9月30日,工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(下稱《管理辦法》)并面向社會公開征求意見。南都記者注意到,,《管理辦法》是數(shù)安法施行后,,首個由行業(yè)、領(lǐng)域主管部門制定發(fā)布的數(shù)據(jù)安全相關(guān)法規(guī),。
有專家對南都記者表示,《管理辦法》提出“數(shù)據(jù)銷毀”在國內(nèi)數(shù)據(jù)安全層面的法律法規(guī)中尚屬首次,之后還需公證,、審計等第三方服務(wù)跟進(jìn)。而《管理辦法》對權(quán)責(zé)劃分的細(xì)化規(guī)定將在“定崗定責(zé)”和“定崗定人”兩方面形成更具體的業(yè)務(wù)指引,。
文 / 蔣琳 樊文揚 尤一煒
圖片
明確重要數(shù)據(jù),、核心數(shù)據(jù)判定條件
一個月前,《中華人民共和國數(shù)據(jù)安全法》(下稱“數(shù)安法”)正式施行,。數(shù)安法第六條明確,,工業(yè)、電信,、交通,、金融,、自然資源、衛(wèi)生健康,、教育,、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé),。
為貫徹落實數(shù)安法等法律法規(guī),,加快推動工信領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化,,工信部起草了《管理辦法》,。《管理辦法》共八章四十四條,,是工信領(lǐng)域數(shù)據(jù)安全管理頂層設(shè)計,,內(nèi)容包括全面對接數(shù)安法要求,構(gòu)建工信領(lǐng)域數(shù)據(jù)安全監(jiān)管體系,,以及明確數(shù)據(jù)保護(hù)要求,。
南都記者注意到,國家互聯(lián)網(wǎng)信息辦公室于2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》針對在中國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)收集,、存儲,、傳輸、處理,、使用等數(shù)據(jù)活動,,以及數(shù)據(jù)安全的保護(hù)和監(jiān)督管理做出規(guī)定,主要管理對象為個人信息和重要數(shù)據(jù),。
此次的《管理辦法》則聚焦工信領(lǐng)域,,擬將監(jiān)管對象限定為工業(yè)領(lǐng)域的原材料、裝備,、消費品,、電子信息制造業(yè)、軟件和信息技術(shù)服務(wù)業(yè),、民爆等,,以及電信行業(yè)的電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者。而涉及國家秘密信息,、密碼使用等數(shù)據(jù),,軍事數(shù)據(jù),政務(wù)數(shù)據(jù),,國防科技工業(yè),、煙草領(lǐng)域數(shù)據(jù)均被排除在外。
在北京清律律師事務(wù)所首席合伙人熊定中看來,,《管理辦法》完全繼承了數(shù)安法的要求,,稱得上是“應(yīng)有之義”,。
“《管理辦法》實現(xiàn)了數(shù)安法在該領(lǐng)域提出的要求,且后續(xù)各個部門都會陸續(xù)推出類似規(guī)范,。換言之,,我們可以理解成數(shù)安法給各行業(yè)、各領(lǐng)域布置了一份‘作業(yè)’,,如今各個部門制定相關(guān)管理辦法就是在‘交作業(yè)’,,完成本部門數(shù)據(jù)安全相關(guān)的統(tǒng)籌規(guī)劃?!毙芏ㄖ姓f,。
多位專家告訴南都記者,《管理辦法》的一大亮點在于明確了一般數(shù)據(jù),、重要數(shù)據(jù),、核心數(shù)據(jù)的判定條件。
此前出臺的相關(guān)法規(guī)中,,數(shù)安法多次提到重要數(shù)據(jù)并首提國家核心數(shù)據(jù),,但沒有直接給出定義,只對國家核心數(shù)據(jù)做了部分列舉,。國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》則將重要數(shù)據(jù)定義為“一旦泄露可能直接影響國家安全,、經(jīng)濟(jì)安全、社會穩(wěn)定,、公共健康和安全的數(shù)據(jù)”。
《管理辦法》中,,根據(jù)數(shù)據(jù)遭到篡改,、破壞、泄露或者非法獲取,、非法利用,,對國家安全、公共利益或者個人,、組織合法權(quán)益等造成的危害程度,,將工信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級,。
第八條【一般數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù):
?。ㄒ唬怖婊蛘邆€人、組織合法權(quán)益造成較小影響,,社會負(fù)面影響?。?/p>
?。ǘ┦苡绊懙挠脩艉推髽I(yè)數(shù)量較少,、生產(chǎn)生活區(qū)域范圍較小,、持續(xù)時間較短,對企業(yè)經(jīng)營,、行業(yè)發(fā)展,、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較小,;
?。ㄈ┗謴?fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價小,;
?。ㄋ模┢渌醇{入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù),。
第九條【重要數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù):
?。ㄒ唬φ巍?、軍事,、經(jīng)濟(jì)、文化,、社會,、科技、網(wǎng)絡(luò),、生態(tài),、資源、核安全等構(gòu)成威脅,,影響海外利益,、生物、太空,、極地,、深海、人工智能等重點領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全,;
?。ǘI(yè)、電信行業(yè)發(fā)展,、生產(chǎn),、運行和經(jīng)濟(jì)利益等造成影響;
?。ㄈ┰斐芍卮髷?shù)據(jù)安全事件或生產(chǎn)安全事故,,對公共利益或者個人、組織合法權(quán)益造成嚴(yán)重影響,,社會負(fù)面影響大,;
?。ㄋ模┮l(fā)的級聯(lián)效應(yīng)明顯,影響范圍涉及多個行業(yè),、區(qū)域或者行業(yè)內(nèi)多個企業(yè),,或者影響持續(xù)時間長,對行業(yè)發(fā)展,、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響,;
(五)恢復(fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價大,;
?。┙?jīng)行業(yè)監(jiān)管部門評估確定的其他重要數(shù)據(jù)。
第十條【核心數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
?。ㄒ唬φ?、國土、軍事,、經(jīng)濟(jì),、文化、社會,、科技,、網(wǎng)絡(luò)、生態(tài),、資源,、核安全等構(gòu)成嚴(yán)重威脅,嚴(yán)重影響海外利益,、生物,、太空、極地,、深海、人工智能等重點領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全,;
?。ǘI(yè)、電信行業(yè)及其重要骨干企業(yè),、關(guān)鍵信息基礎(chǔ)設(shè)施,、重要資源等造成嚴(yán)重影響;
?。ㄈI(yè)生產(chǎn)運營,、電信和互聯(lián)網(wǎng)運行和服務(wù)等造成重大損害,導(dǎo)致大范圍停工停產(chǎn),、大面積網(wǎng)絡(luò)與服務(wù)癱瘓,、大量業(yè)務(wù)處理能力喪失等,;
(四)經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù),。
北京環(huán)球律師事務(wù)所合伙人孟潔認(rèn)為,,相比數(shù)安法對國家核心數(shù)據(jù)的列舉,《管理辦法》對如何認(rèn)定國家核心數(shù)據(jù)進(jìn)行了細(xì)化,,這表現(xiàn)在其對持有國家核心數(shù)據(jù)的企業(yè)規(guī)定了增強性的義務(wù),。
中國互聯(lián)網(wǎng)協(xié)會研究中心副主任、北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括表示,,上述分類主要基于兩方面考慮,,一是數(shù)據(jù)處理可能造成的權(quán)益影響,二是處理數(shù)據(jù)的具體業(yè)務(wù)場景,?!斑@對于相關(guān)單位和企業(yè)在實際業(yè)務(wù)場景中落實數(shù)安法中的有關(guān)制度要求具有更強的可操作性?!彼f,。
熊定中則認(rèn)為,《管理辦法》的數(shù)據(jù)分級在表述體系和口徑上與數(shù)安法完全一致,,但“只進(jìn)行了概念上的描述”——“以‘對社會危害不大’這一標(biāo)準(zhǔn)為例,,什么叫危害不大?其實還缺乏一個量化的標(biāo)準(zhǔn),?!?/p>
他進(jìn)一步指出,由于一般,、重要和核心數(shù)據(jù)在管理規(guī)范上完全不同,,處理一般數(shù)據(jù)只需自評,處理重要數(shù)據(jù)和核心數(shù)據(jù)則需要由工信部認(rèn)定的,、有資質(zhì)的認(rèn)證機構(gòu)做出評估,,因此工業(yè)或電信相關(guān)企業(yè)及機構(gòu)需要十分明確的指引。
數(shù)據(jù)安全法規(guī)層面首提“數(shù)據(jù)銷毀”
《管理辦法》還特別明確了數(shù)據(jù)全生命周期安全保護(hù)要求——針對不同級別數(shù)據(jù),,從數(shù)據(jù)收集,、存儲、加工,、 傳輸,、提供、公開,、銷毀,、跨境、承接、委托處理等環(huán)節(jié)落實分級保護(hù)要求,。
其中關(guān)于數(shù)據(jù)銷毀,,《管理辦法》擬要求工信數(shù)據(jù)處理者建立數(shù)據(jù)銷毀策略和管理制度,明確銷毀對象,、流程和技術(shù)等要求,,對銷毀活動進(jìn)行記錄和留存。銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的,,不得以任何理由,、任何方式對銷毀數(shù)據(jù)進(jìn)行恢復(fù)。
“在數(shù)據(jù)安全層面,,《管理辦法》明確提出數(shù)據(jù)銷毀系國內(nèi)首次,。”吳沈括對南都記者表示,,“在長期的業(yè)務(wù)開展過程中,,數(shù)據(jù)銷毀往往是一個被各方所忽視的重要環(huán)節(jié)。事實上,,它作為數(shù)據(jù)全生命周期的最后一環(huán),,具有必不可少的重要意義?!?/p>
他進(jìn)一步解釋,,有效的數(shù)據(jù)銷毀既是落實數(shù)據(jù)安全管理要求所必須,又對降低數(shù)據(jù)泄露風(fēng)險具有關(guān)鍵性意義,。在具體落實過程中,,銷毀不徹底、虛假銷毀等現(xiàn)象是監(jiān)管機關(guān)的關(guān)注重點,,需要有效,、及時的公證、審計等第三方服務(wù)跟進(jìn),。
孟潔也指出,,數(shù)據(jù)銷毀是一種物理刪除,一經(jīng)銷毀無法再復(fù)原,。因此,,在具體實踐中,對于銷毀工具的審核,、流程及實施人員的處理規(guī)則要求、以及銷毀完的審計與報備措施都可能遭遇挑戰(zhàn),。
談及企業(yè)實踐,,熊定中坦言,數(shù)據(jù)銷毀一般會被理解為合規(guī)中的一個必要動作,。事實上,,數(shù)據(jù)使用過程結(jié)束后,,如果持續(xù)留存數(shù)據(jù)反而可能產(chǎn)生安全風(fēng)險。因此,,在一定情況下設(shè)置刪除數(shù)據(jù)的幾種條件“是一種很好的數(shù)據(jù)安全保護(hù)規(guī)范”,。
他還提到,由于工信領(lǐng)域涉及一些與國際民生相關(guān)的安全問題,,有關(guān)數(shù)據(jù)銷毀的考慮會更加復(fù)雜,。“如果數(shù)據(jù)被銷毀后,,其他場合又需要再次利用,,情況就會變得很麻煩?!?/p>
在熊定中看來,,由規(guī)章制度明確要求進(jìn)行數(shù)據(jù)銷毀“可能會欠缺一點靈活性”,建議由評測機構(gòu)進(jìn)行單獨評測,?!氨热缬械钠髽I(yè)安全實力很強,數(shù)據(jù)保護(hù)做得很好,,雖然目前暫時用不到這些數(shù)據(jù),,但未來可能會用到,在這樣的情況下就可以進(jìn)行評測,,如果評測結(jié)果良好就繼續(xù)保存,;倘若安全技術(shù)實力不夠,就按要求及時銷毀數(shù)據(jù),??偠灾N毀數(shù)據(jù)是不需要評測的,,但若是不想銷毀,,可以通過評測來獲得豁免,這樣處理靈活性會更強,?!彼f。
數(shù)據(jù)使用加工方面,,《管理辦法》擬規(guī)定工信數(shù)據(jù)處理者未經(jīng)個人,、單位等同意,不得使用數(shù)據(jù)挖掘,、關(guān)聯(lián)分析等技術(shù)手段針對特定主體進(jìn)行精準(zhǔn)畫像,、數(shù)據(jù)復(fù)原等加工處理活動。利用數(shù)據(jù)進(jìn)行自動化決策的,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理,。使用,、加工重要數(shù)據(jù)和核心數(shù)據(jù)的,還應(yīng)當(dāng)加強訪問控制,,建立登記,、審批機制并留存記錄。
擬建立重要數(shù)據(jù)核心數(shù)據(jù)備案管理制度
《管理辦法》還對權(quán)責(zé)劃分做了細(xì)化規(guī)定,。其中涉及重要數(shù)據(jù)和核心數(shù)據(jù)的,,工信數(shù)據(jù)處理者應(yīng)設(shè)置專門的數(shù)據(jù)安全管理責(zé)任部門,本單位黨委(黨組)或領(lǐng)導(dǎo)班子對數(shù)據(jù)安全負(fù)主體責(zé)任,,主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人,,分管數(shù)據(jù)安全的負(fù)責(zé)人是直接責(zé)任人。對于關(guān)鍵崗位及人員,,《管理辦法》還擬要求簽署數(shù)據(jù)安全責(zé)任書,,記錄數(shù)據(jù)處理活動。
熊定中表示,,《管理辦法》做出更詳細(xì)的權(quán)責(zé)劃分符合我國立法的一貫原則,,即先由相關(guān)法律定下大范圍的原則,再由行政法規(guī)或部門規(guī)章將其細(xì)化為一個具體的,、可實操的規(guī)范,,能讓行為人直接了解從而決定自己的行為。
孟潔則指出,,雖然數(shù)安法規(guī)定了單位與直接負(fù)責(zé)的主管人員都會被處罰,,但在實踐中,企業(yè)內(nèi)部參與項目的部門眾多,,誰為主要責(zé)任人仍然存在困惑,,而本次《管理辦法》較為清楚地做出了規(guī)定。
“該規(guī)定既會對各單位,、企業(yè)的業(yè)務(wù)流程設(shè)計,、組織架構(gòu)管理和人員責(zé)任配置造成非常大的影響,還會導(dǎo)致現(xiàn)有業(yè)務(wù)格局的重大改變,,特別會在‘定崗定責(zé)’和‘定崗定人’兩方面形成更具體的業(yè)務(wù)指引,。”吳沈括強調(diào),。
此外,,南都記者注意到,國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》和此次的《管理辦法》均提出了備案管理制度,。
前者規(guī)定,,網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的,,應(yīng)向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則,,收集使用的目的、規(guī)模,、方式,、范圍、類型,、期限等,,不包括數(shù)據(jù)內(nèi)容本身。
后者擬要求對工信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)建立備案管理制度,。備案內(nèi)容包括數(shù)據(jù)的數(shù)量,、類別、處理目的和方式,、使用范圍,、主體責(zé)任、安全保護(hù)措施等基本情況,,數(shù)據(jù)提供,、公開、出境,、承接,,以及數(shù)據(jù)安全風(fēng)險、事件處置等情況,。
關(guān)于《管理辦法》與個人信息保護(hù)的關(guān)系,,南都記者了解到,數(shù)安法將個人信息作為特別重要的一類數(shù)據(jù),,納入重要數(shù)據(jù)目錄和核心數(shù)據(jù)目錄進(jìn)行重點保護(hù),,既要遵守數(shù)據(jù)安全管理有關(guān)規(guī)定,還要遵守個人信息保護(hù)法的特別規(guī)定,?!豆芾磙k法》秉承上述工作理念,將個人信息納入數(shù)據(jù)全生命周期安全管理,,不再單獨提出個人信息保護(hù)的要求,。
在法律責(zé)任方面,《管理辦法》擬規(guī)定行業(yè)監(jiān)管部門將工信數(shù)據(jù)處理者落實數(shù)據(jù)安全管理責(zé)任情況納入信用管理,。對存在數(shù)據(jù)安全違法違規(guī)行為受到行政處罰的數(shù)據(jù)處理者,,按照有關(guān)規(guī)定將其列入業(yè)務(wù)經(jīng)營不良名單或失信名單。
對于違反《管理辦法》的,,由行業(yè)監(jiān)管部門依照數(shù)據(jù)安全法,、網(wǎng)絡(luò)安全法等法律和相關(guān)行政法規(guī),,根據(jù)情節(jié)嚴(yán)重程度給予公開曝光、沒收違法所得,、罰款,、暫停業(yè)務(wù)、停業(yè)整頓,、關(guān)閉網(wǎng)站,、吊銷業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等行政處罰;構(gòu)成犯罪的,,依法追究刑事責(zé)任,。