《工業和資訊化領域資料安全管理辦法(試行)》重點問題回應
近日,工業和資訊化部印發《工業和資訊化領域資料安全管理辦法》(工信部網安〔2022〕166号),(以下簡稱《管理辦法》)。現就《管理辦法》重點問題回應如下:
一、《管理辦法》出台的背景和目的是什麼?
目前,資料已成為數字經濟時代最為活躍的新型生産要素。與此同時,資料安全風險日益突出,成為關系個人權益、公共利益和國家安全的重要因素。2021年9月1日,《中華人民共和國資料安全法》正式實施,為開展資料安全監管和保護工作提供了法律依據和根本遵循,其中明确工業和資訊化部承擔工業、電信行業資料安全監管職責,并對資料處理者的安全保護義務提出了相關要求。
工業和資訊化領域是數字經濟發展的主陣地和先導區,是推進數字經濟做強做優做大的主力軍。為貫徹落實《資料安全法》,加快推動工業和資訊化領域資料安全管理工作制度化、規範化,我部研究起草了《管理辦法》,一是在工業和資訊化領域對國家資料安全管理制度要求進行細化,明确開展資料分類分級保護、重要資料管理等工作的具體要求,細化資料全生命周期安全義務,為行業資料安全監管提供制度保障。二是建構工業和資訊化領域資料安全監管體系,明确工業和資訊化部、地方行業監管部門的職責範圍,建立權責一緻的工作機制。三是根據工業、電信、無線電領域的實際情況,明确資料全生命周期保護要求,指導資料處理者健全資料安全管理和技術保護措施,履行安全保護主體責任。
二、《管理辦法》的定位和主要内容是什麼?
《管理辦法》作為工業和資訊化領域資料安全管理頂層制度檔案,共八章四十二條,重點解決工業和資訊化領域資料安全“誰來管、管什麼、怎麼管”的問題。主要内容包括七個方面:一是界定工業和資訊化領域資料和資料處理者概念,明确監管範圍和監管職責。二是确定資料分類分級管理、重要資料識别與備案相關要求。三是針對不同級别的資料,圍繞資料收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉移、委托處理等環節,提出相應安全管理和保護要求。四是建立資料安全監測預警、風險資訊報送和共享、應急處置、投訴舉報受理等工作機制。五是明确開展資料安全監測、認證、評估的相關要求。六是規定監督檢查等工作要求。七是明确相關違法違規行為的法律責任和懲罰措施。
三、《管理辦法》明确的監管範圍是什麼?
《管理辦法》對工業和資訊化領域資料處理活動進行安全監管,具體可以從處理對象、處理主體、處理活動三方面進行認識:從處理主體看,工業和資訊化領域資料處理者是指能夠在工業和資訊化領域資料處理活動中自主決定處理目的、處理方式的各類主體,主要包括工業資料處理者、電信資料處理者以及無線電資料處理者。從處理對象看,工業和資訊化領域資料主要包括工業資料、電信資料和無線電資料等。從處理活動看,資料收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監管範圍。
四、《管理辦法》明确了怎樣的監管職責分工?
《管理辦法》建構了“工業和資訊化部、地方行業監管部門”兩級監管機制。
工業和資訊化部統籌工業和電信領域資料安全監管工作,包括組織制定行業資料安全管理政策制度和标準規範,編制行業重要資料和核心資料目錄,建立重要資料目錄備案、監測預警、風險資訊報送和共享、應急處置等工作機制,指導地方行業監管部門開展屬地監管,督促全行業資料處理者加強資料安全保護工作。
地方行業監管部門,包括各省、自治區、直轄市及計劃單列市、新疆生産建設兵團工業和資訊化主管部門,各省、自治區、直轄市通信管理局和無線電管理機構,分别負責對本地區工業、電信、無線電領域資料處理者進行監督管理,包括稽核重要資料目錄備案,編制重要資料和核心資料具體目錄,開展監測預警、風險資訊報送和共享、應急處置、風險評估、投訴舉報受理等工作,并可結合工作實際,建立更加細化完善的工作機制。
五、《管理辦法》對資料分級保護的要求是什麼?
《管理辦法》以資料分級保護為總體原則,要求一般資料加強全生命周期安全管理,重要資料在一般資料保護的基礎上進行重點保護,核心資料在重要資料保護的基礎上實施更加嚴格保護。對于不同級别資料同時被處理且難以分别采取保護措施的,采取“就高”原則,按照其中級别最高的要求實施保護。
六、《管理辦法》要求重要資料處理者履行哪些資料安全保護義務?
《管理辦法》依據國家資料分類分級保護制度要求,規定重要資料處理者在履行一般資料處理者資料安全保護義務的基礎上,還應承擔以下保護義務:一是開展資料識别備案,按照相關标準規範識别重要資料,形成本機關具體目錄并進行備案;二是加強内部管理,建立資料安全工作體系,明确資料安全負責人,加強資料處理關鍵崗位管理,建構重要資料處理登記審批機制,強化資料全生命周期安全保護措施;三是組織常态化監測預警與應急處置,涉及重要資料和核心資料安全事件的應第一時間進行上報;四是定期實施風險評估,及時發現整改風險問題,并按照要求上報風險評估報告。
七、企業如何按照《管理辦法》開展重要資料識别和目錄備案工作?
工業和資訊化部結合國家資料安全保護要求和行業實際,組織制定工業和資訊化領域重要資料和核心資料識别認定标準規範,明确識别規則和方法。資料處理者應當定期梳理本機關資料資源,按照所屬行業标準規範識别重要資料後,向本地區行業監管部門備案重要資料目錄。當備案内容發生重大變化後,資料處理者應當及時履行備案變更手續,保證目錄備案的時效性、準确性與真實性。
八、《管理辦法》對保障資料全生命周期提了哪些要求?
《管理辦法》圍繞資料收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關鍵環節,分别針對一般資料、重要資料、核心資料細化明确了安全保護要求,主要包括明确細化了協定限制、安全評估、審批等管理要求,以及校驗與密碼技術使用、資料通路控制等技術保護要求。
九、《管理辦法》要求在哪些情形下需要開展資料安全風險評估?
《管理辦法》明确重要資料和核心資料處理者每年至少完成一次資料安全風險評估,可以自行或委托第三方評估機構開展,及時整改風險問題,并向本地區行業監管部門報告。評估内容包括合規評估和風險研判:合規評估是指對标對表法律法規和政策檔案,評估是否滿足相關要求,風險研判是指通過分析資料處理者的安全保障能力、面臨的威脅情況和發生安全事件後的影響程度等,評估資料處理活動的安全風險等級。
十、《管理辦法》要求如何開展資料出境安全評估?
《管理辦法》明确工業和資訊化領域資料處理者在中華人民共和國境内收集和産生的重要資料和核心資料,法律、行政法規有境記憶體儲要求的,應當在境記憶體儲,确需向境外提供的,應當依照《資料安全法》《資料出境安全評估辦法》等法律法規進行安全評估。
十一、如何按照《管理辦法》開展資料安全風險監測預警工作?
監測預警是有效發現和防範資料安全突出風險的重要工作。《管理辦法》明确了“部-省-企業”三級關聯協同的資料安全風險監測預警工作機制:一是工業和資訊化部統籌指導行業資料安全監測預警工作,建設行業資料安全風險監測預警技術手段,統一彙集、研判、通報資料安全風險資訊。二是地方行業監管部門負責建立本地區本領域資料安全監測預警機制,組織管轄範圍内的資料處理者開展資料安全風險監測和資訊報送。三是資料處理者做好本機關資料安全風險監測,按照行業監管部門要求開展風險監測排查,及時防範化解風險隐患。
十二、企業如何按照《管理辦法》開展資料安全應急處置工作?
《管理辦法》明确建立工業和資訊化領域資料安全應急處置工作機制,細化不同主體的責任與義務:一是工業和資訊化部統籌行業資料安全應急處置管理工作,制定資料安全事件應急預案,組織協調行業重要資料和核心資料安全事件應急處置工作;二是地方行業監管部門負責組織開展本地區資料安全事件應急處置工作,及時上報涉及重要資料和核心資料的安全事件;三是資料處理者制定本機關資料安全事件應急預案并定期開展應急演練,在發生資料安全事件後及時進行處置,并按要求及時向行業監管部門報告。
十三、《管理辦法》對中央企業提出了哪些要求?
中央企業是國民經濟的重要支柱和骨幹力量,産生、彙聚了大量關系國計民生的重要資料。中央企業所屬公司業務既受地方行業監管部門管理,也受集團公司管理。是以,《管理辦法》對中央企業提出兩項工作要求:一是督促所屬公司按照屬地行業監管部門要求,履行重要資料目錄備案、風險資訊上報等要求。二是做好集團本部資料安全保護工作,全面梳理彙總集團本部、所屬公司相關情況,及時向工業和資訊化部報送。
十四、下一步如何推進相關工作?
《管理辦法》釋出後,工業和資訊化部将從政策宣貫、細則制定、正向引導、監督執法等方面抓好落實:一是加強宣貫教育訓練。對《管理辦法》的主要内容進行全面、系統解讀,指導行業資料處理者準确了解、全面把握、認真落實相關要求,提升資料安全保護意識和能力。二是制定配套規範标準。重點推進監測預警、應急處置、安全評估等制度機制的實施細則,為企業進一步提供深入細緻、操作性強的工作指引。三是加強正向引導。通過行業自律、貫标達标,典型案例遴選等形式,加強示範引領,引導企業自動對标管理要求,自覺提升資料安全保護能力。四是加強監督執法。通過專項行動、監督檢查等工作,及時發現違法違規行為,并依法進行處罰。
一圖讀懂《工業和資訊化領域資料安全管理辦法(試行)》
來源:工業和資訊化部網絡安全管理局