9月30日,工信部官网发布消息,为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,面向社会公开征求意见。
在数据分类分级管理方面,征求意见稿提出,工业和电信数据处理者应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单。数据分类类别包括但不限于研发数据、生产运行数据、 管理数据、运维数据、业务服务数据、个人信息等。工业和信息化部按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
工业和信息化部建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
地方工业和信息化主管部门、通信管理局应当分别对本地区工业、电信行业重要数据和核心数据备案内容进行审核,对不符合有关备案要求的,应当督促企业及时完善并重新进行备案。
此外,工业和电信数据处理者应当按照有关要求进行备案,备案内容发生变化的,应在三个月内报备变更情况,同时对整体备案情况进行更新。
在数据全生命周期安全管理方面,征求意见稿提出,工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据。工业和电信数据处理者未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。
工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
在数据安全监测预警与应急管理方面,征求意见稿提出,工业和信息化部统筹建立工业和信息化领域数据安全风险监测机制,建设数据安全监测预警平台,对数据泄露、违规传输、流量异常等安全风险进行监测和预警,及时组织研判重要数据和核心数据安全风险并进行预警。
地方工业和信息化主管部门、通信管理局建设数据安全监测预警平台,组织开展本地区工业、电信行业数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和电信数据处理者及时采取应对措施。
此外,工业和电信数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。