工信部:重要数据、核心数据出境应进行安全评估
工业和信息化部官网截图。
人民网北京12月14日电 (记者申佳平)据工业和信息化部官网消息,为规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,工业和信息化部近期印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),其中提出,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,确需向境外提供的,应当依法依规进行数据出境安全评估。
按照《管理办法》,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。其中,工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
明确数据分类分级、“就高”保护原则
《管理办法》规定,工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
工业和信息化部网络安全管理局相关负责人介绍,《管理办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。
明确数据处理者保护义务
《管理办法》明确,工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。
按照规定,工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
工业和信息化部网络安全管理局相关负责人具体介绍,《管理办法》依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下四项保护义务。
一是开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;
二是加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;
三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的应第一时间进行上报;
四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。
明确数据出境等安全风险评估