制图:黄亚岚(即梦AI生成)
12月6日,国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。这份文件明确指出,处理重要数据的网络数据处理者,应当每年度对其网络数据处理活动开展风险评估。而未按规定开展风险评估的,将面临监管部门的处置处罚。
明确风险评估主体责任
一般数据处理者3年一评
《征求意见稿》明确,在境内开展网络数据安全风险评估需遵循本办法,评估内容包括对网络数据及其处理活动的风险识别、分析和评价等。依据数据类型的不同,《征求意见稿》提出差异化评估要求:处理重要数据的网络数据处理者须每年度进行风险评估,在数据安全状态发生重大变化可能对数据安全导致不利影响时,还需及时开展专项评估;处理一般数据的处理者则鼓励至少每3年开展一次评估。
在评估方式上,网络数据处理者可自行或委托第三方评估机构开展风险评估。自行评估的需指定专人负责;委托机构的,应优先选择通过认证的评估机构,并通过合同或具法律效力的文件明确双方责任和保密义务。评估机构不得再委托其他机构,并需对评估报告的真实性、有效性和完整性负责。同一机构及其关联机构不得连续3次以上为同一网络数据处理者开展评估,并在评估中发现重大数据安全风险时,应及时通报数据处理者并向省级以上网信部门和有关主管部门报告。
强化部门统筹协调职责
评估报告至少保存三年
《征求意见稿》要求,各行业主管部门需按照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织本行业、本领域风险评估,并于每年1月底前向国家网信部门报送风险评估及检查计划。省级网信部门负责统筹本地区计划并按要求报送。国家网信部门则对计划进行统筹协调,避免重复评估和检查,同时明确各部门不得向被检查对象收取费用。
在评估成果管理方面,重要数据处理者应当在年度风险评估完成后10个工作日内按主管部门要求报送评估报告。主管部门需公开报告报送渠道和联系方式,及时接收并在10个工作日内通报同级网信部门,国家网信部门再进行汇总。省级以上网信部门和有关主管部门可对评估报告的真实性、准确性开展抽查核验,网络数据处理者需配合,并按要求保存报告至少三年。
相关结果可互相采信
避免重复评估、审计、认证
《征求意见稿》提出,对在核验评估报告或监督检查中发现存在较大安全风险、发生重要数据或大规模个人信息泄露事件,或可能危害国家安全、公共利益的网络数据处理者,有关部门应要求网络数据处理者委托通过认证的评估机构开展风险评估。处理者需为评估机构提供必要支持,并按要求完成评估和整改,在整改完成后15个工作日内报送整改情况。
同时,《征求意见稿》要求各地区、各部门加强风险信息共享和协同处置,省级网信部门需在每年3月底前报送上一年度风险信息处置情况,由国家网信部门汇总报告。值得关注的是,风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,《征求意见稿》提出相关结果可以互相采信,避免重复评估、审计、认证。对未按规定开展风险评估的处理者和违规开展评估的机构,将依法追究责任;涉及国家秘密、工作秘密的风险评估活动则须依照国家保密法律法规执行。
采写:南都见习记者 张文嘉
