9月30日，工業和信息化部發布《工業和信息化領域數據安全管理辦法（試行）》（下稱《管理辦法》）并面向社會公開征求意見。南都記者注意到，《管理辦法》是數安法施行后，首個由行業、領域主管部門制定發布的數據安全相關法規。

　　有專家對南都記者表示，《管理辦法》提出“數據銷毀”在國內數據安全層面的法律法規中尚屬首次，之后還需公證、審計等第三方服務跟進。而《管理辦法》對權責劃分的細化規定將在“定崗定責”和“定崗定人”兩方面形成更具體的業務指引。

　　文 / 蔣琳 樊文揚 尤一煒

　　圖片

　　明確重要數據、核心數據判定條件

　　一個月前，《中華人民共和國數據安全法》（下稱“數安法”）正式施行。數安法第六條明確，工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

　　為貫徹落實數安法等法律法規，加快推動工信領域數據安全管理工作制度化、規范化，工信部起草了《管理辦法》。《管理辦法》共八章四十四條，是工信領域數據安全管理頂層設計，內容包括全面對接數安法要求，構建工信領域數據安全監管體系，以及明確數據保護要求。

　　南都記者注意到，國家互聯網信息辦公室于2019年5月發布的《數據安全管理辦法（征求意見稿）》針對在中國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等數據活動，以及數據安全的保護和監督管理做出規定，主要管理對象為個人信息和重要數據。

　　此次的《管理辦法》則聚焦工信領域，擬將監管對象限定為工業領域的原材料、裝備、消費品、電子信息制造業、軟件和信息技術服務業、民爆等，以及電信行業的電信業務經營許可證的電信業務經營者。而涉及國家秘密信息、密碼使用等數據，軍事數據，政務數據，國防科技工業、煙草領域數據均被排除在外。

　　在北京清律律師事務所首席合伙人熊定中看來，《管理辦法》完全繼承了數安法的要求，稱得上是“應有之義”。

　　“《管理辦法》實現了數安法在該領域提出的要求，且后續各個部門都會陸續推出類似規范。換言之，我們可以理解成數安法給各行業、各領域布置了一份‘作業’，如今各個部門制定相關管理辦法就是在‘交作業’，完成本部門數據安全相關的統籌規劃。”熊定中說。

　　多位專家告訴南都記者，《管理辦法》的一大亮點在于明確了一般數據、重要數據、核心數據的判定條件。

　　此前出臺的相關法規中，數安法多次提到重要數據并首提國家核心數據，但沒有直接給出定義，只對國家核心數據做了部分列舉。國家網信辦發布的《數據安全管理辦法（征求意見稿）》則將重要數據定義為“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據”。

　　《管理辦法》中，根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，將工信數據分為一般數據、重要數據和核心數據三級。

　　第八條【一般數據】危害程度符合下列條件之一的數據為一般數據：

　　（一）對公共利益或者個人、組織合法權益造成較小影響，社會負面影響小；

　　（二）受影響的用戶和企業數量較少、生產生活區域范圍較小、持續時間較短，對企業經營、行業發展、技術進步和產業生態等影響較小；

　　（三）恢復數據或消除負面影響所需付出的代價小；

　　（四）其他未納入重要數據、核心數據目錄的數據。

　　第九條【重要數據】危害程度符合下列條件之一的數據為重要數據：

　　（一）對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全；

　　（二）對工業、電信行業發展、生產、運行和經濟利益等造成影響；

　　（三）造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；

　　（四）引發的級聯效應明顯，影響范圍涉及多個行業、區域或者行業內多個企業，或者影響持續時間長，對行業發展、技術進步和產業生態等造成嚴重影響；

　　（五）恢復數據或消除負面影響所需付出的代價大；

　　（六）經行業監管部門評估確定的其他重要數據。

　　第十條【核心數據】危害程度符合下列條件之一的數據為核心數據：

　　（一）對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全；

　　（二）對工業、電信行業及其重要骨干企業、關鍵信息基礎設施、重要資源等造成嚴重影響；

　　（三）對工業生產運營、電信和互聯網運行和服務等造成重大損害，導致大范圍停工停產、大面積網絡與服務癱瘓、大量業務處理能力喪失等；

　　（四）經工業和信息化部評估確定的其他核心數據。

　　北京環球律師事務所合伙人孟潔認為，相比數安法對國家核心數據的列舉，《管理辦法》對如何認定國家核心數據進行了細化，這表現在其對持有國家核心數據的企業規定了增強性的義務。

　　中國互聯網協會研究中心副主任、北京師范大學網絡法治國際中心執行主任吳沈括表示，上述分類主要基于兩方面考慮，一是數據處理可能造成的權益影響，二是處理數據的具體業務場景。“這對于相關單位和企業在實際業務場景中落實數安法中的有關制度要求具有更強的可操作性。”他說。

　　熊定中則認為，《管理辦法》的數據分級在表述體系和口徑上與數安法完全一致，但“只進行了概念上的描述”——“以‘對社會危害不大’這一標準為例，什么叫危害不大？其實還缺乏一個量化的標準。”

　　他進一步指出，由于一般、重要和核心數據在管理規范上完全不同，處理一般數據只需自評，處理重要數據和核心數據則需要由工信部認定的、有資質的認證機構做出評估，因此工業或電信相關企業及機構需要十分明確的指引。

　　數據安全法規層面首提“數據銷毀”

　　《管理辦法》還特別明確了數據全生命周期安全保護要求——針對不同級別數據，從數據收集、存儲、加工、 傳輸、提供、公開、銷毀、跨境、承接、委托處理等環節落實分級保護要求。

　　其中關于數據銷毀，《管理辦法》擬要求工信數據處理者建立數據銷毀策略和管理制度，明確銷毀對象、流程和技術等要求，對銷毀活動進行記錄和留存。銷毀重要數據和核心數據的，不得以任何理由、任何方式對銷毀數據進行恢復。

　　“在數據安全層面，《管理辦法》明確提出數據銷毀系國內首次。”吳沈括對南都記者表示，“在長期的業務開展過程中，數據銷毀往往是一個被各方所忽視的重要環節。事實上，它作為數據全生命周期的最后一環，具有必不可少的重要意義。”

　　他進一步解釋，有效的數據銷毀既是落實數據安全管理要求所必須，又對降低數據泄露風險具有關鍵性意義。在具體落實過程中，銷毀不徹底、虛假銷毀等現象是監管機關的關注重點，需要有效、及時的公證、審計等第三方服務跟進。

　　孟潔也指出，數據銷毀是一種物理刪除，一經銷毀無法再復原。因此，在具體實踐中，對于銷毀工具的審核、流程及實施人員的處理規則要求、以及銷毀完的審計與報備措施都可能遭遇挑戰。

　　談及企業實踐，熊定中坦言，數據銷毀一般會被理解為合規中的一個必要動作。事實上，數據使用過程結束后，如果持續留存數據反而可能產生安全風險。因此，在一定情況下設置刪除數據的幾種條件“是一種很好的數據安全保護規范”。

　　他還提到，由于工信領域涉及一些與國際民生相關的安全問題，有關數據銷毀的考慮會更加復雜。“如果數據被銷毀后，其他場合又需要再次利用，情況就會變得很麻煩。”

　　在熊定中看來，由規章制度明確要求進行數據銷毀“可能會欠缺一點靈活性”，建議由評測機構進行單獨評測。“比如有的企業安全實力很強，數據保護做得很好，雖然目前暫時用不到這些數據，但未來可能會用到，在這樣的情況下就可以進行評測，如果評測結果良好就繼續保存；倘若安全技術實力不夠，就按要求及時銷毀數據。總而言之，銷毀數據是不需要評測的，但若是不想銷毀，可以通過評測來獲得豁免，這樣處理靈活性會更強。”他說。

　　數據使用加工方面，《管理辦法》擬規定工信數據處理者未經個人、單位等同意，不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精準畫像、數據復原等加工處理活動。利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪問控制，建立登記、審批機制并留存記錄。

　　擬建立重要數據核心數據備案管理制度

　　《管理辦法》還對權責劃分做了細化規定。其中涉及重要數據和核心數據的，工信數據處理者應設置專門的數據安全管理責任部門，本單位黨委（黨組）或領導班子對數據安全負主體責任，主要負責人是數據安全第一責任人，分管數據安全的負責人是直接責任人。對于關鍵崗位及人員，《管理辦法》還擬要求簽署數據安全責任書，記錄數據處理活動。

　　熊定中表示，《管理辦法》做出更詳細的權責劃分符合我國立法的一貫原則，即先由相關法律定下大范圍的原則，再由行政法規或部門規章將其細化為一個具體的、可實操的規范，能讓行為人直接了解從而決定自己的行為。

　　孟潔則指出，雖然數安法規定了單位與直接負責的主管人員都會被處罰，但在實踐中，企業內部參與項目的部門眾多，誰為主要責任人仍然存在困惑，而本次《管理辦法》較為清楚地做出了規定。

　　“該規定既會對各單位、企業的業務流程設計、組織架構管理和人員責任配置造成非常大的影響，還會導致現有業務格局的重大改變，特別會在‘定崗定責’和‘定崗定人’兩方面形成更具體的業務指引。”吳沈括強調。

　　此外，南都記者注意到，國家網信辦發布的《數據安全管理辦法（征求意見稿）》和此次的《管理辦法》均提出了備案管理制度。

　　前者規定，網絡運營者以經營為目的收集重要數據或個人敏感信息的，應向所在地網信部門備案。備案內容包括收集使用規則，收集使用的目的、規模、方式、范圍、類型、期限等，不包括數據內容本身。

　　后者擬要求對工信領域重要數據和核心數據建立備案管理制度。備案內容包括數據的數量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數據提供、公開、出境、承接，以及數據安全風險、事件處置等情況。

　　關于《管理辦法》與個人信息保護的關系，南都記者了解到，數安法將個人信息作為特別重要的一類數據，納入重要數據目錄和核心數據目錄進行重點保護，既要遵守數據安全管理有關規定，還要遵守個人信息保護法的特別規定。《管理辦法》秉承上述工作理念，將個人信息納入數據全生命周期安全管理，不再單獨提出個人信息保護的要求。

　　在法律責任方面，《管理辦法》擬規定行業監管部門將工信數據處理者落實數據安全管理責任情況納入信用管理。對存在數據安全違法違規行為受到行政處罰的數據處理者，按照有關規定將其列入業務經營不良名單或失信名單。

　　對于違反《管理辦法》的，由行業監管部門依照數據安全法、網絡安全法等法律和相關行政法規，根據情節嚴重程度給予公開曝光、沒收違法所得、罰款、暫停業務、停業整頓、關閉網站、吊銷業務許可證或吊銷營業執照等行政處罰；構成犯罪的，依法追究刑事責任。