12月13日,工信部網(wǎng)站印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,《辦法》共八章四十二條,主要內(nèi)容包括界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念,明確監(jiān)管范圍和監(jiān)管職責(zé);確定數(shù)據(jù)分類分級(jí)管理、重要數(shù)據(jù)識(shí)別與備案相關(guān)要求;針對(duì)不同級(jí)別的數(shù)據(jù),圍繞數(shù)據(jù)收集、存儲(chǔ)、加工、傳輸、提供、公開、銷毀、出境、轉(zhuǎn)移、委托處理等環(huán)節(jié),提出相應(yīng)安全管理和保護(hù)要求等七個(gè)方面,自2023年1月1日起施行。
《管理辦法》明確了開展數(shù)據(jù)分類分級(jí)保護(hù)、重要數(shù)據(jù)管理等工作的具體要求,細(xì)化數(shù)據(jù)全生命周期安全義務(wù)。同時(shí),構(gòu)建了工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全監(jiān)管體系,明確工業(yè)和信息化部、地方行業(yè)監(jiān)管部門的職責(zé)范圍,建立權(quán)責(zé)一致的工作機(jī)制。此外,根據(jù)工業(yè)、電信、無線電領(lǐng)域的實(shí)際情況,明確數(shù)據(jù)全生命周期保護(hù)要求,指導(dǎo)數(shù)據(jù)處理者健全數(shù)據(jù)安全管理和技術(shù)保護(hù)措施,履行安全保護(hù)主體責(zé)任。
監(jiān)管范圍方面,《管理辦法》指出,數(shù)據(jù)處理主體主要包括工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者以及無線電數(shù)據(jù)處理者;處理對(duì)象則包含工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等;相關(guān)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)均屬于監(jiān)管范圍。
《管理辦法》指出,工信領(lǐng)域數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)等。并根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級(jí)。
其中,級(jí)別最高的核心數(shù)據(jù),包括對(duì)政治、國(guó)土、軍事、經(jīng)濟(jì)、核安全等構(gòu)成嚴(yán)重威脅,嚴(yán)重影響海外利益、生物、太空、極地、深海、人工智能等與國(guó)家安全相關(guān)的重點(diǎn)領(lǐng)域的數(shù)據(jù);對(duì)工信領(lǐng)域重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、重要資源等造成重大影響的數(shù)據(jù);對(duì)工業(yè)生產(chǎn)運(yùn)營(yíng)、電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)服務(wù)等業(yè)務(wù)開展造成重大損害,導(dǎo)致大范圍停工停產(chǎn)、大面積無線電業(yè)務(wù)中斷、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等的數(shù)據(jù);以及經(jīng)工信部評(píng)估確定的其他核心數(shù)據(jù)。
重要數(shù)據(jù)則是指對(duì)政治、國(guó)土、軍事、經(jīng)濟(jì)、核安全等構(gòu)成威脅,影響海外利益、生物、太空、極地、深海、人工智能等與國(guó)家安全相關(guān)的重點(diǎn)領(lǐng)域的數(shù)據(jù);對(duì)工信領(lǐng)域發(fā)展、生產(chǎn)、運(yùn)行和經(jīng)濟(jì)利益等造成嚴(yán)重影響的數(shù)據(jù);造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故,對(duì)公共利益或者個(gè)人、組織合法權(quán)益造成嚴(yán)重影響,社會(huì)負(fù)面影響大的數(shù)據(jù)等。
《管理辦法》依據(jù)國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度要求,規(guī)定重要數(shù)據(jù)處理者在履行一般數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)的基礎(chǔ)上,還應(yīng)承擔(dān)以下保護(hù)義務(wù):
一是開展數(shù)據(jù)識(shí)別備案,按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù),形成本單位具體目錄并進(jìn)行備案;
二是加強(qiáng)內(nèi)部管理,建立數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負(fù)責(zé)人,加強(qiáng)數(shù)據(jù)處理關(guān)鍵崗位管理,構(gòu)建重要數(shù)據(jù)處理登記審批機(jī)制,強(qiáng)化數(shù)據(jù)全生命周期安全保護(hù)措施;
三是組織常態(tài)化監(jiān)測(cè)預(yù)警與應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)安全事件的應(yīng)第一時(shí)間進(jìn)行上報(bào);
四是定期實(shí)施風(fēng)險(xiǎn)評(píng)估,及時(shí)發(fā)現(xiàn)整改風(fēng)險(xiǎn)問題,并按照要求上報(bào)風(fēng)險(xiǎn)評(píng)估報(bào)告。
《管理辦法》還要求,工信領(lǐng)域數(shù)據(jù)處理者對(duì)各類數(shù)據(jù)實(shí)行分級(jí)防護(hù),不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的,應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù),確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。