数据安全有法可依:工信部新规明确多项主体责任,违者可追刑责


近日,工业和信息化部印发了《工业和信息化领域数据安全管理办法》(工信部网安〔2022〕166号),(以下简称《管理办法》)。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。

尤其受到注意的是,《管理办法》规定了对于数据分级保护,并明确了重要数据处理者要履行的数据安全保护义务。对于数据出境,《管理办法》也就如何开展数据出境安全评估做出了规定。而违反《管理办法》的主体,可能被处以没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,还将会被追究刑事责任。

专家指出,这一管理办法可以看做是《中华人民共和国数据安全法》在工信领域的具体解释和操作细则,为工信部门的数据安全监管提供了依据,也让广大数据处理者明确了在数据安全方面的责任义务,在数据安全管理风险造成违法犯罪行为和实际损失之前,防范于未然。

 

数据安全风险日益突出,新规明确“谁来管、管什么、怎么管”

在印发《管理办法》的同时,工信部网络安全管理局对《管理办法》的出台背景、主要内容等方面进行了解读。网络安全管理局方面表示,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日,《中华人民共和国数据安全法》正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中明确工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。

《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。

从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。

电信行业专家付亮在接受新京报贝壳财经记者采访时表示,在出台《管理办法》之前,工信部对于数据处理者工信数据安全领域违法违规行为的处理依据尚不够清晰,能够采取的处罚措施的力度也稍显不足。有了《管理办法》之后,工信部在工信数据安全管理方面也就有了一个更好的抓手。

 

明确数据分级保护,重要数据处理者需承担更高义务

工信部网络安全管理局有关负责人指出,《管理办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。

《管理办法》依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:一是开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;二是加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的应第一时间进行上报;四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。

付亮告诉新京报贝壳财经记者,这些具体的数据保护制度,对各类数据处理者的数据安全责任,提出了更高的要求。“没有这些要求的时候,企业如果因为各种疏忽或者漏洞,造成了数据泄露或者其他安全问题,就比较难以明确其是否有责任。”付亮表示,现在,这些要求对于数据处理者方方面面的责任都进行了详细的规定,没有做到位的,都可能会被追究责任,可以更好地保护数据安全。”

按照《管理办法》,数据处理者应当定期梳理本单位数据资源,按照所属行业标准规范识别重要数据后,向本地区行业监管部门备案重要数据目录。当备案内容发生重大变化后,数据处理者应当及时履行备案变更手续,保证目录备案的时效性、准确性与真实性。《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。

 

重要、核心数据出境需开展安全评估,违规行为最高可追究刑责

《管理办法》规定,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。

《管理办法》进一步明确,非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。

而工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。

对于数据安全风险和违规行为,《管理办法》规定,行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。

值得注意的,《管理办法》还专门对中央企业的数据安全管理进行了规定。包括三大运营商在内的多家大型央企都受到这些规定的约束。中央企业是国民经济的重要支柱和骨干力量,产生、汇聚了大量关系国计民生的重要数据。中央企业所属公司业务既受地方行业监管部门管理,也受集团公司管理。因此,《管理办法》对中央企业提出两项工作要求:一是督促所属公司按照属地行业监管部门要求,履行重要数据目录备案、风险信息上报等要求。二是做好集团本部数据安全保护工作,全面梳理汇总集团本部、所属公司相关情况,及时向工业和信息化部报送。付亮表示,中央企业往往掌握了大量关乎国计民生的重要数据,在数据安全管理方面的责任也比较大,这方面的规定也将有利于中央企业开展数据安全保护工作。