9月30日，工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）》（下称《管理办法》）并面向社会公开征求意见。南都记者注意到，《管理办法》是数安法施行后，首个由行业、领域主管部门制定发布的数据安全相关法规。

　　有专家对南都记者表示，《管理办法》提出“数据销毁”在国内数据安全层面的法律法规中尚属首次，之后还需公证、审计等第三方服务跟进。而《管理办法》对权责划分的细化规定将在“定岗定责”和“定岗定人”两方面形成更具体的业务指引。

　　文 / 蒋琳 樊文扬 尤一炜

　　图片

　　明确重要数据、核心数据判定条件

　　一个月前，《中华人民共和国数据安全法》（下称“数安法”）正式施行。数安法第六条明确，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

　　为贯彻落实数安法等法律法规，加快推动工信领域数据安全管理工作制度化、规范化，工信部起草了《管理办法》。《管理办法》共八章四十四条，是工信领域数据安全管理顶层设计，内容包括全面对接数安法要求，构建工信领域数据安全监管体系，以及明确数据保护要求。

　　南都记者注意到，国家互联网信息办公室于2019年5月发布的《数据安全管理办法（征求意见稿）》针对在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动，以及数据安全的保护和监督管理做出规定，主要管理对象为个人信息和重要数据。

　　此次的《管理办法》则聚焦工信领域，拟将监管对象限定为工业领域的原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等，以及电信行业的电信业务经营许可证的电信业务经营者。而涉及国家秘密信息、密码使用等数据，军事数据，政务数据，国防科技工业、烟草领域数据均被排除在外。

　　在北京清律律师事务所首席合伙人熊定中看来，《管理办法》完全继承了数安法的要求，称得上是“应有之义”。

　　“《管理办法》实现了数安法在该领域提出的要求，且后续各个部门都会陆续推出类似规范。换言之，我们可以理解成数安法给各行业、各领域布置了一份‘作业’，如今各个部门制定相关管理办法就是在‘交作业’，完成本部门数据安全相关的统筹规划。”熊定中说。

　　多位专家告诉南都记者，《管理办法》的一大亮点在于明确了一般数据、重要数据、核心数据的判定条件。

　　此前出台的相关法规中，数安法多次提到重要数据并首提国家核心数据，但没有直接给出定义，只对国家核心数据做了部分列举。国家网信办发布的《数据安全管理办法（征求意见稿）》则将重要数据定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”。

　　《管理办法》中，根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将工信数据分为一般数据、重要数据和核心数据三级。

　　第八条【一般数据】危害程度符合下列条件之一的数据为一般数据：

　　（一）对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；

　　（二）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

　　（三）恢复数据或消除负面影响所需付出的代价小；

　　（四）其他未纳入重要数据、核心数据目录的数据。

　　第九条【重要数据】危害程度符合下列条件之一的数据为重要数据：

　　（一）对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全；

　　（二）对工业、电信行业发展、生产、运行和经济利益等造成影响；

　　（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

　　（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

　　（五）恢复数据或消除负面影响所需付出的代价大；

　　（六）经行业监管部门评估确定的其他重要数据。

　　第十条【核心数据】危害程度符合下列条件之一的数据为核心数据：

　　（一）对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全；

　　（二）对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响；

　　（三）对工业生产运营、电信和互联网运行和服务等造成重大损害，导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等；

　　（四）经工业和信息化部评估确定的其他核心数据。

　　北京环球律师事务所合伙人孟洁认为，相比数安法对国家核心数据的列举，《管理办法》对如何认定国家核心数据进行了细化，这表现在其对持有国家核心数据的企业规定了增强性的义务。

　　中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括表示，上述分类主要基于两方面考虑，一是数据处理可能造成的权益影响，二是处理数据的具体业务场景。“这对于相关单位和企业在实际业务场景中落实数安法中的有关制度要求具有更强的可操作性。”他说。

　　熊定中则认为，《管理办法》的数据分级在表述体系和口径上与数安法完全一致，但“只进行了概念上的描述”——“以‘对社会危害不大’这一标准为例，什么叫危害不大？其实还缺乏一个量化的标准。”

　　他进一步指出，由于一般、重要和核心数据在管理规范上完全不同，处理一般数据只需自评，处理重要数据和核心数据则需要由工信部认定的、有资质的认证机构做出评估，因此工业或电信相关企业及机构需要十分明确的指引。

　　数据安全法规层面首提“数据销毁”

　　《管理办法》还特别明确了数据全生命周期安全保护要求——针对不同级别数据，从数据收集、存储、加工、 传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。

　　其中关于数据销毁，《管理办法》拟要求工信数据处理者建立数据销毁策略和管理制度，明确销毁对象、流程和技术等要求，对销毁活动进行记录和留存。销毁重要数据和核心数据的，不得以任何理由、任何方式对销毁数据进行恢复。

　　“在数据安全层面，《管理办法》明确提出数据销毁系国内首次。”吴沈括对南都记者表示，“在长期的业务开展过程中，数据销毁往往是一个被各方所忽视的重要环节。事实上，它作为数据全生命周期的最后一环，具有必不可少的重要意义。”

　　他进一步解释，有效的数据销毁既是落实数据安全管理要求所必须，又对降低数据泄露风险具有关键性意义。在具体落实过程中，销毁不彻底、虚假销毁等现象是监管机关的关注重点，需要有效、及时的公证、审计等第三方服务跟进。

　　孟洁也指出，数据销毁是一种物理删除，一经销毁无法再复原。因此，在具体实践中，对于销毁工具的审核、流程及实施人员的处理规则要求、以及销毁完的审计与报备措施都可能遭遇挑战。

　　谈及企业实践，熊定中坦言，数据销毁一般会被理解为合规中的一个必要动作。事实上，数据使用过程结束后，如果持续留存数据反而可能产生安全风险。因此，在一定情况下设置删除数据的几种条件“是一种很好的数据安全保护规范”。

　　他还提到，由于工信领域涉及一些与国际民生相关的安全问题，有关数据销毁的考虑会更加复杂。“如果数据被销毁后，其他场合又需要再次利用，情况就会变得很麻烦。”

　　在熊定中看来，由规章制度明确要求进行数据销毁“可能会欠缺一点灵活性”，建议由评测机构进行单独评测。“比如有的企业安全实力很强，数据保护做得很好，虽然目前暂时用不到这些数据，但未来可能会用到，在这样的情况下就可以进行评测，如果评测结果良好就继续保存；倘若安全技术实力不够，就按要求及时销毁数据。总而言之，销毁数据是不需要评测的，但若是不想销毁，可以通过评测来获得豁免，这样处理灵活性会更强。”他说。

　　数据使用加工方面，《管理办法》拟规定工信数据处理者未经个人、单位等同意，不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的，应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制，建立登记、审批机制并留存记录。

　　拟建立重要数据核心数据备案管理制度

　　《管理办法》还对权责划分做了细化规定。其中涉及重要数据和核心数据的，工信数据处理者应设置专门的数据安全管理责任部门，本单位党委（党组）或领导班子对数据安全负主体责任，主要负责人是数据安全第一责任人，分管数据安全的负责人是直接责任人。对于关键岗位及人员，《管理办法》还拟要求签署数据安全责任书，记录数据处理活动。

　　熊定中表示，《管理办法》做出更详细的权责划分符合我国立法的一贯原则，即先由相关法律定下大范围的原则，再由行政法规或部门规章将其细化为一个具体的、可实操的规范，能让行为人直接了解从而决定自己的行为。

　　孟洁则指出，虽然数安法规定了单位与直接负责的主管人员都会被处罚，但在实践中，企业内部参与项目的部门众多，谁为主要责任人仍然存在困惑，而本次《管理办法》较为清楚地做出了规定。

　　“该规定既会对各单位、企业的业务流程设计、组织架构管理和人员责任配置造成非常大的影响，还会导致现有业务格局的重大改变，特别会在‘定岗定责’和‘定岗定人’两方面形成更具体的业务指引。”吴沈括强调。

　　此外，南都记者注意到，国家网信办发布的《数据安全管理办法（征求意见稿）》和此次的《管理办法》均提出了备案管理制度。

　　前者规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

　　后者拟要求对工信领域重要数据和核心数据建立备案管理制度。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况，数据提供、公开、出境、承接，以及数据安全风险、事件处置等情况。

　　关于《管理办法》与个人信息保护的关系，南都记者了解到，数安法将个人信息作为特别重要的一类数据，纳入重要数据目录和核心数据目录进行重点保护，既要遵守数据安全管理有关规定，还要遵守个人信息保护法的特别规定。《管理办法》秉承上述工作理念，将个人信息纳入数据全生命周期安全管理，不再单独提出个人信息保护的要求。

　　在法律责任方面，《管理办法》拟规定行业监管部门将工信数据处理者落实数据安全管理责任情况纳入信用管理。对存在数据安全违法违规行为受到行政处罚的数据处理者，按照有关规定将其列入业务经营不良名单或失信名单。

　　对于违反《管理办法》的，由行业监管部门依照数据安全法、网络安全法等法律和相关行政法规，根据情节严重程度给予公开曝光、没收违法所得、罚款、暂停业务、停业整顿、关闭网站、吊销业务许可证或吊销营业执照等行政处罚；构成犯罪的，依法追究刑事责任。