《工业和信息化领域数据安全管理办法(试行)》发布

来源:TMT法律论坛

文章摘要
导读Law ★NEWS★ 12月13日,工业和信息化部(以下简称“工信部”)印发《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”),自2023年1月1日起施行。
导读Law
★NEWS★
12月13日,工业和信息化部(以下简称“工信部”)印发《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”),自2023年1月1日起施行。
12月14日,工信部发布“一图读懂《工业和信息化领域数据安全管理办法(试行)》”及“《工业和信息化领域数据安全管理办法(试行)》重点问题回应”,以图解形式介绍《管理办法》主要内容,并回应与《管理办法》相关的十四个重点问题。
★导读★
《工业和信息化领域数据安全管理办法(试行)》导读
一、定位:工业和信息化领域数据安全管理顶层制度文件
根据《管理办法》所揭示的立法目的与适用范围,《管理办法》系《数据安全法》《网络安全法》《个人信息保护法》《国家安全法》《民法典》等法律法规在工业和信息化领域的细化,是工业和信息化领域数据安全管理顶层制度文件,一切在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管均应遵循《管理办法》的要求,具体而言:
受监管主体为:在数据处理活动中自主决定处理目的、处理方式的:
① 工业数据处理者:工业企业、软件和信息技术服务企业等,不包括国防科技工业、烟草领域企业;
② 电信数据处理者:取得电信业务经营许可证的电信业务经营者等;
③ 无线电数据处理者:无线电频率、台(站)使用单位等。
受监管对象为:工业数据、电信数据和无线电数据[注1]处理活动,不包括军事、国家秘密信息、政务数据等数据处理活动。
虽然《管理办法》中未明确“境内开展”的定义与范围,考虑到《数据安全法》《个人信息保护法》等均有一定域外适用效力,据此,《管理办法》对于在境外开展数据处理活动可能危害国家安全的,以及类似《个人信息保护法》第三条第二款规定的直接适用主体等情形是否具有约束力,仍有待进一步观察。
同时,《管理办法》明确,工业和信息化部及各地方工业和信息化主管部门、通信管理局和无线电管理机构为工业和信息化领域数据安全行业监管部门(以下统称“监管部门”)。

图1. 监管部门职责分工图
(来源:工业与信息化部)
针对工业和信息化领域数据处理活动,《管理办法》主要规范了四方面内容:
数据分类分级管理、重要数据与核心数据识别与备案;
不同级别数据全生命周期处理的安全管理和保护要求;
数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制;
数据安全监测、认证与评估。
前述四方面要求可进一步具体化为工业和信息化领域数据处理者的两方面合规义务:企业的内部数据安全管理义务及接受外部监管义务。
*注1:工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据;电信数据是指在电信业务经营活动中产生和收集的数据;无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
二、内部管理:数据分类分级与全生命周期管理
(一)数据分类分级
《管理办法》明确,监管部门组织制定行业重要数据和核心数据具体目录并实施动态管理,工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。
具体而言,《管理办法》提出工业和信息化领域数据处理者可参考如下基础进行数据分类分级:
数据分类:根据行业要求、特点、业务需求、数据来源和用途等因素划分,包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等;
数据分级:根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,分为一般数据、重要数据和核心数据三级。

表1. 数据定级标准表
就数据分类而言,我们理解,虽然《管理办法》中提出的数据分类类型与既往规范略有差异,但企业仍可参考既往发布规范,如《工业数据分类分级指南(试行)》《YD/T3813-2020 基础电信企业数据分类分级方法》《工业互联网企业网络安全第4部分:数据防护要求(征求意见稿)》等建立数据目录。如就工业数据分类而言,《管理办法》与前述规范的主要差异在于:将业务服务数据与研发数据、生产运行数据、管理数据、运维数据并列,而未列明外部数据域(与其他主体共享的数据等)。我们理解,前述规范所划分数据类别主要为企业自身相关数据,故业务服务数据的增加可能系为强调用户相关数据,而外部数据域亦可划分至其他数据类型中。
就数据定级而言,在监管部门确定具体识别标准、目录前,企业可先参考《YD/T3867-2021基础电信企业重要数据识别指南》等优先识别核心数据与重要数据。就一般数据,企业可参考《网络安全标准实践指南网络数据分类分级指引》与《信息安全技术网络数据分类分级要求(征求意见稿)》,进一步划分级别,进行管理。
值得重点关注的是,《管理办法》明确规定了工业和信息化领域数据处理者的重要数据和核心数据目录备案义务,如涉及处理相关数据,则应向本地区行业监管部门备案本单位重要数据和核心数据目录,包括但不限于:数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况;如备案内容发生重大变化的,应当在发生变化的三个月内履行备案变更手续。重大变化如某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。

图2. 重要数据和核心数据目录备案管理示意图
(来源:工业与信息化部)
(二)数据全生命周期管理
《管理办法》进一步针对数据的全生命周期管理进行细化规定,并对重要数据、核心数据的安全管理提出加成要求,如一般数据处理者应根据需要配备数据安全管理人员,若涉及处理重要数据与核心数据,则还应当建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构。
如涉及同时处理不同级别数据且难以分别采取保护措施的,应按照其中级别最高的要求实施保护。

图3. 工业与信息化领域数据全生命周期安全要求
(来源:工业与信息化部)
前述要求中有如下要求值得企业特别关注:
就数据本地化存储,《管理办法》未明确要求重要数据与核心数据需存储在境内,但提出“法律、行政法规有境内存储要求的,应当在境内存储”;
就数据跨境,《管理办法》重申《数据安全法》第三十六条的要求,明确向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据须经工业和信息化部批准;在中华人民共和国境内收集和产生的重要数据和核心数据,确需向境外提供的,应当依法依规进行数据出境安全评估;
就跨主体提供、转移、委托处理核心数据,《管理办法》提出,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行业监管部门审查后报工信部审查;
数据处理日志留存:与《网络安全法》衔接,明确要求记录数据处理、权限管理、人员操作等日志,日志留存时间不少于六个月。
三、外部义务:备案、告知、报送与审查
《管理办法》明确工信部将建立数据安全风险监测、数据安全风险信息上报和共享机制,行业数据安全评估管理制度等,并为数据处理者设置了风险信息上报、数据安全事件处置报告、重要数据和核心数据目录备案、核心数据跨主体处理风险评估、重要数据和核心数据风险评估等对外义务。各义务大致如下表所示(可点击查看大图)。

表2. 工业和信息化领域数据处理者对外义务清单
根据《管理办法》,如数据处理者实施的数据处理活动存在较大安全风险,将被行业监管部门约谈,并按要求采取措施进行整改,消除隐患;如数据处理者违反《管理办法》规定,将由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。
根据《网络安全法》《数据安全法》《个人信息保护法》等上位法规定,如数据处理者涉及严重违法情形的,直接负责的主管人员和其他直接责任人员或将同时被处罚。《管理办法》第十三条就重要数据和核心数据处理者数据安全责任人的设置,提出本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人。我们理解,该等责任人认定方式在一般数据处理者中同样适用。据此,如企业严重违法,前述人员可能直接受到处罚。
技术驱动法律,专业成就未来