原标题:工信部拟规定:工业和电信核心数据不得出境,将建备案管理平台
据工信部官网9月30日消息,为贯彻落实《数据安全法》等法律法规,工信部起草《工业和信息化领域数据安全管理办法(试行)》(简称《管理办法》),指导督促工业和电信数据处理者依法依规开展数据处理活动,履行数据安全保护义务。
《管理办法》共八章四十四条,定位为工业和信息化领域数据安全管理顶层设计。对接《数据安全法》要求,《管理办法》在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等具体要求。同时,构建工业和信息化领域数据安全监管体系。
针对数据出境,《管理办法》规定,工业和电信数据处理者在中国境内收集和产生的重要数据,应在境内存储,确需向境外提供的,应进行数据出境安全评估。核心数据不得出境。
数据分类分级管理
《管理办法》对工业和电信数据的定义进行了明确。工业数据是指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。电信数据是指在电信业务经营活动中收集和产生的数据。
在分级分类方法上,《管理办法》要求工业和电信数据处理者应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单。
数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。工信部根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
危害程度符合下列条件之一的数据为重要数据:(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;(二)对工业、电信行业发展、生产、运行和经济利益等造成影响;(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;(五)恢复数据或消除负面影响所需付出的代价大;(六)经行业监管部门评估确定的其他重要数据。
危害程度符合下列条件之一的数据为核心数据:(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;(二)对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;(三)对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;(四)经工信部评估确定的其他核心数据。
工信部将建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
地方工业和信息化主管部门、通信管理局应当分别对本地区工业、电信行业重要数据和核心数据备案内容进行审核,对不符合有关备案要求的,应当督促企业及时完善并重新进行备案。
核心数据不得出境
对于数据保护,《管理办法》要求,工业和电信数据处理者应当对数据处理活动负安全主体责任,根据数据的类型、数量、安全级别、处理方式以及对国家安全、公共利益或者个人、组织合法权益带来的影响和安全风险等,采取必要保护措施。
具体而言,应建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;明确数据安全管理的主要负责人和责任部门,统筹负责数据处理活动的安全监督管理;合理确定数据处理活动的操作权限,严格实施人员权限管理;制定数据安全事件应急预案,并定期进行演练;定期对从业人员开展数据安全教育和培训;法律、行政法规规定的其他措施。
其中,针对数据使用加工,《管理办法》规定,工业和电信数据处理者未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。
针对数据出境,《管理办法》要求,工业和电信数据处理者在中国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
这一规定也与《数据安全法》及《个人信息保护法》的数据出境规定相链接。《数据安全法》将“重要数据”的出境安全管理进行了二分监管,对于关键信息基础设施的运营者在境内运营中收集和产生的重要数据出境,援引《网络安全法》的规定;对于其他数据处理者在境内运营中收集和产生的重要数据,则需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法。《个人信息保护法》则进一步完善个人信息跨境提供规则,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,与《网络安全法》基本保持一致;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
(作者:张雅婷 编辑:曹金良)