《工业和信息化领域数据安全管理办法(试行)》印发
- 2022/12/14 11:01:03 22486
- 来源:仪表网
【仪表网 仪表文件】12月8日,工业和信息化部印发了《工业和信息化领域数据安全管理办法(试行)》(下称《管理办法》)。
当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日,《中华人民共和国数据安全法》正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中明确工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。
为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,制定本办法。
《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。
《管理办法》对工业和信息化领域数据处理活动进行安全监管,具体可以从处理对象、处理主体、处理活动三方面进行认识:从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。
《管理办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。
《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。评估内容包括合规评估和风险研判:合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求,风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。
《管理办法》明确建立工业和信息化领域数据安全应急处置工作机制,细化不同主体的责任与义务:一是工业和信息化部统筹行业数据安全应急处置管理工作,制定数据安全事件应急预案,组织协调行业重要数据和核心数据安全事件应急处置工作;二是地方行业监管部门负责组织开展本地区数据安全事件应急处置工作,及时上报涉及重要数据和核心数据的安全事件;三是数据处理者制定本单位数据安全事件应急预案并定期开展应急演练,在发生数据安全事件后及时进行处置,并按要求及时向行业监管部门报告。
全部评论