*本文首发于LexisNexis律商联讯《中国法律透视》

《征求意见稿》对在境内的工业和信息化领域重要数据与核心数据处理者数据安全风险评估活动提供规范指引。依据《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》），工业和信息化领域数据包括工业数据、电信数据和无线电数据。

上述产业领域大量涉及重要数据及核心数据处理，依据数据类别与等级，仅要求针对重要数据及核心数据进行年度风险评估。

在重要数据及核心数据的定义上，通过数据安全事件风险结果进行概念定义，以威胁及影响严重性进行概念判定具有一定的主观性及不确定性。

评估工作重点关注数据安全管理、防护能力及规范遵守程度，具体包括：（1）数据处理目的、方式及范围；（2）数据安全管理制度与流程策略；（3）数据安全组织架构、岗位配置及履责情况；（4）数据安全技术防护能力；（5）人员数据安全意识、知识技能及从业背景情况；（6）数据安全事件风险；（7）数据提供、委托处理、转移情况下相对方情况；（8）数据出境安全评估情况。

评估工作每年度至少一次，评估报告结果有效期为一年，报告完成后10日内需向本地区行业监管部门报送或更新评估报告。

《征求意见稿》明确行业监管部门监督职权，对评估报告及数据处理者数据处理活动开展审核监督。

其一，行业监管部门可对报送的评估报告根据管理需要自行或委托专业机构进行审核，涉及数据跨境的需报工业和信息化部进行复核。

其二，行业监管部门可根据需要，对重要数据和核心数据处理者数据处理活动开展专项风险评估，对风险评估工作落实情况进行监督检查。

行业监管部门职责的确定，从行政管理上强化了工业与信息化领域重要数据及核心数据处理者数据安全保障与风险评估责任，由监管推动关联领域的数据发展的合规化。

针对行政强制监管的数据安全风险评估，需在先明确监管的企业对象及数据内容。现有对工业和信息化领域重要数据及核心数据的界定存在较大的主观性，在具体企业及数据的判定上存在不确定性，使得实务运用存在一定的困难。对此，建议就本领域内重要数据及核心数据出具具体的分类指引，明确并落实相关数据处理者的安全风险评估责任。

数据安全风险评估工作由企业自行或委托第三方开展，在评估开展过程中或评估完成后通常伴随着安全风险修正与整改，评估报告结果往往体现良好。由此，对报送的评估报告审核，存在不合规范要求的可能性较低。不可置否，行业监管部门对于评估报告的实质审查，极大程度上能保障评估报告的质量，但在书面审查之外，与此同时，良好的监督有赖于专项风险评估。可对行业监管部门专项评估审查工作设定频次及抽查概率要求，结合书面审查与实体审查，从而实质上提升监督管理作用。

《征求意见稿》中指出“各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构”统称“地方行业监管部门”，“工业和信息化部机地方行业监管部门”统称“行业监管部门”。各行业监管部门之间的权限及职能范围未做明确，实施推进过程中可能出现权责不清、履职不明的情况，建议进一步进行细化与拆分。