数据|工信部:工业和电信数据拟分类分级管理,核心数据不得出境

数据|工信部:工业和电信数据拟分类分级管理,核心数据不得出境
文章插图

9月30日,工业和信息化部网站发布了公开征求对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》的意见。征集文件指出,该办法旨在贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险。在《征求意见稿》中,拟将工业和电信数据进行分类分级管理。
在《征求意见稿》中,对工业和电信数据分别进行了定义,其中工业数据包含原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。电信数据指在电信业务经营活动中收集和产生的数据。
对工业和电信数据,将进行分类分级管理。具体来看,将按照先分类后分级顺序,数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。
级别方面,工信部将按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
其中,危害程度符合下列条件之一的数据为核心数据:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响;
(三)对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
管理措施方面,将对重要数据和核心数据进行备案管理。工信部将建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
根据不同分级,《征求意见稿》在数据出境、数据销毁等多方面进行了规定。其中,对于工业和电信数据处理者在中国境内收集和产生的重要数据,需要在确保安全、进行安全评估等前提下出境;核心数据则不得出境。对于数据销毁,销毁重要数据和核心数据的,不得以任何理由、任何方式对销毁数据进行恢复。
经南都采访人员梳理,对于核心数据的全生命周期安全管理举措,《征求意见稿》中有以下特别规定:
对重要数据和核心数据进行备案管理;
涉及重要数据和核心数据的,工业和电信数据处理者应当建立覆盖本单位相关部门的数据安全工作体系,设置专门部门、数据安全第一负责人;
存储核心数据的,应当实施异地容灾备份;
使用、加工重要数据和核心数据的,应当加强访问控制,建立登记、审批机制并留存记录;
跨不同数据处理主体传输核心数据的,应当通过国家数据安全工作协调机制审批;
提供核心数据的,应当通过国家数据安全工作协调机制审批;
核心数据不得出境;
数据承接涉及重要数据和核心数据的,应当及时向所在地工业和信息化主管部门或通信管理局备案;