首页游戏资讯数据安全有法可依:工信部新规明确多项主体责任,违者可追刑责

数据安全有法可依:工信部新规明确多项主体责任,违者可追刑责

misa2 03-06 3次浏览 0条评论

近日,工业和信息化部印发了《工业和信息化领域数据安全治理方法》(工信部网安〔2022〕166号),(以下简称《治理方法》)。《治理方法》作为工业和信息化领域数据安全治理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。

特别受到注重的是,《治理方法》规定了对于数据分级保护,并明确了重要数据处理者要履行的数据安全保护义务。对于数据出境,《治理方法》也就如何开展数据出境安全评估做出了规定。而违反《治理方法》的主体,可能被处以没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,还将会被追究刑事责任。

专家指出,这一治理方法可以看做是 《中华人民共和国数据安全法》在工信领域的具体阐明和操作细则,为工信部门的数据安全监管提供了依据,也让广大数据处理者明确了在数据安全方面的责任义务,在数据安全治理风险造成违法犯罪行为和实际缺失之前,提防于未然。

数据安全风险日益突出,新规明确“谁来管、管什么、怎么管”

在印发《治理方法》的同时,工信部网络安全治理局对《治理方法》的出台背景、主要内容等方面进行了解读。 网络安全治理局方面表达,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日,《中华人民共和国数据安全法》正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中明确工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。

《治理方法》作为工业和信息化领域数据安全治理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管领域和监管职责。二是确定数据分类分级治理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、托付处理等环节,提出相应安全治理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。

从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管领域。

电信行业专家付亮在接受新京报贝壳财经记者摘访时表达,在出台《治理方法》之前,工信部对于数据处理者工信数据安全领域违法违规行为的处理依据尚不够清楚,能够摘取的处罚措施的力度也稍显不足。有了《治理方法》之后,工信部在工信数据安全治理方面也就有了一个更好的挠手。

明确数据分级保护,重要数据处理者需承担更高义务

工信部网络安全治理局有关负责人指出,《治理方法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全治理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严厉保护。对于不同级别数据同时被处理且难以分别摘取保护措施的,摘取“就高”原则,按照其中级别最高的要求实施保护。

展开全文

《治理方法》依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:一是开展数据识别备案,按照相关准则规范识别重要数据,形成本单位具体目录并进行备案;二是加强内部治理,建立数据安全工作体系,明确数据安全负责人,加强数据处理要害岗位治理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的应第一时间进行上报;四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。

付亮告诉新京报贝壳财经记者,这些具体的数据保护制度,对各类数据处理者的数据安全责任,提出了更高的要求。“没有这些要求的时候,企业假如因为各种忽略或者漏洞,造成了数据泄露或者其他安全问题,就比较难以明确其是否有责任。”付亮表达,现在,这些要求对于数据处理者方方面面的责任都进行了详尽的规定,没有做到位的,都可能会被追究责任,可以更好地保护数据安全。”

按照《治理方法》,数据处理者应当定期梳理本单位数据资源,按照所属行业准则规范识别重要数据后,向本地区行业监管部门备案重要数据目录。当备案内容发生重大转变后,数据处理者应当及时履行备案变更手续,保证目录备案的时效性、正确性与真实性。《治理方法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或托付第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。

重要、核心数据出境需开展安全评估,违规行为最高可追究刑责

《治理方法》规定,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照《数据安全法》《数据出境安全评估方法》等法律法规进行安全评估。

《治理方法》进一步明确,非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生转变的,应当履行备案变更手续。

而工业和信息化领域数据处理者托付他人开展数据处理活动的,应当通过签订合同协议等方式,明确托付方与受托方的数据安全责任和义务。托付处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。除法律、行政法规等另有规定外,未经托付方赞同,受托方不得将数据提给予第三方。

对于数据安全风险和违规行为,《治理方法》规定,行业监管部门在履行数据安全监督治理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求摘取措施进行整改,消除隐患。有违反本方法规定行为的,由行业监管部门按照相关法律法规,依据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。

值得注重的,《治理方法》还专门对中心企业的数据安全治理进行了规定。包括三大运营商在内的多家大型央企都受到这些规定的约束。中心企业是国民经济的重要支柱和骨干力量,产生、汇聚了大量关系国计民生的重要数据。中心企业所属公司业务既受地方行业监管部门治理,也受集团公司治理。因此,《治理方法》对中心企业提出两项工作要求:一是督促所属公司按照属地行业监管部门要求,履行重要数据目录备案、风险信息上报等要求。二是做好集团本部数据安全保护工作,全面梳理汇总集团本部、所属公司相关情状,及时向工业和信息化部报送。付亮表达,中心企业往往把握了大量关乎国计民生的重要数据,在数据安全治理方面的责任也比较大,这方面的规定也将有利于中心企业开展数据安全保护工作。

新京报贝壳财经记者 许诺 编辑 岳彩周 校对 卢茜

图片来源:工信部网络安全治理局

新京报贝壳财经记者 许诺

校对 卢茜

八门神器root权限
4万字B端产品拆解丨从0到1拆解小鹅通后台设计(二) 下载游戏qq飞车可能多少流量?
相关内容
发表评论

游客 回复需填写必要信息