近日，工業(yè)和信息化部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則（試行）（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《實(shí)施細(xì)則》），進(jìn)一步明確了工信數(shù)據(jù)安全評(píng)估制度的重要概念和機(jī)制，標(biāo)志著工信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度距離真正實(shí)施又進(jìn)一步。

2022年發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（以下簡(jiǎn)稱(chēng)《管理辦法》），將“工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估”確立為工信數(shù)據(jù)安全評(píng)估的一項(xiàng)重要制度（第三十一條）?！秾?shí)施細(xì)則》對(duì)于該項(xiàng)重要制度的完善和發(fā)展，可概括為主要回答了“評(píng)估誰(shuí)”、“誰(shuí)監(jiān)管”、“誰(shuí)評(píng)估”三個(gè)基本問(wèn)題。

Part.1/ 評(píng)估誰(shuí)：評(píng)估對(duì)象和范圍

工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的評(píng)估對(duì)象和范圍，無(wú)疑是工信數(shù)據(jù)領(lǐng)域廣大從業(yè)者關(guān)心的首要問(wèn)題之一?！秾?shí)施細(xì)則》明確了風(fēng)險(xiǎn)評(píng)估的對(duì)象為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”開(kāi)展的數(shù)據(jù)處理活動(dòng)（第二條）。全面理解何為“工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者”，至少須包括以下四層意思。

一是“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”的類(lèi)別。根據(jù)《管理辦法》第三條規(guī)定，“工業(yè)和信息化領(lǐng)域數(shù)據(jù)”包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無(wú)線電數(shù)據(jù)三類(lèi)。其中“工業(yè)數(shù)據(jù)”是指“在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過(guò)程中收集和產(chǎn)生的數(shù)據(jù)”；“電信數(shù)據(jù)”是指“在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)”；“無(wú)線電數(shù)據(jù)”是指“在開(kāi)展無(wú)線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無(wú)線電頻率、臺(tái)（站）等電波參數(shù)數(shù)據(jù)”。

二是“重要數(shù)據(jù)和核心數(shù)據(jù)”的判斷標(biāo)準(zhǔn)。這涉及工信數(shù)據(jù)的分級(jí)規(guī)定。按照《管理辦法》有關(guān)條文，對(duì)工信領(lǐng)域數(shù)據(jù)的分級(jí)主要是根據(jù)數(shù)據(jù)遭到篡改、破壞等情況時(shí)的危害程度，《管理辦法》也明文列舉了重要數(shù)據(jù)和核心數(shù)據(jù)的常見(jiàn)判斷標(biāo)準(zhǔn)，此不贅述?！秾?shí)施細(xì)則》進(jìn)一步明確，對(duì)于“重要”、“核心”二個(gè)級(jí)別的數(shù)據(jù)須納入風(fēng)險(xiǎn)評(píng)估，而對(duì)于“一般”級(jí)別的數(shù)據(jù)，則未做硬性要求，僅規(guī)定可“參照”開(kāi)展相應(yīng)評(píng)估工作。

三是“數(shù)據(jù)處理者”的范圍。風(fēng)險(xiǎn)評(píng)估面向的數(shù)據(jù)處理者，仍然是《管理辦法》確定的范圍。按其規(guī)定，數(shù)據(jù)處理者是指“數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)和信息化領(lǐng)域各類(lèi)主體”，包括“工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者和無(wú)線電頻率、臺(tái)(站)使用單位等”四類(lèi)企業(yè)和機(jī)構(gòu)。

四是“數(shù)據(jù)處理活動(dòng)”的主要種類(lèi)?！豆芾磙k法》第三條從數(shù)據(jù)處理活動(dòng)生命周期的角度，提出了數(shù)據(jù)處理活動(dòng)的主要類(lèi)型，即“包括但不限于數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等”活動(dòng)。

Part.2/ 誰(shuí)監(jiān)管：主管部門(mén)和管理機(jī)

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的管理部門(mén)和管理機(jī)制，《實(shí)施細(xì)則》的相關(guān)規(guī)定可歸納為以下兩個(gè)層次。

首先，兩級(jí)、五類(lèi)管理機(jī)構(gòu)。從層級(jí)上看，監(jiān)管主體的“兩級(jí)”是指部、省兩級(jí)行業(yè)監(jiān)管部門(mén)。五類(lèi)機(jī)構(gòu)為：工業(yè)和信息化部、省級(jí)工信主管部門(mén)、省級(jí)通信管理局、省級(jí)無(wú)線電管理機(jī)構(gòu)、中央企業(yè)。其中，《實(shí)施細(xì)則》將中央企業(yè)單列，負(fù)責(zé)“督促指導(dǎo)所屬企業(yè)履行屬地?cái)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估及評(píng)估報(bào)告報(bào)送要求，并將梳理匯總的企業(yè)集團(tuán)本部、所屬公司的評(píng)估報(bào)告報(bào)送工業(yè)和信息化部”。可見(jiàn)，除了央企垂直報(bào)送的情況以外，評(píng)估監(jiān)管基本上遵循省級(jí)屬地管轄的原則。

其次，三項(xiàng)管理機(jī)制。一是統(tǒng)籌和立制，工信部負(fù)責(zé)，工作形式包括統(tǒng)一監(jiān)管指導(dǎo)和制修訂標(biāo)準(zhǔn)等。二是自評(píng)估報(bào)告的接收和審查，主要由省級(jí)監(jiān)管部門(mén)負(fù)責(zé)，其中涉及數(shù)據(jù)跨境、跨主體處理等的情況，審查后還需報(bào)工信部復(fù)核。三是監(jiān)督檢查，《實(shí)施細(xì)則》規(guī)定部、省兩級(jí)行業(yè)監(jiān)管部門(mén)均可按照工作需要開(kāi)展，形式包括“專(zhuān)項(xiàng)風(fēng)險(xiǎn)評(píng)估”、“評(píng)估工作落實(shí)情況監(jiān)督檢查”等。

Part.3/ 誰(shuí)評(píng)估：評(píng)估實(shí)施機(jī)構(gòu)

對(duì)于工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作的具體實(shí)施，除了數(shù)據(jù)處理者自行開(kāi)展外，《實(shí)施細(xì)則》還規(guī)定了委托評(píng)估的重要機(jī)制。而從實(shí)踐情況來(lái)看，因受專(zhuān)業(yè)技術(shù)能力、對(duì)法規(guī)標(biāo)準(zhǔn)理解、人員隊(duì)伍素質(zhì)等方面因素的影響，數(shù)據(jù)處理者大概率會(huì)采用委托評(píng)估的方式開(kāi)展此項(xiàng)工作。因此，第三方評(píng)估機(jī)構(gòu)實(shí)際上往往會(huì)成為評(píng)估工作的主要承擔(dān)者。《實(shí)施細(xì)則》對(duì)于評(píng)估實(shí)施的規(guī)定，可歸納為三個(gè)方面。

一是對(duì)數(shù)據(jù)處理活動(dòng)的評(píng)估。即數(shù)據(jù)處理者自行或委托第三方機(jī)構(gòu)，對(duì)其相關(guān)數(shù)據(jù)處理活動(dòng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體評(píng)估內(nèi)容包括《實(shí)施細(xì)則》第五條明確的8個(gè)要點(diǎn)，評(píng)估頻次為每年一次，評(píng)估報(bào)告應(yīng)于評(píng)估完成后的10日內(nèi)，向行業(yè)監(jiān)管部門(mén)報(bào)送或更新。

二是監(jiān)督檢查評(píng)估。特指第三方評(píng)估機(jī)構(gòu)受行業(yè)監(jiān)管部門(mén)委托，協(xié)助行業(yè)監(jiān)管部門(mén)履行其風(fēng)險(xiǎn)評(píng)估監(jiān)管職責(zé)，即包括支撐參與前文所述的“專(zhuān)項(xiàng)風(fēng)險(xiǎn)評(píng)估”和“評(píng)估工作落實(shí)情況監(jiān)督檢查”等工作。

三是關(guān)于第三方評(píng)估機(jī)構(gòu)的管理?！秾?shí)施細(xì)則》規(guī)定了“能力認(rèn)證”（第十二條）和建立“評(píng)估支撐機(jī)構(gòu)庫(kù)”（第十四條）兩種管理模式。

思考展望

《實(shí)施細(xì)則》初步展現(xiàn)了工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的全貌，對(duì)于業(yè)界學(xué)習(xí)理解制度要求、預(yù)判自身數(shù)據(jù)評(píng)估工作需求、以及提前部署自身評(píng)估工作安排等，都具有重要指導(dǎo)意義。

與此同時(shí)，工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作涉及面較廣，很多具體規(guī)定或有待結(jié)合實(shí)際操作進(jìn)一步優(yōu)化完善。如，是否需要明確認(rèn)證機(jī)構(gòu)范圍或?qū)嵭心夸浌芾?？是否需要?duì)納入“評(píng)估支撐機(jī)構(gòu)庫(kù)”的第三方機(jī)構(gòu)接受數(shù)據(jù)處理者委托開(kāi)展自評(píng)估的行為做出適當(dāng)限制，以確保評(píng)估公正性？是否應(yīng)當(dāng)建立全國(guó)統(tǒng)一的“評(píng)估支撐機(jī)構(gòu)庫(kù)”？是否需要對(duì)行業(yè)監(jiān)管部門(mén)啟動(dòng)監(jiān)督檢查或?qū)ｍ?xiàng)評(píng)估的條件做出適當(dāng)明確等等。

法規(guī)完善是一個(gè)循序漸進(jìn)、集思廣益的過(guò)程。綠盟科技作為服務(wù)網(wǎng)絡(luò)安全戰(zhàn)線的科技老兵，將依托自身的長(zhǎng)期研發(fā)積累和產(chǎn)品技術(shù)優(yōu)勢(shì)，持續(xù)為工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度提供堅(jiān)實(shí)的落地保障；并將結(jié)合自身在服務(wù)重大工程項(xiàng)目和重大活動(dòng)保障的扎實(shí)經(jīng)驗(yàn)，為工信數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的完善，積極獻(xiàn)計(jì)獻(xiàn)策、發(fā)揮應(yīng)有的支撐貢獻(xiàn)。