一、概述
隨著信息技術和人們生產生活交匯融合,數據處理活動更加頻繁,數據安全風險日益聚焦在網絡數據領域,違法處理網絡數據活動時有發生,給經濟社會發展和國家安全帶來嚴峻挑戰。關鍵是,如今數據已成為數字經濟時代最為活躍的新型生產要素,為社會、經濟的轉型發展,產生著不可估量的作用。鑒于此,與此同時,數據安全,特別是網絡數據安全的管理勢必成為重大課題。為此,我國專門頒布有相關的法律法規以規范其數據安全的管理,各部門、各領域、各行業都結合其實際,建立健全了相應的管理機制。如,工業和信息化部就專門發布了工業和信息化領域的數據安全管理辦法。
工業和信息化部根據《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國國家安全法》、《中華人民共和國民法典》等法律法規,于2022年12月8日,制定并發布了《工業和信息化領域的數據安全管理辦法(試行)》(工信部網安 [2022] 166號),自2023年1月1日起施行。《辦法》旨在規范工業和信息化領域數據處理活動,加強數據安全管理,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家安全和發展利益。工業和信息化領域數據包括工業數據、電信數據和無線電數據等。三者的含義詳見下表1。
表 1:工業數據、電信數據和無線電數據的釋義
欲具體了解上述相關上位法內容的請進入。
二、《辦法》的出臺背景與監管范圍
1、出臺背景
由于當前數據已成為數字經濟時代最為活躍的新型生產要素。與此同時,數據安全風險日益突出,成為關系個人權益、公共利益和國家安全的重要因素。2021年9月1日,《中華人民共和國數據安全法》正式實施,為開展數據安全監管和保護工作提供了法律依據和根本遵循,其中明確工業和信息化部承擔工業、電信行業數據安全監管職責,并對數據處理者的安全保護義務提出了相關要求。
工業和信息化領域是數字經濟發展的主陣地和先導區,是推進數字經濟做強做優做大的主力軍。為貫徹落實《中華人民共和國數據安全法》,加快推動工業和信息化領域數據安全管理工作制度化、規范化,工業和信息化部研究起草了該《辦法》,其主要目的體現在下表2-1所描述的三個方面。
表 2-1:《辦法》的出臺目的
欲詳細了解《中華人民共和國數據安全法》內容的請進入。
2、監管范圍
《辦法》對工業和信息化領域數據處理活動進行安全監管,具體可以從處理對象、處理主體、處理活動三方面進行認識:從處理主體看,工業和信息化領域數據處理者是指能夠在工業和信息化領域數據處理活動中自主決定處理目的、處理方式的各類主體,主要包括工業數據處理者、電信數據處理者以及無線電數據處理者。從處理對象看,工業和信息化領域數據主要包括工業數據、電信數據和無線電數據等。從處理活動看,數據收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監管范圍。
三、《辦法》的簡要解讀
《辦法》作為工業和信息化領域數據安全管理頂層制度文件,共八章四十二條,重點解決工業和信息化領域數據安全“誰來管、管什么、怎么管”的問題。主要規范內容可歸納為七個方面,具體詳見下表3-0的簡述。若要詳細了解該《辦法》具體內容的請查閱下附件。
表 3-0:《辦法》主要規范的內容
附件:《工業和信息化領域的數據安全管理辦法(試行)》(工信部網安 [2022] 166號)
1、確定了對數據分級保護的要求
《辦法》根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,將工業和電信領域數據依次分為一般數據、重要數據和核心數據三個等級級別,具體釋義詳見下表3-1;同時根據行業要求、特點、業務需求、數據來源和用途等因素,將工業和信息化領域數據分為包括研發數據、生產運行數據、管理數據、運維數據、業務服務數據等多個分類類別,但并不限于。下圖3-1給出了等級級別與分類類別間的關系。
表 3-1:一般數據、重要數據和核心數據的釋義
圖 3-1-1:工業和信息化領域數據等級級別與分類類別間的關系
《辦法》以數據分級保護為總體原則,要求一般數據加強全生命周期安全管理,重要數據在一般數據保護的基礎上進行重點保護,核心數據在重要數據保護的基礎上實施更加嚴格保護。對于不同級別數據同時被處理且難以分別采取保護措施的,采取“就高”原則,按照其中級別最高的要求實施保護。下圖3-1-2給出了一般數據、重要數據、核心數據的安全保護原則。
圖 3-1-2:一般數據、重要數據、核心數據的安全保護原則
2、明確了重要數據的管理
工業和信息化領域的重要數據,內容的數量和種類相對較為廣泛,其安全風險相對較高,其識別工作較為繁重。為此,《辦法》對重要數據處理者和管理著特別明確了相應的管理要求。《辦法》依據國家數據分類分級保護制度要求,規定重要數據處理者在履行一般數據處理者數據安全保護義務的基礎上,還應承擔下表3-2所述的四項保護義務。工業和信息化部結合國家數據安全保護要求和行業實際,組織制定工業和信息化領域重要數據和核心數據識別認定標準規范,明確識別規則和方法。數據處理者應當定期梳理本單位數據資源,按照所屬行業標準規范識別重要數據后,向本地區行業監管部門備案重要數據目錄。當備案內容發生重大變化后,數據處理者應當及時履行備案變更手續,保證目錄備案的時效性、準確性與真實性。
表 3-2:重要數據處理者對重要數據承擔的保護義務
欲詳細了解電信領域重要數據目錄和識別方法的請進入。
3、明確了數據的生命周期及管理
《辦法》圍繞數據收集、存儲、使用、加工、傳輸、提供、公開、流轉、銷毀等全生命周期關鍵環節,分別針對一般數據、重要數據、核心數據細化明確了安全保護要求,主要包括明確細化了協議約束、安全評估、審批等管理要求,以及校驗與密碼技術使用、數據訪問控制等技術保護要求。一般數據、重要數據、核心數據的其各自的保護要求詳見下表3-3-1;下表3-3-2匯總了一般數據、重要數據、核心數據在生命周期各環節的安全保護要要求。
表 3-3-1:一般數據、重要數據、核心數據的通用安全保護要求
表 3-3-2:一般數據、重要數據、核心數據生命周期各環節的安全保護要求
4、開展數據安全風險評估的要求
《辦法》明確重要數據和核心數據處理者每年至少完成一次數據安全風險評估,可以自行或委托第三方評估機構開展,及時整改風險問題,并向本地區行業監管部門報告。評估內容包括合規評估和風險研判。合規評估是指對標對表法律法規和政策文件,評估是否滿足相關要求;風險研判是指通過分析數據處理者的安全保障能力、面臨的威脅情況和發生安全事件后的影響程度等,評估數據處理活動的安全風險等級。下圖3-4給出了開展數據安全風險評估的流程要求。
圖 3-4:開展數據安全風險評估的流程要求
特別是數據出境的安全評估,《辦法》明確工業和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據,法律、行政法規有境內存儲要求的,應當在境內存儲,確需向境外提供的,應當依照《數據安全法》、《數據出境安全評估辦法》等法律法規進行安全評估。
5、明確了開展數據的安全風險監測預警工作及安全應急處置工作
《辦法》明確建立工業和信息化領域數據安全應急處置工作機制,細化不同主體的責任與義務,具體要求詳見下表3-5所述。《辦法》明確建立工業和信息化領域數據安全應急處置工作機制,細化不同主體的責任與義務,具體要求也匯總于下表3-5內。險監測預警工作和安全應急處置的工作流程詳見下圖3-5所示。
表 3-5:開展數據安全風險監測預警工作及安全應急處置工作的要求
圖 3-5:開展數據安全風險監測預警與安全應急處置的工作流程
6、明確了監管職責分工
《辦法》構建了“工業和信息化部、地方行業監管部門”兩級監管機制,如下圖3-6所示。工業和信息化部統籌工業和電信領域數據安全監管工作,包括組織制定行業數據安全管理政策制度和標準規范,編制行業重要數據和核心數據目錄,建立重要數據目錄備案、監測預警、風險信息報送和共享、應急處置等工作機制,指導地方行業監管部門開展屬地監管,督促全行業數據處理者加強數據安全保護工作。地方行業監管部門,包括各省、自治區、直轄市及計劃單列市、新疆生產建設兵團工業和信息化主管部門,各省、自治區、直轄市通信管理局和無線電管理機構,分別負責對本地區工業、電信、無線電領域數據處理者進行監督管理,包括審核重要數據目錄備案,編制重要數據和核心數據具體目錄,開展監測預警、風險信息報送和共享、應急處置、風險評估、投訴舉報受理等工作,并可結合工作實際,建立更加細化完善的工作機制。
圖 3-6:工業和電信領域數據安全監管的兩級監管機制
7、其它要求
《辦法》還對工業和信息化領域數據的安全檢測、認證、評估管理、監督檢查管理、投訴舉報、法律責任等提出了要求。另外,對于中央企業,《辦法》明確中央企業是國民經濟的重要支柱和骨干力量,產生、匯聚了大量關系國計民生的重要數據。中央企業所屬公司業務既受地方行業監管部門管理,也受集團公司管理。因此,《辦法》對中央企業提出兩項工作要求:一是督促所屬公司按照屬地行業監管部門要求,履行重要數據目錄備案、風險信息上報等要求。二是做好集團本部數據安全保護工作,全面梳理匯總集團本部、所屬公司相關情況,及時向工業和信息化部報送。
欲進一步了解關于國家數據基礎設施建設的管理要求的請進入。
