咨询热线:010-85199916

创新是引领发展的第一动力,保护知识产权就是保护创新。

——摘自习近平总书记在十九届中央政治局第二十五次集体学习时的讲话(2020年11月30日)

专业研究

法律咨询热线:010-85199916

《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》要点简析

2021-11-22


9月30日,工信部发布意见称,为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工信部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》),面向社会公开征求意见。


《办法》聚焦于我国境内开展的工业和信息化领域的数据处理活动,在第三条中明确“工业数据”是指工业原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等行业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据;“电信数据”是电信业务经营活动中收集和产生的数据。


涉及国家秘密信息、密码使用等数据,军事数据,政务数据,国防科技工业、烟草领域数据均不受《办法》规制。




《办法》根据《数据安全法》的要求,对工业和电信数据进行分类分级管理。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,明确工业和电信数据划分为一般数据、重要数据和核心数据的依据。


危害程度符合下列条件之一的数据为一般数据:

• 对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;

• 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;

• 恢复数据或消除负面影响所需付出的代价小;

•  其他未纳入重要数据、核心数据目录的数据。


危害程度符合下列条件之一的数据为重要数据:

• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;

• 对工业、电信行业发展、生产、运行和经济利益等造成影响;

• 造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;

• 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;

• 恢复数据或消除负面影响所需付出的代价大;

• 经行业监管部门评估确定的其他重要数据。


危害程度符合下列条件之一的数据为核心数据:

• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;

• 对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;

• 对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;

• 经工业和信息化部评估确定的其他核心数据。

 



在数据全生命周期安全管理方面,《办法》针对不同级别数据,从数据收集、存储、加工、 传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。


《办法》在第二十三条特别明确“数据销毁”,要求数据处理者应当建立数据销毁策略和管理制度,明确销毁对象、流程和技术等要求,对销毁活动进行记录和留存。


对于重要数据和核心数据,如果没有承接方且符合销毁条件的,数据处理者应依法进行数据销毁;没有承接方且不符合销毁条件的,数据处理者应及时上报所在地工信主管部门或通信管理局,将数据移交至行业监管部门指定的机构保存。销毁重要数据和核心数据的,不得以任何理由、任何方式对销毁数据进行恢复。


《办法》对数据保护的权责做了细化规定。涉及重要数据和核心数据的,数据处理者应设置专门的数据安全管理责任部门,本单位党委(党组)或领导班子对数据安全负主体责任,主要负责人是数据安全第一责任人,分管数据安全的负责人是直接责任人。对于关键岗位及人员,《办法》要求签署数据安全责任书,记录数据处理活动。


在数据出境管理方面,《办法》明确提出数据处理者在境内收集和产生的重要数据应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。




(本文为原创文章,作者为王俊林律师、石陇辉律师助理。欢迎转载,转发请注明出处,侵权必究)

分享到:

返回列表