当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)的通知,以系统解决工信领域数据“谁来管、管什么、怎么管”问题,该办法从2023年1月1日起实施。
《管理办法》指出,工业和信息化领域的数据包括工业数据、电信数据和无线电数据等。工业数据指工业各行业、各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据指在电信业务经营活动中产生和收集的数据。无线电数据指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。工信领域的数据处理者对于工信数据的收集、存储、使用、加工、传输、提供、公开等活动都被纳入了监管范围。
《管理办法》根据危害程度、重要程度的不同对工信数据做了三级分类:一般数据、重要数据和核心数据,要求对一般数据要加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更严格的保护。
对于一般数据,《管理办法》要求数据处理者建立全生命周期安全管理制度、配备管理人员、合理确定操作权限、制定应急预案并开展应急演练、开展教育培训、留存日志记录,而对于重要数据和核心数据,《管理办法》要求数据处理者在做到对一般数据的安全保障的前提下,还应当建立覆盖本单位相关部门的数据安全工作体系;明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书;建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
《管理办法》要求,重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。
《管理办法》规定,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当进行数据出境安全评估。
《管理办法》构建了“工业和信息化部、地方行业监管部门”两级监管机制,“部-省-企业”三级联动协同的数据安全风险监测预警工作机制,行业监管部门若发现数据处理活动存在较大安全风险,可以对工信领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。如数据处理者存在违反《管理办法》规定的行为,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的会被追究刑事责任。
工信部指出,数据已成为数字经济时代最为活跃的新型生产要素,数据安全成为关系个人权益、公共利益和国家安全的重要因素,工业和信息化领域是数字经济发展的主阵地和先导区,需指导工信领域数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。下一步,工信部将从政策宣贯、细则制定、正向引导、监督执法等方面抓好落实《管理办法》。
《管理办法》的出台,给工业和电信领域企业的数据安全保护提出了新要求,一定程度上也将增加相关企业在信息安全方面的工作量和成本支出,但有的工业企业乐见其成。一是随着工业互联网、云计算、人工智能等新一代信息技术与制造业的深度融合发展,工业领域的数据积累会越来越庞杂,越早介入数据安全管理越有利于长远发展。二是现阶段对于大型工业企业来说,为满足客户、用户对于信息安全的要求,它们已在内部探索、实践保障数据安全的措施,工信部出台《管理办法》,从监管层面帮助它们明晰数据管理的要求,对行业也起到了规范作用。(文靖)(来源:中国工业报)