《工业和信息化领域数据安全风险评估实施细则（试行）》今日发布，6月1日实施

5月24日，工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称“《细则》”）。

《细则》提到，重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，开展数据安全风险评估，重点评估以下内容：

（一）数据处理目的、方式、范围是否合法、正当、必要；

（二）数据安全管理制度、流程策略的制定和落实情况；

（三）数据安全组织架构、岗位配备和职责履行情况；

（四）数据安全技术防护能力建设及应用情况；

（五）数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况；

（六）发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险；

（七）涉及数据提供、委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况；

（八）涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况。

《细则》提到，重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

在有效期内出现以下情形之一的，重要数据和核心数据处理者应当及时对发生变化及其影响的部分开展风险评估：

（一）新增跨主体提供、委托处理、转移核心数据的；

（二）重要数据、核心数据安全状态发生变化对数据安全造成不利影响的，包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的；

（三）发生涉及重要数据、核心数据的安全事件的；

（四）重要数据和核心数据目录备案内容发生重大变化的；

（五）行业监管部门要求进行评估的其他情形。

《细则》提到，重要数据和核心数据处理者应当在评估工作完成后的 10 个工作日内，向本地区行业监管部门报送评估报告。

中央企业督促指导所属企业履行属地数据安全风险评估及评估报告报送要求，并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部。

地方行业监管部门将本地区本领域重要数据和核心数据处理者的评估结果报送工业和信息化部。

《细则》提到，地方行业监管部门发现不符合法律法规和有关规定的，应当及时通知重要数据和核心数据处理者依法予以改正。地方行业监管部门于 12 月 25 日前，将本地区本年度评估报告接收和审核情况报送工业和信息化部。工业和信息化部视情对评估报告组织抽查审核。

涉及跨主体提供、转移、委托处理核心数据的，地方行业监管部门应当在数据处理者提交评估报告的 20 个工作日内完成审查，并报工业和信息化部按照国家有关规定进行复核。

本细则自 2024 年 6 月 1 日起施行。