2021年6月10日,第十三届全国人大常委会第二十九次会议审议并通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”),并于2021年9月1日起施行。《数据安全法》作为数据安全领域的一部基础性、框架性法律,虽然对数据安全与数据利用并举问题进行了规定,但是很多内容较为原则和笼统,有待各行业、各地区和各部门进行细化与进一步规定。为贯彻落实《数据安全法》等法律法规,工业和信息化部(“工信部”)于2021年9月30日发布了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称“《管理办法(一审稿)》”),向社会公开征求意见。该办法旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升相关行业的数据安全保护能力,防范数据安全风险。经过首次征求意见和内部修订后,工信部于2022年2月10日发布新版《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称“《管理办法(二审稿)》”),截至2月21日前再次向社会公开征求意见。
《数据安全法》从国家法律的层面,对于国家与数据活动实施者两个角色,规定了一系列提升数据安全治理和数据开发利用水平的原则、制度与措施,落实主体责任;以适应电子政务发展的需要,建立数据流通利用与安全管理的要求。《管理办法(二审稿)》作为《数据安全法》的下位法,是对《数据安全法》中提出的“工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责”的落实与贯彻。其目的是为了规范在我国境内开展的工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
本文将通过结合《数据安全法》的要点,对作为下位法的《管理办法(二审稿)》如何进行支撑进行初步梳理,供相关企业参考。
一、明确监管与被监管的范围
(一)被监管的范围
1. 适用范围
《数据安全法》的适用地域范围不仅包含境内,还将效力延伸至境外。即“在中华人民共和国境内开展数据处理活动及其安全监管”,以及“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”均适用该办法。《管理办法(二审稿)》虽沿用了《数据安全法》关于中国境内处理数据活动的判断标准,规定“在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管”适用于此办法。但是《管理办法(二审稿)》并未明确将适用范围延伸至境外,没有采用《数据安全法》对在境外处理数据活动危害国家安全行为具有一定程度上管辖权的适用维度。
虽然《管理办法(二审稿)》对其他定义进行了厘清,但是仍未明确“境内开展”的概念,未来该法落地过程中可能存在判断标准不明、难以执法的问题。关于该概念的理解,在监管机关的配套文件出台之前,可以参考我们在<《数据安全法》正式出台,企业合规义务与红线,你了解吗?>一文中的解读。
2. 被监管的对象与主体
《数据安全法》下的适用对象——数据是指任何以电子或者其他方式对信息的记录;《管理办法(二审稿)》则结合工业、电信和无线电行业的特定场景,明确工业和信息化领域数据包括工业数据、电信数据和无线电数据,其中“无线电数据”系《管理办法(一审稿)》的基础上新增内容。在《管理办法(一审稿)》中,“工业数据”主要限定在原材料工业、装备工业、软件和信息技术服务业等行业领域;《管理办法(二审稿)》对“工业数据”的定义扩大至工业各行业各领域的生产运营等环节中产生和收集的数据。详细释义见表一。
表一
此外,《数据安全法》的附则将国家秘密、统计和档案处理活动中涉及的数据、个人信息以及军事数据排除在适用对象范围以外,《管理办法(二审稿)》附则部分也沿袭了这一思路,并结合工业和信息化领域的行业特点,将以下几类利用数据行为排除在适用范围外:涉及军事、国家秘密信息和密码使用等数据处理活动、工业和信息化领域政务的数据处理活动以及国防科技工业、烟草领域的数据安全管理活动。国家秘密保护、密码、军事、政务、烟草领域的行业性或专业性较强,该等领域的数据处理活动应遵循国家另行出台的法律法规。另外,《管理办法(二审稿)》明确如开展涉及个人信息的数据处理活动,还应当遵守《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等法律法规。
关于适用主体,《数据安全法》没有进行特别限制,仅使用“数据处理者”的概念。《管理办法(二审稿)》则将适用主体聚焦在“工业和信息化领域的数据处理者”,具体是指对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。
(二)监管主体范围
《数据安全法》内核为国家安全观,呈现出从国家层面构建数据安全的顶层设计和国家与信息安全保障体系与防护能力,到深入不同行业、根据行业实际情况与发展战略制定适合于本行业的数据开发利用与安全保障并举的发展趋势。因此,《数据安全法》从框架上规定了工业、电信等主管部门承担本行业、本领域数据安全监管职责,而《管理办法(二审稿)》进一步细化了工业和信息化领域行业监管部门的职责范围,建立起权责一致的工作机制。
在此总体思路下,行业监管框架进一步分为国家与省二级体系。在全国层面上,由工信部负责督促指导地方工业和信息化主管部门、地方通信管理局和地方无线电管理机构开展数据安全监管,对工业和信息化领域数据处理者的数据处理活动和安全保护进行监督管理;在地方层面上,由省级工信主管部门、省级通信管理局以及省级无线电管理机构分别对本地区工业数据处理者、电信数据处理者以及无线电数据处理者的数据处理活动和安全保护进行监督管理(详见表二)。
表二
二、细化数据分类分级标准及其管理制度
《数据安全法》初步构建了落实数据分类分级制度的体系;《管理办法(二审稿)》沿用了该立法思路并进一步明确工业和信息化领域的分类分级框架,同时指出工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。根据《管理办法(二审稿)》第七条至第十条,数据分类主要是针对工业和信息化领域数据处理者所掌握的研发数据、生产运行数据、管理数据、运维数据、业务服务数据等进行的;数据分级也主要包括一般数据、重要数据和核心数据三级,并明确分级的判定标准为“数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度”(具体分级详见表三)。虽然《管理办法(二审稿)》提出了比《数据安全法》更细致的分级判定条件,但上述条件中的“影响”“威胁”等如何具体定性仍然比较笼统,期待办法生效后监管机构能对如何落地实施进一步澄清。
表三
同时,根据《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。为加强地区和行业管理,《管理办法(二审稿)》相应规定,在工信部组织和指导下,地方工业和信息化主管部门、通信管理局、无线电管理机构将制定本地区行业(领域)重要数据和核心数据具体目录并上报工信部。由此可见,未来工信部组织制定的目录也将成为所管辖企业开展分类分级工作的重要参考标准。
另外,国家信息安全标准化委员会于2022年1月13日公布的《信息安全技术 重要数据识别指南(征求意见稿)》划分了重要数据的定义范围,即重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家、公共利益的数据” (详见表四)。该规定明确了以造成不利后果为判断重要数据的唯一标准,与《管理办法(二审稿)》数据分级的判断标准相似。同时,《信息安全技术 重要数据识别指南(征求意见稿)》指明识别重要数据的基本原则、明确重要数据的识别因素等,为各行业、地区、部门制定本行业、本地区、本部门的重要数据具体目录或企业识别其自身掌握的重要数据提供参考和指引。详细分析可以参考我们在<《重要数据识别指南》新版草案出台,兼议十二项企业合规义务>一文中的的解读。
表四
此外,《管理办法(二审稿)》还顺应着《数据安全法》关于构建数据分级分类管理制度的要求,提出了三点更细化的落地思路。即其一,工业和信息化领域数据处理者应当定期梳理数据,按照《信息安全技术 重要数据识别指南(征求意见稿)》等相关标准规范识别重要数据和核心数据并形成目录。其二,企业应根据自身性质,将重要数据和核心数据目录向对应的地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)进行备案。其三,企业应对各类数据按照一般数据、重要数据和国家核心数据三个等级的不同要求实行分级防护,对于不同级别数据同时被处理且难以分别采取保护措施的,应当“就高不就低”。换言之,当不同类别的数据在评估其危害对象时,不同对象可能遭受到的危害程度各有不同时,以所有适用的保护对象中受危害程度最深(暨需要保护级别最高)的那一类为最后定级的标准。
三、明确数据全生命周期安全管理制度
(一)细化数据处理者职责
《数据安全法》原则性地规定了开展数据处理活动应建立健全数据安全管理制度,履行相应的数据安全保护义务;《管理办法(二审稿)》进一步规定了数据处理者的主体责任,并针对不同级别数据,从数据收集、存储、使用、加工、传输、提供、公开等全命周期环节提出分级保护要求。如《数据安全法》仅就数据收集进行规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。《管理办法(二审稿)》第十四条在此基础上,进一步明确企业应当采取的管理措施和记录内容,并就间接途径获取重要数据和国家核心数据的情形对数据提供方提出签署相关协议、承诺书等要求。此外,除了数据采集环节,《管理办法(二审稿)》还就数据的存储、使用加工、传输、提供、公开、销毁、出境以及转移等环节进行了详细规定,并明确该等环节中涉及重要数据与核心数据时的特殊要求(详见表五),为相关企业履行数据安全保护义务提供了具体的合规指引。
表五
其中,需要重点关注以下几方面:
1. 数据出境
《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第三十七条规定,关键信息基础设施的运营者在境内运营中收集和产生的重要数据应当在境内存储。确需向境外提供的,应当进行安全评估。《数据安全法》沿用了《网络安全法》的这一规定,并明确其他数据处理者所收集的重要数据的出境适用国家网信部门会同国务院有关部门制定的管理办法。《管理办法(二审稿)》在沿用《网络安全法》《数据安全法》的基础上,对“核心数据”提出了相同要求,即工业和信息化领域数据处理者应对在境内收集和产生的重要数据和核心数据进行本地化存储,确需向境外提供的,应当依法依规进行数据出境安全评估。与《管理办法(一审稿)》“核心数据一律不得出境”的规定相比,本次修订为核心数据的出境保留了可能。对于一般数据出境的规则,则应先判断其数据类型。如果属于个人信息的,适用《个人信息保护法》对于个人信息的出境思路,即针对非属于关键信息基础设施运营者和处理个人信息未达到国家网信部门规定数量的个人信息处理者,在没有特殊行业约束信息必须本地化外,一般根据《个人信息保护法》要求数据处理者实施了相关出境合规措施后,可以出境。如果属于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,原则上需要将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估后即可出境(但法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定)。对于不属于个人信息的一般数据,则需要进一步评估相关部门规章是否对出境有限制性要求,如果没有,还要看是否落入到出口管制的负面清单范围,如果也没有,则可以出境。
2. 数据删除
《管理办法(二审稿)》要求针对不同级别数据,从包括销毁等环节落实分级保护要求,同时建立数据销毁制度。有关数据销毁的要求并不是《管理办法(二审稿)》第一次提出,如国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中亦有提出。销毁是数据全生命周期的最后一环也因此形成了闭环,是一种物理删除。数据一经销毁后则无法再复原。《管理办法(二审稿)》对核心数据与重要数据的销毁处理尤其关注,我们理解这是因为该部分数据如果处理不当会对国家安全与社会稳定造成特别重大的影响。因此,如果基于法律规定、实际需求或合同约定,这些数据不再有保留需要,必须永久且不可恢复地删除的,该数据处理者就需要采取销毁数据的手段,以免留下安全隐患。但具体实践中,对于销毁工具的审核、流程及实施人员的处理规则、以及销毁后的审计与报备措施,可能会遇到实践中的挑战。
3. 安全风险评估
《管理办法(二审稿)》在《管理办法(一审稿)》的基础上,新增了关于安全风险评估和日志存留期限的规定。如果工业和信息化领域数据处理者跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施,并经相应领域的主管部门报工信部后,由工信部按照有关规定进行审查。
4. 明确留存处理日志的最低期限
工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,且日志留存时间不少于六个月。这与《网络安全法》的要求也是衔接和相称的。
(二)增加负责人管理义务
《数据安全法》规定重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。虽然《数据安全法》规定了单位与直接负责的主管人员都可能会受到处罚。但在实践中,企业内部参与项目的部门众多,谁为主要责任人的厘清仍然存在困惑。较为清楚地明确工业和信息化领域数据处理者应配备数据安全管理人员,统筹负责数据处理活动的安全监督管理。对于涉及重要数据和核心数据的工业和信息化领域数据处理者,应当建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人。针对很多企业困惑究竟哪些人可能成为《数据安全法》下的直接责任人,《管理办法(二审稿)》第一次提出了如此清晰的界定。同时,明确要求关键岗位人员签署数据安全责任书。由此可见,一旦《工业和信息化领域数据安全管理办法》依照二审稿的状态生效试行,涉及重要数据和核心数据的企业需要进一步明确企业内部相关部门和岗位的设置要求,并按照上述要求落地实施。
四、构建对重要数据和核心数据的目录备案制度和登记审批机制
《数据安全法》未就备案制度进行规定,《管理办法(一审稿)》首次提出备案的概念,《管理办法(二审稿)》在其基础上进一步明确目录备案制度,并新增了数据类别、级别等备案要求。构建该制度的原因在于工业和信息化领域的数据多与经济运行相关,属于国家重点监管的数据类型之一,加强监管部门对相关企业的管控,有利于保障国家经济安全与发展。因此,作为监管对象的工业和信息化领域数据处理者应当按照有关要求进行目录备案,备案内容应当包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括具体数据本身。同时,《管理办法(二审稿)》新增了主管部门的审核期限,即各领域主管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作,备案内容符合要求的,予以备案并发放备案凭证,同时将备案情况报工信部;不予备案的应当及时将决定反馈备案申请人并说明理由。另外,关于备案内容,《管理办法(一审稿)》仅笼统规定备案内容发生变化的,应在三个月内报备变更情况,同时对整体备案情况进行更新,没有进一步指出哪些“备案内容”变化需要更新,接收报备的部门,以及进行备案情况更新的责任主体。而《管理办法(二审稿)》明确了变化时需进行更新的“备案内容”,即对重要数据、核心数据的变化和其他内容的变化进行区分,并细化了“变化”的判断标准,即重要数据和核心数据的类别或规模变化达到30%以上,或者其它备案内容发生重大变化的,工业和信息化领域数据处理者应当在上述发生变化之日起三个月内履行备案变更手续。同时,《管理办法(二审稿)》也要求工业和信息化领域数据处理者当其重要数据和核心数据处理环节发生变化时提交更新备案,例如销毁重要数据和核心数据的,或因兼并、重组、破产等原因需要转移重要数据和核心数据的,均应当及时更新备案。
此外,《管理办法(一审稿)》仅规定在使用、加工这一环节对重要数据和核心数据建立登记、审批机制并留存记录。而《管理办法(二审稿)》删除了这一限定范围,意味着工业和信息化领域数据处理者应在重要数据和核心数据的处理活动全生命周期内建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
五、强化安全评估、监测预警与应急管理等义务
《管理办法(二审稿)》第四章至第六章明确了工业和信息化领域数据处理者应承担开展安全评估、加强监测预警与应急管理、协助监督检查以及配合安全审查的义务。
(一)开展安全评估的义务
《数据安全法》第三十条规定了重要数据处理者定期开展风险评估并向主管部门报送评估报告的义务;《管理办法(二审稿)》第三十一条细化了安全评估规则,即工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年至少开展一次安全评估,及时整改风险问题,并向相应领域的主管部门报送评估报告。关于评估的具体实施以及评估机构的管理标准,仍然没有特别具体,有待监管部门未来进一步出台机构管理制度、评估规范或实施细则等文件。
(二)加强监测预警与应急管理的义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。根据该规定,企业在发生数据安全事件时应负有报告义务,但该条未明确“数据安全事件”的概念以及上报的时间限制(详细分析见<《数据安全法》正式出台,企业合规义务与红线,你了解吗?>一文)。《管理办法(二审稿)》第二十六条承接《数据安全法》的上述要求,明确了工业和信息化领域数据处理者具有风险监测义务,并且根据第二十七条要求,将防控风险的义务提前,规定工业和信息化领域数据处理者应及时将可能造成较大及以上安全事件的风险向相应领域主管部门报告。与《数据安全法》相比,这一规定增加了相关企业在发生数据安全缺陷、漏洞等风险并且可能造成安全事件时的报告义务。此外,为规范网络产品安全漏洞发现、报告、修补和发布等行为,《网络产品安全漏洞管理规定》提出了网络产品提供者、网络运营者以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人在发生网络漏洞时的相应义务。其中,网络产品提供者应履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
另外,《管理办法(二审稿)》第二十八条进一步细化了相关企业的应急处置义务,即工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,应当第一时间向相应领域主管部门报告,并要求相关企业每年向主管部门提交数据安全事件处置情况的总结报告。但是,“第一时间”在实践中如何界定仍是问题。此外,对于可能损害用户合法权益的数据安全事件,《管理办法(二审稿)》还要求企业应当及时告知用户,并提供减轻危害措施。该规定与《个人信息保护法》第五十七条规定的“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人”相衔接。但是,“及时”与“第一时间”的区别,法律也未作明确的规定。如何在实践中对二者进行更好的分辨,可能也需要进一步观察监管机构的执法案例。
(三)协助监督检查的义务
为加强监管部门对企业重要数据和核心数据报送和备案制度落实情况的监督力度,《管理办法(二审稿)》第三十二条规定,行业监管部门有权对工业和信息化领域数据处理者落实该办法的情况进行监督检查,工业和信息化领域数据处理者应当配合行业(领域)监管部门开展监督检查。
(四)配合安全审查的义务
根据《数据安全法》第二十四条,对影响或者可能影响国家安全的数据处理活动应进行国家安全审查。《管理办法(二审稿)》沿袭《数据安全法》关于安全审查的思路,明确工信部应在国家数据安全工作协调机制指导下,开展数据安全审查相关工作。另外,根据2022年2月15日生效的《网络安全审查办法》,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,也应进行网络安全审查。审查重点分为两类,一类是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险,一类是上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险,以及网络信息安全风险。
因此,如果工业和信息化领域数据处理者的数据处理活动影响或可能影响国家安全的,则相关企业可能需要同时接受工信部和网信办的安全审查。
六、建立投诉举报机制
《数据安全法》第十二条赋予了个人、组织向关主管部门投诉、举报的权利。《管理办法(一审稿)》细化了企业的答复方式和时限,即应当建立用户投诉处理机制,公布电子邮件、电话、传真、在线客服等联系方式,配备受理人员接收投诉,并于15 个工作日内答复。但是在《管理办法(二审稿)》中,仅保留“鼓励工业和信息化领域数据处理者建立用户投诉处理机制”的表述,删除了关于答复方式和时限的规定。我们认为,关于投诉举报机制的详细规定,多出现于个人信息保护领域的《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》等文件中。在非个人信息的领域中,投诉举报机制的建立难以一蹴而就,仍需在逐步提高企业合规意识的同时循序渐进、缓步推行。
结语
《管理办法(二审稿)》作为工业、电信和无线电行业的部门规章,厘清了“工业数据”、“电信数据”、“无线电数据”、“工业和信息化领域数据处理者”的基本概念,明确了界定不同级别数据(一般数据、重要数据、核心数据)的判定条件,构建了“中央部委-地方-企业”三级联动的数据分类分级、数据分级防护工作机制,和数据全生命周期管理制度等基本制度体系,规范了各参与主体的职责与权力,为监管机关的执法活动和企业的合规体系建设提供了重要指引。我们建议在中国境内开展工业和信息化领域数据处理活动的企业在该办法生效之前,尽可能按照《管理办法(二审稿)》的要求事先梳理本企业所涉数据及处理活动,重点对可能涉及的重要数据、核心数据,提前规划实施办法提出的各项合规要求。一旦办法正式出台并生效,则可以做到成竹在胸,从容应对。