【全文】
前言
2022年12月13日,历经两次公开征求意见,工业和信息化部正式颁布《工业和信息化领域数据安全管理办法(试行)》(以下简称:《办法》),并自2023年1月1日起全面施行。《办法》作为细则规范,旨在落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》等法律法规关于数据安全管理的上位规范要求。它以共计八章四十二条的篇幅,围绕总则,数据分类分级管理,数据全生命周期安全管理,数据安全监测预警,数据安全检测、认证、评估管理,监督检查,法律责任以及附则等八个方面,详尽规定了工业和信息化领域中的各项数据安全要求。
在我国数字化进入高质量发展新阶段的时代背景下,《办法》的细化规则设计,引起了国内外实务和产业各界的广泛关注,它对于规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益具有重大的制度意义与实践价值——
一方面,《数据安全法》《网络安全法》《个人信息保护法》《民法典》等基础法律在不同维度围绕数据安全问题构建了顶层法治框架,在国家层面明确了与数据安全有关的各项价值指向,确立了数据分类分级保护、数据安全风险管理和数据安全应急处置以及数据安全审查等各项基本制度,突出强调建设全面的数据安全生态。
另一方面,《办法》在制定过程中,准确把握前述各项上位法律法规的立法精神和制度要义,深度分析研判工业和信息化领域的行业特点和产业规律,持续优化条文规定,通过细致、全面的机制配套,充分发挥该细则规范应有的三重规范作用:一是助益实现与上位法的系统衔接;二是助益支持监管执法的有序开展;三是助益推动合规创新的生态建设。
一、《办法》助益实现与上位法的系统衔接
需要着重指出的是,《办法》的条文内容呈现鲜明的行业部门特点,能够有效助力在工业和信息化领域进一步配套贯彻各项国家数据安全基本管理要求。作为示例:
第一,《办法》细化落实《数据安全法》等有关数据分类分级保护的制度要求。在数据范围上,《办法》主要着眼工业和信息化领域中的工业数据、电信数据和无线电数据,规定了分类分级的工作要求、实现方法和划分根据等,特别是首次在细则规范层面明确了研发数据、生产运行数据、管理数据等数据类别,以及一般数据、重要数据和核心数据这三类数据级别各自专门的识别条件,奠定了数据分类分级保护的工作基础,这也有助于其他关联制度要求(例如备案、评估和审查等)的协同适用。
第二,《办法》在流程上细化《数据安全法》等有关目录动态管理的制度要求。一则《办法》规定工业和信息化部制定行业重要数据和核心数据具体目录并实施动态管理。二则《办法》规定地方行业监管部门分别确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。 三则《办法》规定数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录,并且应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。如果某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化 30%以上,或者其它备案内容发生变化时,数据处理者应当在发生变化的三个月内履行备案变更手续。此类规则都有利于数据安全风险的及时感知与洞察。
二、《办法》助益支持监管执法的有序开展
同样值得关注的是,《办法》的条文规定充分考虑当下实务需求,秉持权威、高效的原则,清晰展示了工业和信息化领域中的数据安全监管机构体系,并明确了各自的职责分工和工作方针,为构建有力、有效、有序的监管体制机制提供了扎实的规范依据。特别地:
其一,针对监管机构之间的互动关系,《办法》规定在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导地方行业监管部门开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。同时,行业监管部门整体按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。
其二,针对监管机构各自的职权内容,《办法》分别就监测预警机制、信息上报和共享、应急处置、举报投诉处理、安全检测与认证、安全评估、监督检查以及数据安全审查等各种实践场景做出了专门规定。同时,《办法》也引入了有关权益保障的制度性规则,特别强调行业监管部门对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
三、《办法》助益推动合规创新的生态建设
不止于此,《办法》的条文设计的第三个亮点是注重提升各方主体的能动性和参与度,在法律和伦理等角度为各相关方提出明确的业务指引与合规要求的同时,着力在工业和信息化领域培育共建、共治和共享的数据安全生态。尤其包括:
一是《办法》强调数据全生命周期安全管理中的主体责任要求,其必须覆盖从数据收集、存储到数据转移乃至出境等各个场景。它规定数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。同时应当采取建立数据全生命周期安全管理制度、根据需要配备数据安全管理人员等六项必要措施。如果涉及重要数据和核心数据处理,还应当采取建立覆盖本单位相关部门的数据安全工作体系、明确数据处理关键岗位和岗位职责等三项安全强化措施。
二是《办法》坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。它明确规定行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。而工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,也应当有利于促进经济社会和行业发展,符合社会公德和伦理。
