咨询热线:010-85199916
9月30日,工信部发布意见称,为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工信部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》),面向社会公开征求意见。
《办法》聚焦于我国境内开展的工业和信息化领域的数据处理活动,在第三条中明确“工业数据”是指工业原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等行业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据;“电信数据”是电信业务经营活动中收集和产生的数据。
涉及国家秘密信息、密码使用等数据,军事数据,政务数据,国防科技工业、烟草领域数据均不受《办法》规制。
《办法》根据《数据安全法》的要求,对工业和电信数据进行分类分级管理。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,明确工业和电信数据划分为一般数据、重要数据和核心数据的依据。
危害程度符合下列条件之一的数据为一般数据:
• 对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
• 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
• 恢复数据或消除负面影响所需付出的代价小;
• 其他未纳入重要数据、核心数据目录的数据。
危害程度符合下列条件之一的数据为重要数据:
• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
• 对工业、电信行业发展、生产、运行和经济利益等造成影响;
• 造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
• 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
• 恢复数据或消除负面影响所需付出的代价大;
• 经行业监管部门评估确定的其他重要数据。
危害程度符合下列条件之一的数据为核心数据:
• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
• 对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;
• 对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;
• 经工业和信息化部评估确定的其他核心数据。
在数据全生命周期安全管理方面,《办法》针对不同级别数据,从数据收集、存储、加工、 传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。
《办法》在第二十三条特别明确“数据销毁”,要求数据处理者应当建立数据销毁策略和管理制度,明确销毁对象、流程和技术等要求,对销毁活动进行记录和留存。
对于重要数据和核心数据,如果没有承接方且符合销毁条件的,数据处理者应依法进行数据销毁;没有承接方且不符合销毁条件的,数据处理者应及时上报所在地工信主管部门或通信管理局,将数据移交至行业监管部门指定的机构保存。销毁重要数据和核心数据的,不得以任何理由、任何方式对销毁数据进行恢复。
《办法》对数据保护的权责做了细化规定。涉及重要数据和核心数据的,数据处理者应设置专门的数据安全管理责任部门,本单位党委(党组)或领导班子对数据安全负主体责任,主要负责人是数据安全第一责任人,分管数据安全的负责人是直接责任人。对于关键岗位及人员,《办法》要求签署数据安全责任书,记录数据处理活动。
在数据出境管理方面,《办法》明确提出数据处理者在境内收集和产生的重要数据应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
(本文为原创文章,作者为王俊林律师、石陇辉律师助理。欢迎转载,转发请注明出处,侵权必究)