9月30日，工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（下稱《管理辦法》）并面向社會公開征求意見。南都記者注意到，《管理辦法》是數(shù)安法施行后，首個由行業(yè)、領(lǐng)域主管部門制定發(fā)布的數(shù)據(jù)安全相關(guān)法規(guī)。

　　有專家對南都記者表示，《管理辦法》提出“數(shù)據(jù)銷毀”在國內(nèi)數(shù)據(jù)安全層面的法律法規(guī)中尚屬首次，之后還需公證、審計(jì)等第三方服務(wù)跟進(jìn)。而《管理辦法》對權(quán)責(zé)劃分的細(xì)化規(guī)定將在“定崗定責(zé)”和“定崗定人”兩方面形成更具體的業(yè)務(wù)指引。

　　文 / 蔣琳 樊文揚(yáng) 尤一煒

　　圖片

　　明確重要數(shù)據(jù)、核心數(shù)據(jù)判定條件

　　一個月前，《中華人民共和國數(shù)據(jù)安全法》（下稱“數(shù)安法”）正式施行。數(shù)安法第六條明確，工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。

　　為貫徹落實(shí)數(shù)安法等法律法規(guī)，加快推動工信領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化，工信部起草了《管理辦法》?！豆芾磙k法》共八章四十四條，是工信領(lǐng)域數(shù)據(jù)安全管理頂層設(shè)計(jì)，內(nèi)容包括全面對接數(shù)安法要求，構(gòu)建工信領(lǐng)域數(shù)據(jù)安全監(jiān)管體系，以及明確數(shù)據(jù)保護(hù)要求。

　　南都記者注意到，國家互聯(lián)網(wǎng)信息辦公室于2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》針對在中國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)收集、存儲、傳輸、處理、使用等數(shù)據(jù)活動，以及數(shù)據(jù)安全的保護(hù)和監(jiān)督管理做出規(guī)定，主要管理對象為個人信息和重要數(shù)據(jù)。

　　此次的《管理辦法》則聚焦工信領(lǐng)域，擬將監(jiān)管對象限定為工業(yè)領(lǐng)域的原材料、裝備、消費(fèi)品、電子信息制造業(yè)、軟件和信息技術(shù)服務(wù)業(yè)、民爆等，以及電信行業(yè)的電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者。而涉及國家秘密信息、密碼使用等數(shù)據(jù)，軍事數(shù)據(jù)，政務(wù)數(shù)據(jù)，國防科技工業(yè)、煙草領(lǐng)域數(shù)據(jù)均被排除在外。

　　在北京清律律師事務(wù)所首席合伙人熊定中看來，《管理辦法》完全繼承了數(shù)安法的要求，稱得上是“應(yīng)有之義”。

　　“《管理辦法》實(shí)現(xiàn)了數(shù)安法在該領(lǐng)域提出的要求，且后續(xù)各個部門都會陸續(xù)推出類似規(guī)范。換言之，我們可以理解成數(shù)安法給各行業(yè)、各領(lǐng)域布置了一份‘作業(yè)’，如今各個部門制定相關(guān)管理辦法就是在‘交作業(yè)’，完成本部門數(shù)據(jù)安全相關(guān)的統(tǒng)籌規(guī)劃?！毙芏ㄖ姓f。

　　多位專家告訴南都記者，《管理辦法》的一大亮點(diǎn)在于明確了一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的判定條件。

　　此前出臺的相關(guān)法規(guī)中，數(shù)安法多次提到重要數(shù)據(jù)并首提國家核心數(shù)據(jù)，但沒有直接給出定義，只對國家核心數(shù)據(jù)做了部分列舉。國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》則將重要數(shù)據(jù)定義為“一旦泄露可能直接影響國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)”。

　　《管理辦法》中，根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益等造成的危害程度，將工信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。

　　第八條【一般數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù)：

　?。ㄒ唬怖婊蛘邆€人、組織合法權(quán)益造成較小影響，社會負(fù)面影響??；

　?。ǘ┦苡绊懙挠脩艉推髽I(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較??；

　?。ㄈ┗謴?fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價(jià)小；

　?。ㄋ模┢渌醇{入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。

　　第九條【重要數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù)：

　　（一）對政治、國土、軍事、經(jīng)濟(jì)、文化、社會、科技、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點(diǎn)領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全；

　?。ǘI(yè)、電信行業(yè)發(fā)展、生產(chǎn)、運(yùn)行和經(jīng)濟(jì)利益等造成影響；

　?。ㄈ┰斐芍卮髷?shù)據(jù)安全事件或生產(chǎn)安全事故，對公共利益或者個人、組織合法權(quán)益造成嚴(yán)重影響，社會負(fù)面影響大；

　?。ㄋ模┮l(fā)的級聯(lián)效應(yīng)明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響；

　?。ㄎ澹┗謴?fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價(jià)大；

　?。┙?jīng)行業(yè)監(jiān)管部門評估確定的其他重要數(shù)據(jù)。

　　第十條【核心數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù)：

　?。ㄒ唬φ巍?、軍事、經(jīng)濟(jì)、文化、社會、科技、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成嚴(yán)重威脅，嚴(yán)重影響海外利益、生物、太空、極地、深海、人工智能等重點(diǎn)領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全；

　?。ǘI(yè)、電信行業(yè)及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、重要資源等造成嚴(yán)重影響；

　?。ㄈI(yè)生產(chǎn)運(yùn)營、電信和互聯(lián)網(wǎng)運(yùn)行和服務(wù)等造成重大損害，導(dǎo)致大范圍停工停產(chǎn)、大面積網(wǎng)絡(luò)與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等；

　?。ㄋ模┙?jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)。

　　北京環(huán)球律師事務(wù)所合伙人孟潔認(rèn)為，相比數(shù)安法對國家核心數(shù)據(jù)的列舉，《管理辦法》對如何認(rèn)定國家核心數(shù)據(jù)進(jìn)行了細(xì)化，這表現(xiàn)在其對持有國家核心數(shù)據(jù)的企業(yè)規(guī)定了增強(qiáng)性的義務(wù)。

　　中國互聯(lián)網(wǎng)協(xié)會研究中心副主任、北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括表示，上述分類主要基于兩方面考慮，一是數(shù)據(jù)處理可能造成的權(quán)益影響，二是處理數(shù)據(jù)的具體業(yè)務(wù)場景?！斑@對于相關(guān)單位和企業(yè)在實(shí)際業(yè)務(wù)場景中落實(shí)數(shù)安法中的有關(guān)制度要求具有更強(qiáng)的可操作性?！彼f。

　　熊定中則認(rèn)為，《管理辦法》的數(shù)據(jù)分級在表述體系和口徑上與數(shù)安法完全一致，但“只進(jìn)行了概念上的描述”——“以‘對社會危害不大’這一標(biāo)準(zhǔn)為例，什么叫危害不大？其實(shí)還缺乏一個量化的標(biāo)準(zhǔn)?！?/p>

　　他進(jìn)一步指出，由于一般、重要和核心數(shù)據(jù)在管理規(guī)范上完全不同，處理一般數(shù)據(jù)只需自評，處理重要數(shù)據(jù)和核心數(shù)據(jù)則需要由工信部認(rèn)定的、有資質(zhì)的認(rèn)證機(jī)構(gòu)做出評估，因此工業(yè)或電信相關(guān)企業(yè)及機(jī)構(gòu)需要十分明確的指引。

　　數(shù)據(jù)安全法規(guī)層面首提“數(shù)據(jù)銷毀”

　　《管理辦法》還特別明確了數(shù)據(jù)全生命周期安全保護(hù)要求——針對不同級別數(shù)據(jù)，從數(shù)據(jù)收集、存儲、加工、 傳輸、提供、公開、銷毀、跨境、承接、委托處理等環(huán)節(jié)落實(shí)分級保護(hù)要求。

　　其中關(guān)于數(shù)據(jù)銷毀，《管理辦法》擬要求工信數(shù)據(jù)處理者建立數(shù)據(jù)銷毀策略和管理制度，明確銷毀對象、流程和技術(shù)等要求，對銷毀活動進(jìn)行記錄和留存。銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，不得以任何理由、任何方式對銷毀數(shù)據(jù)進(jìn)行恢復(fù)。

　　“在數(shù)據(jù)安全層面，《管理辦法》明確提出數(shù)據(jù)銷毀系國內(nèi)首次。”吳沈括對南都記者表示，“在長期的業(yè)務(wù)開展過程中，數(shù)據(jù)銷毀往往是一個被各方所忽視的重要環(huán)節(jié)。事實(shí)上，它作為數(shù)據(jù)全生命周期的最后一環(huán)，具有必不可少的重要意義?！?/p>

　　他進(jìn)一步解釋，有效的數(shù)據(jù)銷毀既是落實(shí)數(shù)據(jù)安全管理要求所必須，又對降低數(shù)據(jù)泄露風(fēng)險(xiǎn)具有關(guān)鍵性意義。在具體落實(shí)過程中，銷毀不徹底、虛假銷毀等現(xiàn)象是監(jiān)管機(jī)關(guān)的關(guān)注重點(diǎn)，需要有效、及時的公證、審計(jì)等第三方服務(wù)跟進(jìn)。

　　孟潔也指出，數(shù)據(jù)銷毀是一種物理刪除，一經(jīng)銷毀無法再復(fù)原。因此，在具體實(shí)踐中，對于銷毀工具的審核、流程及實(shí)施人員的處理規(guī)則要求、以及銷毀完的審計(jì)與報(bào)備措施都可能遭遇挑戰(zhàn)。

　　談及企業(yè)實(shí)踐，熊定中坦言，數(shù)據(jù)銷毀一般會被理解為合規(guī)中的一個必要動作。事實(shí)上，數(shù)據(jù)使用過程結(jié)束后，如果持續(xù)留存數(shù)據(jù)反而可能產(chǎn)生安全風(fēng)險(xiǎn)。因此，在一定情況下設(shè)置刪除數(shù)據(jù)的幾種條件“是一種很好的數(shù)據(jù)安全保護(hù)規(guī)范”。

　　他還提到，由于工信領(lǐng)域涉及一些與國際民生相關(guān)的安全問題，有關(guān)數(shù)據(jù)銷毀的考慮會更加復(fù)雜?！叭绻麛?shù)據(jù)被銷毀后，其他場合又需要再次利用，情況就會變得很麻煩?！?/p>

　　在熊定中看來，由規(guī)章制度明確要求進(jìn)行數(shù)據(jù)銷毀“可能會欠缺一點(diǎn)靈活性”，建議由評測機(jī)構(gòu)進(jìn)行單獨(dú)評測?！氨热缬械钠髽I(yè)安全實(shí)力很強(qiáng)，數(shù)據(jù)保護(hù)做得很好，雖然目前暫時用不到這些數(shù)據(jù)，但未來可能會用到，在這樣的情況下就可以進(jìn)行評測，如果評測結(jié)果良好就繼續(xù)保存；倘若安全技術(shù)實(shí)力不夠，就按要求及時銷毀數(shù)據(jù)?？偠灾?，銷毀數(shù)據(jù)是不需要評測的，但若是不想銷毀，可以通過評測來獲得豁免，這樣處理靈活性會更強(qiáng)。”他說。

　　數(shù)據(jù)使用加工方面，《管理辦法》擬規(guī)定工信數(shù)據(jù)處理者未經(jīng)個人、單位等同意，不得使用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段針對特定主體進(jìn)行精準(zhǔn)畫像、數(shù)據(jù)復(fù)原等加工處理活動。利用數(shù)據(jù)進(jìn)行自動化決策的，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當(dāng)加強(qiáng)訪問控制，建立登記、審批機(jī)制并留存記錄。

　　擬建立重要數(shù)據(jù)核心數(shù)據(jù)備案管理制度

　　《管理辦法》還對權(quán)責(zé)劃分做了細(xì)化規(guī)定。其中涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，工信數(shù)據(jù)處理者應(yīng)設(shè)置專門的數(shù)據(jù)安全管理責(zé)任部門，本單位黨委（黨組）或領(lǐng)導(dǎo)班子對數(shù)據(jù)安全負(fù)主體責(zé)任，主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人，分管數(shù)據(jù)安全的負(fù)責(zé)人是直接責(zé)任人。對于關(guān)鍵崗位及人員，《管理辦法》還擬要求簽署數(shù)據(jù)安全責(zé)任書，記錄數(shù)據(jù)處理活動。

　　熊定中表示，《管理辦法》做出更詳細(xì)的權(quán)責(zé)劃分符合我國立法的一貫原則，即先由相關(guān)法律定下大范圍的原則，再由行政法規(guī)或部門規(guī)章將其細(xì)化為一個具體的、可實(shí)操的規(guī)范，能讓行為人直接了解從而決定自己的行為。

　　孟潔則指出，雖然數(shù)安法規(guī)定了單位與直接負(fù)責(zé)的主管人員都會被處罰，但在實(shí)踐中，企業(yè)內(nèi)部參與項(xiàng)目的部門眾多，誰為主要責(zé)任人仍然存在困惑，而本次《管理辦法》較為清楚地做出了規(guī)定。

　　“該規(guī)定既會對各單位、企業(yè)的業(yè)務(wù)流程設(shè)計(jì)、組織架構(gòu)管理和人員責(zé)任配置造成非常大的影響，還會導(dǎo)致現(xiàn)有業(yè)務(wù)格局的重大改變，特別會在‘定崗定責(zé)’和‘定崗定人’兩方面形成更具體的業(yè)務(wù)指引。”吳沈括強(qiáng)調(diào)。

　　此外，南都記者注意到，國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》和此次的《管理辦法》均提出了備案管理制度。

　　前者規(guī)定，網(wǎng)絡(luò)運(yùn)營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應(yīng)向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則，收集使用的目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身。

　　后者擬要求對工信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)建立備案管理制度。備案內(nèi)容包括數(shù)據(jù)的數(shù)量、類別、處理目的和方式、使用范圍、主體責(zé)任、安全保護(hù)措施等基本情況，數(shù)據(jù)提供、公開、出境、承接，以及數(shù)據(jù)安全風(fēng)險(xiǎn)、事件處置等情況。

　　關(guān)于《管理辦法》與個人信息保護(hù)的關(guān)系，南都記者了解到，數(shù)安法將個人信息作為特別重要的一類數(shù)據(jù)，納入重要數(shù)據(jù)目錄和核心數(shù)據(jù)目錄進(jìn)行重點(diǎn)保護(hù)，既要遵守?cái)?shù)據(jù)安全管理有關(guān)規(guī)定，還要遵守個人信息保護(hù)法的特別規(guī)定。《管理辦法》秉承上述工作理念，將個人信息納入數(shù)據(jù)全生命周期安全管理，不再單獨(dú)提出個人信息保護(hù)的要求。

　　在法律責(zé)任方面，《管理辦法》擬規(guī)定行業(yè)監(jiān)管部門將工信數(shù)據(jù)處理者落實(shí)數(shù)據(jù)安全管理責(zé)任情況納入信用管理。對存在數(shù)據(jù)安全違法違規(guī)行為受到行政處罰的數(shù)據(jù)處理者，按照有關(guān)規(guī)定將其列入業(yè)務(wù)經(jīng)營不良名單或失信名單。

　　對于違反《管理辦法》的，由行業(yè)監(jiān)管部門依照數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法律和相關(guān)行政法規(guī)，根據(jù)情節(jié)嚴(yán)重程度給予公開曝光、沒收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等行政處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。