非官方不专业版

版权所有，转发请注明出处

3. 管理主体

3.1 职能部门

3.1.1 国家网信部门

本条例明确了开展网络数据安全管理工作的部门职责分工，“国家网信部门负责统筹协调网络数据安全和相关监督管理工作。公安机关、国家安全机关依照有关法律、行政法规和本条例的规定，在各自职责范围内承担网络数据安全监督管理职责，依法防范和打击危害网络数据安全的违法犯罪活动。国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。各有关主管部门承担本行业、本领域网络数据安全监督管理职责。”[1]

《数据安全法》在第五条中明确规定了数据安全工作的管理主体，“由中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。” 第六条第四款中规定“国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。”《条例》第四十七条第一款明确了“国家网信部门负责统筹协调网络数据安全和相关监督管理工作。”《条例》基于《宪法》授权，赋予其他各职能部门相关管理职责和权限。《网络安全法》在第五十一条中规定“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。”在此基础上，《条例》在第四十九条中提出“国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息，加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。”根据《网络安全法》第五十三条的进一步规定，网信部门还应该“协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。”

3.1.2 公安机关、国家安全机关

“公安机关、国家安全机关依照有关法律、行政法规和本条例的规定，在各自职责范围内承担网络数据安全监督管理职责，依法防范和打击危害网络数据安全的违法犯罪活动。”依据《中华人民共和国人民警察法》第六条规定“公安机关的人民警察按照职责分工，依法履行下列职责：……（十二）监督管理计算机信息系统的安全保护工作；……”涉及国家安全的由国家安全机关依法履行其相应职责。

2023年10月25日国家数据局正式挂牌，国家数据局深入贯彻落实党中央和国务院关于数据工作的决策部署，统筹推进数字中国、数字经济、数字社会规划和建设，协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，全面赋能经济社会发展。要统筹发展和安全，充分发挥数据的基础资源作用和创新引擎作用，不断做强做优做大数字经济，促进数字经济和实体经济深度融合，为构建新发展格局、建设现代化经济体系、构筑国家竞争新优势提供有力支撑。[2]作为国家数据管理部门，国家数据局应在今后的工作中具体承担数据管理工作中履行相应的网络数据安全职责。

《条例》将行业管理职能扩展到区域管理，规定“各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。” 网络数据安全管理工作从行业管辖权精细到区域管辖，对行业跨区域的组织未来会面临更多的合规性检查活动。

3.1.3 电信主管部门

在《条例》第五十五-五十七条中均提到“违反本条例……条规定的，由网信、电信、公安、国家安全等主管部门依据各自职责……”根据2014年7月29日修订的《中华人民共和国电信条例》第三条中规定“国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。”其第二款明确规定“省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。”根据我国工业与信息化部机构职能介绍由国家通信管理局“依法对电信和互联网等信息通信服务实行监管，承担互联网（含移动互联网）行业管理职能，推动工业互联网创新发展工作。具体职责主要包括：负责电信和互联网业务市场准入及设备进网管理，承担通信网码号、互联网域名和IP地址、互联网信息服务备案、接入服务等基础管理及试办新业务备案管理职能，推进三网融合，监督管理电信和互联网市场竞争秩序、服务质量、互联互通、用户权益和个人信息保护，负责信息通信网络运行的监督管理，组织协调应急通信及重要通信保障。统筹工业互联网创新发展工作，负责工业互联网网络体系相关工作，负责新一代移动通信技术商用及在工业等重点领域的融合应用。”[3]

电信主管部门依据工信部《通信行政处罚程序规定》依法开展行政执法活动；其第二条规定“公民、法人或者其他组织实施违反通信行政管理秩序的行为，依照法律、法规或者规章的规定，应当给予行政处罚的，由通信主管部门按照《中华人民共和国行政处罚法》和本规定的程序实施。本规定所称通信主管部门，是指信息产业部、国家邮政局、省、自治区、直辖市通信管理局、邮政（管理）局及法律、法规授权的具有通信行政管理职能的组织。”

3.2 行业主管机构

3.2.1 基本职能

《数据安全法》第六条第二款规定“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”《条例》在第四十八条中明确定义①由“各有关主管部门承担本行业、本领域网络数据安全监督管理职责”，②提出“应当明确本行业、本领域网络数据安全保护工作机构”，自上而下的组织架构是确保组织数据安全工作有效落实的基础；③“统筹制定并组织实施本行业、本领域网络数据安全事件应急预案”，本行业、领域主管部门制定并发布本行业、领域内的数据安全事件应急预案，其管辖范围各部门及机构基于预案制定并具体落实本组织数据安全事件应急预案及专项预案，并对预案定期开展演练工作；④“定期组织开展本行业、本领域网络数据安全风险评估”，由于行业差异性，各行业领域应能制定本行业，本领域的网络数据安全风险评估方法论，通过客观的网络数据安全风险评估作为依据，建立本行业，本领域网络数据安全工作的开展；⑤“对网络数据处理者履行网络数据安全保护义务情况进行监督检查，指导督促网络数据处理者及时对存在的风险隐患进行整改”。

《条例》在第五十条中对具体监督检查工作提出基本要求，“有关主管部门可以采取下列措施对网络数据安全进行监督检查：”①“要求网络数据处理者及其相关人员就监督检查事项作出说明；”明确检查事项是避免将检查工作流于形式的一种手段，检查应该是建立在组织所面临的实际风险基础之上，能够清晰的识别数据资产为前提，通过检查提高组织的网络数据安全防护水平和能力；②“查阅、复制与网络数据安全有关的文件、记录；”文件不是摆设，网络数据安全相关各项管理制度、规范、流程、手册不是为应付检查而建立，文件的可执行性是构成整个网络数据安全管理的重要依据，如何证明其有效性，文件对应的记录及日志是必要的证据；有文件无记录，有记录无文件都是在整个管理活动中无法有效形成体系化的重要表现。“技管并重”是网络安全工作的基本原则，而文件的可执行性是反映管理的重要标志；③检查网络数据安全措施运行情况；网络数据安全工作离不开技术手段，从数据依赖的传统网络安全防护之外（符合网络安全等级保护基础要求），针对数据的数资产管理（自动化网络数据资产识别与网络数据分类分级）、身份管理、数据库防火墙、数据审计、数据库审计、加密技术、API检测、备份与恢复（容灾）、数据预警与检测平台等技术产品的落地与使用情况是网络数安全措施的重要手段之一；从“三同步”的角度出发，数据的安全架构、数据逻辑安全以及基于业务的数据威胁建模将是数据安全的重要支撑和基础。④“检查与网络数据处理活动有关的设备、物品；”数据不是自运行的，数据需要通过各种载体来执行其意图；通过数据地图和数据溯源有效识别承载数据的各种硬件、软件、固件以及通信是确保数据安全的重要手段，只有清晰的找到数据在不同设备和物品的处理形式，才能有效的建立网络数据安全保障手段；同时，只有确保上述设备和物品的安全，才能使网络数据安全从技术角度而言落到实处，因此，访问控制、漏洞管理、配置管理、补丁管理、暴露面/攻击面管理以及威胁情报成为检查的基本目标；⑤“法律、行政法规规定的其他必要措施。”合规性保证是建立数据安全的一项重要工作，诸如：重要/敏感数据管理、个人信息及敏感个人信息保护、数据出境管理、合作方管理等问题，成为合规性检查的重要工作。⑥作为网络数据处理者“应当对有关主管部门依法开展的网络数据安全监督检查予以配合。”

3.2.2 监督检查要求

《条例》对有关部门执行监督检查工作提出要求，在第五十一条规定“有关主管部门开展网络数据安全监督检查，应当客观公正，不得向被检查单位收取费用。”作为行政检查工作，为了避免在工作产生的违法违规行为，《关键信息基础设施保护条例》曾经在第二十七条中规定“……检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。……”同时在第四十五条中针对违反上述行为的情形规定“公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。”

在具体执行检查过程中，检查人员应尽可能避免以下行为①“有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息”；原则上在数据安全检查过程中，并不会针对生产数据开展具体的查阅工作，在实际测试过程中可能要操纵生产数据的情形应事先约定对库、表、字段和记录的操作能力和数量，在必要的情况下，应该在虚拟环境或沙箱中运行测试工具和手段，完成测试后，删除测试数据；②检查过程中所需要获取的信息应当且仅当与检查内容相关，任何超越检查内容的信息获取都应当视为违法违规获取，同时根据条例要求“获取的信息只能用于维护网络数据安全的需要，不得用于其他用途。”的规定，应严格限制对获取信息的使用，原则上检查过程中获取的网络数据处理者的数据不得带离组织物理环境。

在检查过程中，“有关主管部门发现网络数据处理者的网络数据处理活动存在较大安全风险的，可以按照规定的权限和程序要求网络数据处理者暂停相关服务、修改平台规则、完善技术措施等，消除网络数据安全隐患。”

近年来，随着网络安全工作的深入落实，针对网络数据安全的检查工作及归口部门越来越繁杂，为了减轻网络数据处理者的“应检”负担，《条例》在第五十二条规定“有关主管部门在开展网络数据安全监督检查时，应当加强协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查。”有关主管部门应充分考虑组织、区域、行业、监管部门之间的相互职能关系，合理协调，降低检查频率；同时应该充分考虑行业特色，统一检查规范和要求，避免造成在不同检查中的检查项冲突和不一致问题。《条例》提出“互认”原则，将个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等工作进行融合，在不同的检查工作中，相互衔接，避免重复评估、审计。同时提出，对“重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。”由于网络安全等级测评更关注载体安全，而重要数据风险评估更关注数据自身的安全，因此，两者之间可以相互结合，重要数据风险评估可以以网络安全等级测评的结果获取载体风险；而网络安全等级测评可以通过重要数据风险评估结果完善测评中对数据安全的不足。

为了避免在监督检查工作中产生的泄露问题，《条例》在第五十三条中要求“有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据应当依法予以保密，不得泄露或者非法向他人提供。”由于检查工作可以由上级主管部门自行完成，也可以通过聘请第三方的方式进行，因此可能在实际执行检查工作的可能是第三方人员，因此，针对开展检查工作前，需要对所有参与检查工作的人员开展立法宣贯教育，同时签署保密协议，并在协议中明确约定对获取数据的保密责任和义务，以及保密期限等相关问题。

3.3 域外治理

由于互联网的特殊性，以及地缘政治因素、技术挑战、利益的诱惑等诸多方面问题，《条例》在第五十四条做出规定“境外的组织、个人从事危害中华人民共和国国家安全、公共利益，或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的，国家网信部门会同有关主管部门可以依法采取相应的必要措施。”本条首先定义侵害实施主体“境外的组织、个人”；其次明确规制行为“从事危害中华人民共和国国家安全、公共利益，或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动”；第三明确定义规制实施主体“国家网信部门会同有关主管部门”；第四定义可采取的活动“依法采取相应的必要措施。”

网络空间作为国家主权空间，入侵我国网络空间可视同为国家主权侵害。《网络安全法》第七十五条对上述行为给出明确的规定“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”

[1] https://www.gov.cn/zhengce//202409/content_6977835.htm#:~:text=2024%E5%B9%B49%E6%9C%8824%E6%97%A5

[2] https://www.gov.cn/yaowen/liebiao/202310/content_6911757.htm

[3] https://wap.miit.gov.cn/jgsj/xgj/jgzz/art/2020/art_a6900ae503854dc789cdd939e406c3d5.html

专题回顾

风险评估实施方法浅析 | GB20984-2022《信息安全技术信息安全风险评估方法》

【原文来源：老烦的草根安全观】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

‍