工业和信息化领域数据安全风险评估实施细则（试行）

2024年6月1日起，工业和信息化部发布的《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称《实施细则》），正式生效施行。

《实施细则》完善了工信领域数据安全制度体系，展现了工信数据安全风险评估制度的全貌，可称得上是开行业数据风险评估专项管理制度的“先河”。

一 看变化：管理思路的完善

工信部曾于2023年10月就《实施细则》公开征求了社会意见，与征求意见稿相比，《实施细则》正式稿作了多处修改调整。从中，我们也可以分析管理思路变化完善的某些脉络。

一是监管执法严格化

主要体现在统一管理要求、强化“穿透式”纠错、追责方式全覆盖等方面。

在统一管理要求方面，如对于地方评估结果的报送管理，由原来的“根据工作需要”报送，改为了均需报送工信部备案（第十条）。在对认证机构监管纠错方面，强化和进一步明确了在违规认证活动中，认证机构所应承担的“穿透式”纠错主体责任（第十五条）。在追责方式方面，单独增加了第十六条，使得民事、行政、刑事三类追责方式将基于性质和程度不同，实现对违法行为追责的全覆盖。

二是管理要求规范化

主要体现在提高了相关规定科学性、可操作性两方面。

在科学性方面，如第十二条将认证机构的选取标准由原来的“具有工作经验”改为“满足资质要求”，可见其评价标准更加客观、科学。在可操作性方面，如第五条对于数据处理人员安全的要求由原来的“相关人员的数据安全意识、知识技能、从业背景情况”，改为“相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能”，可见要求更加直观、便于操作执行。

三是法规衔接体系化

主要体现在《实施细则》各条款之间，以及《实施细则》与其他法规之间的衔接一致。

在条款衔接方面，《实施细则》有多处修改，如第五条第（七）项修改为“数据获取方或受托方”的安全保障能力要求，即避免与此前条款的重复。在法规之间衔接方面，《实施细则》对于重要数据评估备案、出境管理等规定的修改，都充分体现出其与《数据安全法》《促进和规范数据跨境流动规定》《数据出境安全评估办法》等法律法规的体系化衔接。

二 看内容：评估的三个基本问题

《实施细则》在制度建设方面，可以视为对《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）的细化和完善。其在《管理办法》构建的制度框架下，详细回答了“谁监管”、“谁评估”、“评估谁”三个基本问题。

(一）谁监管：主管部门和管理职责

对于工信数据安全风险评估的管理部门和管理机制，《实施细则》的相关规定可归纳为以下两个层次。

首先，“两级+五类”管理机构。“两级”是指在管理层级上看，监管主体分为部、省两级行业监管部门。“五类”则主要从职责定位上看，包括：工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业。其中，《实施细则》将中央企业单列，负责“督促指导所属企业履行属地数据安全风险评估及评估报告报送要求，并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部”。可见，除了央企垂直报送的情况以外，评估监管基本上遵循省级属地管辖的原则。

其次，三项管理机制。一是统筹和立制，工信部负责，工作形式包括统一监管指导和制修订标准等（第三条）。二是数据处理者自评估报告的接收和审查，主要由省级监管部门负责，其中涉及跨主体处理核心数据等的情况，审查后还需报工信部复核（第十一条）。三是监督检查，《实施细则》规定部、省两级行业监管部门均可按照工作需要开展，形式包括“专项风险评估”、“评估工作落实情况监督检查”等（第十四条）。

(二）谁评估：评估实施主体

对于工信数据安全风险评估工作的具体实施，除了数据处理者自行开展外，《实施细则》还规定了委托评估的重要机制。而从实践情况来看，因受专业技术能力、法规标准理解能力、人员队伍素质等多种因素的影响，数据处理者大概率会采用委托评估的方式开展此项工作。因此，第三方评估机构实际上往往会成为评估工作的主要承担者。《实施细则》对于评估实施的规定，可归纳为三个方面。

一是对数据处理活动的自评估。即数据处理者自行或委托第三方机构，对其相关数据处理活动进行风险评估，具体评估内容包括《实施细则》第五条明确的8项要点；此外，第六条、第七条等还规定了评估频次为每年一次，评估报告应于评估完成后的10日内，向本地区行业监管部门报送或更新等要求。

二是监督检查评估。特指第三方评估机构受行业监管部门委托，协助行业监管部门履行其风险评估监管职责，即包括支撑参与“专项风险评估”和“评估工作落实情况监督检查”等（第十四条）工作。

三是关于第三方评估机构的管理。《实施细则》规定了“能力认证”（第十二条）和建立“评估支撑机构库”（第十四条）两种管理机制，据此预计，后续或将采用目录管理等具体管理形式。

(三）评估谁：评估对象和范围

哪些处理者和哪些数据属于评估的对象，这无疑是工信数据领域广大从业者关心的关键核心问题之一。《实施细则》明确了风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动（第二条）。如何全面理解此规定，笔者认为至少须包括以下四层意思。

一是“工业和信息化领域数据”的类别。根据《管理办法》第三条规定，“工业和信息化领域数据”包括工业数据、电信数据和无线电数据三类。其中“工业数据”是指“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”；“电信数据”是指“在电信业务经营活动中产生和收集的数据”；“无线电数据”是指“在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据”。

二是“重要数据和核心数据”的判断标准。这涉及工信数据的分级规定。《管理办法》对工信领域数据的分级主要是根据数据遭到篡改、破坏等情况的影响程度，也明文列举了重要数据和核心数据的常见判断标准，此不赘述（详见《管理办法》第二章 第十条、第十一条）。《实施细则》则进一步明确，对于“重要”、“核心”两个级别的数据须纳入风险评估，而对于“一般”级别的数据，则未做硬性要求，仅规定可“参照”开展相应评估工作（第十八条）。

三是“数据处理者”的范围。风险评估面向的数据处理者，仍然是《管理办法》确定的范围。按其规定，数据处理者是指“数据处理活动中自主决定处理目的、处理方式的工业和信息化领域各类主体”，包括“工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等”四类企业和机构。

四是“数据处理活动”的主要种类。《管理办法》第三条从数据处理活动生命周期的角度，提出了数据处理活动的主要类型，即“包括但不限于数据收集、存储、使用、加工、传输、提供、公开等”活动。

三 看发展：完善思考

《实施细则》进一步明确和细化了工信数据安全评估制度的机制和要求，标志着工信领域数据安全风险评估制度正式启动。对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等，都具有重要指导意义。

与此同时，工信数据安全风险评估工作涉及面较广，很多具体规定或有待结合实际操作进一步优化完善。如，《实施细则》提出了“满足资质要求的认证机构开展第三方评估机构的能力认证”（第十二条），但对于认证机构应满足哪些“资质要求”，仅提出了原则性规定，也不便于推进落实。

再如，对于地方建设“评估支撑机构库”的规定（第十四条），仅规定了“参照建立本地区数据安全风险评估支撑机构库”，但在“地区机构库”与“工信部机构库”二者的关系问题上，诸如服务范围如何区分、涵盖机构名单是否可相同等具体情况，也期待做出进一步细化。