点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
2023年2月8日,工信部根据《工业和信息化部全面推行行政执法公式制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求,结合有关法律法规依据的制修订情况及行政执法工作实际,编制并公布了《工业和信息化部行政执法事项清单(2022年版)》。其中数据安全的部分共15项,如下表所示。
|
序号 |
主体 |
事项 |
类别 |
|
247 |
工业和信息化部、各省(自治区、直辖市)及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省(自治区、直辖市)通信管理局,青海、宁夏无线电管理机构 |
对工业和信息化领域数据处理者落实数据安全保护责任义务及管理措施落实的监督检查 |
行政检查 |
|
248 |
对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,建立健全全流程数据安全管理制度的行政处罚 |
行政处罚 |
|
|
249 |
对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,组织开展数据安全教育培训的行政处罚 |
行政处罚 |
|
|
250 |
对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全的行政处罚 |
行政处罚 |
|
|
251 |
对工业和信息化领域数据处理者利用互联网等信息网络开展数据处理活动,未在网络安全等级保护制度的基础上,履行第二十七条数据安全保护义务的行政处罚 |
行政处罚 |
|
|
252 |
对工业和信息化领域重要数据的数据处理者,未明确数据安全负责人和管理机构,落实数据安全保护责任的行政处罚 |
行政处罚 |
|
|
253 |
对工业和信息化领域数据处理者开展数据处理活动,未加强风险监测,发现数据安全缺陷、漏洞等风险时,未立即采取补救措施的行政处罚 |
行政处罚 |
|
|
254 |
对工业和信息化领域数据处理者发生数据安全事件时,未立即采取处置措施的行政处罚 |
行政处罚 |
|
|
255 |
对工业和信息化领域数据处理者发生数据安全事件时,未按照规定及时告知用户并向有关主管部门报告的行政处罚 |
行政处罚 |
|
|
256 |
对工业和信息化领域重要数据的处理者未按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告的行政处罚 |
行政处罚 |
|
|
257 |
对工业和信息化领域重要数据的处理者报送的风险评估报告未包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等的行政处罚 |
行政处罚 |
|
|
258 |
对工业和信息化领域关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《中华人民共和国网络安全法》的有关规定的行政处罚 |
行政处罚 |
|
|
259 |
对工业和信息化领域非关键信息基础设施运营者的数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《数据出境安全评估办法》等有关规定的行政处罚 |
行政处罚 |
|
|
260 |
对从事工业和信息化领域数据交易中介服务的机构,未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录的行政处罚 |
行政处罚 |
|
|
261 |
对境内的工业和信息化领域数据处理者未经工业、电信、无线电领域主管机关批准向外国司法或者执法机构提供存储于境内的数据的行政处罚 |
行政处罚 |
本次清单中所涉及的角色分别是数据处理者、重要数据处理者、关键信息基础设施运营者以及数据交易中介服务机构。
数据处理者应满足“清单”中的第247、248、249、250、251、253、254、255、261项的相关要求。
重要数据处理者满足数据处理者相关要求的同时还应满足“清单”中的第252、256、257项的相关要求。
数据交易中介服务机构应满足第260项相关要求。
涉及数据出境场景时,数据处理者、重要数据处理者、关键信息基础设施运营者应满足第258、259、261项相关要求。
第247项解读:
企业应制定数据安全管理办法、数据安全组织架构相关内容,明确数据安全保护责任义务,并建立监督检查机制,定期对数据安全制度相关要留及管理措施落实情况进行监督检查。
第248项解读:
企业应制定全流程数据安全管理制度,包括但不限于数据全生命周期周期安全管理制度、合作方管理制度、敏感操作审批流程等规章制度。
第249项解读:
企业应制定数据安全教育培训相关制度,同时设立相关岗位和人员负责数据安全培训的管理工作,包括但不限于、培训时常、培训周期、培训内容以及考核方式,并形成记录留存,便于日后监督检查工作。
第250项解读:
企业在开展数据处理活动时应配备相关技术措施保障数据的安全,同时技术措施尚不完善时,应配备其他必要措施、如人工审计、安全风险排查记录等形式,保障数据的安全可控,避免因技术能力不足导致的数据安全保障不到位的情况。
第251项解读:
使用互联网开展数据数据处理活动的应具备对应等级的等级保护备案。
第252项解读:
企业应建立数据安全组织架构,内容应包含但不限于明确数据安全责任部门、数据安全敢为及人员,并明确其权责范围、数据安全组织管理内容及相关义务。
第253项解读:
企业应建立常态化的数据安全风险监测相关机制,结合人工及工具的方式定期排查数据安全风险、平台脆弱性等并及时处置安全风险形成相关处置报告或记录。
第254项解读:
企业应建立数据安全应急预案,对数据安全事件以高中低进行影响程度分级,应急预案及响应方案应包含所有核心业务部门,并根据各业务的网络环境、平台、系统、业务敏感度等情况,形成各部门的应急响应方案,并定期对应急预案进行演练,保证应急响应方案的可行性。
第255项解读:
企业应根据业务所属行业,发生设局安全事件时,及时告知相关用户并上报业务、地区所属主管部门。
第256-257项解读:
企业应制定风险评估相关机制,内容应包含但不限于处理的重要数据种类、数量、开展数据处理活动的情况,面临的数据安全风险(如安全配置、审批流程、安全漏洞等)及其应对的措施等内容,并每年至少一次开展风险评估并报送给有关主管部门。
第258、259、261项解读:
在中华人民共和国境内运营中收集、产生、存储的重要数据,应落实《数据出境安全评估办法》相关要求,并经过有关主管机关、部门批准后才可出境。
第260项解读:
机构应制定业务合规性操作流程,内容应包含但不限于要求数据提供方说明数据来源、审核交易双方的身份等要求和流程,并留存审核、交易记录,以便日后审计、溯源工作。
作者简介:
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 15810981762
解伯延 18631643906
联系人邮箱:[email protected]
原文始发于微信公众号(数据安全共同体计划):《工业和信息化部行政执法事项清单(2022年版)》数据安全部分内容解读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论