2024年3月22日,自然资源部发布《自然资源领域数据安全管理办法》,成为继2023年1月1日生效的《工业和信息化领域数据安全管理办法(试行)》之后,第二部正式发布并生效的行业数据安全管理办法。本文将从以下几个方面介绍这两部行业数据安全管理办法:

《自然资源领域数据安全管理办法》的重要突破

六个首次明确

《自然资源领域数据安全管理办法》的重要突破,涉及多个“首次明确”:

1、首次明确,核心数据须由行业监管部门报国家数据安全工作协调机制认定;

2、首次明确,涉及核心数据处理的人员、系统建设和运维单位等,应提交“公安机关、国家安全机关进行国家安全背景审查”;

3、首次明确,为保障数据安全管理责任的落实,企业应当加强人员和经费保障;

4、首次明确,存储重要数据的信息系统应落实等保三级,存储核心数据的系统应落实关基安全保护或等保四级;

5、首次明确,提供、共享核心数据,自本年度1月1日起可能累计达到总量30%及以上的,应当经自然资源部报国家数据安全工作协调机制组织风险评估;

6、首次明确,销毁重要数据和核心数据的,应当事前向行业监管部门报告数据销毁方案

图解《自然资源领域安全管理办法》的重点内容

《自然资源领域数据安全管理办法》对比《工业和信息化领域数据安全管理办法(试行)》

1、两部《办法》总体篇章架构高度一致,条文重点内容高度一致;两部最先发布的行业数据安全管理办法,其一致性对其他行业数据安全管理办法具有较高借鉴价值,对其他强监管行业的企业提前布局数据安全管理工作也具有较高参考价值;

2、更加细化数据处理者管理措施要求,更具有实操落地性;

3、更加强调落实数据全生命周期各环节的安全技术措施,并对安全技术措施进行较多举例;

4、对数据处理者总体要求更加严格,提出更多程序性要求;

行业数据安全监管趋势

对各类数据实行分级防护,已成为数据安全管理工作的基础。2024年3月22日,《促进和规范数据跨境流动规定》正式发布生效,其第二条规定:“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”企业暂时大大松了口气,不用再为“处理的数据是否为重要数据”战战兢兢,重要数据识别认定的迫切压力给到了行业监管部门。

随着《自然资源领域数据安全管理办法》的发布生效,预计自然资源部下一步将出台自然资源领域重要数据识别指南,指导本行业各单位开展重要数据识别及目录报备工作。同样的,重要数据的识别认定将成为各行业监管部门开展数据安全监管工作最为迫切需要解决的问题,同时也成为企业数据安全管理工作的重中之重。

两部行业数据安全管理办法的发布和生效,预示着其他强监管行业的数据安全管理办法将逐步落地,各企业可参照这两部篇章结构高度一致,数据安全管理要求大体一致的行业数据安全管理办法,提前进行数据安全管理工作体系、安全管理制度搭建以及安全管理措施和技术措施落地的布局。

两部《办法》逐条对比

赛博数据出境合规业务简介

赛博研究院在数据出境合规领域有丰富案例经验,已成功协助多家跨国集团(零售、制造业、金融等)通过国家网信办数据出境安全评估和省级网信办个人信息出境标准合同备案,如有相关业务需求,请与我们联系:public@sicsi.org.cn。

作者|刘境棠/赛博研究院 咨询总监&高级研究员

刘能斌/赛博研究院 助理研究员

参考来源|自然资源部、工业和信息化部官网

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。