《管理办法》指出,工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。并根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将数据分为一般数据、重要数据和核心数据三级。
12月13日,工信部网站印发《工业和信息化领域数据安全管理办法(试行)》,《办法》共八章四十二条,主要内容包括界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责;确定数据分类分级管理、重要数据识别与备案相关要求;针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求等七个方面,自2023年1月1日起施行。
《管理办法》明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全生命周期安全义务。同时,构建了工业和信息化领域数据安全监管体系,明确工业和信息化部、地方行业监管部门的职责范围,建立权责一致的工作机制。此外,根据工业、电信、无线电领域的实际情况,明确数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。
监管范围方面,《管理办法》指出,数据处理主体主要包括工业数据处理者、电信数据处理者以及无线电数据处理者;处理对象则包含工业数据、电信数据和无线电数据等;相关数据收集、存储、使用、加工、传输、提供、公开等活动均属于监管范围。
《管理办法》指出,工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。并根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将数据分为一般数据、重要数据和核心数据三级。
其中,级别最高的核心数据,包括对政治、国土、军事、经济、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的数据;对工信领域重要骨干企业、关键信息基础设施、重要资源等造成重大影响的数据;对工业生产运营、电信网络和互联网服务等业务开展造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等的数据;以及经工信部评估确定的其他核心数据。
重要数据则是指对政治、国土、军事、经济、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的数据;对工信领域发展、生产、运行和经济利益等造成严重影响的数据;造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大的数据等。
《管理办法》依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:
一是开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;
二是加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;
三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的应第一时间进行上报;
四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。
《管理办法》还要求,工信领域数据处理者对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。