当前,数据已成为数字经济时代最为活跃的新型生产要素之一。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。
12月13日,工信部正式发布《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)。该管理办法将于2023年1月1日起正式实施。
创意配图 据ICphoto
12月14日,红星资本局从工信部相关部门了解到,研究起草《管理办法》,一是在工业和信息化领域对国家数据安全管理制度要求进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全生命周期安全义务,为行业数据安全监管提供制度保障。二是构建工业和信息化领域数据安全监管体系,明确工业和信息化部、地方行业监管部门的职责范围,建立权责一致的工作机制。三是根据工业、电信、无线电领域的实际情况,明确数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。
工业数据、电信数据和无线电数据等
均属处理对象
据悉,《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。
《管理办法》对工业和信息化领域数据处理活动进行安全监管。
从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。
从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。
从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。
数据分级保护
不同级别采取“就高”原则
《管理办法》提出了“数据分级保护”的总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。
《管理办法》对保障数据全生命周期也提出了要求。围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。
创意配图 据ICphoto
境内收集和产生的重要和核心数据
应境内存储,向境外提供应安全评估
在哪些情形下需要开展数据安全风险评估?《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展。
评估内容包括合规评估和风险研判:合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求,风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。
对于数据出境安全评估,《管理办法》明确,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。
红星新闻记者 王田
编辑 余冬梅 郭庄
领取专属 10元无门槛券
私享最新 技术干货