AG公司(中国区)·有限公司官网

AG公司

AG公司科技

  • 安全产品与方案

    安全产品与方案

  • 基础设施安全

    基础设施安全

  • 数据安全

    数据安全

  • 云计算安全

    云计算安全

  • 工业互联网安全

    工业互联网安全

  • 物联网安全

    物联网安全

  • 信息技术应用创新

    信息技术应用创新

  • 全部产品

    全部产品

  • 全部解决方案

    全部解决方案

基础设施安全

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

返回列表

行业管理视角下的数据安全保护|《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》学习浅析

2021-10-09

9月30日,工业和信息化部(以下简称“工信部”)发文,面向社会公开征集对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《征求意见稿》)的意见。《征求意见稿》是继《数据安全法》生效施行之后,我国数据安全保护工作的又一重要进展。

一、《征求意见稿》拓展数据安全保护格局

《征求意见稿》的发布,对于巩固和拓展我国数据安全保护成效而言具有积极意义,主要体现在两个方面。

一是开行业数据保护的先河。《数据安全法》开启了我国数据安全保护工作的全新阶段,其规定了数据安全保护工作的基本制度框架。而《征求意见稿》的起草编制,则立足于系统回答数据安全制度和规定如何在行业落地的问题,是探索在工业和信息化领域践行《数据安全法》各项要求,且是行业管理层面的率先之举。

二是助力完善数据安全保护法规体系。《数据安全法》是我国数据安全保护领域的基本法,而在行政法规、部门规章层面仍需不断体系化完善。《征求意见稿》率先面向社会征求意见,其修改完善后将会以工信部规范性文件的形式发布,也将同时填补数据安全“部门规章”这一法规类型的空白,推进我国数据安全法律法规体系的完善。

二、《征求意见稿》五大内容要点分析

《征求意见稿》立足工业和信息化领域的数据安全管理,完善细化了系列制度和工作要求。笔者将从管理的要素着手,对《征求意见稿》的管理对象、管理主体、管理手段、管理内容、管理保障等五个方面进行分析。

(一)管理对象

“工业和信息化领域数据处理活动”是《征求意见稿》所明确的管理对象。从相关条文内容看,管理对象包含三层含义。

一是“工业和信息化领域数据”的定义内涵。根据《征求意见稿》第三条规定,“工业和信息化领域数据”包括工业数据和电信数据两大类。其中对“工业数据”界定为“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”,这与工信部此前发布的《工业数据分类分级指南(试行)》基本保持一致,所不同的是《征求意见稿》以列举方式对工业行业的范围进行了进一步限定:“指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域”。

二是个人信息不在“工业和信息化领域数据”的定义中列明。按照《征求意见稿》的数据定义,并未包含“个人信息”,从起草说明的内容“将个人信息纳入数据全生命周期安全管理,不再单独提出个人信息保护的要求”也似乎有所印证。但实际上,无论是工业数据还是电信数据都不可避免的涉及到个人信息。此外,《征求意见稿》与《工业数据分类分级指南(试行)》在数据定义方面相比,还缺少了“外部数据域(与其他主体共享的数据等)”(《工业数据分类分级指南(试行)》第六条)一项。可见,进一步协调工信数据与个人信息的关系,或许是《征求意见稿》要完善的一项工作。

三是数据处理者主要包括三类企业。对于“数据处理者”的外延范围《征求意见稿》第三条进行了明确,“工业和电信数据处理者是指对工业、电信数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业和取得电信业务经营许可证的电信业务经营者等工业和信息化领域各类主体”,据此可以将数据处理者归纳为三类企业,即:工业企业、软件和信息技术服务企业、电信业务经营者(取得电信业务经营许可证)。

(二)管理主体

管理主体可理解为行使监督管理职能的相关部门和单位。根据《征求意见稿》,管理主体主要包括两层,涉及三类部门机构。

首先,从层级上看,主要有“数据安全工作协调机制”、“行业监管部门”两层。其中,“数据安全工作协调机制”是《数据安全法》明确的国家数据安全工作机制,按照《征求意见稿》第三十五条规定,在涉及工信数据安全审查相关职责时,该机制将发挥指导作用。而“行业监管部门”主要包括工信部、地方工信主管部门和地方通信管理局,是实施工信领域数据安全管理的主要力量。

其次,从职能分工上看,在行业监管部门中:“工业和信息化部”负责对工业和电信数据处理者的数据处理活动和安全保护进行监督管理;“地方工业和信息化主管部门”负责本地区工业数据处理者的数据处理活动和安全保护进行监督管理;“地方通信管理局”负责对本地区电信数据处理者的数据处理活动和安全保护进行监督管理。

(三)管理手段

管理手段可以理解为实现管理目标而采取的方式方法、以及途径等。《征求意见稿》对于工信数据安全管理提出的管理手段可归纳为四类,即:常规监管、安全评估、举报投诉、法律追责。

一是常规监管。根据《征求意见稿》规定,工信数据安全的常规监管方式主要有平台汇总(如数据备案平台、数据安全监测预警平台等)(第十二条、第二十八条)、数据安全检查(第三十四条)、数据安全审查(第三十五条)、数据安全约谈整改(第三十六条)等。

二是安全评估。根据《征求意见稿》规定,工信数据安全的安全评估主要有两类:数据处理者安全评估和数据监管评估。前者处理者评估主要是涉及数据公开、数据出境和数据委托处理时需要进行安全评估(第二十二条、第二十四条、第二十六条);后者监管评估主要涉及制定评估规范、重要数据年度安全评估(第三十条)。

三是举报投诉。《征求意见稿》第三十一条规定了建立面向用户的工信数据违法举报平台和投诉处理机制,完善了自下而上的监管反馈渠道和机制,有助于全面提升工信数据安全管理的成效。

四是法律追责。《征求意见稿》第七章对于违法行为除了规定常规的行政、刑事责任之外(第三十九条),还针对行政违法行为还设置了信用处罚机制,即:“列入业务经营不良名单或失信名单”(第三十八条)。

(四)管理内容

在工信数据安全管理内容方面,《征求意见稿》按照主体的不同规定了两类主要管理内容。

一是在监管机构侧,规定了分级分类、风险和应急处置等重点管理内容。在工信数据分级分类监管方面,重点监管内容包括建立分类分级管理(包括:制定分类清单;实行一般、重要、核心三级划分等),明确分级分类监管职责(包括工信部制定分级分类规范、形成行业重要和核心具体数据清单;地方主管部门制定地区重要和核心具体数据清单;实行重要、核心数据备案管理等)。在风险和应急处置方面,重点监管内容包括日常上报监管(风险和事件上报、重要数据和核心数据目录报送等),年度报告监管(数据安全事件处置报告、重要数据和核心数据安全评估年度报告)等。

二是在数据处理者侧,规定了生命周期重点环节的重点管理内容。包括明确数据处理者主体责任,加强数据安全管理;聚焦重要数据和核心数据建立工作体系,明确关键岗位管理要求;坚持“同步规划、同步建设、同步运行”原则,针对不同级别数据,从数据收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等环节落实保护要求。

(五)管理保障

《征求意见稿》在强化工信数据安全监管机制建设的同时,也注重通过发展的举措完善健全监管体系。主要体现在加强工信数据安全基础保障、能力服务保障两个方面。

一是强化工信数据安全基础保障。《征求意见稿》明确规定了行业监管机构鼓励和促进工信数据安全产业发展,包括技术、产品服务、产业生态构建等,并明确了技术产品创新应遵循的最低基本准则。同时,还规定了以标准化建设促进相关技术产业发展的举措。

二是建设工信数据安全能力服务保障。《征求意见稿》在规定数据处理者生命周期管理要求的同时,从协助和服务角度也同时规定了安全能力认证保障,包括建立完善数据安全检测、评估与认证机构管理制度、制定机构认定标准,开展机构选拔认定、资质授权、日常管理和推荐目录发布等。

三、产业发展展望和内容完善思考

《征求意见稿》对工信数据安全领域发展提出了具体规范框架,其对于相关产业发展将起到重要发展引领作用。同时,作为分行业数据管理的率先垂范,其健全完善也必然会有其发展过程。

从促进产业发展来看,《征求意见稿》作为首个分行业领域的数据安全管理规范文件,无疑将对数据安全相关产业发展发挥巨大的引领和促进作用。一方面,从满足监管侧需求来看,对于数据备案管理平台建设或运营相关产业、数据安全监测预警平台建设或运营相关产业、数据安全检查和审查技术产品和服务产业等,将带来较大发展契机。另一方面,从满足数据处理者侧需求来看,对于数据安全咨询规划、数据安全风险评估、数据安全人才培训、数据安全演练、数据安全审计、数据安全检测评估与认证等相关产业,也将发挥较大拉动作用。

从内容的发展完善来看,当前《征求意见稿》还有需要进一步明确的问题。如:重要和核心工信数据备案平台是否面向全国开展备案?地方管理部门是否需要建设面向本地区的数据备案平台?工信部建设的数据预警监测平台,同地方各自建设的数据预警监测平台如何协同?工信数据定义中是否需要增加个人信息,或是否需在附则条文中单独对个人信息做出说明?跨组织传输重要或核心数据的具体审批机制如何?数据安全检查频次流程如何,等等。

 

《征求意见稿》的发布,标志着分行业数据安全时代的大幕已经开启。随着其内容的不断完善,以及更多行业级数据安全管理规范的出台,数据安全监管和数据安全产业都将迎来高质量发展的新阶段,并共同构筑起我国数字经济发展的坚实基础。

<<上一篇

四年共度|AG公司科技即将亮相2021天府杯国际网络安全高峰论坛

>>下一篇

AG公司科技多云安全管理服务开放免费试用

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入AG公司科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
AG公司科技社区
AG公司科技社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证68191074号

网站首页
AG公司