《工业和信息化领域数据安全管理办法(试行)》法律适用及主要合规义务

发布时间:2022-12-19

文 | 黄春林 柴明银 汇业律师事务所

近日,工信部印发工信部网安〔2022〕166号通知,正式发布《工业和信息化领域数据安全管理办法(试行)》(下称“数安办法”),自2023年1月1日起施行。在此之前,工信部先后于2021年9月30日、2022年2月10日两次就《工业和信息化领域数据安全管理办法(试行)》公开征求意见。

根据工信部的起草说明,《数安办法》全面对接《数据安全法》要求,定位为工业和信息化领域数据安全管理的顶层设计,在工业和信息化领域对国家数据安全管理制度进行细化,为行业数据安全监管提供制度保障。

《数安办法》总共八章四十二条,主要内容涵盖法律适用、分类分级、重要数据与核心数据特殊保护、数据生命周期合规要求、数据安全认证与评估等。根据起草说明及《数安办法》附则,个人信息作为数据的一种,工业和信息化领域个人信息保护除了适用个人信息保护有关的法律法规外,同样也适用《数安办法》有关规定。

汇业律师事务所黄春林律师团队简要解读《数安办法》法律适用、法律效力、重要制度及合规义务如下,仅供参考:

一、《数安办法》适用范围

dd296c4dade12c3fd07ff918d697ebfc.png

二、法律效力关系

e350ce8ac9e72fc7465cf5e105240297.png

*绿色部分仅适用于特定行业

三、《数安办法》几个重要制度解读

(一)分类分级

分类分级制度是《数据安全法》、《网络安全法》确立的一项数据安全基本法律制度。作为前述法律的落地细则,《数安办法》详细规定了工业和信息化领域数据分类分级的下列内容:

(1)明确规定数据分类分级识别认定、防护监管等的主管机构及责任主体;

(2)明确规定数据分类的基本原则,根据行业要求、特点、业务需求、数据来源和用途等因素,具体可以分为研发测试数据(研发设计数据、开发测试数据等)、生产制造数据(控制信息、工况状态、工艺参数、系统日志等)、运维数据(物流数据、产品售后服务数据等)、经营管理数据(系统设备资产数据、产品及服务数据、产品供应链数据、业务统计数据、客户数据、人事财务数据等)、外部数据(与其他主体共享的数据等);

(3)明确规定一般数据、重要数据和核心数据的识别规则。但是,重要数据的具体识别目录,还有待于主管部门进一步明确,相关的标准文件目前也还在依程序报批过程中;

(4)明确规定数据处理者应当定期开展data mapping工作,梳理数据资产,制作重要数据和核心数据目录。

(二)重要数据与核心数据备案

《数安办法》明确规定,数据处理者应当将本企业的重要数据和核心数据目录向本地区行业监管部门备案。关于备案时间暂无明确规定,参照《汽车数据安全管理若干规定(试行)》,企业应当在每年的12月15日前完成备案工作。

具体备案内容有待于各地通管部门进一步发布备案指引或备案模板,整体上应当包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,但不包括数据内容本身。

(三)第三方数据合规管理

汇业黄春林律师团队介绍,第三方数据合规管理是企业开展数据合规工作的重要抓手。《数安办法》明确规定数据处理者:

(1)第三方提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可;

(2)从第三方间接获取重要数据和核心数据的,应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任;

(3)委托第三方开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务,委托第三方处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验;

(4)向第三方提供数据的,应当明确提供的范围、类别、条件、程序等;提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施;

(5) 向第三方提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施;

(6)向第三方传输数据的,应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施;传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施;

(7)第三方提供服务中涉及境外存储、向境外提供重要数据和核心数据的,依法开展数据出境安全评估;

(8)应当明确业务合作终止后数据销毁的对象、规则、流程和技术等要求,对销毁活动进行记录和留存;销毁重要数据和核心数据后,第三方不得以任何理由、任何方式对销毁数据进行恢复。

(四)数据安全风险评估

《数据安全法》第30条明确规定,重要数据处理者应当定期开展数据安全风险评估,并向有关主管部门报送风险评估报告。

《数安办法》作为落地细则之一,明确规定工信部负责制定行业数据安全评估管理制度,开展评估机构管理工作,制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。未来,如何协调网信办、工信部和市监总局在数据安全检测、认证、评估(包括出境安全评估)等方面的职责分工,可能需要中央出台新的“三定”规则进一步明确。

《数安办法》明确规定,重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告,报告指引或模板参见各地通管机关的具体要求。

四、企业在《数安办法》

项下的其他合规义务

除了前述重要制度项下的合规义务外,汇业黄春林律师团队汇总了工业和信息化领域数据处理者在《数安办法》项下的其他合规义务还包括但不限于:

(1)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;

(2)重要数据与核心数据处理者的法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人,应要求关键岗位人员签署数据安全责任书;

(3)定期对从业人员开展数据安全教育和培训;

(4)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;

(5)应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险;

(6)加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录;

(7)应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存;

(8)应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志;

(9)对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施;

(10)中央企业应当督促指导所属企业履行属地管理要求,全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工信部;等。

返回列表