為貫徹落實(shí)《數(shù)據(jù)安全法》等法律法規(guī)，加快推動(dòng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化，提升工業(yè)、電信行業(yè)數(shù)據(jù)安全保護(hù)能力，防范數(shù)據(jù)安全風(fēng)險(xiǎn)，近日工信部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“征求意見(jiàn)稿”），于今年10月30日前收集反饋意見(jiàn)。

征求意見(jiàn)稿指出，工業(yè)數(shù)據(jù)是指原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息制造業(yè)、軟件和信息技術(shù)服務(wù)業(yè)、民爆等行業(yè)領(lǐng)域，在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過(guò)程中收集和產(chǎn)生的數(shù)據(jù)。電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中收集和產(chǎn)生的數(shù)據(jù)。工業(yè)和電信數(shù)據(jù)處理者是指對(duì)工業(yè)、電信數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)處理活動(dòng)的工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)以及取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者等工業(yè)和信息化領(lǐng)域各類主體。

對(duì)工業(yè)和電信數(shù)據(jù)進(jìn)行分類分級(jí)管理，是征求意見(jiàn)稿的核心內(nèi)容之一。具體來(lái)看，工業(yè)和電信數(shù)據(jù)處理者應(yīng)當(dāng)堅(jiān)持先分類后分級(jí)，定期梳理，根據(jù)行業(yè)要求、業(yè)務(wù)需求、數(shù)據(jù)來(lái)源和用途等因素對(duì)數(shù)據(jù)進(jìn)行分類和標(biāo)識(shí)，形成數(shù)據(jù)分類清單。

數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)、個(gè)人信息等。工信部按照國(guó)家有關(guān)規(guī)定，根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度，將工業(yè)和電信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)3級(jí)。

根據(jù)工作要求，工信部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定及數(shù)據(jù)分級(jí)防護(hù)等制度規(guī)范，形成行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實(shí)施動(dòng)態(tài)管理，指導(dǎo)開(kāi)展數(shù)據(jù)分類分級(jí)防護(hù)工作。

地方工業(yè)和信息化主管部門、通信管理局組織開(kāi)展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)分類分級(jí)防護(hù)及重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定工作，形成本地區(qū)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報(bào)工信部。

工業(yè)和電信數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)分類分級(jí)管理制度，將重要數(shù)據(jù)和核心數(shù)據(jù)目錄報(bào)送地方工業(yè)和信息化主管部門或通信管理局，并采取措施開(kāi)展數(shù)據(jù)分級(jí)防護(hù)，對(duì)重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)在重要數(shù)據(jù)保護(hù)基礎(chǔ)上實(shí)施更嚴(yán)格的管理和保護(hù)。

值得關(guān)注的是，征求意見(jiàn)稿提出建立工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)備案管理制度，統(tǒng)籌建設(shè)備案管理平臺(tái)。備案內(nèi)容包括數(shù)據(jù)的數(shù)量、類別、處理目的和方式、使用范圍、主體責(zé)任、安全保護(hù)措施等基本情況，數(shù)據(jù)提供、公開(kāi)、出境、承接，以及數(shù)據(jù)安全風(fēng)險(xiǎn)、事件處置等情況。

征求意見(jiàn)稿還針對(duì)數(shù)據(jù)全生命周期安全管理提出多項(xiàng)具體要求。例如，工業(yè)和電信數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得竊取或者以其他非法方式收集數(shù)據(jù)；未經(jīng)個(gè)人、單位等同意，不得使用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段針對(duì)特定主體進(jìn)行精準(zhǔn)畫(huà)像、數(shù)據(jù)復(fù)原等加工處理活動(dòng)；在數(shù)據(jù)全生命周期處理過(guò)程中，應(yīng)當(dāng)記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志，日志留存時(shí)間不少于6個(gè)月，定期進(jìn)行安全審計(jì)，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)至少每半年進(jìn)行一次；在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)當(dāng)依照法律、行政法規(guī)要求在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估，在確保安全的前提下進(jìn)行數(shù)據(jù)出境，核心數(shù)據(jù)不得出境。

數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理方面，由工信部統(tǒng)籌建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，建設(shè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警平臺(tái)，對(duì)數(shù)據(jù)泄露、違規(guī)傳輸、流量異常等安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和預(yù)警，及時(shí)組織研判重要數(shù)據(jù)和核心數(shù)據(jù)安全風(fēng)險(xiǎn)并進(jìn)行預(yù)警。地方工業(yè)和信息化主管部門、通信管理局建設(shè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警平臺(tái)，組織開(kāi)展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，按照有關(guān)規(guī)定及時(shí)發(fā)布預(yù)警信息，通知本地區(qū)工業(yè)和電信數(shù)據(jù)處理者及時(shí)采取應(yīng)對(duì)措施。

此外，征求意見(jiàn)稿還就數(shù)據(jù)安全檢測(cè)、評(píng)估與認(rèn)證管理，監(jiān)督檢查，以及法律責(zé)任等方面提出要求。（夏小禾）