新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《数据安全法》;《工业和信息化领域数据安全管理办法(试行)》;工业和信息化领域数据安全管理;起草说明;行业管理职责;数据分类分级;数据安全;监测预警;应急管理;监测评估
本文约3039字,大概需要阅读10分钟。
为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,指导督促工业和电信数据处理者依法依规开展数据处理活动、履行数据安全保护义务,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)》(下称“《管理办法》”),并于2021年9月30日在其官网发布,公开征求意见。
根据工信部同时发布的起草说明,《管理办法》从总体架构和内容设计方面,具有以下特点:
总体定位
《管理办法》定位为工业和信息化领域数据安全管理顶层设计,并提出三个方面的总体目标:
一是全面对接《数据安全法》要求。在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,为行业数据安全监管提供制度保障。
二是构建工业和信息化领域数据安全监管体系。明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围,建立权责一致的工作机制。
三是明确数据保护要求。根据工业、电信行业实际情况,明确了数据全生命周期安全保护要求,指导行业企业健全数据安全管理和技术保护措施,履行保护义务。
主要内容
《管理办法》共八章四十四条,主要内容包括:
(一)关于行业管理职责
一是对工业数据、电信数据、工业和电信数据处理者的概念和范畴进行界定。
《管理办法》第三条:
工业数据是指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。
电信数据是指在电信业务经营活动中收集和产生的数据。
工业和电信数据处理者是指对工业、电信数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业和取得电信业务经营许可证的电信业务经营者等工业和信息化领域各类主体。
二是明确工业和信息化部、地方工业和信息化主管部门、地方电信管理机构的监管职责。
三是落实作为数据安全产业管理部门,需承担的支持技术研究和引导产业发展的责任。
(二)关于数据分类分级与重要数据安全管理
一是提出工业、电信数据分类分级方法,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
《管理办法》第八条:危害程度符合下列条件之一的数据为【一般数据】:
(一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
(三)恢复数据或消除负面影响所需付出的代价小;
(四)其他未纳入重要数据、核心数据目录的数据。
《管理办法》第九条:危害程度符合下列条件之一的数据为【重要数据】:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业发展、生产、运行和经济利益等造成影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)恢复数据或消除负面影响所需付出的代价大;
(六)经行业监管部门评估确定的其他重要数据。
《管理办法》第十条:危害程度符合下列条件之一的数据为【核心数据】:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;
(三)对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
二是构建工业和信息化领域“部-地方-企业”三级联动的数据分类分级、重要数据和核心数据识别认定及数据分级防护等工作机制。
三是建立工业、电信行业重要数据和核心数据全生命周期备案管理制度。
《管理办法》第十二条:工业和信息化部建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
(三)关于数据全生命周期安全管理
此部分内容涉及与个人信息保护的关系,工信部进行了特别说明:《数据安全法》将个人信息作为特别重要的一类数据,纳入重要数据目录和核心数据目录进行重点保护,既要遵守数据安全管理有关规定,还要遵守个人信息保护法的特别规定。《管理办法》秉承了上述工作理念,将个人信息纳入数据全生命周期安全管理,不再单独提出个人信息保护的要求。
一是要求工业和电信数据处理者应当对数据处理活动负主体责任,加强数据安全管理。
二是聚焦重要数据和核心数据建立工作体系,明确关键岗位管理要求。
三是坚持“同步规划、同步建设、同步运行”原则,针对不同级别数据,从数据收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。
以数据跨境传输为例:
《管理办法》第二十四条规定:工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
(四)关于数据安全监测预警与应急管理
一是建立数据安全风险监测预警机制。
二是开展风险信息上报和共享。
三是制定数据安全事件应急预案,组织开展安全事件应急处置。
四是建立针对数据安全违法行为的投诉处理机制。
(五)关于数据安全检测评估与认证管理
一是建立数据安全检测评估、认证机构管理制度,开展检测评估、认证机构选拔认定和管理。
二是制定工业和信息化领域数据安全评估规范,指导开展数据安全风险评估、合规评估。
(六)关于监督检查
一是对工业和电信数据处理者落实数据安全保护义务进行监督检查。
二是在国家数据安全工作协调机制指导下,对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查。
三是提出监督检查工作中的保密要求。
此外,《管理办法》还明确了违反本规定的法律责任,并对涉密数据、军事数据、政务数据作了排除规定,即另行按照国家、部门有关规定执行。
《管理办法》第三十八条【信用机制】:行业监管部门应当将工业和电信数据处理者落实数据安全管理责任情况纳入信用管理。对存在数据安全违法违规行为受到行政处罚的数据处理者,按照有关规定将其列入业务经营不良名单或失信名单。
《管理办法》第三十九条【法律责任】:对于违反本办法的,由行业监管部门依照《数据安全法》《网络安全法》等法律和相关行政法规,根据情节严重程度给予公开曝光、没收违法所得、罚款、暂停业务、停业整顿、关闭网站、吊销业务许可证或吊销营业执照等行政处罚;构成犯罪的,依法追究刑事责任。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
点一下在看再走吧