1、工业和信息化领域数据安全管理办法(试行)解读办法意义:工业和信息化领域数据安全管理顶层设计2022年2月10日,工业和信息化部印发工业和信息化领域数据安全管理办法(试行)(征求意见稿),旨在:l 规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益数据安全法网络安全法个人信息保护法国家安全法民法典制定 本办法工业和信息化领域数据安全管理办法(试行)(征求意见稿)26办法亮点:规范和细化在我国境内开展的工业和信息化领域数据处理活动全面对接数据安全法要求构建工业和信息化领域数据安全监管体系明确数据保护要求在工业和信息化
2、领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,为行业数据安全监管提供制度保障根据工业、电信行业实际情况,明确了数据全生命周期安全保护要求,指导行业企业健全数据安全管理和技术保护措施,履行保护义务明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围,构建“部-地方-企业”三级联动的防护机制,建立权责一致的工作机制明确工业和信息化领域数据,构建“部-地方-企业”三级联动的防护机制1.总 则地方通信管理局行业(领域)监管部门地方工业和信息化主管部门监督管理本地区电信数据处理者工业和信息化部2.数据分类分级管理地方无线电管理机构
3、 监督管理本地区工业数 督促指导下级单位据处理者 促进产业发展 推动标准制定3.数据全生命周期安全管理监督管理本地区无线电数据处理者工业和信息化领域数据处理者对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管明确“数据处理者”的外延范围理 工业各行业各领域在研发设计、生产制造、经营工业数据电信数据管理、运行维护、平台运营 等过程中产生和收集的数据6.监督检查7.法律责任8.附
4、则工业和信息化领域数据个人信息不属于 在电信业务经营活动中产生和收集的数据“工业和信息化领 在开展无线电业务活动中产生和收集的无线电频率、域数据”,无线电数据定义建议完善台(站)等电波参数数据28细化数据分类分级标准及其管理制度1.总 则2.数据分类分级管理3.数据全生命周期安全管理分类分级工作要求分类分级方法工业和信息化部 根据行业要求、特点、业务需求、数据来源和用途等因素,工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等4.数据安全监测预警与应急管理 制定标准规范,制定行业重要、核心数据具体目录,动态管理,未来工信部组织制定的目录也将成为所管辖企业
5、开展分类分级工作的重要参考标准5.数据安全检测、认证、评估管 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工信领域数据分为一般数据、重要数据和核心数据三级理地方工业和信息化主管部门、通信管理局、无线电管理机构6.监督检查7.法律责任8.附 则开展本地区据分类分级管理和识别工作,确定具体目录上报工信部,及时更新工业和信息化领域数据处理者 定期梳理数据,识别重要、核心数据形成目录29提出比数据安全法更细致的分级判定条件,增加数据级别和规模备案要求一般数据重要数据核心数据1.总 则对政治、国土、军事、经济、文化、社会、科技、对政治、
6、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁-电磁、网络、生态、资源、核安全等构成严重威胁2.数据分类分级管理影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关 的重点领域严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域-对工业和信息化领域发展、生产、运行和经济利益等造成严重影响对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响3.数据全生命周期安全管理造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大对公共利益或者个人、组织合法权益造成较小影响,社会
7、负面影响小对工业生产运营、电信网络(含互联网)运行和服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等4.数据安全监测预警与应急管理引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小其他未纳入重要数据、核心数据目录的数据经工业和信息化部评估确定的其他重要数据经工业和信息化部评估确定的其他核心数据5.数据安全检测、认证、评估管理重要
8、数据和核心数据目录备案流程1.备案6.监督检查7.法律责任8.附 则2-1.二十个工作日内完成审核,符合工信领域数据地方工信主管部门或通信管理局或无线电管理机构要求的,予以备案,发放凭证3.报备案情况工信部处理者2-2.不予备案的,及时反馈备案申请人,说明理由4.重要数据和核心数据的类别或规模变化30以上的,或其它备案内容发生重大变化,工信领域数据处理者应在发生变化的三个月内履行备案变更手续30强调密码技术保障数据全生命周期安全,细化数据处理者职责1.总 则建立数据全生命周期安全管理制度2.数据分类分级管理工信领域数据处理者工信领域重要数据和核心数据处理者3.数据全生命周期安全管理建立数据安全
9、工作体系 明确主要责任人明确数据处理关键岗位和岗位职责建立内部登记、审批机制分级防护采取保护措施教育和培训定期演练配备数据安全管理人员确定操作权限4.数据安全监测预警与应急管理制定应急预案严格管理 留存记录5.数据安全检测、认证、评估管理使用加工收集存储传输提供公开销毁6.监督检查7.法律责任8.附 则根据数据安全级别采取相应的安全措施采用校验技术、使用、加工重采取校验技术、对数据获取方公开前应分析研判销毁重要数据和核心数据,应及时备案密码技术等措施进行安全存储要数据和核心数据,应加强访问控制;电 者安全传输协信业务应取得 议等措施电信业务经营密码技术、安全传输通道或数据安全保护能力进行评估或
10、核实许可31进一步明确工信领域数据处理者在不同场景中的职责1.总 则核心数据出境保留了可能数据转移需通知用户 中国境内收集和产生的重要数据和核心数据,应在境内存储,确需向境外提供的,进行数据出境安全评估 因兼并、重组、破产等原因需要转移数据的,明确数据转移方案,电话、短信、邮件、公告等方式通知受影响用户2.数据分类分级管理 非经工信部批准,数据处理者不得向外国提供存储于中国境内的工信领域数据 涉及重要数据和核心数据的,应及时向主管部门更新3.数据全生命周期安全管理备案需评估核实委托方资质核心数据跨主体处理需评估风险4.数据安全监测预警与应急管理 委托他人开展数据处理活动的,签订合同协议,明确双
11、方责任和义务 跨主体提供、转移、委托处理核心数据的,评估安全风险,采取必要的安全保护措施,并及时上报5.数据安全检测、认证、评估管理 委托处理重要数据和核心数据的,应对被委托方的数据安全保护能力、资质进行评估或核实 工信部按照有关规定进行审查6.监督检查7.法律责任8.附 则明确留存处理日志的最低期限 在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志 日志留存时间不少于六个月32强化监测预警、上报共享、应急处置、举报投诉等机制1.总 则2.数据分类分级管理监测预警机制 信息上报和共享机制 应急处置机制举报投诉机制3.数据全生命周期安全管理建立数据安全风险监测机制建 立 风险信
12、息上报和制定数据安全事件应建立违法行为投诉举报渠道共享机制急预案4.数据安全监测预警与应急管理制定监测预警接口和标准汇总分析 本 地 区 风 险,涉及重要数据和核心依法接收、处理投诉举报及时上报数据的安全事件,立即上报工信部加强信息共享及 时发布预警信息,采取应对措施开展数据安全风险监测开展执法调查建立用户投诉处理机制5.数据安全检测、认证、评估管数据安全事件发生后,及时开展应急处置,立即上报处置情况告知用户,提供减轻危害措施理6.监督检查7.法律责任8.附 则33细化数据安全法安全评估规则,强调特定主体每年至少开展一次安全评估1.总 则2.数据分类分级管理评估机制安全检测与认证安全评估3.数
13、据全生命周期安全管理工业和信息化部:工业和信息化部:鼓励、引导具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作制定评估机构管理制度和规范,指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作4.数据安全监测预警与应急管理地方工业和信息化主管部门、通信管理局和无线电管理机构:5.数据安全检测、认证、评估管理组织开展本地区数据安全评估工作6.监督检查7.法律责任8.附 则工业和信息化领域重要数据和核心数据处理者:自行或委托第三方评估机构,每年至少开展一次安全评估,及时整改风险问题,并报送评估报告34明确监督协助、安全审查、保密义务1.总 则01.02.03.2.数据分
14、类分级管理3.数据全生命周期安全管理监督检查和协助义务数据安全审查义务保密义务4.数据安全监测预警与应急管理行业(领域)监管部门工业和信息化部行业(领域)监管部门及其委托的数据安全评估机构工作人员监督检查在国家数据安全工作协调机制指导下,开展数据安全审查工作5.数据安全检测、认证、评估管理工信领域数据处理者配合检查严格保密履行职责中知悉的个人信息和商业秘密等,不得泄露或非法向他人提供6.监督检查7.法律责任8.附 则35明确责任主体违规行为和罚则1.总 则2.数据分类分级管理序号责任主体违规行为监管部门罚则3.数据全生命周期安全管理工业和信息化领域数据处理者数据处理活动存在较大安全风险的行业(领域)监管部门1约谈整改,消除隐患4.数据安全监测预警与应急管理没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚根据情节严重程度构成犯罪的行业(领域)监管部门2有违反本办法规定行为的5.数据安全检测、认证、评估管理依法追究刑事责任6.监督检查7.法律责任8.附 则36
