新法导读 | 工信部发布《工业和信息化领域数据安全管理办法(试行)》
目 录 CONTENTS
一、背景介绍
二、适用范围
三、数据处理者的合规要求
四、中央企业的特殊要求
一、背景介绍
2022年12月8日,工业和信息化部(以下简称工信部)印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》),以规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。早在2021年9月30日,工信部首次就《办法》向社会公开征求意见。今年2月10日,工信部结合此前收到的公开意见对《办法》进行修改完善后,再一次向社会公开征求意见。历时一年两次公开征求意见,工信部最终出台了《办法》,体现了工信部对工业和信息化领域的数据安全问题的重视和谨慎,及时回应了社会关注。工信部以部门规章的形式在其监管领域内制定数据安全管理办法,为行业数据安全监管提供了制度保障。
《办法》共分为八章、四十二个条文,主要从数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理以及数据安全检测、认证、评估管理,对工业和信息化数据处理者提出了数据安全管理的合规要求,对行业监管部门的监督检查职责进行了明确,同时,《办法》还就中央企业提出了特殊的管理要求。
二、适用范围
01/
监管范围
从数据类型来看,《办法》主要对工业和信息化领域数据(以下简称工信数据)进行监管,从行业分类上,工信数据可以分为“工业数据”、“电信数据”、“无线电数据”。
工业数据:工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
电信数据:电信业务经营活动中产生和收集的数据。
无线电数据:在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
从数据处理者类型来看,《办法》对工业和信息化领域数据处理者(以下简称数据处理者)进行监管,从行业分类上,数据处理者可以分为“工业数据处理者”、“电信数据处理者”、“无线电数据处理者”。总体上看,工业和信息化领域数据处理者不仅涵盖工业企业、软件和信息技术服务企业,而且也包括取得电信业务经营许可证的电信业务经营者、无线电频率、台(站)使用单位等。
从数据处理活动类型来看,《办法》对数据处理者就工信数据进行“收集、存储、使用、加工、传输、提供、公开等” 全流程、全生命周期的处理活动进行了明确规定。
02/
监管职责分工
《办法》明确了工信部和地方行业监管部门的两级监管机制。
从工信部监管职责来看,工信部负责统筹工业和电信领域的数据安全监管工作,具体包括:
组织制定行业数据安全管理政策制度和标准规范。
编制行业重要数据和核心数据目录。
建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制。
指导地方行业监管部门开展属地监管。
督促全行业数据处理者加强数据安全保护工作。
从地方行业监管部门职责来看,各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门及各省、自治区、直辖市通信管理局和无线电管理机构作为地方行业监管部门,对工业和信息化领域数据安全监管实行属地监管。地方行业监管部门根据其负责的领域分别实施在本地区工业、电信、无线电领域数据处理的安全监管工作,具体包括:
编制重要数据和核心数据具体目录。
审核重要数据目录备案。
开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作。
结合工作实际,建立更加细化完善的工作机制。
三、数据处理者的合规要求
01/
数据分类分级管理
制定重要数据和核心数据目录
根据《办法》的规定,重要数据和核心数据的主要范围将在数据目录中体现,具体目录规范由行业监管部门进行编制,数据处理者应在行业监管部门编制的标准规范内形成本单位的重要数据和核心数据目录。
数据分类:从行业要求、特点、业务需求、数据来源和用途等因素来看,工信数据分类类别包括研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
数据分级:从数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度来看,工信数据分为一般数据、重要数据和核心数据三级。
(点击可查看大图)
《办法》中关于重要数据、核心数据的分级标准均采取了开放式兜底的表述,对于《办法》中未列举的情形,经工信部评估确认的也可能会被列入重要数据和核心数据的范畴。我们认为,工信部编制的重要数据、核心数据的数据目录,将会对工业和信息化数据处理者未来的数据合规工作具有非常重要的指导作用。而数据处理者也应当积极进行本单位的数据分类分级,以符合有关要求。
重要数据和核心数据目录备案
数据处理者应将本单位制定的重要数据和核心数据目录向本地区行业监管部门备案。具体要求:
备案内容:数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
重大变化变更备案:重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上或者其它备案内容发生变化的,数据处理者应在上述变化发生三个月内履行备案变更手续。
02/
数据全生命周期安全管理
《办法》对数据处理者就工信数据全生命周期安全管理提出了具体的合规要求。
制度要求
数据安全工作体系:建立覆盖重要数据和核心数据处理者相关部门的数据安全工作体系,有明确的安全负责人、管理机构和常态化的沟通与协调机制。
登记、审批工作机制:建立重要数据、核心数据内部登记、审批工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
安全管理制度:建立全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。
数据销毁制度:建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。
人员及岗位要求
基础人员要求:配备数据数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作。
责任人要求:重要数据和核心数据处理者本单位的法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人。
关键岗位要求:重要数据和核心数据处理者应明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。
内部管理要求
权限控制:合理确定数据处理活动的操作权限,严格实施人员权限管理。
应急演练:根据应对数据安全事件的需要,制定应急预案,并开展应急演练。
定期培训:定期对从业人员开展数据安全教育和培训。
数据处理活动要求
《办法》对涉及重要数据和核心数据的处理活动提出了明确的要求。同时,《办法》针对跨主体提供、转移、委托处理数据的,要求数据处理者进行风险自评估并报送行业监管部门审查。
(点击可查看大图)
03/
数据安全监测预警与应急管理
数据处理者应在行业监管部门的指导和监督下,及时履行风险监测、风险上报、应急处置等义务。
安全风险监测
数据安全风险监测及预警机制由工信部及地方行业监管部门统一制定,数据处理者应在行业监管部门制定的机制的基础上,对于行业监管部门发布的预警信息及时开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险,及时防范化解风险隐患。
安全事件上报
数据处理者应在监测过程中发现的可能造成较大及以上安全事件的风险及时向本地区行业监管部门报告。
《办法》中未对“较大及以上”的风险标准进行明确的规定,实践中,如数据处理者发现风险事件的,建议及时和本地区行业监管部门履行报告义务,避免因自身判断风险等级失误,造成不必要的安全风险。
安全风险应对
数据处理者应在行业监管部门制定的应急预案的基础上,制定本单位的应急预案。安全事件发生后,及时开展应急处置,涉及重要数据和核心数据的安全事件,应第一时间向本地区行业监管部门报告,事件处置完成后及时形成总结报告,数据处理者应每年向本地区行业监管部门报告数据安全事件处置情况。
安全事件如影响用户合法权益的,数据处理者应及时告知用户,并提供减轻危害的措施。
投诉举报处理
数据安全违法投诉、举报渠道由行业监管部门建立。数据处理者也可以自行建立用户投诉处理机制。
04/
数据安全评估管理
重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。评估内容包括合规评估和风险研判。
合规评估:对标法律法规和政策文件,评估是否满足相关要求。
风险研判:通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。
四、中央企业的特殊要求
中央企业是工业和信息化领域的重要支柱,《办法》对中央企业履行工信数据安全管理职责提出了特殊的要求,中央企业既要做好集团公司自身的数据安全管理工作,也要切实履行好管理责任,及时汇总下属企业数据安全相关情况,督促所属企业履行法定义务。
中央企业集团总部应自行做好集团公司本部的工信数据安全管理工作,并在集团层面全面梳理和汇总集团公司、下属企业的数据安全管理情况,及时按照《办法》的要求向工信部报送。
中央企业所属公司受地区行业监管部门监管,应按照《办法》的要求及时向本地区行业监管部门履行备案、报告的义务,同时需向集团公司报告数据安全管理情况,由集团公司向工信部进行报送。集团公司也应及时督促所属公司按照所属地区行业监管部门的要求及时履行备案、报告义务。
结语
《办法》的出台,一方面对数据处理者在处理工信数据和应对数据安全风险事件中提出了具体的合规要求,另一方面针对行业监管部门在切实履行数据安全监管职责方面也进行了明确规定。在随后的监管活动中,行业监管部门将逐步制定配套的规范和标准,制定重要数据和核心数据目录,以及应急处置以及安全评估的细则。工信领域的数据处理者需结合本单位实际情况,建立各项数据安全管理机制,进行数据合规风险排查,配备数据安全管理人员和关键岗位人员。对于相关风险事项,应尽快推进完成整改,切实履行工信数据安全管理合规义务。
一图读懂《工业和信息化领域数据安全管理办法(试行)》
向下滑动查看
点击下方“阅读原文”,可获取《办法》全文。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注