近日,工业和信息化部印发了《工业和信息化领域数据安全管理办法》(以下简称《管理办法》)。该办法自2023年1月1日起施行。
作为工业和信息化领域数据安全管理顶层制度文件,《管理办法》共分为八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容涉及7个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责;二是确定数据分类分级管理、重要数据识别与备案相关要求;三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求;四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制;五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求;七是明确相关违法违规行为的法律责任和惩罚措施。
工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
《管理办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。
依据国家数据分类分级保护制度要求,《管理办法》规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:一是开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;二是加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的应第一时间进行上报;四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。
此外,《管理办法》还构建了“工业和信息化部、地方行业监管部门”两级监管机制。其中,工业和信息化部统筹工业和电信领域数据安全监管工作,包括组织制定行业数据安全管理政策制度和标准规范,编制行业重要数据和核心数据目录,建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制,指导地方行业监管部门开展属地监管,督促全行业数据处理者加强数据安全保护工作。地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理,包括审核重要数据目录备案,编制重要数据和核心数据具体目录,开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作,并可结合工作实际,建立更加细化完善的工作机制。