《网络数据安全管理条例(征求意见稿)》发布,重点工业企业未来如何落实数据安全管理主体责任?
时间:2021-11-15 作者:安帝科技
2021年11月14日,网信办发布《网络数据安全管理条例(征求意见稿)》公开征求意见,《条例》分总则、一般义务、个人信息、重要数据、数据跨境、网络平台、监督管理、法律责任、附则共九章七十五条。发布通知中指出,为落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》。
此前,国务院共有三项网络安全领域的《条例》文件,1999年10月颁布的《商用密码管理条例》(正在修订)、2018年6月发布的《网络安全等级保护条例(征求意见稿)》(征集意见阶段)和2021年9月实施的《关键信息基础设施保护条例》,《网络数据安全管理条例(征求意见稿)》的发布是网络空间安全法治进程的又一里程碑。至此,我国网络空间安全治理的法律规范已形成了“四法”(网络安全法、密码法、数据安全法、个人信息保护法)、“四条例”(‘等保’、‘密管’、‘关保’、‘数管’)的总体架构体系。从《网络数据安全管理条例(征求意见稿)》的内容看,其依据《数据安全法》的国家数据分类分级保护制度,对一般数据、个人信息、重要数据等如何保护给出了具体要求。《条例》可以看作是《数据安全法》和《个人信息保护法》的实施细则和新增要求。关键信息基础设施行业作为重要的数据处理者,未来《网络数据安全管理条例》的落地实施会对企业带来哪些影响?是紧箍咒还是保护伞?特别是重点工业企业在数字化转型发展过程中,会受到哪些影响?
一、重点工业企业的生产运营数据明确为重要数据
《条例》第七十三条第三款,对重要数据进行了详细解释和界定。可以肯定的是,工业、电信、能源、交通、水利、金融、国防科技工业等重点行业和领域的安全运营数据,明确界定为重要数据,应受到重点保护。(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:1.未公开的政务数据、工作秘密、情报数据和执法司法数据;2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
二、重点工业企业必须履行重要数据安全的主体责任
1、识别编目;配合行业制定重要数据和核心数据目录。第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。2、定编定人;成立数据安全管理机构,明确数据安全负责人。第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:(一)研究提出数据安全相关重大决策建议;(二)制定实施数据安全保护计划和数据安全事件应急预案;(三)开展数据安全风险监测,及时处置数据安全风险和事件;(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;(五)受理、处置数据安全投诉、举报;(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。3、及时报备;识别重要数据后的十五工作日内向网信部门备案。第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;(三)国家网信部门和主管、监管部门规定的其他备案内容。处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。依据部门职责分工,网信部门与有关部门共享备案信息。4、教育培训;落实数据安全教育培训计划和目标,关键人员年均20小时以上。第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。5、安全可信;选用安全可信的网络产品和服务。第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。6、安全评估;落实每年一次的数据安全评估,自行或者委托数据安全服务机构实施并在规定的时间报备。数据跨境处理时,还应当通过跨境安全评估。第三十二条、三十三条,第五章,数据跨境安全管理,具体内容略。
7、专项评估;云计算服务应进行专门的安全评估。
第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。8、法律责任;对重要数据保护义务履行不力的,视情节可对数据处理者可处以最高500万罚款,直接负责人和其它责任人可处最高100万的罚款。第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。
三、重点工业企业落实数据安全管理条例的建议
当前,工业企业面临日益泛在化、复杂化、融合化的网络攻击、窃密、数据泄露等恶意事件的威胁,数据安全保障的风险、压力增大。《网络数据安全管理条例》的落地实施,将成为企业数字化转型发展下推动网络安全治理,加快数据安全保护、保障的有力抓手。
一是建立数据安全管理机构,明确数据安全管理的责任人;这不仅是《网络数据安全管理条例》的具体要求,也是企业数字化转型发展中有效利用数据价值的内在需要。企业设立数据安全官、信息安全官等专业岗位的需求日益紧迫。随着信息技术与运营技术的融合发展,在传统上安全生产监管和信息安全管理的双轨下,有必要在组织、流程、文化上进行大胆探索,创新IT安全和OT安全融合管理的新路子。
二是建立体系化全生命周期的数据安全保护机制;数据处理活动包括数据收集、存储、使用、加工、传输、提供、公开、删除等活动,而数据管理的全生命周期还包括数据的生成/创建,甚至供应链。不同的阶段面临不同的威胁和风险。外部攻击、内部泄露与大数据共享是目前典型的威胁。企业需要树立正确的数据安全观,厘清风险点,突出体系化、整体性和协同性防御。结合外部、内部、大数据等不同场景实施不同解决方案。强化工业网络安全风险和后果导向,建设以数据为中心的网络安全方法、技术、体系和能力。
三是建立健全数据安全应急响应机制;工业企业应根据行业特性,建立健全自身的网络安全事件应急预案和网络安全信息共享平台,并与行业甚至国家网络安全事件应急响应机制形成联动,形成数据安全信息、数据安全风险和威胁监测预警以及数据安全事件应急处置协同工作机制。强化危机意识和危机应对,加强网络安全应急和数据安全应急机制的检验,落实教育培训和应急演练,切实提高应急机制的有效性和针对性。