为规范数据处理活动,防范化解数据安全风险,有效保障数据安全,《中华人民共和国数据安全法》(以下简称《数据安全法》)明确提出 建立数据安全风险评估机制要求。其中,第二十二条提出“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”;第三十条明确“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关监管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施”。此外,第十八条明确“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动“。
当前,我国数据安全评估制度在加紧建设形成中,呈现出国家顶层设计与行业探索同步推进的现状。在国家标准层面,2023 年 5 月发布了《网络安全标准实践指南——网络数据安全风险评估实施指引》(以下简称《指引》),以《指引》为底本的国家标准《信息安全技术 数据安全风险评估方法》 目前也处于报批阶段,待正式发布。在行业探索方面,工业和信息化部于 2022 年 12 月印发了《工业和信息化领域数据安全管理办法(试行)》,明确工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作;制定行业数据安全评估管理制度,开展评估机构管理工作;制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。中国通信标准化协会也正在加快组织研究制定工业、电信领域数据安全风险评估规范等行业标准。全国金融标准化技术委员会陆续发布了 JR/T 0223-2021《金融数据安全 数据生命周期安全规范》《金融数据安全 数据安全评估规范(征求意见稿)》等标准。总之,我国以《数据安全法》为上位法依据,初步构建了数据安全风险评估制度体系。
建设数据安全风险评估机制具有重要意义
首先,数据安全风险评估是保障国家安全的重要手段。数据安全事关国家安全,传统的网络安全评估手段难以全面、有效发现数据安全风险,为了有效应对风险,需要建立数据安全风险评估制度。其次,数据安全风险评估是行业主管部门依法履行数据保护监管职能的重要抓手。工业、电信、交通、金融、卫生健康等行业主管部门承担本行业本领域数据安全监管职责,建立发展数据安全风险评估制度,可以作为行业主管部门管理本行业企业的重要抓手。第三,数据安全风险评估是构建全国统一大市场的重要保障。2022 年《中共中央 国务院关于加快建设全国统一大市场的意见》提出“加快培育统一的技术和数据市场”。数据安全是数据要素繁荣活跃的基本前提,数据安全风险评估制度是有效发现风险、化解风险的机制保障,也是建立数据合规体系、稳定市场主体预期的重要手段。第四,数据安全风险评估是企业依法依规利用数据要素、获取数据权益的机制保障。当前,企业受限于尚不完善的数据合规体系,对于数据的安全保护责任、开发利用方式、流通共享范围等缺乏明确的认识。建立数据安全风险评估制度,有利于在科学把握风险规律的基础上合理界定保护责任,预定数据要素主体的市场预期,促进数据要素流动。第五,数据安全评估是保护企业组织合法权益、保护个人隐私安全的重要手段。数据和个人信息处理者通过风险评估提前发现风险,并采取手段缓解降低风险,可有效保护组织和个人的合法权益。
网络数据安全风险评估实施指引
2023 年 5 月 29 日,全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据安全风险评估实施指引》,旨在贯彻落实《数据安全法》关于数据安全风险评估的要求,指导网络数据安全风险评估工作。《指引》给出网络数据安全风险评估思路、工作流程和评估内容;提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险;可用于指导数据处理者、第三方机构开展数据安全评估,也可为有关主管监管部门组织开展检查评估提供参考。
1、评估思路
网络数据安全风险评估,以“坚持预防为主、主动发现、积极防范”的原则,数据处理者应该发挥自主能动性,具有主动发现能力,并建立起积极防范的意识,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
评估工作主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情况评价风险,并给出整改建议。
2、重要概念
《指引》中提出了数据安全风险评估的重要概念,如:数据安全风险、风险源和风险隐患。数据安全风险是指数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等 , 也称“风险源”。风险隐患既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。
3、评估内容
1)评估内容框架
网络数据安全风险评估内容是在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。
图 数据安全风险评估框架图
2)评估内容之间的关系
评估内容框架以信息调研为底座,数据安全管理和数据安全技术作为两根支柱,处理活动过程中的安全防护措施是重点评估对象,同时对个人信息,尤其是敏感个人信息的保护提出更加深入的评估要求。
3)评估内容要点
数据安全管理
在风险评估框架中,数据安全管理侧重于确保组织具备完善的数据安全管理体系,包括明确的安全策略、组织机构、管理制度、操作流程和培训计划等。通过评估组织的数据安全管理体系,可以判断组织在预防和应对数据安全风险方面的组织和管理能力。
数据处理活动
在风险评估框架中,数据处理活动是评估的重点之一,涉及对数据的整个生命周期的评估,包括对数据的收集、存储、传输、使用和加工、提供、公开和删除等活动。通过评估数据处理活动,可以发现数据处理过程中的安全隐患和漏洞,以及不规范的数据处理行为,进而提出相应的改进措施。
数据安全技术
在数据风险评估框架中,数据安全技术涉及多个方面,包括网络安全防护、身份鉴别与访问控制、监测预警、数据脱敏、数据防泄漏、数据接口安全、数据备份恢复、安全审计等常见技术措施,同时应考虑安全技术的选择、配置、使用、更新和维护,使数据安全保护水平与技术投入成本达到一个平衡点。通过评估数据安全技术,可以发现技术方面是否具备相应的安全保障能力及存在的安全隐患和漏洞,提出相应的措施。
个人信息保护
在风险评估框架中,个人信息保护是重要的评估要点之一。评估要点包括对个人信息保护的基本原则、告知同意、管理机制、个人信息处理要求、个人信息主体权利等方面的合规性进行评估, 判断组织是否遵循相关法律法规要求,是否规范个人信息处理行为,以及是否采取了必要的措施保护个人信息的安全和隐私。
4、评估流程
数据安全风险评估流程主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。
图 数据安全风险评估流程图
数据安全风险评估方式包括自评估和检查评估,两者的评估与上述给出的评估实施流程一致, 同时《指引》对自评估及检查评估分别给出了具体流程,分别可以参考。开展检查评估视情况在准备阶段应对评估方案、人员、评估文档等必要时组织专家进行评审,分析总结阶段分析评价安全风险, 形成评估结果后指导评估对象进行风险处置。
5、数据安全风险分析模型
从评估的具体工作方式来看,《指引》所提出的数据安全风险评估方法更倚重“检查项”而非“方法论”,确定检查项是开展数据安全风险评估的首要任务,数据安全风险评估方法论在《信息安全技术 数据安全风险评估方法》(征求意见稿)里提出。
数据安全风险评估结合数据安全识别工作记录,分析梳理风险源清单,进行数据安全风险归类分析。归类分析时,可基于一项风险源,也可综合多项风险源分析可能引发的数据安全风险。结合数据价值和风险源严重程度,分析数据安全风险危害程度;分析风险可能对国家、社会公共利益、组织或个人合法权益造成的危害;结合风险源发生频率、安全措施有效性和完备性,分析数据安全风险发生可能性。数据安全风险分析模型提高风险分析过程和结果的客观性,避免在实务操作上依赖执行人员经验对风险做出评价。
图 数据安全风险分析原理图