数据安全新法发布 工业企业要重点做好数据处理

当前，数据已成为数字经济时代最为活跃的新型生产要素。与此同时，数据安全风险日益突出，成为关系个人权益、公共利益和国家安全的重要因素。工业和信息化部日前发布了《工业和信息化领域数据安全管理办法（试行）》，将于2023年1月1日起施行，将加快推动工业和信息化领域数据安全管理工作制度化、规范化。

《管理办法》指出，根据行业要求、特点、业务需求、数据来源和用途等因素，工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。

“工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。”中恒律师事务所律师张越在接受《中国贸易报》记者采访时表示，《管理办法》将对《数据出境安全评估办法》《数据出境安全评估申报指南》进行有效补充，对重要数据处理者在履行一般数据处理者数据安全保护义务的基础上提出了进一步要求。

张越表示，重要数据处理者需要履行以下义务：一是开展数据识别备案，按照相关标准规范识别重要数据，形成本单位具体目录并进行备案；二是加强内部管理，建立数据安全工作体系，明确数据安全负责人，加强数据处理关键岗位管理，构建重要数据处理登记审批机制，强化数据全生命周期安全保护措施；三是组织常态化监测预警与应急处置，涉及重要数据和核心数据安全事件的应第一时间进行上报；四是定期实施风险评估，及时发现整改风险问题，并按照要求上报风险评估报告。

此外，重要数据和核心数据处理者每年至少完成一次数据安全风险评估，可以自行或委托第三方评估机构开展，及时整改风险问题，并向本地区行业监管部门报告。张越介绍说，评估内容包括合规评估和风险研判：合规评估是指对标对表法律法规和政策文件，评估是否满足相关要求。风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等，评估数据处理活动的安全风险等级。

在上海德禾翰通律师事务所管理合伙人董红曼看来，数据出境安全自评估报告中应当包括出境行为的合法性、境外接收方的义务、数据出境相关合同合规性及出境行为风险等要点。其中的重点评估事项包括：数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；与境外接收方拟订立的数据出境相关合同等法律文件是否充分约定了数据安全保护责任义务等。

董红曼表示，企业作为数据处理者应结合自身业务情况，按规定对其数据跨境活动进行梳理、审查和及时评估，切实做好数据出境风险自评估和申报，尤其是涉及工业和信息化领域的重要数据、核心数据，应注意行业监管部门的相关规定。如若发现有不合规的地方，应及时整改或采取补救措施，积极与监管相关部门沟通，及时跟进申报进度，以确保企业数据出境合规。（钱颜）