一、概述
随着信息技术和人们生产生活交汇融合,数据处理活动更加频繁,数据安全风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给经济社会发展和国家安全带来严峻挑战。关键是,如今数据已成为数字经济时代最为活跃的新型生产要素,为社会、经济的转型发展,产生着不可估量的作用。鉴于此,与此同时,数据安全,特别是网络数据安全的管理势必成为重大课题。为此,我国专门颁布有相关的法律法规以规范其数据安全的管理,各部门、各领域、各行业都结合其实际,建立健全了相应的管理机制。如,工业和信息化部就专门发布了工业和信息化领域的数据安全管理办法。
工业和信息化部根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国国家安全法》、《中华人民共和国民法典》等法律法规,于2022年12月8日,制定并发布了《工业和信息化领域的数据安全管理办法(试行)》(工信部网安 [2022] 166号),自2023年1月1日起施行。《办法》旨在规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。工业和信息化领域数据包括工业数据、电信数据和无线电数据等。三者的含义详见下表1。
表 1:工业数据、电信数据和无线电数据的释义
欲具体了解上述相关上位法内容的请进入。
二、《办法》的出台背景与监管范围
1、出台背景
由于当前数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日,《中华人民共和国数据安全法》正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中明确工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。
工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。为贯彻落实《中华人民共和国数据安全法》,加快推动工业和信息化领域数据安全管理工作制度化、规范化,工业和信息化部研究起草了该《办法》,其主要目的体现在下表2-1所描述的三个方面。
表 2-1:《办法》的出台目的
欲详细了解《中华人民共和国数据安全法》内容的请进入。
2、监管范围
《办法》对工业和信息化领域数据处理活动进行安全监管,具体可以从处理对象、处理主体、处理活动三方面进行认识:从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。
三、《办法》的简要解读
《办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要规范内容可归纳为七个方面,具体详见下表3-0的简述。若要详细了解该《办法》具体内容的请查阅下附件。
表 3-0:《办法》主要规范的内容
附件:《工业和信息化领域的数据安全管理办法(试行)》(工信部网安 [2022] 166号)
1、确定了对数据分级保护的要求
《办法》根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信领域数据依次分为一般数据、重要数据和核心数据三个等级级别,具体释义详见下表3-1;同时根据行业要求、特点、业务需求、数据来源和用途等因素,将工业和信息化领域数据分为包括研发数据、生产运行数据、管理数据、运维数据、业务服务数据等多个分类类别,但并不限于。下图3-1给出了等级级别与分类类别间的关系。
表 3-1:一般数据、重要数据和核心数据的释义
图 3-1-1:工业和信息化领域数据等级级别与分类类别间的关系
《办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。下图3-1-2给出了一般数据、重要数据、核心数据的安全保护原则。
图 3-1-2:一般数据、重要数据、核心数据的安全保护原则
2、明确了重要数据的管理
工业和信息化领域的重要数据,内容的数量和种类相对较为广泛,其安全风险相对较高,其识别工作较为繁重。为此,《办法》对重要数据处理者和管理着特别明确了相应的管理要求。《办法》依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担下表3-2所述的四项保护义务。工业和信息化部结合国家数据安全保护要求和行业实际,组织制定工业和信息化领域重要数据和核心数据识别认定标准规范,明确识别规则和方法。数据处理者应当定期梳理本单位数据资源,按照所属行业标准规范识别重要数据后,向本地区行业监管部门备案重要数据目录。当备案内容发生重大变化后,数据处理者应当及时履行备案变更手续,保证目录备案的时效性、准确性与真实性。
表 3-2:重要数据处理者对重要数据承担的保护义务
欲详细了解电信领域重要数据目录和识别方法的请进入。
3、明确了数据的生命周期及管理
《办法》围绕数据收集、存储、使用、加工、传输、提供、公开、流转、销毁等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。一般数据、重要数据、核心数据的其各自的保护要求详见下表3-3-1;下表3-3-2汇总了一般数据、重要数据、核心数据在生命周期各环节的安全保护要要求。
表 3-3-1:一般数据、重要数据、核心数据的通用安全保护要求
表 3-3-2:一般数据、重要数据、核心数据生命周期各环节的安全保护要求
4、开展数据安全风险评估的要求
《办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。评估内容包括合规评估和风险研判。合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求;风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。下图3-4给出了开展数据安全风险评估的流程要求。
图 3-4:开展数据安全风险评估的流程要求
特别是数据出境的安全评估,《办法》明确工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照《数据安全法》、《数据出境安全评估办法》等法律法规进行安全评估。
5、明确了开展数据的安全风险监测预警工作及安全应急处置工作
《办法》明确建立工业和信息化领域数据安全应急处置工作机制,细化不同主体的责任与义务,具体要求详见下表3-5所述。《办法》明确建立工业和信息化领域数据安全应急处置工作机制,细化不同主体的责任与义务,具体要求也汇总于下表3-5内。险监测预警工作和安全应急处置的工作流程详见下图3-5所示。
表 3-5:开展数据安全风险监测预警工作及安全应急处置工作的要求
图 3-5:开展数据安全风险监测预警与安全应急处置的工作流程
6、明确了监管职责分工
《办法》构建了“工业和信息化部、地方行业监管部门”两级监管机制,如下图3-6所示。工业和信息化部统筹工业和电信领域数据安全监管工作,包括组织制定行业数据安全管理政策制度和标准规范,编制行业重要数据和核心数据目录,建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制,指导地方行业监管部门开展属地监管,督促全行业数据处理者加强数据安全保护工作。地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理,包括审核重要数据目录备案,编制重要数据和核心数据具体目录,开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作,并可结合工作实际,建立更加细化完善的工作机制。
图 3-6:工业和电信领域数据安全监管的两级监管机制
7、其它要求
《办法》还对工业和信息化领域数据的安全检测、认证、评估管理、监督检查管理、投诉举报、法律责任等提出了要求。另外,对于中央企业,《办法》明确中央企业是国民经济的重要支柱和骨干力量,产生、汇聚了大量关系国计民生的重要数据。中央企业所属公司业务既受地方行业监管部门管理,也受集团公司管理。因此,《办法》对中央企业提出两项工作要求:一是督促所属公司按照属地行业监管部门要求,履行重要数据目录备案、风险信息上报等要求。二是做好集团本部数据安全保护工作,全面梳理汇总集团本部、所属公司相关情况,及时向工业和信息化部报送。
欲进一步了解关于国家数据基础设施建设的管理要求的请进入。
