《工业和信息化领域数据安全管理办法(试行)》再次公开征求意见
据工信部官网2月10日消息,根据2021年9月30日公布的《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)(以下简称《管理办法》)收到的公开意见,工信部对该法规草案进行了修改完善,再次面向社会征求意见。
据悉,《管理办法》定位为工业和信息化领域数据安全管理顶层设计,对接《数据安全法》等法律法规要求,在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等具体要求,构建工业和信息化领域数据安全监管体系。修改后的《管理办法》条目由原先的八章四十四条缩减为八章四十一条,除补充无线电数据、个人信息保护等数据管理要求外,对部分规定进行了简化或合并。
南财记者梳理修改后的《管理办法》发现,新版征求意见稿在原版工业数据、电信数据的基础上,将无线电数据也纳入了工业和信息化领域数据的范畴中,并对重要数据和核心数据目录备案是否需提供数据内容本身,备案更换的条件,销毁数据备案等问题进行了进一步明确。
增加无线电数据、个人信息保护相关安全管理要求
新版《管理办法》对工业和信息化领域数据的定义进行了完善。具体而言,工业和信息化领域数据包括工业数据、电信数据和无线电数据。
其中,工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据;电信数据是指在电信业务经营活动中产生和收集的数据;无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
与之对应的,新版《管理办法》还在重要数据与核心数据的认定标准,数据安全监管部门等相关条目中就无线电数据安全管理进行了补充。
“与前两者相比,无线电数据涉及的业务模式有所不同。”对于为何要将无线电数据单独作为一类纳入工业和信息化领域数据范畴,独立电信分析师付亮在接受21记者采访时表示,无线电为公开信号,例如广播就是一点发多点收,普通设备也可接收,因而无线电数据管理面临的安全问题也与工业数据和电信数据有所不同。
除无线电数据外,随着《个人信息保护法》于2021年11月正式落地执行,《管理办法》也对涉及个人信息的相关数据安全管理规定进行了补充,在《数据安全法》《网络安全法》与《民法典》外,增加了《个人信息保护法》与《国家安全法》作为法律依据。
此外,在第八章附则中新增第三十七条【个人信息保护】,要求“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。”
在【数据使用加工】的条目中,新版规定删去“未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动”的规定,但保留了“利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理”的要求。
北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括表示,新版《管理办法》中有关个人信息保护的规定,实际上是出于遵循上位法数据安全法重点规则的考虑,《管理办法》主要解决数据安全相关的问题,需要注意与个人信息保护规则的协调,通过规则设计明确不同法规间的位阶关系,可以避免在适用过程中出现实务层面的混淆和困惑。
细化数据安全管理备案规定
在新版《管理办法》中,对工业和信息化领域数据的分类分级方法,基本沿用了原本根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单;根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度分为一般数据、重要数据与核心数据的方法。
值得注意的是,新版《管理办法》在【分类分级方法】规定中,删去了“数据处理者应当坚持先分类后分级”的表述。
吴沈括认为,这一改动主要是为了回应社会与行业在实务方面的关切,分类分级是数据安全法的总体要求,但其并未强调先后顺序,在实务操作中,先后顺序取决于场景和具体的技术环境,该改动有助于将更多弹性和灵活性交给市场主体,按需做出选择,根据实际场景进行安全管理。
针对重要数据与核心数据目录备案的具体要求,新版《管理办法》在原版要求基础了进行了细化,备案内容依然为数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,增加了备案内容“不包括数据内容本身”的表述。
此外,还增添了对于数据类别和规模变化的情况补充了何种情形下需要进行备案变更,新版《管理办法》规定:“重要数据和核心数据的类别或规模变化 30%以上的,或者其它备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。”
销毁数据方面,新版《管理办法》也对相关的备案情形进行了规定,要求“销毁重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案”。
“细节要求的增加对于备案本身所需要的颗粒度,遵循的流程、手续做出补充,有助于回应各界关切,避免不必要的担忧。”吴沈括表示,综合而言,本次关于具体备案措施的补充也体现了法规程序性要求的特点。