互联网企业如何开展数据安全评估？

数据安全评估将是2022年监管重点领域

依据2021年10月1日生效的《汽车数据安全管理若干规定（试行）》第十三条规定，处理重要数据的汽车企业，应当在每年12月15日前提交企业数据安全管理的年报。

《汽车数据安全管理若干规定（试行）》

第三条 重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：

（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

（二）车辆流量、物流等反映经济运行情况的数据；

（三）汽车充电网的运行数据；

（四）包含人脸信息、车牌信息等的车外视频、图像数据；

（五）涉及个人信息主体超过10万人的个人信息；

（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

该《规定》发布后，一时之间兵荒马乱，众多持有汽车数据的企业最关心的问题是“本企业需不需要提交年报”“如何做重要数据识别”“数据安全管理评估怎么做”……这一规定也推动汽车数据处理者率先打开了开展数据安全评估，向监管提交报告的大门。

近期，上海市通信管理局组织有关行业组织专家组对各汽车数据处理企业报送的数据安全年报进行评审。并于2022年3月1日发布了评审结果：

上汽大众汽车有限公司、特斯拉（上海）有限公司、阿利昂斯汽车研发（上海）有限公司等公司报送的材料完整、目录清晰、内容充实，整体年报质量较好。同时，本次评审发现，部分企业数据年报未达到合格要求，主要存在如下问题：内容缺失不完整，描述前后不一致；未提供实施工作的证明材料；缺少用户请求删除数据的合理渠道；重要数据出境未落实评估备案等。针对评审未通过的企业，市通信管理局已召开评审结果通报会并要求企业限期重新提交材料。

汽车行业并非法定需要开展数据安全评估的个例。

依据《数据安全法》第三十条的规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

再依据《网络数据安全管理条例》（征求意见稿）第三十二条规定，重要数据处理者，需每年自行或委托数据安全服务机构开展一次数据安全评估，并将年度数据安全评估报告提交给网信部门。再依第二十六条规定，处理100万以上个人信息的数据处理者，比照重要数据处理者进行规范。若该条文正式通过，则意味着用户数量达到100万人以上的互联网企业，每年开展数据安全评估提交年度报告成为法定义务。

《网络数据安全管理条例》（征求意见稿）

第二十六条 数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。

第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。

此外，2022年2月10日公开的《工业和信息化领域数据安全管理办法（试行）》第二次公开征求意见稿，第三十一条亦写明了数据安全评估的要求，由工信部制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作。工信领域的重要数据处理者和核心数据处理者，应当每年至少开展一次安全评估，并向行业监管机构报送数据安全评估报告。

《工业和信息化领域数据安全管理办法（试行）》（公开征求意见稿）

第三十一条【安全评估】 工业和信息化部制定行业数据安全评估机构管理制度，开展评估机构管理工作。制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作。

工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年至少开展一次安全评估，及时整改风险问题，并向地方工业和信息化主管部门（工业领域） 或通信管理局（ 电信领域） 或无线电管理机构（无线电领域） 报送评估报告。

虽然《条例》《办法》征求意见稿的内容仍未最终确定，但不管是从网信部门，还是行业监管部门，都可以看出监管的趋势是要求重要数据处理者、核心数据处理者以及处理一定量级个人信息的数据处理者，每年至少自行或委托第三方评估机构开展一次数据安全评估，并提交数据安全评估报告给监管部门。

与之相对应的，2021年12月3日央行发布了《金融数据安全 数据安全评估规范》（征求意见稿），明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。其中亦规定了触发金融数据安全评估的具体情形。

《电信网和互联网数据安全评估规范》也已于2021年12月2日正式发布，将于2022年4月1日生效。该标准适用于电信网和互联网服务提供商组织开展的网络数据安全评估工作，也适用于第三方机构对电信网和互联网服务提供商数据安全保障能力进行审查和评估。其中也包括触发电信网和互联网企业开展数据安全评估的情形。

随着相关实施细则、规范的落地，工信部2022年2月17日印发通知，部署做好15个省（区、市）及计划单列市工业领域数据安全管理试点工作，三项必选的试点工作重点之一即为组织开展企业的数据安全评估。

（一）数据安全评估的整体框架

数据安全评估的整体框架分为通用性管理评估和数据全生命周管理评估。通用性管理评估包括企业组织架构、人员保障、数据资产梳理、数据分类分级、权限管理、日志留存、安全审计、应急响应、举报投诉处理、教育培训、合作方管理，以及平台系统安全管理。

数据全生命周期管理评估包括数据采集、数据传输、数据存储、数据使用、数据开放共享，以及数据销毁。

数据安全评估不仅仅只限于数据处理活动的安全评估，亦包括企业自身组织架构、制度建设相关评估。对于个人信息部分，需依照相关法律法规进行评估。

（二）数据安全评估报告

一个完整的安全评估报告应当包括以下组成部分：

1.概述，包括被评估企业数据安全管理情况、被评估业务或系统平台具体功能及数据安全情况；

2.数据安全评估流程，包括评估工作情况概述、评估人员组成、评估实施流程等；

3.数据安全评估矩阵，根据通用性管理评估规范及全生命周期管理评估规范，梳理总结出合规性评测矩阵表；针对每一项评估指标，综合运用多种评估方法，收集佐证材料；对佐证材料进行研判评估，得出数据安全保障措施合规或完善程度有关结论；

4.问题分析，根据评估结论梳理评估指标项中不合规项，指出存在问题；

5.整改建议，依据存在问题逐项提出有针对性整改建议；

6.整改落实情况，如涉及整改，需体现整改方案及整改措施、结果；

7.复核结果及签字。

（三）触发评估的条件

1.重要数据处理者、核心数据处理者应当每年至少一次开展数据安全评估；

2.业务运营阶段，在数据承载环境发生较大变化时开展评估：如数据采集渠道变更、数据存储系统升级改造、数据处理技术变更等；

3.企业应在开展数据重要操作（如开放数据对外接口、数据共享、数据转移、数据加工、数据出境等）前对涉及到的数据相关管理措施、技术措施开展评估；

4.行业主管部门要求企业进行数据安全评估的；

5.满足国家法律法规其他有关情形时，应开展数据安全评估。

（四）数据安全评估的难点和重点

数据资产梳理、重要数据识别、数据分类分级，是数据安全评估的基础性工作，同时也是评估工作的难点和重点。

于拥有大量数据的互联网企业而言，能否建立数据资产梳理统一规范，做好数据资产梳理，盘点清楚企业全部数据资产，是决定能否做好数据安全评估工作的基础。

在梳理清楚数据资产的基础之上，如何根据法律法规及行业监管要求制定内部重要数据识别方法和规则，准确识别重要数据生成重要数据目录清单，又是一个难题。

此外，建立数据分类分级策略和方法，完成各数据库表等字段映射，形成企业数据分类分级清单，对数据进行分类分级标识，同样也是一项耗时耗力的庞大工程。

因各行业数据属性不同，数据可能危害国家安全、公共利益或者个人、组织合法权益的程度不同，重要数据的识别最终仍将落到各行业分别进行规定。而行业监管部门的要求可能比法律、行政法规的要求更加严格。例如，《汽车数据安全管理若干规定（试行）》第三条中，将“包含人脸信息、车牌信息等的车外视频、图像数据”“涉及个人信息主体超过10万人的个人信息”定义为重要数据。

即便依据已发布的相关法律文本与专家解释，重要数据不包含个人信息，但是拥有一定量级的个人信息处理者，极有可能将比照重要数据处理者进行规范，也就是说法律规定重要数据处理者必须履行的义务，会同样适用于一定量级的（如《条例》所规定的100万）个人信息处理者。

对互联网企业而言，平台越受欢迎，用户群体越大，拥有用户个人信息则越多，企业要做大，必将要做好被列为重要数据处理者重点监管的准备。

随着2022年4月1日《电信网和互联网数据安全评估规范》生效，工信部数据安全管理试点工作的大面积铺开，互联网企业定期开展数据安全评估，宜早不宜迟。