《工业和信息化领域数据安全管理办法(试行)》解读

来源:凌科安时律师事务所

文章摘要
前言 当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。
前言
当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日《中华人民共和国数据安全法》的正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中第六条明确了工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。
工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。为贯彻落实《数据安全法》,加快推动工业和信息化领域数据安全管理工作制度化、规范化,2022年12月8日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,解决了工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括以下七个方面:
一、界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责
1、明确工业和信息化领域数据及数据处理者
工业和信息化
领域数据
工业数据
工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
电信数据
在电信业务经营活动中产生和收集的数据。
无线数据
在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
工业和信息化
领域处理者
数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。

2、构建联动的监管机制
行业监管部门
工业和信息化部
督促指导地方行业监管部门开展数据安全监管,对工信领域的数据处理活动和安全保护进行监督管理。
配合监管工作
促进产业发展
推进标准制定
地方行业监管部门
监督管理本地区工业、电信、无线电数据处理者的数据处理活动和安全保护。地方行业监管部门包括:
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门
各省、自治区、直辖市通信管理局
各省、自治区、直辖市无线电管理机构


二、确定数据分类分级管理、重要数据识别与备案相关要求
1、细化数据分类分级标准及其管理制度
分级分类工作要求
工业和信息化部
制定标准规范
指导数据分类分级管理工作
制定行业重要、核心数据具体目录并实施动态管理
地方行业监管部门
开展数据分类分级管理及识别工作
确定重要、核心数据具体目录上报工信部,并及时更新
工业和信息化领域数据处理者
定期梳理数据
识别重要、核心数据形成具体目录
分级分类方法
根据行业要求、特点、业务需求、数据来源和用途等因素
工信领域数据分类包括但不限于:
研发数据
生产运行数据
管理数据
运维数据
业务服务数据等
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度
工信领域数据分级为:
一般数据
重要数据
核心数据

2、规定了更细致的数据分级标准
一般数据
重要数据
核心数据
对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域
对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域
对工业和信息化领域发展、生产、运行和经济利益等造成严重影响
对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响
对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小
造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大
对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等
受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小
引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响
其他未纳入重要数据、核心数据目录的数据
经工业和信息化部评估确定的其他重要数据
经工业和信息化部评估确定的其他核心数据


3、明确重要数据和核心数据目录备案要求及流程

三、针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求
1、建立数据全生命周期安全管理制度
工信领域数据处理者
制定具体分级防护要求和操作规程
配备数据安全管理员
实施人员权限管理
制定应急预案并演练
定期开展教育和培训
工信领域重要、核心
数据处理者
建立数据安全工作体系
明确数据安全责任人
明确数据处理关键岗位和岗位职责
建立内部登记、审批等工作机制


2、细化数据处理者职责


四、建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制
监测预警机制
工业和信息化部
建立风险监测机制
制定监测预警接口和标准
建设监测预警技术手段
加强信息共享
地方行业监管部门
建设风险预测预警机制
开展风险监测
发布预警信息,并采取措施
工业和信息化领域数据处理者
开展风险监测
风险信息报送和共享机制
工业和信息化部
建立风险信息上报和共享机制
统一汇集、分析、研判、通报风险信息
地方行业监管部门
汇总分析本地区风险,并将可能造成重大及以上事件的风险上报工信部
工业和信息化领域数据处理者
及时将可能造成较大及以上事件的风险向地方行业监管部门报告
应急处置机制
工业和信息化部
制定数据安全事件应急预案
协调重要、核心数据安全事件应急处置工作
地方行业监管部门
开展应急处置工作
涉重要、核心数据的安全事件,立即上报工信部
工业和信息化领域数据处理者
数据安全事件发生后,及时开展应急处置
涉重要、核心数据的安全事件,第一时间向地方行业监管部门报告
形成总结报告,每年向地方行业监管部门报告数据安全事件处置情况
对可能损害用户权益的事件,及时告知用户,并提供减轻危害措施
投诉举报
受理机制
工业和信息化部
委托相关行业组织建立投诉举报渠道
地方行业监管部门
建立投诉举报机制或渠道
依法接收、处理投诉举报,并开展执法调查
工业和信息化领域数据处理者
鼓励建立用户投诉处理机制


五、明确开展数据安全监测、认证、评估的相关要求
安全检测与认证
安全评估
工业和信息化部
指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作
制定评估管理制度,开展评估机构管理工作
制定评估规范,指导评估机构开展风险评估、出境安全评估等工作
地方行业监管部门
开展评估工作
工业和信息化领域重要、核心数据处理者
自行或委托第三方评估机构,每年对数据处理活动至少开展一次风险评估
及时整改风险问题,并向地方行业监管部门报送风险评估报告

六、规定监督检查等工作要求
数据安全审查
监督检查
保密义务
工业和信息化部
在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。
开展监督检查
对在履行职责中知悉的个人信息和商业秘密等,应当严格保密
地方行业监管部门
工业和信息化领域数据处理者
履行配合义务

七、明确相关违法违规行为的法律责任和惩罚措施
责任主体
违规行为
监管部门
罚则
工业和信息化领域数据处理者
数据处理活动存在较大安全风险的
行业监管部门
约谈
整改
有违反本办法规定行为的
根据情节严重程度给予:
没收违法所得
罚款
暂停业务
停业整顿
吊销业务许可证
等其他行政处罚
构成犯罪的:
依法追究刑事责任

如果要对《管理办法》进行总体解读,我们认为归纳起来有以下三个方面:
在工业和信息化领域对国家数据安全管理制度要求进行了细化,明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化了数据全生命周期 安全义务,为行业数据安全监管提供了制度保障。
构建了工业和信息化领域数据安全监管体系,明确了工业和信息化部、地方行业监管部⻔的职责范围,建立了权责一致的工作机制。
根据工业、电信、无线电领域的实际情况,明确了数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护数据主体的责任。
技术驱动法律,专业成就未来