為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》，指導地方行業主管部門、工業和信息化領域數據處理者規范開展風險評估工作，我們研究起草了《工業和信息化領域數據安全風險評估實施細則（試行）（征求意見稿）》。現向社會公開征求意見，如有意見或建議，請于2023年11月8日前反饋。

　　傳真：010-66069561

　　郵箱：zhanghong miit.gov.cn

　　地址：北京市西城區西長安街13號工業和信息化部網絡安全管理局（郵編：100804）。請在信封上注明“《工業和信息化領域數據安全風險評估實施細則（試行）（征求意見稿）》意見反饋”。

　　工業和信息化部網絡安全管理局

　　2023年10月9日

　　工業和信息化領域數據安全風險評估實施細則（試行）

　　（征求意見稿）

　　第一條【目的依據】根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《工業和信息化領域數據安全管理辦法（試行）》等法律法規、政策文件有關要求，引導工業和信息化領域數據處理者規范開展數據安全風險評估工作，提升數據安全管理水平，維護國家安全和發展利益，制定本細則。

　　第二條【適用范圍】本細則適用于中華人民共和國境內工業和信息化領域重要數據和核心數據處理者開展的數據安全風險評估活動。

　　一般數據處理者可參照本細則開展數據安全風險評估。

　　第三條【管理機構】工業和信息化部統一管理、監督和指導工業和信息化領域數據安全風險評估工作，組織開展相關評估標準制修訂及推廣應用。

　　各省、自治區、直轄市及計劃單列市、新疆生產建設兵團工業和信息化主管部門，各省、自治區、直轄市通信管理局和無線電管理機構（以下統稱地方行業監管部門）依據職責分別負責監督管理本地區工業、電信、無線電重要數據和核心數據處理者開展數據安全風險評估工作。

　　工業和信息化部及地方行業監管部門統稱為行業監管部門。

　　第四條【工作原則】重要數據和核心數據處理者按照及時、客觀、有效的原則開展數據安全風險評估，形成真實、完整、準確的評估報告，并對評估結果負責。

　　第五條【評估內容】重要數據和核心數據處理者按照國家法律法規、行業監管部門有關規定以及評估標準，對數據處理活動的目的和方式、業務場景、安全保障措施、風險影響等要素，開展數據安全風險評估，重點評估以下內容：

　　（一）數據處理目的、方式、范圍是否合法、正當、必要；

　　（二）數據安全管理制度、流程策略的制定和落實情況；

　　（三）數據安全組織架構、崗位配備和職責履行情況；

　　（四）數據安全技術防護能力建設及應用情況；

　　（五）數據處理活動相關人員的數據安全意識、知識技能、從業背景情況；

　　（六）發生數據遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件，對國家安全、公共利益的影響范圍、程度等風險；

　　（七）涉及數據提供、委托處理、轉移的，數據提供方、接收方的安全保障能力、誠信守法和責任義務約束情況；

　　（八）涉及國家法律法規中規定需要申報的數據出境安全評估情形，履行數據出境安全評估要求落實情況；已通過國家有關部門組織的數據出境安全評估且在有效期內的，實際數據出境的規模、范圍、種類、敏感程度等要素與申報事項的符合情況。

　　第六條【評估期限】重要數據和核心數據處理者每年完成至少一次數據安全風險評估，并形成評估報告。數據安全風險評估結果有效期為一年，自評估報告首次出具之日起計算。

　　在有效期內出現以下情形之一的，重要數據和核心數據處理者對發生變化及其影響的部分，重新開展數據安全風險評估，并更新評估報告：

　　（一）擬新增跨主體提供、委托處理、轉移重要數據或者核心數據的；

　　（二）重要數據、核心數據安全狀態發生變化對數據安全造成不利影響的，包括但不限于數據處理目的、方式、適用范圍和安全制度策略等發生重大調整的；

　　（三）發生涉及重要數據、核心數據的安全事件的；

　　（四）行業監管部門要求進行評估的其他情形。

　　第七條【評估方式】重要數據和核心數據處理者可以自行或者委托具有工業和信息化數據安全工作經驗的第三方評估機構開展評估。評估過程應當建立至少包括組織管理、業務運營、技術保障、安全合規等人員的專業化評估團隊，制定完備的評估工作方案，配備有效的技術評測工具。

　　第八條【委托評估】重要數據和核心數據處理者委托第三方評估機構開展數據安全風險評估的，可以通過訂立合同或者其他具有法律效力的文件，明確雙方的權利和責任，向第三方評估機構提供必需的材料和條件，確保相關材料的真實性和完整性，并確認評估結果。

　　第九條【風險控制】重要數據和核心數據處理者對評估中發現的數據安全風險隱患，及時采取適當措施消除或降低風險隱患。

　　第十條【評估報送】重要數據和核心數據處理者在評估工作完成后的10個工作日內，向本地區行業監管部門報送或更新評估報告。

　　中央企業督促指導所屬企業履行屬地數據安全風險評估及評估報告報送要求，并將梳理匯總的企業集團本部、所屬公司的評估報告報送工業和信息化部。

　　根據工作需要，地方行業監管部門將本地區本領域重要數據和核心數據處理者的評估報告報送工業和信息化部備案。

　　第十一條【報告審核】行業監管部門根據管理需要，可以自行或委托專業機構對評估報告進行審核，發現不符合國家及行業有關規定和標準的，通知重要數據和核心數據處理者改正。

　　涉及跨境提供、轉移、委托處理重要數據和核心數據的，或者跨主體提供、轉移、委托處理核心數據的，地方行業監管部門對評估報告審查后，報工業和信息化部。工業和信息化部按照國家有關規定進行復核。

　　第十二條【評估機構認定】鼓勵具有工業和信息化領域數據安全工作經驗的認證機構開展第三方評估機構的能力認證。

　　相關認證機構配備相應的人員和技術保障能力，建立第三方評估機構能力評定制度，明確第三方評估機構在管理體系、人員能力、工具設施、評估領域等方面的規范要求，跟蹤管理第三方評估機構的服務質量，督促第三方評估機構獨立、公正、客觀、科學的開展數據安全風險評估工作。

　　第十三條【評估機構義務】第三方評估機構應當履行下列義務：

　　（一）對評估工作中知悉的國家秘密、重要數據和核心數據的目錄與內容、商業秘密、個人隱私等嚴格保密；

　　（二）嚴格按照國家法律法規、行業監管部門有關規定以及評估標準，公正、獨立地開展評估并出具評估報告，全面、準確地反映重要數據和核心數據處理者的數據安全風險狀況，提供務實有效的風險整改建議措施；

　　（三）除重要數據和核心數據處理者明確同意或者法律、行政法規另有規定外，不得向其他組織或個人提供其收集掌握的技術保護措施、關鍵崗位人員和安全風險等相關信息。

　　第十四條【監督檢查】工業和信息化部根據技術能力、人員配備、信譽資質等情況，擇優遴選通過能力評定的第三方評估機構，建立工業和信息化領域數據安全風險評估支撐機構庫。地方行業監管部門可以參照建立本地區數據安全風險評估支撐機構庫。

　　行業監管部門根據工作需要，可以自行或委托數據安全風險評估支撐機構庫中的機構，對重要數據和核心數據處理者的數據處理活動開展專項風險評估，或對重要數據和核心數據處理者的風險評估工作落實情況進行監督檢查。

　　重要數據和核心數據處理者對行業監管部門開展的專項風險評估及監督檢查予以配合，并對評估發現的相關問題及時進行改正。

　　第十五條【機構監管】行業監管部門對于違反國家認證認可相關規定的認證機構，將相關線索移交市場監督管理部門處理。

　　行業監管部門對第三方評估機構的評估活動進行監督管理，對違反法律法規、未按行業規定和標準開展評估活動、未履行保密義務的第三方評估機構，視情按照規定權限和程序進行約談、通報或指導相關認證機構撤銷認證。

　　第十六條【保密要求】行業監管部門及委托支撐機構的工作人員對在履行職責中知悉的國家秘密、商業秘密、個人信息、評估工作信息等，負有保密義務。

　　第十七條【其他規定參照】涉及軍事、國家秘密信息等數據處理活動，按照國家有關規定執行。