作者:汉坤律师事务所 段志超丨蔡克蒙

2022年2月10日,根据2021年9月30日公布的《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)(“《管理办法》”)收到的公开意见,工业和信息化部(“工信部”)对该法规草案进行了修改完善,再次面向社会征求意见,反馈截止时间为2022年2月21日。

2021年以来,针对如何落实《中华人民共和国数据安全法》(“《数据安全法》”)以及《中华人民共和国个人信息保护法》(“《个人信息保护法》)”),工信部和国家互联网信息办公室(“网信办”)分别出台了具体的实施细则,并侧重于不同领域。针对工业和信息化领域数据安全管理,工信部出台了上述《管理办法》,对接《数据安全法》等法律法规要求,在工业和信息化领域对国家数据安全管理制度进行细化,明确开展数据分类分级保护、重要数据管理等具体要求,构建工业和信息化领域数据安全监管体系[1]。针对网络数据[2],网信办于2021年11月14日,公布了《网络数据安全管理条例(征求意见稿)》(“《网络数据条例》”)。该条例针对《数据安全法》和《个人信息保护法》中的相关制度设计了实施路径;针对上位法中的相关要求进行细化和明确;并创设增加了一些新的要求,例如重要数据处理者备案要求和年度报告要求、数据出境安全管理义务、网络平台责任等。

目前《管理办法》和《网络数据条例》均处在编写阶段,两者作为数据安全领域的两大主要监管部门工信部和网信办分别出台的实施细则,虽然部分内容存在交叉,但同时也强调了与数据本身属性相关的监管内容,潜在地为工信部和网信办之间的监管范围和路径做出了区别。

修改后的《管理办法》条目由原先的八章四十四条缩减为八章四十一条。

《管理办法》主要修改内容有:

  • 强调个人信息单独保护:新增《个人信息保护法》作为目的依据。

  • 扩充数据定义:将无线电数据纳入适用范围。

  • 明晰监管机构职权范围:明确工信部对地方监管部门的督促指导作用。

  • 修改分级分类标准:判定标准和细分标准发生变化。

  • 明确备案机制:补充备案申请、审批、变更相关要求。

  • 严格主体责任:法定代表人负责制,加强内部管理。

  • 更新全生命周期合规要求:取消核心数据不得出境,新增核心数据跨主体处理要求。

  • 统筹协调数据安全审查:灵活化安全评估、监督协助等要求。

我们将在下文对比《管理办法》(0930版)和《管理办法》(0210版),梳理此次修订的重要内容,并同时提出我们的解读。

一、强调个人信息单独保护:新增《个人信息保护法》作为依据

在《管理办法》(0930版)的起草说明中曾强调《管理办法》秉承《数据安全法》将个人信息纳入重要数据目录和核心数据目录进行重点保护的工作理念,将个人信息纳入数据全生命周期安全管理,不再单独提出个人信息保护的要求[3]。因此《管理办法》(0930版)将《网络安全法》、《数据安全法》作为上位法基础,但并未提及《个人信息保护法》。但在此次最新发布的《管理办法》(0210版)中,新增了《中华人民共和国个人信息保护法》作为目的依据,并且在具体条款中也调整了关于个人信息的规定,例如:

  • 在第八条【分级分类方法】的数据分类类别列举中,删除了“个人信息”的表述,保留了原先的管理数据、运维数据、研发数据等非个人信息;

  • 在第八章附则中新增第三十七条【个人信息保护】,“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。”

综上可见,《管理办法》(0210版)调整了对于个人信息的规制思路,由原先的“纳入重要数据目录和核心数据目录统一管理”到强调个人信息的单独保护。此变化是为了与此前发布的相关法律文件形成统一。在《管理办法》(0930版)发布后,2021年11月14日《网络数据条例》公开向社会征求意见,其中明确了重要数据和核心数据的定义,并不包含个人信息。此外,无论是2021年9月23日全国信息安全标准化技术委员会秘书处发布的国家标准《信息安全技术 重要数据识别指南》征求意见稿(“《指南》”)第一版,还是2022年1月13日发布的《指南》修订版,其中重要数据的定义中,均明确说明“重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。”为实现法律规定的统一协调,此次《管理办法》(0210版)中改变了对于个人信息管理的思路,强调《个人信息保护法》作为个人信息保护基础性法律的作用。

二、扩充数据定义:将无线电数据纳入适用范围

《管理办法》(0210版)在第三条数据定义中修改了如下表述:

  • 明晰了工业和信息化领域数据包括三类:即工业数据、电信数据和无线电数据。

  • 删除行业领域的具体列举:在《管理办法》(0930版)中,对工业和信息化领域进行了列举,如“原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域”。但是在《管理办法》(0210版)中,删除了列举表述,而是用“工业和信息化领域”作为统称,此修改更有抽象概括性,避免了无法穷尽列举和实践变化导致的法律不兼容问题。

  • 新增无线电数据的定义:即“无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据”。《管理办法》(0210版)在定义条款中将无线电数据纳入适用范围的同时,还对应修改了配套制度,例如新增“无线电频率、台(站)使用单位”作为工业和信息化领域数据处理者;新增无线电管理机构作为监管机构之一;将电磁所受影响纳入重要数据与核心数据判定标准。

三、明晰监管机构职权范围:明确工信部对地方监管部门的督促指导作用

《管理办法》(0210版)中对中央和地方主管部门的职权进行了进一步明晰:

  • 中央层面:要求工信部的监督管理活动需要遵守国家数据安全工作协调机制统筹安排。此前提的补充是为了解决此前数据监管“九龙治水”的局面,强调数据安全工作的统筹协调。

  • 地方层面:《管理办法》(0930版)中并未明晰层层监管的架构,尤其是中央层面对地方层面的监督。《管理办法》(0210版)进行了修改,明确了工信部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团的地方工业和信息化主管部门、地方通信管理局和地方无线电管理机构;由地方工业和信息化主管部门、地方通信管理局和地方无线电管理机构负责监督本地区的数据处理活动。

  • 强调上述行业(领域)监管部门需依照有关法律、行政法规的规定,依法配合有关部门开展的数据安全监管相关工作。

四、修改分级分类标准:判定标准和细分标准发生变化

《管理办法》再次重申了《数据安全法》确立的数据分类分级管理要求,在《管理办法》(0210版)对分级分类工作要求、方法、一般数据、重要数据以及核心数据判断标准进行了修改调整。主要体现在以下方面:

  • 工作要求:《管理办法》(0210版)中将【分级分类工作要求】提前到第七条;地方工业和信息化主管部门、通信管理局、无线电管理机构新增了重要数据和核心数据具体目录上报更新义务;删除了企业应当坚持先分类后分级的工作方法。

  • 分级分类方法:补充新增工业和信息化领域数据处理者可在一般数据、重要数据和核心数据三级基础上细分数据的类别和级别。

  • 判定标准:取消“恢复数据或消除负面影响所需付出的代价程度”作为一般数据或重要数据的判定标准;在核心数据判断标准中,新增无线电数据场景。

然而,此次修改并未对“重大影响”、“严重影响”、“重大损害”等判断因素进行量化,故企业如何在实践中落实重要数据和核心数据的分级分类工作仍有待主管部门提供更明确的指引。

五、明确备案机制:补充备案申请、审批、变更相关要求

《管理办法》(0210版)在《管理办法》(0930版)的基础上,针对重要数据和核心数据目录备案义务进行了进一步细化和明晰,具体表现如下:

  • 备案机构:明确工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)备案。

  • 备案内容:调整了语言表述,对原先备案内容进行了更为严谨的整合;并明确备案内容不包括数据内容本身。

  • 备案审核时间:要求地方工信部门、通信管理局、无线电管理机构在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作;

  • 审核结果:予以备案应发放备案凭证,同时将备案情况报工信部;不予备案的应当及时反馈备案申请人并说明理由。

  • 备案变更要求:重要数据和核心数据的类别或规模变化30%以上的,或者其它备案内容发生重大变化,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。

  • 更新备案要求:销毁重要数据和核心数据需要向工信部门、通管局、无线电管理机构更新备案。

六、严格主体责任:法定代表人负责制,加强内部管理

《管理办法》(0930版)中明确了企业落实数据安全管理义务的第一步将是建立健全数据安全组织架构,并进一步要求企业党委(党组)或领导班子对数据安全负主体责任、主要负责人是数据安全第一责任人、分管数据安全的负责人是数据安全直接责任人。而《管理办法》(0210版)对原来的第十三条【主体责任】、第十四条【工作体系】、第十五条【关键岗位管理】和第十六条【数据收集】进行了整合,修改删减为第十三条【主体责任】。在内容上也进行相应调整:

  • 确定法定代表人负责制:将“本单位党委(党组)或领导班子对数据安全负主体责任”改为“本单位法定代表人或者主要负责人是数据安全第一责任人”。此调整更符合法律责任要求,党委或领导班子是行政上的设计,无法适用于所有的企业,但是法定代表人是公司法制度的核心设计,体现了责任的承担,更适合担任数据安全责任人。

  • 严格内部管理制度:针对重要数据和核心数据处理者,新增要求“建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录”。

对于可能处理重要数据、核心数据的企业,需要密切关注此项调整,进而重新设计内部组织架构,可能承担责任的法定代表人、主要负责人、直接责任人以及关键岗位人员需提高数据合规重视度,积极参与数据安全的各类培训,提升数据治理专业能力。

七、更新全生命周期合规要求:取消核心数据不得出境,新增核心数据跨主体处理要求

《管理办法》(0210版)针对数据全命周期的不同环节,再次更新了适用各级别数据的通用要求、以及处理重要数据与核心数据应遵守的额外要求。如下合规变化值得企业关注:

  • 数据存储:新增存储重要数据和核心数据的,需定期开展数据恢复测试。

  • 数据使用加工:删除“未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动”。

  • 数据公开:删除“对涉及个人隐私、个人信息、商业秘密、保密商务信息不得公开”。

  • 数据销毁:新增“销毁重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案”。

  • 数据出境:取消核心数据不得出境的要求,统一核心数据和重要数据出境监管要求,即确需向境外提供时,应当依法依规进行数据出境安全评估。

  • 核心数据跨主体处理:新增第二十四条,要求跨主体提供、转移、委托处理核心数据的,应当评估安全风险,采取必要的安全保护措施,并经由地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)报工信部。工信部按照有关规定进行审查。

  • 用户权利响应:《管理办法》(0930版)中第二十九条【举报投诉处理】中曾要求“工业和电信数据处理者应当建立用户投诉处理机制,公布电子邮件、电话、传真、在线客服等便捷有效的联系方式,配备受理用户投诉的人员接收数据安全相关投诉,并自接到投诉之日起15个工作日内答复投诉人”,此为强制性义务。但是在《管理办法》(0210版)中删除了该表述,并改为了“鼓励工业和信息化领域数据处理者建立用户投诉处理机制”,减轻了数据处理者应对用户投诉的合规义务。

八、统筹协调数据安全审查:灵活化安全评估、监督协助等要求

根据此前的《管理办法》(0930版),国家通过数据安全检测、评估、认证,以及监督检查、安全审查,落实数据安全监督管理。企业需要履行开展安全评估、协助监督检查以及通过数据安全审查的合规义务。此次,《管理办法》(0210版)对第五章【数据安全监测、认证、评估管理】和第六章【监督检查】进行了灵活化调整,主要体现在以下方面:

  • 放宽认证机构管理:此前《管理办法》(0930版)第三十二条明确要求工业和信息化部和地方监管部门建立数据安全检测、评估与认证机构管理制度,制定机构认定标准,开展机构选拔认定、资质授权、日常管理和推荐目录发布等工作。但《管理办法》(0210版)中删除了由监管部门开展机构选拔以及资质授权的要求,改为了“工业和信息化部鼓励、引导具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作”。

  • 取消一般数据处理者的自评估要求:《管理办法》(0930版)第三十三条鼓励一般数据处理者开展安全自评估,但是在《管理办法》(0210版)中删除了该表述,仅强调重要数据和核心数据处理者应自行或委托第三方评估机构展开评估。

  • 取消预留检查接口要求:《管理办法》(0930版)第三十四条规定,企业有配合行业监管部门开展监督检查、并预留检查接口的义务。对于企业而言,主管部门可通过检查接口访问并审查的数据范围、接口的技术标准与调用条件,可能是企业最为关心的事项。但在《管理办法》(0210版)中删除了预留检查接口这项要求,仅为笼统地要求企业配合监管部门检查。

  • 统筹协调数据安全审查:《管理办法》(0930版)第三十五条规定,工信部在国家数据安全工作协调机制指导下,对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查。另一方面,2022年1月4日,网信办、中国证券监督管理委员会等十三部委正式联合出台了修订后的《网络安全审查办法》,其中将数据处理活动纳入了审查范围,其中“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”是网络安全审查重点评估的因素。可见,若依据《管理办法》(0930版)则数据处理者会同时面对基于工信部《管理办法》与网信办《网络安全审查办法》的双重审查。此次《管理办法》(0210版)中删除了“对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查相关工作”的要求,仅强调工信部需在国家数据安全工作协调机制指导下开展数据安全审查工作,对未来工信部和网信办如何统筹协调数据安全审查保留了灵活性。

九、结语

本次《管理办法》(0210版)修改内容较多,除了以上重要实质合规义务的修改,在语言表述以及法律责任承担上也进行了调整(例如删除了将数据处理者的安全管理责任纳入信用管理和失信名单的要求)。此次调整体现了《管理办法》与相关法律法规的统筹协调,修正了相关概念表述,灵活调整了监管和合规思路。《管理办法》作为工业和信息化领域数据安全管理的顶层设计,提出了多项新增和细化的合规要求,建议工业和信息化领域数据处理者密切关注。

[1] 参见《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》起草说明,访问地址:https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20219/1d1668e46e644b42b04a95db43854607.pdf。

[2] “网络数据”指任何以电子方式对信息的记录,英文翻译为“cyber data”,不限于利用“网络”(internet或network)产生或在其中处理的数据。访问地址:https://mp.weixin.qq.com/s/3uewzfNMEP_2Rr9SpaULnw。

[3] 参见《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》起草说明,访问地址:https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20219/1d1668e46e644b42b04a95db43854607.pdf。

实习生赵怡冰对本文的写作亦有贡献。

声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。