适用场景
从事工业制造、电信服务、软件与信息技术服务、无线电业务等工业和信息化领域,且业务涉及数据处理(尤其是重要数据或核心数据)的中国出海企业,在业务规划、产品设计及日常运营阶段均需关注。
核心要点
1. 监管框架与适用范围
工信部《管理办法》与网信办《网络数据条例》共同构成数据安全核心监管细则,前者聚焦工业、电信及新增的无线电数据。出海企业需明确自身业务数据是否落入这些领域,并遵循对应的分类分级与备案要求。
2. 数据分类分级是合规基石
企业必须对数据进行分类(如管理数据、运维数据)和分级(一般、重要、核心)。重要与核心数据的判定标准已更新,需结合对国家安全、公共利益及行业安全的潜在影响来评估,并按规定向地方主管部门备案。
3. 明确主体责任与内部管理
企业法定代表人或主要负责人是数据安全第一责任人。处理重要和核心数据时,必须建立严格的内部登记、审批机制,并留存操作记录,确保责任落实到人。
4. 全生命周期合规要求更新
数据存储、使用、公开、销毁及出境等各环节均有细化要求。核心变化包括:核心数据可出境但需安全评估;跨主体处理核心数据需报审;存储重要和核心数据需定期恢复测试;用户投诉处理机制转为鼓励而非强制。
5. 安全评估与审查的协调
重要和核心数据处理者需定期开展安全评估(可委托第三方)。数据安全审查将在国家协调机制下统筹,企业需关注工信部与网信办后续协调,避免双重审查风险。一般数据处理者的自评估要求已取消。
实务建议
- 立即启动数据资产盘点:识别业务中产生的工业、电信、无线电数据,并依据最新标准进行初步分类分级。
- 建立数据安全责任制:明确法定代表人、主要负责人及直接责任人的具体职责,并将其纳入公司治理文件。
- 完善内部流程:针对重要和核心数据的处理活动,设计并实施严格的内部登记、审批与记录留存流程。
- 准备备案材料:梳理可能构成重要或核心数据的数据目录(不含数据内容本身),以备向地方工信、通管或无线电管理机构备案。
- 评估数据出境场景:若涉及向境外提供重要或核心数据,提前规划并依法进行数据出境安全评估。
- 定期测试数据恢复能力:对存储的重要和核心数据,制定并执行定期的数据恢复测试计划。
风险提示
- 误区:认为《个人信息保护法》不适用。正解:个人信息受《个保法》单独保护,虽不直接纳入重要数据目录,但基于海量个人信息形成的统计数据可能属于重要数据。
- 误区:忽视无线电数据。正解:新规明确将无线电频率、台(站)等电波参数数据纳入监管,相关企业需特别关注。
- 注意事项:备案内容不包括数据本身,而是数据目录。变更(如数据类别或规模变化超30%)需在3个月内办理变更手续。
- 注意事项:跨主体提供、转移或委托处理核心数据前,必须进行安全风险评估并报地方主管部门转工信部审查,不可自行处理。
- 注意事项:取消“核心数据不得出境”的绝对禁止,改为统一安全评估,但门槛依然很高,切勿未经评估擅自出境。