數據專欄｜循序漸進：工信部再次徵求數據安全管理辦法意見_風聞

走出去智庫觀察

據工信部官網2月10日消息，根據2021年9月30日公佈的《工業和信息化領域數據安全管理辦法(試行)》(徵求意見稿)(以下簡稱《管理辦法》)收到的公開意見，工信部對該法規草案進行了修改完善，再次面向社會徵求意見。

走出去智庫(CGGT)特約法律專家、漢坤律師事務所合夥人段志超律師指出，《管理辦法》擴充了數據定義，將無線電數據納入適用範圍，明晰了工業和信息化領域數據包括三類：即工業數據、電信數據和無線電數據。《管理辦法》還取消核心數據不得出境的要求，統一核心數據和重要數據出境監管要求，即確需向境外提供時，應當依法依規進行數據出境安全評估。

****《管理辦法》有哪些修改？企業如何做好數據合規管理？今天，走出去智庫(CGGT)刊發漢坤律師事務所段志超、蔡克蒙的分析文章，供關注全球科技競爭的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、****《管理辦法》調整了對於個人信息的規制思路，由原先的“納入重要數據目錄和核心數據目錄統一管理”到強調個人信息的單獨保護。此變化是為了與此前發佈的相關法律文件形成統一。

2、****《管理辦法》再次重申了《數據安全法》確立的數據分類分級管理要求，在《管理辦法》對分級分類工作要求、方法、一般數據、重要數據以及核心數據判斷標準進行了修改調整。

3、《管理辦法》刪除了由監管部門開展機構選拔以及資質授權的要求，改為了“工業和信息化部鼓勵、引導具備相應資質的機構，依據相關標準開展行業數據安全檢測、認證工作”。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

**文/**段志超、蔡克蒙

漢坤律師事務所

2022年2月10日，根據2021年9月30日公佈的《工業和信息化領域數據安全管理辦法（試行）》（徵求意見稿）（“《管理辦法》”）收到的公開意見，工業和信息化部（“工信部”）對該法規草案進行了修改完善，再次面向社會徵求意見，反饋截止時間為2022年2月21日。

2021年以來，針對如何落實《中華人民共和國數據安全法》（“《數據安全法》”）以及《中華人民共和國個人信息保護法》（“《個人信息保護法》）”），工信部和國家互聯網信息辦公室（“網信辦”）分別出台了具體的實施細則，並側重於不同領域。針對工業和信息化領域數據安全管理，工信部出台了上述《管理辦法》，對接《數據安全法》等法律法規要求，在工業和信息化領域對國家數據安全管理制度進行細化，明確開展數據分類分級保護、重要數據管理等具體要求，構建工業和信息化領域數據安全監管體系[1]。針對網絡數據[2]，網信辦於2021年11月14日，公佈了《網絡數據安全管理條例（徵求意見稿）》（“《網絡數據條例》”）。該條例針對《數據安全法》和《個人信息保護法》中的相關制度設計了實施路徑；針對上位法中的相關要求進行細化和明確；並創設增加了一些新的要求，例如重要數據處理者備案要求和年度報告要求、數據出境安全管理義務、網絡平台責任等。

目前《管理辦法》和《網絡數據條例》均處在編寫階段，兩者作為數據安全領域的兩大主要監管部門工信部和網信辦分別出台的實施細則，雖然部分內容存在交叉，但同時也強調了與數據本身屬性相關的監管內容，潛在地為工信部和網信辦之間的監管範圍和路徑做出了區別。

修改後的《管理辦法》條目由原先的八章四十四條縮減為八章四十一條。

《管理辦法》主要修改內容有：

● 強調個人信息單獨保護：新增《個人信息保護法》作為目的依據。

● 擴充數據定義：將無線電數據納入適用範圍。

● 明晰監管機構職權範圍：明確工信部對地方監管部門的督促指導作用。

● 修改分級分類標準：判定標準和細分標準發生變化。

● 明確備案機制：補充備案申請、審批、變更相關要求。

● 嚴格主體責任：法定代表人負責制，加強內部管理。

● 更新全生命週期合規要求：取消核心數據不得出境，新增核心數據跨主體處理要求。

● 統籌協調數據安全審查：靈活化安全評估、監督協助等要求。

我們將在下文對比《管理辦法》（0930版）和《管理辦法》（0210版），梳理此次修訂的重要內容，並同時提出我們的解讀。

一、強調個人信息單獨保護：新增《個人信息保護法》作為依據

在《管理辦法》（0930版）的起草説明中曾強調《管理辦法》秉承《數據安全法》將個人信息納入重要數據目錄和核心數據目錄進行重點保護的工作理念，將個人信息納入數據全生命週期安全管理，不再單獨提出個人信息保護的要求[3]。因此《管理辦法》（0930版）將《網絡安全法》、《數據安全法》作為上位法基礎，但並未提及《個人信息保護法》。但在此次最新發布的《管理辦法》（0210版）中，新增了《中華人民共和國個人信息保護法》作為目的依據，並且在具體條款中也調整了關於個人信息的規定，例如：

● 在第八條【分級分類方法】的數據分類類別列舉中，刪除了“個人信息”的表述，保留了原先的管理數據、運維數據、研發數據等非個人信息；

● 在第八章附則中新增第三十七條【個人信息保護】，“開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。”

綜上可見，《管理辦法》（0210版）調整了對於個人信息的規制思路，由原先的“納入重要數據目錄和核心數據目錄統一管理”到強調個人信息的單獨保護。此變化是為了與此前發佈的相關法律文件形成統一。在《管理辦法》（0930版）發佈後，2021年11月14日《網絡數據條例》公開向社會徵求意見，其中明確了重要數據和核心數據的定義，並不包含個人信息。此外，無論是2021年9月23日全國信息安全標準化技術委員會秘書處發佈的國家標準《信息安全技術 重要數據識別指南》徵求意見稿（“《指南》”）第一版，還是2022年1月13日發佈的《指南》修訂版，其中重要數據的定義中，均明確説明“重要數據不包括國家秘密和個人信息，但基於海量個人信息形成的統計數據、衍生數據有可能屬於重要數據。”為實現法律規定的統一協調，此次《管理辦法》（0210版）中改變了對於個人信息管理的思路，強調《個人信息保護法》作為個人信息保護基礎性法律的作用。

二、擴充數據定義：將無線電數據納入適用範圍

《管理辦法》（0210版）在第三條數據定義中修改瞭如下表述：

● 明晰了工業和信息化領域數據包括三類：即工業數據、電信數據和無線電數據。

● 刪除行業領域的具體列舉：在《管理辦法》（0930版）中，對工業和信息化領域進行了列舉，如“原材料工業、裝備工業、消費品工業、電子信息製造業、軟件和信息技術服務業、民爆等行業領域”。但是在《管理辦法》（0210版）中，刪除了列舉表述，而是用“工業和信息化領域”作為統稱，此修改更有抽象概括性，避免了無法窮盡列舉和實踐變化導致的法律不兼容問題。

● 新增無線電數據的定義：即“無線電數據是指在開展無線電業務活動中產生和收集的無線電頻率、台（站）等電波參數數據”。《管理辦法》（0210版）在定義條款中將無線電數據納入適用範圍的同時，還對應修改了配套制度，例如新增“無線電頻率、台（站）使用單位”作為工業和信息化領域數據處理者；新增無線電管理機構作為監管機構之一；將電磁所受影響納入重要數據與核心數據判定標準。

三、明晰監管機構職權範圍：明確工信部對地方監管部門的督促指導作用

《管理辦法》（0210版）中對中央和地方主管部門的職權進行了進一步明晰：

● 中央層面：要求工信部的監督管理活動需要遵守國家數據安全工作協調機制統籌安排。此前提的補充是為了解決此前數據監管“九龍治水”的局面，強調數據安全工作的統籌協調。

● 地方層面：《管理辦法》（0930版）中並未明晰層層監管的架構，尤其是中央層面對地方層面的監督。《管理辦法》（0210版）進行了修改，明確了工信部負責督促指導各省、自治區、直轄市及計劃單列市、新疆生產建設兵團的地方工業和信息化主管部門、地方通信管理局和地方無線電管理機構；由地方工業和信息化主管部門、地方通信管理局和地方無線電管理機構負責監督本地區的數據處理活動。

● 強調上述行業（領域）監管部門需依照有關法律、行政法規的規定，依法配合有關部門開展的數據安全監管相關工作。

四、修改分級分類標準：判定標準和細分標準發生變化

《管理辦法》再次重申了《數據安全法》確立的數據分類分級管理要求，在《管理辦法》（0210版）對分級分類工作要求、方法、一般數據、重要數據以及核心數據判斷標準進行了修改調整。主要體現在以下方面：

● 工作要求：《管理辦法》（0210版）中將【分級分類工作要求】提前到第七條；地方工業和信息化主管部門、通信管理局、無線電管理機構新增了重要數據和核心數據具體目錄上報更新義務；刪除了企業應當堅持先分類後分級的工作方法。

● 分級分類方法：補充新增工業和信息化領域數據處理者可在一般數據、重要數據和核心數據三級基礎上細分數據的類別和級別。

● 判定標準：取消“恢復數據或消除負面影響所需付出的代價程度”作為一般數據或重要數據的判定標準；在核心數據判斷標準中，新增無線電數據場景。

然而，此次修改並未對“重大影響”、“嚴重影響”、“重大損害”等判斷因素進行量化，故企業如何在實踐中落實重要數據和核心數據的分級分類工作仍有待主管部門提供更明確的指引。

五、明確備案機制：補充備案申請、審批、變更相關要求

《管理辦法》（0210版）在《管理辦法》（0930版）的基礎上，針對重要數據和核心數據目錄備案義務進行了進一步細化和明晰，具體表現如下：

● 備案機構：明確工業和信息化領域數據處理者應當將本單位重要數據和核心數據目錄向地方工業和信息化主管部門（工業領域）或通信管理局（電信領域）或無線電管理機構（無線電領域）備案。

● 備案內容：調整了語言表述，對原先備案內容進行了更為嚴謹的整合；並明確備案內容不包括數據內容本身。

● 備案審核時間：要求地方工信部門、通信管理局、無線電管理機構在工業和信息化領域數據處理者提交備案申請的二十個工作日內完成審核工作；

● 審核結果：予以備案應發放備案憑證，同時將備案情況報工信部；不予備案的應當及時反饋備案申請人並説明理由。

● 備案變更要求：重要數據和核心數據的類別或規模變化30％以上的，或者其它備案內容發生重大變化，工業和信息化領域數據處理者應當在發生變化的三個月內履行備案變更手續。

● 更新備案要求：銷燬重要數據和核心數據需要向工信部門、通管局、無線電管理機構更新備案。

六、嚴格主體責任：法定代表人負責制，加強內部管理

《管理辦法》（0930版）中明確了企業落實數據安全管理義務的第一步將是建立健全數據安全組織架構，並進一步要求企業黨委（黨組）或領導班子對數據安全負主體責任、主要負責人是數據安全第一責任人、分管數據安全的負責人是數據安全直接責任人。而《管理辦法》（0210版）對原來的第十三條【主體責任】、第十四條【工作體系】、第十五條【關鍵崗位管理】和第十六條【數據收集】進行了整合，修改刪減為第十三條【主體責任】。在內容上也進行相應調整：

● 確定法定代表人負責制：將“本單位黨委(黨組)或領導班子對數據安全負主體責任”改為“本單位法定代表人或者主要負責人是數據安全第一責任人”。此調整更符合法律責任要求，黨委或領導班子是行政上的設計，無法適用於所有的企業，但是法定代表人是公司法制度的核心設計，體現了責任的承擔，更適合擔任數據安全責任人。

● 嚴格內部管理制度：針對重要數據和核心數據處理者，新增要求“建立內部登記、審批機制，對重要數據和核心數據的處理活動進行嚴格管理並留存記錄”。

對於可能處理重要數據、核心數據的企業，需要密切關注此項調整，進而重新設計內部組織架構，可能承擔責任的法定代表人、主要負責人、直接責任人以及關鍵崗位人員需提高數據合規重視度，積極參與數據安全的各類培訓，提升數據治理專業能力。

七、更新全生命週期合規要求：取消核心數據不得出境，新增核心數據跨主體處理要求

《管理辦法》（0210版）針對數據全命週期的不同環節，再次更新了適用各級別數據的通用要求、以及處理重要數據與核心數據應遵守的額外要求。如下合規變化值得企業關注：

● 數據存儲：新增存儲重要數據和核心數據的，需定期開展數據恢復測試。

● 數據使用加工：刪除“未經個人、單位等同意，不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精準畫像、數據復原等加工處理活動”。

● 數據公開：刪除“對涉及個人隱私、個人信息、商業秘密、保密商務信息不得公開”。

● 數據銷燬：新增“銷燬重要數據和核心數據的，應當及時向地方工業和信息化主管部門（工業領域）或通信管理局（電信領域）或無線電管理機構（無線電領域）更新備案”。

● 數據出境：取消核心數據不得出境的要求，統一核心數據和重要數據出境監管要求，即確需向境外提供時，應當依法依規進行數據出境安全評估。

● 核心數據跨主體處理：新增第二十四條，要求跨主體提供、轉移、委託處理核心數據的，應當評估安全風險，採取必要的安全保護措施，並經由地方工業和信息化主管部門（工業領域）或通信管理局（電信領域）或無線電管理機構（無線電領域）報工信部。工信部按照有關規定進行審查。

● 用户權利響應：《管理辦法》（0930版）中第二十九條【舉報投訴處理】中曾要求“工業和電信數據處理者應當建立用户投訴處理機制，公佈電子郵件、電話、傳真、在線客服等便捷有效的聯繫方式，配備受理用户投訴的人員接收數據安全相關投訴，並自接到投訴之日起15個工作日內答覆投訴人”，此為強制性義務。但是在《管理辦法》（0210版）中刪除了該表述，並改為了“鼓勵工業和信息化領域數據處理者建立用户投訴處理機制”，減輕了數據處理者應對用户投訴的合規義務。

八、統籌協調數據安全審查：靈活化安全評估、監督協助等要求

根據此前的《管理辦法》（0930版），國家通過數據安全檢測、評估、認證，以及監督檢查、安全審查，落實數據安全監督管理。企業需要履行開展安全評估、協助監督檢查以及通過數據安全審查的合規義務。此次，《管理辦法》（0210版）對第五章【數據安全監測、認證、評估管理】和第六章【監督檢查】進行了靈活化調整，主要體現在以下方面：

● 放寬認證機構管理：此前《管理辦法》（0930版）第三十二條明確要求工業和信息化部和地方監管部門建立數據安全檢測、評估與認證機構管理制度，制定機構認定標準，開展機構選拔認定、資質授權、日常管理和推薦目錄發佈等工作。但《管理辦法》（0210版）中刪除了由監管部門開展機構選拔以及資質授權的要求，改為了“工業和信息化部鼓勵、引導具備相應資質的機構，依據相關標準開展行業數據安全檢測、認證工作”。

● 取消一般數據處理者的自評估要求：《管理辦法》（0930版）第三十三條鼓勵一般數據處理者開展安全自評估，但是在《管理辦法》（0210版）中刪除了該表述，僅強調重要數據和核心數據處理者應自行或委託第三方評估機構展開評估。

● 取消預留檢查接口要求：《管理辦法》（0930版）第三十四條規定，企業有配合行業監管部門開展監督檢查、並預留檢查接口的義務。對於企業而言，主管部門可通過檢查接口訪問並審查的數據範圍、接口的技術標準與調用條件，可能是企業最為關心的事項。但在《管理辦法》（0210版）中刪除了預留檢查接口這項要求，僅為籠統地要求企業配合監管部門檢查。

● 統籌協調數據安全審查：《管理辦法》（0930版）第三十五條規定，工信部在國家數據安全工作協調機制指導下，對影響或可能影響國家安全的工業和電信數據處理活動開展數據安全審查。另一方面，2022年1月4日，網信辦、中國證券監督管理委員會等十三部委正式聯合出台了修訂後的《網絡安全審查辦法》，其中將數據處理活動納入了審查範圍，其中“核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險”是網絡安全審查重點評估的因素。可見，若依據《管理辦法》（0930版）則數據處理者會同時面對基於工信部《管理辦法》與網信辦《網絡安全審查辦法》的雙重審查。此次《管理辦法》（0210版）中刪除了“對影響或可能影響國家安全的工業和電信數據處理活動開展數據安全審查相關工作”的要求，僅強調工信部需在國家數據安全工作協調機制指導下開展數據安全審查工作，對未來工信部和網信辦如何統籌協調數據安全審查保留了靈活性。

九、結語

本次《管理辦法》（0210版）修改內容較多，除了以上重要實質合規義務的修改，在語言表述以及法律責任承擔上也進行了調整（例如刪除了將數據處理者的安全管理責任納入信用管理和失信名單的要求）。此次調整體現了《管理辦法》與相關法律法規的統籌協調，修正了相關概念表述，靈活調整了監管和合規思路。《管理辦法》作為工業和信息化領域數據安全管理的頂層設計，提出了多項新增和細化的合規要求，建議工業和信息化領域數據處理者密切關注。

腳註： 

[1] 參見《工業和信息化領域數據安全管理辦法（試行）（徵求意見稿）》起草説明，訪問地址：https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20219/1d1668e46e644b42b04a95db43854607.pdf。

[2] “網絡數據”指任何以電子方式對信息的記錄，英文翻譯為“cyber data”，不限於利用“網絡”（internet或network）產生或在其中處理的數據。訪問地址：https://mp.