吴沈括|全面落实上位法律规范 培育数据安全管理生态
全面落实上位法律规范 培育数据安全管理生态——解读《工业和信息化领域数据安全管理办法(试行)》
吴沈括北京师范大学法学院博士生导师中国互联网协会研究中心副主任
前言
2022年12月13日,历经两次公开征求意见,工业和信息化部正式颁布《工业和信息化领域数据安全管理办法(试行)》(以下简称:《办法》),并自2023年1月1日起全面施行。《办法》作为细则规范,旨在落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》等法律法规关于数据安全管理的上位规范要求。它以共计八章四十二条的篇幅,围绕总则,数据分类分级管理,数据全生命周期安全管理,数据安全监测预警,数据安全检测、认证、评估管理,监督检查,法律责任以及附则等八个方面,详尽规定了工业和信息化领域中的各项数据安全要求。
在我国数字化进入高质量发展新阶段的时代背景下,《办法》的细化规则设计,引起了国内外实务和产业各界的广泛关注,它对于规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益具有重大的制度意义与实践价值——
一方面,《数据安全法》《网络安全法》《个人信息保护法》《民法典》等基础法律在不同维度围绕数据安全问题构建了顶层法治框架,在国家层面明确了与数据安全有关的各项价值指向,确立了数据分类分级保护、数据安全风险管理和数据安全应急处置以及数据安全审查等各项基本制度,突出强调建设全面的数据安全生态。
另一方面,《办法》在制定过程中,准确把握前述各项上位法律法规的立法精神和制度要义,深度分析研判工业和信息化领域的行业特点和产业规律,持续优化条文规定,通过细致、全面的机制配套,充分发挥该细则规范应有的三重规范作用:一是助益实现与上位法的系统衔接;二是助益支持监管执法的有序开展;三是助益推动合规创新的生态建设。
一、《办法》助益实现与上位法的系统衔接
需要着重指出的是,《办法》的条文内容呈现鲜明的行业部门特点,能够有效助力在工业和信息化领域进一步配套贯彻各项国家数据安全基本管理要求。作为示例:
第一,《办法》细化落实《数据安全法》等有关数据分类分级保护的制度要求。在数据范围上,《办法》主要着眼工业和信息化领域中的工业数据、电信数据和无线电数据,规定了分类分级的工作要求、实现方法和划分根据等,特别是首次在细则规范层面明确了研发数据、生产运行数据、管理数据等数据类别,以及一般数据、重要数据和核心数据这三类数据级别各自专门的识别条件,奠定了数据分类分级保护的工作基础,这也有助于其他关联制度要求(例如备案、评估和审查等)的协同适用。
第二,《办法》在流程上细化《数据安全法》等有关目录动态管理的制度要求。一则《办法》规定工业和信息化部制定行业重要数据和核心数据具体目录并实施动态管理。二则《办法》规定地方行业监管部门分别确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。 三则《办法》规定数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录,并且应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。如果某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化 30%以上,或者其它备案内容发生变化时,数据处理者应当在发生变化的三个月内履行备案变更手续。此类规则都有利于数据安全风险的及时感知与洞察。
二、《办法》助益支持监管执法的有序开展
同样值得关注的是,《办法》的条文规定充分考虑当下实务需求,秉持权威、高效的原则,清晰展示了工业和信息化领域中的数据安全监管机构体系,并明确了各自的职责分工和工作方针,为构建有力、有效、有序的监管体制机制提供了扎实的规范依据。特别地:
其一,针对监管机构之间的互动关系,《办法》规定在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导地方行业监管部门开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。同时,行业监管部门整体按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。
其二,针对监管机构各自的职权内容,《办法》分别就监测预警机制、信息上报和共享、应急处置、举报投诉处理、安全检测与认证、安全评估、监督检查以及数据安全审查等各种实践场景做出了专门规定。同时,《办法》也引入了有关权益保障的制度性规则,特别强调行业监管部门对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
三、《办法》助益推动合规创新的生态建设
不止于此,《办法》的条文设计的第三个亮点是注重提升各方主体的能动性和参与度,在法律和伦理等角度为各相关方提出明确的业务指引与合规要求的同时,着力在工业和信息化领域培育共建、共治和共享的数据安全生态。尤其包括:
一是《办法》强调数据全生命周期安全管理中的主体责任要求,其必须覆盖从数据收集、存储到数据转移乃至出境等各个场景。它规定数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。同时应当采取建立数据全生命周期安全管理制度、根据需要配备数据安全管理人员等六项必要措施。如果涉及重要数据和核心数据处理,还应当采取建立覆盖本单位相关部门的数据安全工作体系、明确数据处理关键岗位和岗位职责等三项安全强化措施。
二是《办法》坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。它明确规定行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。而工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,也应当有利于促进经济社会和行业发展,符合社会公德和伦理。
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业