作者:王良 全开明 谢美山
《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》“三法一条例”等法律、法规形成了中国数据治理的顶层设计和网络安全、数据安全、个人信息保护的基础框架和通用规则。近年来,在特定领域内出现了行业性数据安全管理办法。例如,适用于汽车行业的《汽车数据安全管理若干规定(试行)》已施行三年有余;适用于工业和信息化领域的《工业和信息化领域数据安全管理办法(试行)》已施行了两年;适用于自然资源领域的《自然资源领域数据安全管理办法》已于2024年3月22日施行;适用于会计师事务所审计业务相关数据处理活动的《会计师事务所数据安全管理办法》已于2024年10月1日施行;适用于《银行保险机构的银行保险机构数据安全管理办法》已于2024年12月27日施行;适用于央行业务领域的《中国人民银行业务领域数据安全管理办法》正在征求意见,等等。
中国的数据安全立法和监管已经开始向特定行业聚焦,针对特定行业和领域更具可执行性、可操作性的“精准”数据安全管理规定相继落地。一方面,日益健全的数据法规体系可以为企业数据处理行为提供更好的合规指引;但另一方面,逐步完善的监管执法体系也对特定行业和领域(汽车行业、自然资源领域、工业和信息化领域、银行保险机构、会计师事务所等)的企业数据处理行为的合规性提出了更加严格的要求。开展更加“精细”的合规管理工作,成为企业数据合规管理2.0阶段的基本特征。企业合规管理“精细化”表现在:
(1)企业网络数据承担主体责任。除了在管理层面需要建立健全网络数据安全管理制度,在技术层面也要采取加密、备份、访问控制、安全认证等技术措施,甚至规定了技术措施的种类,诸如:加密、鉴权、认证、脱敏、校验、审计等技术手段。
(2)企业需要对数据进行分类分级管理,并负有识别、申报重要数据与核心数据的义务。对重要数据处理活动需要进行风险评估或年度风险评估,并定期进行数据合规审计,一些行业的重要数据、核心数据还需要向行业主管部门进行备案、上报或报送。
(3)企业对所处理的数据需要进行全生命周期安全管理,并落实网络安全等级保护。除了在收集、存储、使用、加工、传输、提供、公开和删除各环节进行安全管理外,在特定场景履行更高的数据安全保护要求,确保数据持续处于有效保护和合法利用的状态。
(4)企业数据处理的本地化存储要求高。特定行业收集和产生的重要数据,应当在境内存储。特别规定了会计师事务所对于审计工作底稿出境,还需要按照国家有关规定办理审批手续等要求。
一、工业和信息化领域数据安全
2022年12月8日,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》,并自2023年1月1日起施行。之后,工信部接连发布了《工业和信息化领域数据安全风险评估实施细则(试行)》《工业领域数据安全能力提升实施方案(2024-2026年)》《工业和信息化领域数据安全事件应急预案(试行)》《工业领域重要数据识别指南(二次报批公示)》等文件。此外,十七家行业组织共同编制并发布了《工业和信息化领域数据安全合规指引》。
(一)主管部门:工业和信息化部、通信管理局和无线电管理机构地方行业监管部门
(二)工业和信息化领域数据分类分级
工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
1. 分类:研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
2. 分级:一般数据、重要数据、核心数据。
3.数据全生命周期保护(参考《工业和信息化领域数据安全合规指引》),见下表所示。
(三)本地化存储要求:收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
二、自然资源领域数据安全
2024年3月22日,自然资源部发布并施行了《自然资源领域数据安全管理办法》,明确了自然资源领域数据范围,分类分级基本原则,重要数据及核心数据识别要素及自然资源领域数据全生命周期的管理制度,旨在加强自然资源领域数据的安全管理,促进数据的合法、安全和有效利用。
(一)主管部门:自然资源部、国家林业和草原局及地方行业监管部门
(二)自然资源数据分类分级
自然资源领域数据,是指在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。
1.分类:(1)基础地理信息、遥感影像等地理信息数据;(2)土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据;(3)总体规划、详细规划、专项规划等国土空间规划数据;(4)用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。
2. 分级:一般数据、重要数据、核心数据。
3. 自然资源重要数据、核心数据识别参考指标,见下表所示:
(三)全生命周期管理
1. 数据安全保护义务:实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
2. 数据提供:应告知接收方采取相关安全保护措施。涉及重要数据的,与数据接收方签订数据安全协议,在共享、调用过程中应当加强安全管控,采取技术措施定期监测数据共享、调用的情况。
3. 委托处理:应签订合同协议等法律文件明确双方数据安全责任和义务,“数据安全责任不因委托而改变”。涉及重要数据的,应当对受托方的数据安全保护能力、资质进行评估或核实,并监督受托方履行数据安全保护义务。
4. 本地化存储:对于自然资源领域重要数据的存储要求为“应当在境内存储”,确需向境外提供的,应当落实国家网信部门数据出境安全评估有关规定。
三、会计师事务所数据安全
2024年4月15日,财政部、国家互联网信息办公室发布《会计师事务所数据安全管理暂行办法》。该办法主要规定了数据管理,包括总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容;网络管理,包括网络管理制度、资源投入、访问控制、系统账户管理等内容;监督检查,包括信息共享、日常检查、重点检查对象、安全审查、行政监管措施、行政处罚等内容。该办法自2024年10月1日起施行。
(一)主管部门:财政部、省级(含深圳市、新疆生产建设兵团)财政部门
(二)适用对象:适用于开展四类审计业务相关数据处理活动。
其中,前三类主要以会计师事务所服务客户的类型为标准划分,具体而言,第一类为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;第二类为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的;第三类为境内企业境外上市提供审计服务的。第四类以数据类型为标准划分,即使会计师事务所从事的审计业务不属于前三类规定的范围,但涉及重要数据或者核心数据的,亦适用。
(三)会计事务所数据分类分级
会计事务所“数据”是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。
1.分类分级:按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据。
2.书面约定义务:会计师事务所和被审计单位应当通过业务约定书、确认函等方式明确审计资料中核心数据和重要数据的性质、内容和范围等
(四)数据本地化存储
会计师事务所存储核心数据的信息系统要落实四级网络安全等级保护要求,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求。考虑到数据汇聚和关联的影响,如数据汇聚、关联后属于国家秘密事项的,还应当依照有关保守国家秘密的法律、行政法规规定处理。
此外,审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。
(五)数据出境限制
会计师事务所不得在业务约定书或者类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的,应当遵守国家数据出境管理有关规定。会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制,采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿,按照国家有关规定办理审批手续。
四、银行保险机构数据安全
2024年12月27日,国家金融监督管理总局正式实施《银行保险机构数据安全管理办法》。作为金融监管总局成立后的第一部数据安全立法,该办法强化了数据治理顶层设计,按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。在内容上,该办法对数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则,分别从治理体系、管理制度、技术机制以及风险评估、监测与处置机制等方面进行了系统规范。
(一)主管部门:国家金融监督管理总局及其派出机构
(二)适用对象:银行保险机构,是指在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。
(三)银行保险机构数据分类分级
1.分类:客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
2.分级:核心数据、重要数据、一般数据。其中,一般数据细分为敏感数据和其他一般数据。
(四)安全管理:建立数据资产地图,开展数据安全评估,建立分区域数据安全保护基线
该办法建立了以“全域数据资产登记”和“开展数据安全评估”为核心抓手的合规思路。银行保险机构在处理敏感级及以上数据的业务活动时,或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时,应当事先开展数据安全评估,并针对内部收集、外部采购、加工、使用、对外提供、跨境提供、备份、删除与销毁的数据处理全生命周期设置了合规要求。
银行保险机构应当据此制定数据安全保护制度,并应当涵盖全生命周期管控机制、数据安全保护措施、数据对外提供和跨境提供等监管重点关注内容。银行保险机构还应建立数据安全技术保护体系和数据安全保护基线,将数据安全保护纳入信息系统开发生命周期框架,以及将数据纳入网络安全等级保护。
五、中国人民银行业务领域数据安全
2023年7月24日,央行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见,本次征求意见稿就适用范围、原则、数据分类分级、总体要求、管理要求、技术要求、风险监测等内容做出了相关规定。预计本办法将于2025年上半年正式发布。
(一)主管部门:中国人民银行及其分支机构
(二)适用范围:根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。
此《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。
(三)银行保险机构数据分类分级
1.分类:根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
2.分级:一般、重要、核心三级。其中,数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
(四)数据全生命周期管理与特定场景的数据安全保护要求
该办法针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者提出应采取的管理和技术措施,以及可视为总体满足尽职尽责的合规底线。该办法还对数据处理活动中特殊场景的安全保护措施等重点事项进行了说明,具体如下表所示。
王良 资深律师
wangliang@allbrightlaw.com
全开明 合伙人
kaimingq
@allbrightlaw.com
谢美山 律师
xiemeishan@allbrightlaw.com
免责声明
本文内容仅为提供信息之目的由作者/锦天城律师事务所制作,不应视为广告、招揽或法律意见。阅读、传播本文内容不以建立律师-委托人关系为目的,订阅我们的文章也不构成律师-委托人关系。本文所包含的信息仅是作为一般性信息提供,作者/锦天城律师事务所不对本文做日常性维护、修改或更新,故可能未反映最新的法律发展。读者在就自身案件获得相关法域内执业律师的法律意见之前, 不要为任何目的依赖本文信息。作者/锦天城律师事务所明确不承担因基于对本文任何形式的使用(包括作为或不作为)而产生的一切责任、损失或损害。
END
