9月30日,工業和資訊化部(以下簡稱“工信部”)發文,面向社會公開徵集對《工業和資訊化領域資料安全管理辦法(試行)(徵求意見稿)》(以下簡稱《徵求意見稿》)的意見。《徵求意見稿》是繼《資料安全法》生效施行之後,我國資料安全保護工作的又一重要進展。
一、《徵求意見稿》擴充資料安全保護格局
《徵求意見稿》的釋出,對於鞏固和擴充我國資料安全保護成效而言具有積極意義,主要體現在兩個方面。
一是開行業資料保護的先河。《資料安全法》開啟了我國資料安全保護工作的全新階段,其規定了資料安全保護工作的基本制度框架。而《徵求意見稿》的起草編制,則立足於系統回答資料安全制度和規定如何在行業落地的問題,是探索在工業和資訊化領域踐行《資料安全法》各項要求,且是行業管理層面的率先之舉。
二是助力完善資料安全保護法規體系。《資料安全法》是我國資料安全保護領域的基本法,而在行政法規、部門規章層面仍需不斷體系化完善。《徵求意見稿》率先面向社會徵求意見,其修改完善後將會以工信部規範性檔案的形式釋出,也將同時填補資料安全“部門規章”這一法規型別的空白,推進我國資料安全法律法規體系的完善。
二、《徵求意見稿》五大內容要點分析
《徵求意見稿》立足工業和資訊化領域的資料安全管理,完善細化了系列制度和工作要求。筆者將從管理的要素著手,對《徵求意見稿》的管理物件、管理主體、管理手段、管理內容、管理保障等五個方面進行分析。
(一)管理物件
“工業和資訊化領域資料處理活動”是《徵求意見稿》所明確的管理物件。從相關條文內容看,管理物件包含三層含義。
一是“工業和資訊化領域資料”的定義內涵。根據《徵求意見稿》第三條規定,“工業和資訊化領域資料”包括工業資料和電信資料兩大類。其中對“工業資料”界定為“在研發設計、生產製造、經營管理、運維服務、平臺運營、應用服務等過程中收集和產生的資料”,這與工信部此前釋出的《工業資料分類分級指南(試行)》基本保持一致,所不同的是《徵求意見稿》以列舉方式對工業行業的範圍進行了進一步限定:“指原材料工業、裝備工業、消費品工業、電子資訊製造業、軟體和資訊科技服務業、民爆等行業領域”。
二是個人資訊不在“工業和資訊化領域資料”的定義中列明。按照《徵求意見稿》的資料定義,並未包含“個人資訊”,從起草說明的內容“將個人資訊納入資料全生命週期安全管理,不再單獨提出個人資訊保護的要求”也似乎有所印證。但實際上,無論是工業資料還是電信資料都不可避免的涉及到個人資訊。此外,《徵求意見稿》與《工業資料分類分級指南(試行)》在資料定義方面相比,還缺少了“外部資料域(與其他主體共享的資料等)”(《工業資料分類分級指南(試行)》第六條)一項。可見,進一步協調工信資料與個人資訊的關係,或許是《徵求意見稿》要完善的一項工作。
三是資料處理者主要包括三類企業。對於“資料處理者”的外延範圍《徵求意見稿》第三條進行了明確,“工業和電信資料處理者是指對工業、電信資料進行收集、儲存、使用、加工、傳輸、提供、公開等資料處理活動的工業企業、軟體和資訊科技服務企業和取得電信業務經營許可證的電信業務經營者等工業和資訊化領域各類主體”,據此可以將資料處理者歸納為三類企業,即:工業企業、軟體和資訊科技服務企業、電信業務經營者(取得電信業務經營許可證)。
(二)管理主體
管理主體可理解為行使監督管理職能的相關部門和單位。根據《徵求意見稿》,管理主體主要包括兩層,涉及三類部門機構。
首先,從層級上看,主要有“資料安全工作協調機制”、“行業監管部門”兩層。其中,“資料安全工作協調機制”是《資料安全法》明確的國家資料安全工作機制,按照《徵求意見稿》第三十五條規定,在涉及工信資料安全審查相關職責時,該機制將發揮指導作用。而“行業監管部門”主要包括工信部、地方工信主管部門和地方通訊管理局,是實施工信領域資料安全管理的主要力量。
其次,從職能分工上看,在行業監管部門中:“工業和資訊化部”負責對工業和電信資料處理者的資料處理活動和安全保護進行監督管理;“地方工業和資訊化主管部門”負責本地區工業資料處理者的資料處理活動和安全保護進行監督管理;“地方通訊管理局”負責對本地區電信資料處理者的資料處理活動和安全保護進行監督管理。
(三)管理手段
管理手段可以理解為實現管理目標而採取的方式方法、以及途徑等。《徵求意見稿》對於工信資料安全管理提出的管理手段可歸納為四類,即:常規監管、安全評估、舉報投訴、法律追責。
一是常規監管。根據《徵求意見稿》規定,工信資料安全的常規監管方式主要有平臺彙總(如資料備案平臺、資料安全監測預警平臺等)(第十二條、第二十八條)、資料安全檢查(第三十四條)、資料安全審查(第三十五條)、資料安全約談整改(第三十六條)等。
二是安全評估。根據《徵求意見稿》規定,工信資料安全的安全評估主要有兩類:資料處理者安全評估和資料監管評估。前者處理者評估主要是涉及資料公開、資料出境和資料委託處理時需要進行安全評估(第二十二條、第二十四條、第二十六條);後者監管評估主要涉及制定評估規範、重要資料年度安全評估(第三十條)。
三是舉報投訴。《徵求意見稿》第三十一條規定了建立面向使用者的工信資料違法舉報平臺和投訴處理機制,完善了自下而上的監管反饋渠道和機制,有助於全面提升工信資料安全管理的成效。
四是法律追責。《徵求意見稿》第七章對於違法行為除了規定常規的行政、刑事責任之外(第三十九條),還針對行政違法行為還設定了信用處罰機制,即:“列入業務經營不良名單或失信名單”(第三十八條)。
(四)管理內容
在工信資料安全管理內容方面,《徵求意見稿》按照主體的不同規定了兩類主要管理內容。
一是在監管機構側,規定了分級分類、風險和應急處置等重點管理內容。在工信資料分級分類監管方面,重點監管內容包括建立分類分級管理(包括:制定分類清單;實行一般、重要、核心三級劃分等),明確分級分類監管職責(包括工信部制定分級分類規範、形成行業重要和核心具體資料清單;地方主管部門制定地區重要和核心具體資料清單;實行重要、核心資料備案管理等)。在風險和應急處置方面,重點監管內容包括日常上報監管(風險和事件上報、重要資料和核心資料目錄報送等),年度報告監管(資料安全事件處置報告、重要資料和核心資料安全評估年度報告)等。
二是在資料處理者側,規定了生命週期重點環節的重點管理內容。包括明確資料處理者主體責任,加強資料安全管理;聚焦重要資料和核心資料建立工作體系,明確關鍵崗位管理要求;堅持“同步規劃、同步建設、同步執行”原則,針對不同級別資料,從資料收集、儲存、加工、傳輸、提供、公開、銷燬、跨境、承接、委託處理等環節落實保護要求。
(五)管理保障
《徵求意見稿》在強化工信資料安全監管機制建設的同時,也注重透過發展的舉措完善健全監管體系。主要體現在加強工信資料安全基礎保障、能力服務保障兩個方面。
一是強化工信資料安全基礎保障。《徵求意見稿》明確規定了行業監管機構鼓勵和促進工信資料安全產業發展,包括技術、產品服務、產業生態構建等,並明確了技術產品創新應遵循的最低基本準則。同時,還規定了以標準化建設促進相關技術產業發展的舉措。
二是建設工信資料安全能力服務保障。《徵求意見稿》在規定資料處理者生命週期管理要求的同時,從協助和服務角度也同時規定了安全能力認證保障,包括建立完善資料安全檢測、評估與認證機構管理制度、制定機構認定標準,開展機構選拔認定、資質授權、日常管理和推薦目錄釋出等。
三、產業發展展望和內容完善思考
《徵求意見稿》對工信資料安全領域發展提出了具體規範框架,其對於相關產業發展將起到重要發展引領作用。同時,作為分行業資料管理的率先垂範,其健全完善也必然會有其發展過程。
從促進產業發展來看,《徵求意見稿》作為首個分行業領域的資料安全管理規範檔案,無疑將對資料安全相關產業發展發揮巨大的引領和促進作用。一方面,從滿足監管側需求來看,對於資料備案管理平臺建設或運營相關產業、資料安全監測預警平臺建設或運營相關產業、資料安全檢查和審查技術產品和服務產業等,將帶來較大發展契機。另一方面,從滿足資料處理者側需求來看,對於資料安全諮詢規劃、資料安全風險評估、資料安全人才培訓、資料安全演練、資料安全審計、資料安全檢測評估與認證等相關產業,也將發揮較大拉動作用。
從內容的發展完善來看,當前《徵求意見稿》還有需要進一步明確的問題。如:重要和核心工信資料備案平臺是否面向全國開展備案?地方管理部門是否需要建設面向本地區的資料備案平臺?工信部建設的資料預警監測平臺,同地方各自建設的資料預警監測平臺如何協同?工信資料定義中是否需要增加個人資訊,或是否需在附則條文中單獨對個人資訊做出說明?跨組織傳輸重要或核心資料的具體審批機制如何?資料安全檢查頻次流程如何,等等。
《徵求意見稿》的釋出,標誌著分行業資料安全時代的大幕已經開啟。隨著其內容的不斷完善,以及更多行業級資料安全管理規範的出臺,資料安全監管和資料安全產業都將迎來高質量發展的新階段,並共同構築起我國數字經濟發展的堅實基礎。