數據安全評估將是2022年監管重點領域

依據2021年10月1日生效的《汽車數據安全管理若干規定（試行）》第十三條規定，處理重要數據的汽車企業，應當在每年12月15日前提交企業數據安全管理的年報。

《汽車數據安全管理若干規定（試行）》

第三條 重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括：

（一）軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；

（二）車輛流量、物流等反映經濟運行情況的數據；

（三）汽車充電網的運行數據；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數據；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

該《規定》發布后，一時之間兵荒馬亂，眾多持有汽車數據的企業最關心的問題是“本企業需不需要提交年報”“如何做重要數據識別”“數據安全管理評估怎么做”……這一規定也推動汽車數據處理者率先打開了開展數據安全評估，向監管提交報告的大門。

近期，上海市通信管理局組織有關行業組織專家組對各汽車數據處理企業報送的數據安全年報進行評審。并于2022年3月1日發布了評審結果：

上汽大眾汽車有限公司、特斯拉（上海）有限公司、阿利昂斯汽車研發（上海）有限公司等公司報送的材料完整、目錄清晰、內容充實，整體年報質量較好。同時，本次評審發現，部分企業數據年報未達到合格要求，主要存在如下問題：內容缺失不完整，描述前后不一致；未提供實施工作的證明材料；缺少用戶請求刪除數據的合理渠道；重要數據出境未落實評估備案等。針對評審未通過的企業，市通信管理局已召開評審結果通報會并要求企業限期重新提交材料。

汽車行業并非法定需要開展數據安全評估的個例。

依據《數據安全法》第三十條的規定，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

再依據《網絡數據安全管理條例》（征求意見稿）第三十二條規定，重要數據處理者，需每年自行或委托數據安全服務機構開展一次數據安全評估，并將年度數據安全評估報告提交給網信部門。再依第二十六條規定，處理100萬以上個人信息的數據處理者，比照重要數據處理者進行規范。若該條文正式通過，則意味著用戶數量達到100萬人以上的互聯網企業，每年開展數據安全評估提交年度報告成為法定義務。

《網絡數據安全管理條例》（征求意見稿）

第二十六條 數據處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數據的處理者作出的規定。

第三十二條 處理重要數據或者赴境外上市的數據處理者，應當自行或者委托數據安全服務機構每年開展一次數據安全評估，并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門。

此外，2022年2月10日公開的《工業和信息化領域數據安全管理辦法（試行）》第二次公開征求意見稿，第三十一條亦寫明了數據安全評估的要求，由工信部制定行業數據安全評估規范，指導評估機構開展數據安全風險評估、合規評估、能力評估、出境評估等工作。工信領域的重要數據處理者和核心數據處理者，應當每年至少開展一次安全評估，并向行業監管機構報送數據安全評估報告。

《工業和信息化領域數據安全管理辦法（試行）》（公開征求意見稿）

第三十一條【安全評估】 工業和信息化部制定行業數據安全評估機構管理制度，開展評估機構管理工作。制定行業數據安全評估規范，指導評估機構開展數據安全風險評估、合規評估、能力評估、出境評估等工作。

工業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構，每年至少開展一次安全評估，及時整改風險問題，并向地方工業和信息化主管部門（工業領域） 或通信管理局（ 電信領域） 或無線電管理機構（無線電領域） 報送評估報告。

雖然《條例》《辦法》征求意見稿的內容仍未最終確定，但不管是從網信部門，還是行業監管部門，都可以看出監管的趨勢是要求重要數據處理者、核心數據處理者以及處理一定量級個人信息的數據處理者，每年至少自行或委托第三方評估機構開展一次數據安全評估，并提交數據安全評估報告給監管部門。

與之相對應的，2021年12月3日央行發布了《金融數據安全 數據安全評估規范》（征求意見稿），明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域及其安全評估主要內容和方法。其中亦規定了觸發金融數據安全評估的具體情形。

《電信網和互聯網數據安全評估規范》也已于2021年12月2日正式發布，將于2022年4月1日生效。該標準適用于電信網和互聯網服務提供商組織開展的網絡數據安全評估工作，也適用于第三方機構對電信網和互聯網服務提供商數據安全保障能力進行審查和評估。其中也包括觸發電信網和互聯網企業開展數據安全評估的情形。

隨著相關實施細則、規范的落地，工信部2022年2月17日印發通知，部署做好15個省（區、市）及計劃單列市工業領域數據安全管理試點工作，三項必選的試點工作重點之一即為組織開展企業的數據安全評估。

（一）數據安全評估的整體框架

數據安全評估的整體框架分為通用性管理評估和數據全生命周管理評估。通用性管理評估包括企業組織架構、人員保障、數據資產梳理、數據分類分級、權限管理、日志留存、安全審計、應急響應、舉報投訴處理、教育培訓、合作方管理，以及平臺系統安全管理。

數據全生命周期管理評估包括數據采集、數據傳輸、數據存儲、數據使用、數據開放共享，以及數據銷毀。

數據安全評估不僅僅只限于數據處理活動的安全評估，亦包括企業自身組織架構、制度建設相關評估。對于個人信息部分，需依照相關法律法規進行評估。

（二）數據安全評估報告

一個完整的安全評估報告應當包括以下組成部分：

1.概述，包括被評估企業數據安全管理情況、被評估業務或系統平臺具體功能及數據安全情況；

2.數據安全評估流程，包括評估工作情況概述、評估人員組成、評估實施流程等；

3.數據安全評估矩陣，根據通用性管理評估規范及全生命周期管理評估規范，梳理總結出合規性評測矩陣表；針對每一項評估指標，綜合運用多種評估方法，收集佐證材料；對佐證材料進行研判評估，得出數據安全保障措施合規或完善程度有關結論；

4.問題分析，根據評估結論梳理評估指標項中不合規項，指出存在問題；

5.整改建議，依據存在問題逐項提出有針對性整改建議；

6.整改落實情況，如涉及整改，需體現整改方案及整改措施、結果；

7.復核結果及簽字。

（三）觸發評估的條件

1.重要數據處理者、核心數據處理者應當每年至少一次開展數據安全評估；

2.業務運營階段，在數據承載環境發生較大變化時開展評估：如數據采集渠道變更、數據存儲系統升級改造、數據處理技術變更等；

3.企業應在開展數據重要操作（如開放數據對外接口、數據共享、數據轉移、數據加工、數據出境等）前對涉及到的數據相關管理措施、技術措施開展評估；

4.行業主管部門要求企業進行數據安全評估的；

5.滿足國家法律法規其他有關情形時，應開展數據安全評估。

（四）數據安全評估的難點和重點

數據資產梳理、重要數據識別、數據分類分級，是數據安全評估的基礎性工作，同時也是評估工作的難點和重點。

于擁有大量數據的互聯網企業而言，能否建立數據資產梳理統一規范，做好數據資產梳理，盤點清楚企業全部數據資產，是決定能否做好數據安全評估工作的基礎。

在梳理清楚數據資產的基礎之上，如何根據法律法規及行業監管要求制定內部重要數據識別方法和規則，準確識別重要數據生成重要數據目錄清單，又是一個難題。

此外，建立數據分類分級策略和方法，完成各數據庫表等字段映射，形成企業數據分類分級清單，對數據進行分類分級標識，同樣也是一項耗時耗力的龐大工程。

因各行業數據屬性不同，數據可能危害國家安全、公共利益或者個人、組織合法權益的程度不同，重要數據的識別最終仍將落到各行業分別進行規定。而行業監管部門的要求可能比法律、行政法規的要求更加嚴格。例如，《汽車數據安全管理若干規定（試行）》第三條中，將“包含人臉信息、車牌信息等的車外視頻、圖像數據”“涉及個人信息主體超過10萬人的個人信息”定義為重要數據。

即便依據已發布的相關法律文本與專家解釋，重要數據不包含個人信息，但是擁有一定量級的個人信息處理者，極有可能將比照重要數據處理者進行規范，也就是說法律規定重要數據處理者必須履行的義務，會同樣適用于一定量級的（如《條例》所規定的100萬）個人信息處理者。

對互聯網企業而言，平臺越受歡迎，用戶群體越大，擁有用戶個人信息則越多，企業要做大，必將要做好被列為重要數據處理者重點監管的準備。

隨著2022年4月1日《電信網和互聯網數據安全評估規范》生效，工信部數據安全管理試點工作的大面積鋪開，互聯網企業定期開展數據安全評估，宜早不宜遲。