估人員和評估機構的能力直接決定風險評估的質量水平。評估人員需要具備較高的綜合能力,在技術方面具備傳統網絡安全評估能力的同時,在業務應用方面要熟悉了解業務場景和業務模式,并掌握相關行業數據處理規范。高水平、普及性的評估人員和專業機構是網絡數據安全風險評估制度的重要支撐。當前,相比于復雜多樣的數據業務場景和大量的重要數據處理場景,專業的評估人才和機構嚴重不足。《辦法》規定“鼓勵相關評估機構通過認證”“國家網信部門和國務院電信、公安等有關部門積極促進網絡數據安全風險評估服務的發展,培育評估機構”,為網絡數據安全風險評估的人才培養和機構建設提供了依據。下一步,行業主管部門和網絡數據處理者要協同發力,著力培養一批高質量評估人才和機構隊伍,有力支撐網絡數據安全風險評估工作行穩致遠。
來源:“網信中國”微信公眾號
編輯:鄧毛毛
監審:張效婧
終審:吳 濤
關注我們 了解更多
發布網信政務信息
解讀網信政策法規
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.