官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2022年2月10日,工信部发布了《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)再次征求意见的通知,上一次就《管理办法》征求意见还是在2021年9月份。
《管理办法》共八章四十一条,并强调工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
《管理办法》再次明确了“工业和信息化领域数据的定义”,包括工业数据、电信数据和无线电数据。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营 等过程中产生和收集的数据。 电信数据是指在电信业务经营活动中产生和收集的数 据。无线电数据是指在开展无线电业务活动中产生和收集 的无线电频率、台(站)等电波参数数据。
工业和信息化领域数据处理者是指对工业和信息化领 域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。
《管理办法》提出,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。和第一次征求意见稿相比,此次公布的《管理办法》征求意见稿在第十条“重要数据”中新增了“电磁”类别。
《管理办法》第十二条“重要数据和核心数据目录备案”提出,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录 向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)备案。备案内容 包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等 基本情况,不包括数据内容本身。
重要数据和核心数据的类别或规模变化 30%以上的,或者其它备案内容发生重大变化的,工业和信息化领域数据处 理者应当在发生变化的三个月内履行备案变更手续。
《管理办法》第十九条“数据公开”提出,工业和信息化领域数据处理者应 当在数据公开前分析研判可能对公共利益、国家安全产生的 影响,存在重大影响的不得公开。
而针对“数据出境”,《管理办法》提出,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
针对“数据转移”,《管理办法》还提出,工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案。
此外,《管理办法》还提出了“数据安全监测预警与应急管理”,包括监测预警机制、信息上报和共享、应急处置、举报投诉处理等。