《每日经济新闻》记者注意到,《办法》旨在规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
《办法》明确,工业和信息化领域数据包括工业数据、电信数据和无线电数据。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
数据要分类分级管理
当前,数据已成为关键生产要素和重要战略资源,是创造价值的核心资产。但同时,数据与各类风险要素的接触面逐步扩大,数据开发利用的安全风险不断增加,间接导致数据非法采集、数据泄露、数据滥用等现象长期存在。
《办法》在第二章明确提出,数据要分类分级管理。
《办法》规定,工信部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。
事实上,中国信息通信研究院院长余晓晖此前在被问及“如何破解发展数字经济与保护数据安全之间的矛盾?”时就对《每日经济新闻》记者表示,在业务开展过程中,要建立数据分类分级制度,以在风险可控的范围内开展数据活动。
他表示,要明确数据分类分级的相关标准,健全完善适应于各行业各领域的数据分类分级安全管理规则,聚焦数字经济全周期运行中的数据行为,构建以“与数据相关行为”为标准的企业数据分类方法,为数据活动安全发展提供指引。
而在分类分级方法方面,《办法》也明确,根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
《办法》明确危害程度符合下列条件之一的数据为核心数据:对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;对工业生产运营、电信网络(含互联网)运行和服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;经工业和信息化部评估确定的其他核心数据。
《办法》规定,工信领域数据处理者应当将本单位重要数据和核心数据目录向地方工信主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)备案。
不得窃取或以其他非法方式收集数据
在数据全生命周期安全管理方面,《办法》在数据收集、数据存储、数据使用加工、数据传输、数据提供、数据销毁、数据出境等方面都做了明确规定。
其中,明确工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
在数据收集方面,规定工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
在数据存储方面,《办法》明确,工业和信息化领域数据处理者应当依据法律规定或者与用户约定的方式和期限存储数据。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共信息网络访问,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。存储核心数据的,还应当实施异地容灾备份。
在数据公开方面,规定工业和信息化领域数据处理者应当在数据公开前分析研判可能对公共利益、国家安全产生的影响,存在重大影响的不得公开。
在数据出境方面,规定工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工信部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工信部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
本文来自每日经济新闻,详情请查看原文链接
