为加强网络数据安全风险评估管理,保障数据安全并推动数据依法合理利用,国家互联网信息办公室近日起草了《网络数据安全风险评估办法(征求意见稿)》,并向社会公开征集意见。该征求意见稿共包含二十五条具体内容,旨在构建系统化的数据安全风险评估体系。
根据意见稿,国家网信部门将在国家数据安全工作协调机制框架下,统筹全国范围内的风险评估工作。通过协调各地区、各部门资源,加强信息共享与工作联动,避免重复评估和检查。同时明确要求,有关部门开展检查时不得向被检查单位收取费用,切实减轻企业负担。
针对重要数据处理者,意见稿提出更严格的监管要求。处理重要数据的网络运营主体需每年开展全面风险评估,当数据安全状态发生重大变化可能影响安全时,应立即对相关环节进行专项评估。评估方式既可自主开展,也可委托具备资质的第三方机构实施。
对于第三方评估机构,意见稿设定了严格的准入和执业规范。评估机构须依法独立、客观、公正地开展工作,对评估报告的真实性、完整性和有效性负全责。为防止利益关联,同一机构及其关联方不得连续三次为同一主体提供评估服务。评估过程中发现重大安全风险的,须及时通报被评估方并向省级以上网信部门报告。
在数据保密方面,意见稿强调评估机构及其工作人员对接触到的商业秘密、保密商务信息等负有严格保密义务。评估工作结束后须及时删除相关信息,不得非法泄露或提供给他人。重要数据处理者的年度评估报告需按附件模板编制,一般数据处理者可参照执行,报告保存期限不得少于三年。
当网络数据处理者按监管要求委托评估时,需履行多项义务:包括为评估工作提供必要支持,如开放数据设施访问权限;在规定时限内完成评估并承担费用,特殊情况可申请延期;评估报告需经机构主要负责人和项目负责人签字盖章后报送;对评估发现的问题须在15个工作日内提交整改报告。同时严禁以任何形式干预评估机构出具不实结论。
为提高监管效率,意见稿规定风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等存在内容重叠的,相关结果可以相互采信。这一措施将有效减少企业重复接受评估审计的负担,优化营商环境。
