9月30日，工業(yè)和信息化部發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》（下稱《管理辦法》）并面向社會公開征求意見。南都記者注意到，《管理辦法》是數(shù)安法施行后，首個由行業(yè)、領域主管部門制定發(fā)布的數(shù)據(jù)安全相關法規(guī)。

　　有專家對南都記者表示，《管理辦法》提出“數(shù)據(jù)銷毀”在國內(nèi)數(shù)據(jù)安全層面的法律法規(guī)中尚屬首次，之后還需公證、審計等第三方服務跟進。而《管理辦法》對權責劃分的細化規(guī)定將在“定崗定責”和“定崗定人”兩方面形成更具體的業(yè)務指引。

　　文 / 蔣琳 樊文揚 尤一煒

　　圖片

　　明確重要數(shù)據(jù)、核心數(shù)據(jù)判定條件

　　一個月前，《中華人民共和國數(shù)據(jù)安全法》（下稱“數(shù)安法”）正式施行。數(shù)安法第六條明確，工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責。

　　為貫徹落實數(shù)安法等法律法規(guī)，加快推動工信領域數(shù)據(jù)安全管理工作制度化、規(guī)范化，工信部起草了《管理辦法》?！豆芾磙k法》共八章四十四條，是工信領域數(shù)據(jù)安全管理頂層設計，內(nèi)容包括全面對接數(shù)安法要求，構建工信領域數(shù)據(jù)安全監(jiān)管體系，以及明確數(shù)據(jù)保護要求。

　　南都記者注意到，國家互聯(lián)網(wǎng)信息辦公室于2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》針對在中國境內(nèi)利用網(wǎng)絡開展數(shù)據(jù)收集、存儲、傳輸、處理、使用等數(shù)據(jù)活動，以及數(shù)據(jù)安全的保護和監(jiān)督管理做出規(guī)定，主要管理對象為個人信息和重要數(shù)據(jù)。

　　此次的《管理辦法》則聚焦工信領域，擬將監(jiān)管對象限定為工業(yè)領域的原材料、裝備、消費品、電子信息制造業(yè)、軟件和信息技術服務業(yè)、民爆等，以及電信行業(yè)的電信業(yè)務經(jīng)營許可證的電信業(yè)務經(jīng)營者。而涉及國家秘密信息、密碼使用等數(shù)據(jù)，軍事數(shù)據(jù)，政務數(shù)據(jù)，國防科技工業(yè)、煙草領域數(shù)據(jù)均被排除在外。

　　在北京清律律師事務所首席合伙人熊定中看來，《管理辦法》完全繼承了數(shù)安法的要求，稱得上是“應有之義”。

　　“《管理辦法》實現(xiàn)了數(shù)安法在該領域提出的要求，且后續(xù)各個部門都會陸續(xù)推出類似規(guī)范。換言之，我們可以理解成數(shù)安法給各行業(yè)、各領域布置了一份‘作業(yè)’，如今各個部門制定相關管理辦法就是在‘交作業(yè)’，完成本部門數(shù)據(jù)安全相關的統(tǒng)籌規(guī)劃?！毙芏ㄖ姓f。

　　多位專家告訴南都記者，《管理辦法》的一大亮點在于明確了一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的判定條件。

　　此前出臺的相關法規(guī)中，數(shù)安法多次提到重要數(shù)據(jù)并首提國家核心數(shù)據(jù)，但沒有直接給出定義，只對國家核心數(shù)據(jù)做了部分列舉。國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》則將重要數(shù)據(jù)定義為“一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)”。

　　《管理辦法》中，根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，將工信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。

　　第八條【一般數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù)：

　　（一）對公共利益或者個人、組織合法權益造成較小影響，社會負面影響?。?/p>

　?。ǘ┦苡绊懙挠脩艉推髽I(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術進步和產(chǎn)業(yè)生態(tài)等影響較??；

　　（三）恢復數(shù)據(jù)或消除負面影響所需付出的代價??；

　?。ㄋ模┢渌醇{入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。

　　第九條【重要數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù)：

　?。ㄒ唬φ?、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數(shù)據(jù)的安全；

　?。ǘI(yè)、電信行業(yè)發(fā)展、生產(chǎn)、運行和經(jīng)濟利益等造成影響；

　?。ㄈ┰斐芍卮髷?shù)據(jù)安全事件或生產(chǎn)安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；

　?。ㄋ模┮l(fā)的級聯(lián)效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響；

　?。ㄎ澹┗謴蛿?shù)據(jù)或消除負面影響所需付出的代價大；

　?。┙?jīng)行業(yè)監(jiān)管部門評估確定的其他重要數(shù)據(jù)。

　　第十條【核心數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù)：

　?。ㄒ唬φ?、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數(shù)據(jù)的安全；

　?。ǘI(yè)、電信行業(yè)及其重要骨干企業(yè)、關鍵信息基礎設施、重要資源等造成嚴重影響；

　　（三）對工業(yè)生產(chǎn)運營、電信和互聯(lián)網(wǎng)運行和服務等造成重大損害，導致大范圍停工停產(chǎn)、大面積網(wǎng)絡與服務癱瘓、大量業(yè)務處理能力喪失等；

　　（四）經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)。

　　北京環(huán)球律師事務所合伙人孟潔認為，相比數(shù)安法對國家核心數(shù)據(jù)的列舉，《管理辦法》對如何認定國家核心數(shù)據(jù)進行了細化，這表現(xiàn)在其對持有國家核心數(shù)據(jù)的企業(yè)規(guī)定了增強性的義務。

　　中國互聯(lián)網(wǎng)協(xié)會研究中心副主任、北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任吳沈括表示，上述分類主要基于兩方面考慮，一是數(shù)據(jù)處理可能造成的權益影響，二是處理數(shù)據(jù)的具體業(yè)務場景?！斑@對于相關單位和企業(yè)在實際業(yè)務場景中落實數(shù)安法中的有關制度要求具有更強的可操作性。”他說。

　　熊定中則認為，《管理辦法》的數(shù)據(jù)分級在表述體系和口徑上與數(shù)安法完全一致，但“只進行了概念上的描述”——“以‘對社會危害不大’這一標準為例，什么叫危害不大？其實還缺乏一個量化的標準?！?/p>

　　他進一步指出，由于一般、重要和核心數(shù)據(jù)在管理規(guī)范上完全不同，處理一般數(shù)據(jù)只需自評，處理重要數(shù)據(jù)和核心數(shù)據(jù)則需要由工信部認定的、有資質(zhì)的認證機構做出評估，因此工業(yè)或電信相關企業(yè)及機構需要十分明確的指引。

　　數(shù)據(jù)安全法規(guī)層面首提“數(shù)據(jù)銷毀”

　　《管理辦法》還特別明確了數(shù)據(jù)全生命周期安全保護要求——針對不同級別數(shù)據(jù)，從數(shù)據(jù)收集、存儲、加工、 傳輸、提供、公開、銷毀、跨境、承接、委托處理等環(huán)節(jié)落實分級保護要求。

　　其中關于數(shù)據(jù)銷毀，《管理辦法》擬要求工信數(shù)據(jù)處理者建立數(shù)據(jù)銷毀策略和管理制度，明確銷毀對象、流程和技術等要求，對銷毀活動進行記錄和留存。銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復。

　　“在數(shù)據(jù)安全層面，《管理辦法》明確提出數(shù)據(jù)銷毀系國內(nèi)首次。”吳沈括對南都記者表示，“在長期的業(yè)務開展過程中，數(shù)據(jù)銷毀往往是一個被各方所忽視的重要環(huán)節(jié)。事實上，它作為數(shù)據(jù)全生命周期的最后一環(huán)，具有必不可少的重要意義?！?/p>

　　他進一步解釋，有效的數(shù)據(jù)銷毀既是落實數(shù)據(jù)安全管理要求所必須，又對降低數(shù)據(jù)泄露風險具有關鍵性意義。在具體落實過程中，銷毀不徹底、虛假銷毀等現(xiàn)象是監(jiān)管機關的關注重點，需要有效、及時的公證、審計等第三方服務跟進。

　　孟潔也指出，數(shù)據(jù)銷毀是一種物理刪除，一經(jīng)銷毀無法再復原。因此，在具體實踐中，對于銷毀工具的審核、流程及實施人員的處理規(guī)則要求、以及銷毀完的審計與報備措施都可能遭遇挑戰(zhàn)。

　　談及企業(yè)實踐，熊定中坦言，數(shù)據(jù)銷毀一般會被理解為合規(guī)中的一個必要動作。事實上，數(shù)據(jù)使用過程結束后，如果持續(xù)留存數(shù)據(jù)反而可能產(chǎn)生安全風險。因此，在一定情況下設置刪除數(shù)據(jù)的幾種條件“是一種很好的數(shù)據(jù)安全保護規(guī)范”。

　　他還提到，由于工信領域涉及一些與國際民生相關的安全問題，有關數(shù)據(jù)銷毀的考慮會更加復雜。“如果數(shù)據(jù)被銷毀后，其他場合又需要再次利用，情況就會變得很麻煩?！?/p>

　　在熊定中看來，由規(guī)章制度明確要求進行數(shù)據(jù)銷毀“可能會欠缺一點靈活性”，建議由評測機構進行單獨評測。“比如有的企業(yè)安全實力很強，數(shù)據(jù)保護做得很好，雖然目前暫時用不到這些數(shù)據(jù)，但未來可能會用到，在這樣的情況下就可以進行評測，如果評測結果良好就繼續(xù)保存；倘若安全技術實力不夠，就按要求及時銷毀數(shù)據(jù)?？偠灾?，銷毀數(shù)據(jù)是不需要評測的，但若是不想銷毀，可以通過評測來獲得豁免，這樣處理靈活性會更強?！彼f。

　　數(shù)據(jù)使用加工方面，《管理辦法》擬規(guī)定工信數(shù)據(jù)處理者未經(jīng)個人、單位等同意，不得使用數(shù)據(jù)挖掘、關聯(lián)分析等技術手段針對特定主體進行精準畫像、數(shù)據(jù)復原等加工處理活動。利用數(shù)據(jù)進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應當加強訪問控制，建立登記、審批機制并留存記錄。

　　擬建立重要數(shù)據(jù)核心數(shù)據(jù)備案管理制度

　　《管理辦法》還對權責劃分做了細化規(guī)定。其中涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，工信數(shù)據(jù)處理者應設置專門的數(shù)據(jù)安全管理責任部門，本單位黨委（黨組）或領導班子對數(shù)據(jù)安全負主體責任，主要負責人是數(shù)據(jù)安全第一責任人，分管數(shù)據(jù)安全的負責人是直接責任人。對于關鍵崗位及人員，《管理辦法》還擬要求簽署數(shù)據(jù)安全責任書，記錄數(shù)據(jù)處理活動。

　　熊定中表示，《管理辦法》做出更詳細的權責劃分符合我國立法的一貫原則，即先由相關法律定下大范圍的原則，再由行政法規(guī)或部門規(guī)章將其細化為一個具體的、可實操的規(guī)范，能讓行為人直接了解從而決定自己的行為。

　　孟潔則指出，雖然數(shù)安法規(guī)定了單位與直接負責的主管人員都會被處罰，但在實踐中，企業(yè)內(nèi)部參與項目的部門眾多，誰為主要責任人仍然存在困惑，而本次《管理辦法》較為清楚地做出了規(guī)定。

　　“該規(guī)定既會對各單位、企業(yè)的業(yè)務流程設計、組織架構管理和人員責任配置造成非常大的影響，還會導致現(xiàn)有業(yè)務格局的重大改變，特別會在‘定崗定責’和‘定崗定人’兩方面形成更具體的業(yè)務指引?！眳巧蚶◤娬{(diào)。

　　此外，南都記者注意到，國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》和此次的《管理辦法》均提出了備案管理制度。

　　前者規(guī)定，網(wǎng)絡運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則，收集使用的目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身。

　　后者擬要求對工信領域重要數(shù)據(jù)和核心數(shù)據(jù)建立備案管理制度。備案內(nèi)容包括數(shù)據(jù)的數(shù)量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數(shù)據(jù)提供、公開、出境、承接，以及數(shù)據(jù)安全風險、事件處置等情況。

　　關于《管理辦法》與個人信息保護的關系，南都記者了解到，數(shù)安法將個人信息作為特別重要的一類數(shù)據(jù)，納入重要數(shù)據(jù)目錄和核心數(shù)據(jù)目錄進行重點保護，既要遵守數(shù)據(jù)安全管理有關規(guī)定，還要遵守個人信息保護法的特別規(guī)定?！豆芾磙k法》秉承上述工作理念，將個人信息納入數(shù)據(jù)全生命周期安全管理，不再單獨提出個人信息保護的要求。

　　在法律責任方面，《管理辦法》擬規(guī)定行業(yè)監(jiān)管部門將工信數(shù)據(jù)處理者落實數(shù)據(jù)安全管理責任情況納入信用管理。對存在數(shù)據(jù)安全違法違規(guī)行為受到行政處罰的數(shù)據(jù)處理者，按照有關規(guī)定將其列入業(yè)務經(jīng)營不良名單或失信名單。

　　對于違反《管理辦法》的，由行業(yè)監(jiān)管部門依照數(shù)據(jù)安全法、網(wǎng)絡安全法等法律和相關行政法規(guī)，根據(jù)情節(jié)嚴重程度給予公開曝光、沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷業(yè)務許可證或吊銷營業(yè)執(zhí)照等行政處罰；構成犯罪的，依法追究刑事責任。