作者:汉坤律师事务所 段志超 | 汪向阳丨左今
一、前言
自然资源部于2024年3月22日印发了《自然资源领域数据安全管理办法》(简称为“《管理办法》”),标志着自然资源领域数据安全管理尤其是重要数据管理制度逐项落地。《管理办法》进一步细化了自然资源领域的数据安全要求,为相关数据处理活动提供了明确的指导和规范,也将会对包括测绘和地图服务提供商、自动驾驶公司、智能网联汽车企业在内的相关数据处理者产生实质影响。
此外,继《数据安全法》的实施为各行各业的数据安全管理奠定了法律基础之后,包括工业和信息化、银行保险等多个领域均已相继发布了本领域的数据安全管理规定(包括征求意见稿)。在《网络安全法》《数据安全法》《个人信息保护法》等数据相关法规搭建起基本法规体系框架后,数据安全监管的垂直化趋势进一步显现。这和已经体现出行业特色的重要数据监管一起,将成为后续一个阶段里数据处理者需要关注的重心。
二、《自然资源领域数据安全管理办法》概述
《管理办法》全文共七章,与《工业和信息化领域数据安全管理办法(试行)》(简称为“《工信部管理办法》”)在结构上高度一致,部分规定内容也有相似之处。总体来说,《管理办法》明确了其适用范围,清晰划分了自然资源领域行业监管部门在数据安全监督方面的责任,同时从数据分类分级管理、数据全生命周期安全管理以及数据安全监测预警与应急管理三个方面对数据处理者提出了具体的合规要求。
明确受监管的对象与主体:《管理办法》旨在监管在中国境内开展的,或在境外履行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动。值得注意的是,《管理办法》将自然资源领域数据定义为在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据等自然资源管理数据。[1]因此,地图服务提供商、自动驾驶行业企业等如果在业务活动中处理了《管理办法》中规定的基础地理信息、遥感影像等自然资源管理数据,可能也会受到《管理办法》的监管。
多层级且权责一致的监管体系:《管理办法》明确了行业监管部门对于数据安全的监督责任,沿袭《工信部管理办法》规定,秉承“谁管业务,谁管数据,谁管数据安全”原则,定义了从自然资源部到地方行业监管部门(各省、自治区、直辖市自然资源主管部门、海洋主管部门)以及国家林业和草原局的监管职责。在重要数据与核心数据目录编制和报备、数据安全风险监测机制等具体合规要求上,也明确赋予了各层级监管部门的职责。
创新重要数据识别指标并建立数据目录:为落实《数据安全法》框架下的数据分类分级保护制度,《管理办法》结合自然资源领域数据特点,创新性地提出以参考指标判断重要数据和核心数据的方式。并且在参考指标的选择上,不再局限于影响后果的判定,还增加了覆盖范围、规模、精度等标准,更加审慎合理、易于操作。同时《管理办法》提出建立行业重要数据与核心数据目录(简称为“数据目录”),并要求数据处理者报备本单位的重要数据和核心数据目录,进一步推动国家重要数据和核心数据可识别可管控。
细化数据全生命周期的安全管理要求:《管理办法》还为自然资源领域的数据处理者提出了数据处理各环节的合规要求,涵盖了从数据收集到销毁的整个生命周期,并强调了重要数据和核心数据的特殊合规要求。企业应根据《管理办法》逐一落实数据全生命周期各处理环节的合规义务,具体合规要求请参见本文附件中的合规义务梳理表。
重要数据处理者应开展年度风险评估:数据安全监测预警与应急管理方面,《管理办法》明确要求重要数据处理者每年开展一次风险评估,并建议核心数据处理者优先使用第三方评估机构开展风险评估。该要求与汽车、工信领域的要求一致,对于同时落入多个行业的重要数据范围内的重要数据处理者,可能需要向不同的主管部门报送风险评估报告。此外,《管理办法》也要求数据处理者开展风险监测,建立风险报告机制,制定应急预案并每年向监管部门报告数据安全处置情况。
三、汽车行业测绘地理信息合规新动态
(一)汽车行业测绘地理信息相关规定
如前所述,《管理规定》的监管对象包括基础地理信息、遥感影像等地理信息数据,这些信息通常在测绘活动中产生,并被归类为“测绘地理信息”。由于测绘地理信息在实现高级别自动驾驶功能,以及制作自动驾驶技术所需的高精度地图中发挥着关键作用,因此,我们理解,智能网联汽车企业、自动驾驶相关企业以及地图服务提供商等都可能受到《管理规定》的影响。
在现有的法律框架下,测绘地理信息因其对国家安全的重要性而受到国家的严格监管,尤其体现在对测绘活动的严格资质限制。一方面,根据2022年自然资源部发布的《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》,智能网联汽车通过车辆的传感器处理测绘地理信息的行为被定义为测绘活动。另一方面,根据《测绘法》的要求,国家对从事测绘活动的单位实行测绘资质管理制度,同时根据2016年国家测绘地理信息局发布的《关于加强自动驾驶地图生产测试与应用管理的通知》,自动驾驶地图数据的采集、编辑加工和生产制作必须由具备甲级测绘资质的单位执行。因此,自动驾驶相关企业如想使用测绘地理信息,往往需要取得甲级测绘资质或与具备资质的图商进行合作。
此外,根据2020年自然资源部与国家保密局发布的《测绘地理信息管理工作国家秘密范围的规定》,部分测绘地理信息,包括一定范围的基础地理信息、遥感影像等属于国家秘密,受到更加严格的保密和监管要求。
(二)汽车行业测绘地理信息监管形势趋严
随着数据在国家安全领域的影响日益显著,对于测绘地理信息的监管和执法也随之加强。2021年,测绘单位统一复审换证过程中,31家持有测绘资质的企业中仅有19家通过复审,且几乎没有主机厂,有超过三分之一的企业未能继续持有测绘资质证书。此外,2021年某公司还因“未取得测绘资质证书,擅自从事测绘活动”和“使用未经依法审核批准的地图提供服务”受到北京市规划和自然资源委员会的行政处罚,没收违法所得高达千万。可见国家对于导航电子地图制作甲级测绘资质的审查趋于严格,对于测绘地理信息的安全保障也更加重视。
本次自然资源部发布的《管理规定》,更加强调和细化了对于测绘地理信息管理的数据分类分级、全生命周期安全管理和安全监测等合规要求。因此,地图服务提供商、自动驾驶行业企业等如果在业务活动中处理了《管理办法》中规定的基础地理信息、遥感影像等数据,需要密切关注《管理规定》的合规要求,确保数据处理活动符合最新的监管要求。
尽管监管政策日益严格,但不可否认测绘地理信息在推动高级别自动驾驶功能测试等高新技术领域扮演着至关重要的角色。我们认为,近年来国家对于测绘地理信息相关要求的加强和细化,目的在于构建一个更加全面和严格的监管框架,并通过法律手段确保测绘地理信息的安全。在企业能够符合法律要求的基础上,仍然可以期待未来对测绘地理信息进行合理开放的使用。
四、重要数据与核心数据监管动向
(一)重要数据与核心数据的认定
《管理办法》落实了《数据安全法》中国家建立数据分类分级保护制度的总体要求,提出了自然资源领域内的数据分类分级的标准,重要数据、核心数据和一般数据的定义,特别是明确了判断重要数据与核心数据的参考指标。
就数据分类,《管理办法》将自然资源领域的数据分为地理信息数据、自然资源调查监测数据、国土空间规划数据、自然资源管理数据等几类,并且提示分类将可能在后续发布的自然资源领域数据分类分级标准规范中进行细化。
就数据分级,《管理办法》提出了根据“数据重要性、精度、规模、安全风险,以及数据价值、可用性、可共享性、可开放性等,判断数据遭到篡改、破坏、泄露或者非法获取、非法利用后的影响对象、影响程度、影响范围”,从而为数据定级的综合判断标准。《管理办法》延续了《数据安全法》《工信部管理办法》等法律规定的分级思路,将数据分为一般数据、重要数据和核心数据三个级别,同时根据自然资源领域的数据特点,创新性地提出了判断重要数据的参考指标。
从重要数据判定的参考指标上来看,《管理办法》对于重要数据的判定仍以国家安全为核心,大部分指标采用了结果导向原则,但同时也结合自然资源领域数据的特点,提出了“覆盖范围广、规模大、精度高”等数据性质方面的衡量指标,便于数据处理者自行判断。这些指标与最近发布的《GBT 43697-2024数据安全技术 数据分类分级规则》(简称为“数据分类分级国标”)中的重要数据识别指南附录相辅相成,后者列出了17项考量因素,其中也包括“直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据”等自然资源领域重要数据判断的因素,与《管理办法》的理念有一致之处。可以看出,数据分类分级国标提供了全行业的指导性要求,而《管理办法》则针对自然资源领域的重要数据识别提供了更为明确的指导。
预计随着自然资源部发布数据分类分级标准规范,重要数据的识别将被进一步厘清。此外,数据处理者在自行判断并上报重要数据和核心数据后,还需经过国家有关部门的认定,以确保最终形成的数据目录符合国家数据安全管理的要求。
(二)建立双向重要数据与核心数据目录识别与报备机制
为了有效推进国家重要数据与核心数据的识别工作,落实本领域数据分类分级保护制度,《管理办法》提出建立行业重要数据与核心数据目录,并要求数据处理者形成本单位的重要数据和核心数据目录。
与《工信部管理办法》类似,《管理办法》提出了一种双向识别与完善重要数据和核心数据目录的机制,这一机制包括“自上而下”的编制与审核数据目录和“自下而上”的定期更新与报备数据目录。
具体而言,就行业数据目录,《管理办法》规定自然资源部负责制定自然资源领域的数据分类分级标准、重要数据与核心数据的识别认定以及数据安全保护的相关规范。地方行业监管部门负责组织并实施数据分类分级管理工作,进行重要数据与核心数据的识别和审核。自然资源领域数据处理者则负责定期填写并上报重要数据和核心数据目录。
此外,针对数据处理者自身的数据目录,《管理办法》规定了分层级报备制度,要求自然资源部所属的数据处理者应当将本单位的重要数据和核心数据目录向自然资源部报备,其他数据处理者应当将本单位数据目录向本地区行业监管部门报备。报备后,数据目录都将最终经过国家有关部门的认定并反馈给数据处理者。
这一机制有利于推动重要数据和核心数据目录的建立,并确保数据目录的时效性。对于数据处理者来说,应当密切关注自然资源部发布的标准规范,这将直接影响数据处理者如何识别并上报重要数据与核心数据。
五、结语
总体来说,《管理办法》响应了《数据安全法》中的国家数据安全工作协调机制,为自然资源领域的数据安全管理提供了指引,特别是进一步推动了该领域国家重要数据和核心数据的识别、分类分级保护以及数据安全风险信息的监测、分析、研判和预警等机制的落地。相关数据处理者后续应保持对数据目录和重要数据监管具体要求的关注,及时调整自身数据处理行为以及采取相关合规措施,避免由《管理办法》落实带来的合规风险。
附件:
《自然资源领域数据安全管理办法》数据处理者合规义务总结
注释
[1] 《自然资源领域数据安全管理办法》第三条,本办法所称自然资源领域数据,是指在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。
本办法所称自然资源领域数据处理者(以下简称数据处理者),是指开展自然资源领域数据处理活动的自然资源行业各类单位。
本办法所称数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
[2] “两统一”指统一行使全民所有自然资源资产所有者职责、统一行使所有国土空间用途管制和生态保护修复职责。
[3] 自然资源部所属的数据处理者应当将本单位重要数据和核心数据目录向自然资源部报备,国家林业和草原局所属的数据处理者应当将本单位重要数据和核心数据目录向国家林业和草原局报备,其他数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门报备。
[4] 报备内容包括但不限于数据类别、级别、规模、精度、来源、载体、使用范围、对外共享、跨境传输、安全情况及责任单位情况等,不包括数据内容本身。
[5] 重大变化是指数据内容发生变化导致原有级别不再适用的,或某类重要数据和核心数据规模变化30%以上的,等等。
[6] 本单位法定代表人或主要负责人是数据安全第一责任人,领导班子中分管数据安全的班子成员是直接责任人,其他成员对职责范围内的数据安全工作负领导责任,履行数据安全保护义务,接受监督。
[7] 责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。
[8] 涉及国家机关依法履职或单位内部流动的除外。
[9] 风险评估报告应当包括处理的重要数据的类别、数量,开展数据处理活动的情况,面临的数据安全风险、应对措施及其有效程度等。
本文作者
段志超
+86 10 8516 4123
kevin.duan@hankunlaw.com
业务领域
知识产权诉讼、数据合规、知识产权交易
汪向阳 | 汉坤律师事务所
左今 | 汉坤律师事务所
实习生李雅琪对本文的写作亦有贡献。
声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。