為加強網絡數據安全風險評估管理,保障數據安全并推動數據依法合理利用,國家互聯網信息辦公室近日起草了《網絡數據安全風險評估辦法(征求意見稿)》,并向社會公開征集意見。該征求意見稿共包含二十五條具體內容,旨在構建系統化的數據安全風險評估體系。
根據意見稿,國家網信部門將在國家數據安全工作協調機制框架下,統籌全國范圍內的風險評估工作。通過協調各地區、各部門資源,加強信息共享與工作聯動,避免重復評估和檢查。同時明確要求,有關部門開展檢查時不得向被檢查單位收取費用,切實減輕企業負擔。
針對重要數據處理者,意見稿提出更嚴格的監管要求。處理重要數據的網絡運營主體需每年開展全面風險評估,當數據安全狀態發生重大變化可能影響安全時,應立即對相關環節進行專項評估。評估方式既可自主開展,也可委托具備資質的第三方機構實施。
對于第三方評估機構,意見稿設定了嚴格的準入和執業規范。評估機構須依法獨立、客觀、公正地開展工作,對評估報告的真實性、完整性和有效性負全責。為防止利益關聯,同一機構及其關聯方不得連續三次為同一主體提供評估服務。評估過程中發現重大安全風險的,須及時通報被評估方并向省級以上網信部門報告。
在數據保密方面,意見稿強調評估機構及其工作人員對接觸到的商業秘密、保密商務信息等負有嚴格保密義務。評估工作結束后須及時刪除相關信息,不得非法泄露或提供給他人。重要數據處理者的年度評估報告需按附件模板編制,一般數據處理者可參照執行,報告保存期限不得少于三年。
當網絡數據處理者按監管要求委托評估時,需履行多項義務:包括為評估工作提供必要支持,如開放數據設施訪問權限;在規定時限內完成評估并承擔費用,特殊情況可申請延期;評估報告需經機構主要負責人和項目負責人簽字蓋章后報送;對評估發現的問題須在15個工作日內提交整改報告。同時嚴禁以任何形式干預評估機構出具不實結論。
為提高監管效率,意見稿規定風險評估與網絡安全等級保護測評、數據安全管理認證、個人信息保護合規審計、商用密碼應用安全性評估等存在內容重疊的,相關結果可以相互采信。這一措施將有效減少企業重復接受評估審計的負擔,優化營商環境。
