近日���,工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》(工信部網(wǎng)安〔2022〕166號),(以下簡稱《管理辦法》)。現(xiàn)就《管理辦法》重點問題回應(yīng)如下:
一、《管理辦法》出臺的背景和目的是什么?
當(dāng)前�,數(shù)據(jù)已成為數(shù)字經(jīng)濟時代最為活躍的新型生產(chǎn)要素���。與此同時���,數(shù)據(jù)安全風(fēng)險日益突出,成為關(guān)系個人權(quán)益����、公共利益和國家安全的重要因素。2021年9月1日���,《中華人民共和國數(shù)據(jù)安全法》正式實施�,為開展數(shù)據(jù)安全監(jiān)管和保護(hù)工作提供了法律依據(jù)和根本遵循,其中明確工業(yè)和信息化部承擔(dān)工業(yè)��、電信行業(yè)數(shù)據(jù)安全監(jiān)管職責(zé)���,并對數(shù)據(jù)處理者的安全保護(hù)義務(wù)提出了相關(guān)要求。
工業(yè)和信息化領(lǐng)域是數(shù)字經(jīng)濟發(fā)展的主陣地和先導(dǎo)區(qū)��,是推進(jìn)數(shù)字經(jīng)濟做強做優(yōu)做大的主力軍���。為貫徹落實《數(shù)據(jù)安全法》�,加快推動工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化���、規(guī)范化����,我部研究起草了《管理辦法》��,一是在工業(yè)和信息化領(lǐng)域?qū)覕?shù)據(jù)安全管理制度要求進(jìn)行細(xì)化���,明確開展數(shù)據(jù)分類分級保護(hù)��、重要數(shù)據(jù)管理等工作的具體要求�����,細(xì)化數(shù)據(jù)全生命周期安全義務(wù)�����,為行業(yè)數(shù)據(jù)安全監(jiān)管提供制度保障�����。二是構(gòu)建工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全監(jiān)管體系��,明確工業(yè)和信息化部��、地方行業(yè)監(jiān)管部門的職責(zé)范圍����,建立權(quán)責(zé)一致的工作機制。三是根據(jù)工業(yè)�、電信、無線電領(lǐng)域的實際情況�����,明確數(shù)據(jù)全生命周期保護(hù)要求�����,指導(dǎo)數(shù)據(jù)處理者健全數(shù)據(jù)安全管理和技術(shù)保護(hù)措施,履行安全保護(hù)主體責(zé)任�。
二、《管理辦法》的定位和主要內(nèi)容是什么�?
《管理辦法》作為工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理頂層制度文件���,共八章四十二條�����,重點解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰來管����、管什么��、怎么管”的問題���。主要內(nèi)容包括七個方面:一是界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念��,明確監(jiān)管范圍和監(jiān)管職責(zé)����。二是確定數(shù)據(jù)分類分級管理、重要數(shù)據(jù)識別與備案相關(guān)要求����。三是針對不同級別的數(shù)據(jù),圍繞數(shù)據(jù)收集��、存儲����、加工、傳輸�����、提供��、公開��、銷毀���、出境����、轉(zhuǎn)移、委托處理等環(huán)節(jié)��,提出相應(yīng)安全管理和保護(hù)要求�。四是建立數(shù)據(jù)安全監(jiān)測預(yù)警、風(fēng)險信息報送和共享�、應(yīng)急處置、投訴舉報受理等工作機制���。五是明確開展數(shù)據(jù)安全監(jiān)測���、認(rèn)證���、評估的相關(guān)要求����。六是規(guī)定監(jiān)督檢查等工作要求�����。七是明確相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施���。
三��、《管理辦法》明確的監(jiān)管范圍是什么��?
《管理辦法》對工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動進(jìn)行安全監(jiān)管�����,具體可以從處理對象��、處理主體����、處理活動三方面進(jìn)行認(rèn)識:從處理主體看,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指能夠在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動中自主決定處理目的����、處理方式的各類主體,主要包括工業(yè)數(shù)據(jù)處理者����、電信數(shù)據(jù)處理者以及無線電數(shù)據(jù)處理者。從處理對象看���,工業(yè)和信息化領(lǐng)域數(shù)據(jù)主要包括工業(yè)數(shù)據(jù)�����、電信數(shù)據(jù)和無線電數(shù)據(jù)等����。從處理活動看,數(shù)據(jù)收集���、存儲����、使用�、加工、傳輸���、提供、公開等活動都屬于監(jiān)管范圍���。
四�、《管理辦法》明確了怎樣的監(jiān)管職責(zé)分工��?
《管理辦法》構(gòu)建了“工業(yè)和信息化部����、地方行業(yè)監(jiān)管部門”兩級監(jiān)管機制。工業(yè)和信息化部統(tǒng)籌工業(yè)和電信領(lǐng)域數(shù)據(jù)安全監(jiān)管工作,包括組織制定行業(yè)數(shù)據(jù)安全管理政策制度和標(biāo)準(zhǔn)規(guī)范����,編制行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)目錄,建立重要數(shù)據(jù)目錄備案�、監(jiān)測預(yù)警、風(fēng)險信息報送和共享����、應(yīng)急處置等工作機制,指導(dǎo)地方行業(yè)監(jiān)管部門開展屬地監(jiān)管����,督促全行業(yè)數(shù)據(jù)處理者加強數(shù)據(jù)安全保護(hù)工作。地方行業(yè)監(jiān)管部門�,包括各省、自治區(qū)���、直轄市及計劃單列市����、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門��,各省����、自治區(qū)���、直轄市通信管理局和無線電管理機構(gòu),分別負(fù)責(zé)對本地區(qū)工業(yè)����、電信、無線電領(lǐng)域數(shù)據(jù)處理者進(jìn)行監(jiān)督管理�����,包括審核重要數(shù)據(jù)目錄備案�����,編制重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄���,開展監(jiān)測預(yù)警、風(fēng)險信息報送和共享�、應(yīng)急處置、風(fēng)險評估����、投訴舉報受理等工作���,并可結(jié)合工作實際,建立更加細(xì)化完善的工作機制����。
五、《管理辦法》對數(shù)據(jù)分級保護(hù)的要求是什么�����?
《管理辦法》以數(shù)據(jù)分級保護(hù)為總體原則�����,要求一般數(shù)據(jù)加強全生命周期安全管理��,重要數(shù)據(jù)在一般數(shù)據(jù)保護(hù)的基礎(chǔ)上進(jìn)行重點保護(hù)�,核心數(shù)據(jù)在重要數(shù)據(jù)保護(hù)的基礎(chǔ)上實施更加嚴(yán)格保護(hù)。對于不同級別數(shù)據(jù)同時被處理且難以分別采取保護(hù)措施的����,采取“就高”原則,按照其中級別最高的要求實施保護(hù)����。
六�、《管理辦法》要求重要數(shù)據(jù)處理者履行哪些數(shù)據(jù)安全保護(hù)義務(wù)���?
《管理辦法》依據(jù)國家數(shù)據(jù)分類分級保護(hù)制度要求���,規(guī)定重要數(shù)據(jù)處理者在履行一般數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)的基礎(chǔ)上,還應(yīng)承擔(dān)以下保護(hù)義務(wù):一是開展數(shù)據(jù)識別備案�����,按照相關(guān)標(biāo)準(zhǔn)規(guī)范識別重要數(shù)據(jù)�,形成本單位具體目錄并進(jìn)行備案;二是加強內(nèi)部管理��,建立數(shù)據(jù)安全工作體系����,明確數(shù)據(jù)安全負(fù)責(zé)人,加強數(shù)據(jù)處理關(guān)鍵崗位管理���,構(gòu)建重要數(shù)據(jù)處理登記審批機制����,強化數(shù)據(jù)全生命周期安全保護(hù)措施����;三是組織常態(tài)化監(jiān)測預(yù)警與應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)安全事件的應(yīng)第一時間進(jìn)行上報��;四是定期實施風(fēng)險評估��,及時發(fā)現(xiàn)整改風(fēng)險問題�,并按照要求上報風(fēng)險評估報告。
七�、企業(yè)如何按照《管理辦法》開展重要數(shù)據(jù)識別和目錄備案工作?
工業(yè)和信息化部結(jié)合國家數(shù)據(jù)安全保護(hù)要求和行業(yè)實際�,組織制定工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別認(rèn)定標(biāo)準(zhǔn)規(guī)范,明確識別規(guī)則和方法�。數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理本單位數(shù)據(jù)資源,按照所屬行業(yè)標(biāo)準(zhǔn)規(guī)范識別重要數(shù)據(jù)后���,向本地區(qū)行業(yè)監(jiān)管部門備案重要數(shù)據(jù)目錄�。當(dāng)備案內(nèi)容發(fā)生重大變化后�����,數(shù)據(jù)處理者應(yīng)當(dāng)及時履行備案變更手續(xù)�,保證目錄備案的時效性、準(zhǔn)確性與真實性��。
八、《管理辦法》對保障數(shù)據(jù)全生命周期提了哪些要求�����?
《管理辦法》圍繞數(shù)據(jù)收集��、存儲�、使用、加工���、傳輸�����、提供��、公開等全生命周期關(guān)鍵環(huán)節(jié)����,分別針對一般數(shù)據(jù)��、重要數(shù)據(jù)�����、核心數(shù)據(jù)細(xì)化明確了安全保護(hù)要求,主要包括明確細(xì)化了協(xié)議約束����、安全評估����、審批等管理要求,以及校驗與密碼技術(shù)使用�����、數(shù)據(jù)訪問控制等技術(shù)保護(hù)要求����。
九、《管理辦法》要求在哪些情形下需要開展數(shù)據(jù)安全風(fēng)險評估����?
《管理辦法》明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少完成一次數(shù)據(jù)安全風(fēng)險評估,可以自行或委托第三方評估機構(gòu)開展�,及時整改風(fēng)險問題,并向本地區(qū)行業(yè)監(jiān)管部門報告����。評估內(nèi)容包括合規(guī)評估和風(fēng)險研判:合規(guī)評估是指對標(biāo)對表法律法規(guī)和政策文件�����,評估是否滿足相關(guān)要求��,風(fēng)險研判是指通過分析數(shù)據(jù)處理者的安全保障能力��、面臨的威脅情況和發(fā)生安全事件后的影響程度等����,評估數(shù)據(jù)處理活動的安全風(fēng)險等級���。
十�����、《管理辦法》要求如何開展數(shù)據(jù)出境安全評估���?
《管理辦法》明確工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律���、行政法規(guī)有境內(nèi)存儲要求的���,應(yīng)當(dāng)在境內(nèi)存儲����,確需向境外提供的�����,應(yīng)當(dāng)依照《數(shù)據(jù)安全法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)進(jìn)行安全評估��。
十一���、如何按照《管理辦法》開展數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警工作?
監(jiān)測預(yù)警是有效發(fā)現(xiàn)和防范數(shù)據(jù)安全突出風(fēng)險的重要工作�����?��!豆芾磙k法》明確了“部-省-企業(yè)”三級聯(lián)動協(xié)同的數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警工作機制:一是工業(yè)和信息化部統(tǒng)籌指導(dǎo)行業(yè)數(shù)據(jù)安全監(jiān)測預(yù)警工作����,建設(shè)行業(yè)數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警技術(shù)手段����,統(tǒng)一匯集����、研判��、通報數(shù)據(jù)安全風(fēng)險信息�。二是地方行業(yè)監(jiān)管部門負(fù)責(zé)建立本地區(qū)本領(lǐng)域數(shù)據(jù)安全監(jiān)測預(yù)警機制,組織管轄范圍內(nèi)的數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險監(jiān)測和信息報送���。三是數(shù)據(jù)處理者做好本單位數(shù)據(jù)安全風(fēng)險監(jiān)測�,按照行業(yè)監(jiān)管部門要求開展風(fēng)險監(jiān)測排查���,及時防范化解風(fēng)險隱患���。
十二、企業(yè)如何按照《管理辦法》開展數(shù)據(jù)安全應(yīng)急處置工作�����?
《管理辦法》明確建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作機制����,細(xì)化不同主體的責(zé)任與義務(wù):一是工業(yè)和信息化部統(tǒng)籌行業(yè)數(shù)據(jù)安全應(yīng)急處置管理工作����,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案���,組織協(xié)調(diào)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作��;二是地方行業(yè)監(jiān)管部門負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作�,及時上報涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件���;三是數(shù)據(jù)處理者制定本單位數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期開展應(yīng)急演練�����,在發(fā)生數(shù)據(jù)安全事件后及時進(jìn)行處置,并按要求及時向行業(yè)監(jiān)管部門報告�����。
十三�����、《管理辦法》對中央企業(yè)提出了哪些要求���?
中央企業(yè)是國民經(jīng)濟的重要支柱和骨干力量����,產(chǎn)生、匯聚了大量關(guān)系國計民生的重要數(shù)據(jù)��。中央企業(yè)所屬公司業(yè)務(wù)既受地方行業(yè)監(jiān)管部門管理���,也受集團(tuán)公司管理���。因此,《管理辦法》對中央企業(yè)提出兩項工作要求:一是督促所屬公司按照屬地行業(yè)監(jiān)管部門要求��,履行重要數(shù)據(jù)目錄備案���、風(fēng)險信息上報等要求���。二是做好集團(tuán)本部數(shù)據(jù)安全保護(hù)工作,全面梳理匯總集團(tuán)本部��、所屬公司相關(guān)情況����,及時向工業(yè)和信息化部報送��。
十四�����、下一步如何推進(jìn)相關(guān)工作��?
《管理辦法》發(fā)布后���,工業(yè)和信息化部將從政策宣貫、細(xì)則制定�����、正向引導(dǎo)���、監(jiān)督執(zhí)法等方面抓好落實:一是加強宣貫培訓(xùn)。對《管理辦法》的主要內(nèi)容進(jìn)行全面��、系統(tǒng)解讀�����,指導(dǎo)行業(yè)數(shù)據(jù)處理者準(zhǔn)確理解����、全面把握��、認(rèn)真落實相關(guān)要求���,提升數(shù)據(jù)安全保護(hù)意識和能力。二是制定配套規(guī)范標(biāo)準(zhǔn)����。重點推進(jìn)監(jiān)測預(yù)警、應(yīng)急處置��、安全評估等制度機制的實施細(xì)則��,為企業(yè)進(jìn)一步提供深入細(xì)致��、操作性強的工作指引�����。三是加強正向引導(dǎo)���。通過行業(yè)自律�����、貫標(biāo)達(dá)標(biāo)�����,典型案例遴選等形式��,加強示范引領(lǐng)��,引導(dǎo)企業(yè)自動對標(biāo)管理要求�����,自覺提升數(shù)據(jù)安全保護(hù)能力�。四是加強監(jiān)督執(zhí)法。通過專項行動��、監(jiān)督檢查等工作�����,及時發(fā)現(xiàn)違法違規(guī)行為�,并依法進(jìn)行處罰��。