政策法规篇
第三章 2023年中国网络安全重要政策文件
第一节 《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》
一、出台背景
数据是经济发展的重要生产要素和核心引擎,数据安全已成为中国总体国家安全观的重要组成部分。发展数据安全产业对于提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础有着重要意义。为指导产业各方主体积极、有序开展数据安全产业相关工作,共同推动数据安全产业高质量发展,工业和信息化部等十六个部门联合出台《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》(以下简称《意见》)。
二、主要内容
《意见》聚焦数据安全保护及相关数据资源开发利用需求,提出促进数据安全产业发展的总体要求,并按2025年、2035年两个阶段提出产业发展目标。具体而言,《意见》分两个层面明确促进数据安全产业发展的七项重点任务:一个层面是围绕产业本身要做什么,明确了提升产业创新能力、壮大数据安全服务、推进标准体系建设和推广技术产品应用四项重点任务,指出加强核心技术攻关,构建数据安全产品体系,布局新兴领域融合创新,推进规划咨询与建设运维服务,积极发展检测、评估、认证服务,加强数据安全产业重点标准供给,提升关键环节、重点领域应用水平,加强应用试点和示范推广等具体工作方向;另一个层面是围绕以什么为抓手,明确了构建产业繁荣生态、强化人才供给保障和深化国际合作交流三项重点任务,将推动产业集聚发展,打造融通发展的企业体系,强化基础设施建设,加强人才队伍建设,推进国际产业交流合作等实际思路予以阐明。《意见》还提出加强组织协调、加大政策支撑和优化产业发展环境三方面落地保障措施,切实推动产业健康发展。
(一)推动数据安全技术、产品和服务创新
一是技术创新,支持科研机构、高等院校、企业等主体共建高水平的重点实验室、研发机构、协同创新中心等,围绕新计算模式、新网络架构和新应用场景,加强数据安全基础理论研究,攻关突破数据安全基础共性技术、关键核心技术、前沿革新技术。二是产品创新,鼓励数据安全企业紧密围绕产业数字化和数字产业化过程的数据安全保护需求,优化升级传统数据安全产品,创新研发新兴融合领域专用数据安全产品;面向重点行业领域特色需求、中小企业个性化需求,以及数据开放共享、数据交易等开发利用场景,加快适用产品研发;加强数据安全产品与基础软硬件的适配发展,增强数据安全内生能力。三是服务创新,鼓励数据安全企业、第三方服务机构由提供技术产品向提供服务和解决方案转变,发展壮大数据安全规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务,推进数据安全服务云化、一体化、定制化等服务模式创新。
(二)调动数据安全产业区域发展积极性
一是鼓励地方立足数据安全法律政策及本地区产业基础、发展基础等因素,规划建设国家数据安全产业园,并通过财政、金融、税收等政策工具,吸引企业、技术、资本、人才等加快向园区集中。二是支持地方结合发展需要,建设数据安全创新应用先进示范区,集中示范应用并推广技术先进、特点突出、应用成效显著的数据安全技术产品和典型案例,推动先进适用技术产品在各行业领域的应用推广。三是鼓励地方结合产业基础和优势,围绕关键技术产品和重点领域应用,打造龙头企业引领、具有综合竞争力的高端化、特色化数据安全产业集群,并加大跨区域产业合作。
(三)开展数据安全产业主体培育
一是鼓励在核心技术研发、关键产品供给、产业链影响力等方面具有“头雁”效应的大型数据安全企业,向产业龙头骨干企业发展;引导中小微企业走专精特新发展道路,不断增强内生动力;支持单项产品市场占有率较高的企业逐步发展壮大成为单项冠军企业。二是组织融资路演活动,解决企业融资需求,并支持符合条件的数据安全企业享受软件和集成电路企业、高新技术企业等优惠政策。三是鼓励龙头骨干企业发挥引领作用,带动中小微企业补齐短板、壮大规模、创新模式,形成创新链、产业链优势互补,资金链、人才链资源共享的合作共赢关系。
(四)满足数据安全保护需求
一是积极拓展产业合作渠道,建设数据安全产业公共服务平台,组织数据安全产业会议、展览、赛事、学术研讨、产业沙龙等活动,促进数据安全企业与数据处理者强化交流合作,推动供需精准对接和产业信息共享。二是支持数据安全企业深度分析工业、电信、交通、金融、卫生健康、知识产权等领域数据处理者的合规需求和保护需求,梳理典型应用场景,发展、提升相关产品和服务的功能性能,特别是面向重点行业领域、新型应用场景及中小企业特色需求,开发适用产品或解决方案。三是引导数据处理者围绕落实《中华人民共和国数据安全法》和行业数据安全管理要求,梳理自身数据安全保护需求,科学合理制定数据安全保护规划,持续强化数据安全保护能力;同时,与数据安全企业加强互动反馈,以数据安全最新需求牵引技术产品和服务的迭代升级。四是鼓励各地区规划建设数据安全创新应用先进示范区,组织本地区相关单位和企业部署应用数据安全保护产品,对特点鲜明、成效显著的产品和解决方案予以推广,形成示范效应。
(五)推动数据安全产业生态培育
一是加快推动国家数据安全产业园区、数据安全创新应用先进示范区、数据安全重点实验室等创新载体规划建设,促进形成产业发展集聚效应,并加快数据安全产业公共服务平台等基础设施建设。二是构建融通发展企业体系,共同打造完整、协同、稳定的数据安全产业链,并鼓励企业在技术创新、产品研发、应用推广、高端人才等方面深化交流合作,促进形成创新链、产业链优势互补,资金链、人才链资源共享的合作共赢关系。三是持续优化产业生态环境,强化数据安全配套政策支持与引导,加快数据安全产业标准体系建设,推动产业科技成果转移转化,并发展数据安全保险等配套服务,加强数据安全产业政策国际交流与合作。
三、简要评析
《意见》作为数据安全产业顶层政策文件,贯彻《中华人民共和国数据安全法》和部署国家数据安全工作协调机制,坚持统筹发展和安全,构建数据安全产业顶层制度,为产业发展创造良好的政策环境,鼓励各方加大投入,共同做大做强数据安全产业。《意见》明确了数据安全产业发展任务,聚焦数据安全保护和开发利用两类需求,多维度、分层次明确产业发展主要任务,从供给侧为保障国家数据安全提供技术、产品和服务支撑。《意见》有利于营造数据安全产业发展生态,提出的加强标准体系建设、专业人才培养等工作对于营造良好发展环境、保障产业健康持续发展具有重要意义。
第二节 《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》
一、出台背景
近年来,中国移动互联网蓬勃发展,各类应用服务日益丰富,小程序、快应用等创新形态不断出现,在推动经济社会发展、服务群众生活方面发挥了重要作用。移动互联网应用服务水平已经成为当前人民群众最关心、最直接、最现实的利益问题之一。为此,工业和信息化部大力推动提升移动互联网应用服务质量,切实维护用户合法权益,但部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。对此,工业和信息化部依据《中华人民共和国个人信息保护法》《中华人民共和国电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规发布了《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》(以下简称《通知》),以优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展。
二、主要内容
《通知》紧扣“全流程、全链条”治理思路,围绕应用服务安装、使用、卸载的全流程,系统梳理影响用户感知的环节,提出优化改善的措施;围绕移动互联网行业上下游全链条各主体,提出强化管理要求,着力提升体系化服务能力。具体而言,《通知》围绕提升用户服务感知、提升行业管理能力提出26条措施:聚焦App安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施;从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即App开发运营者、分发平台、软件开发工具包(以下简称SDK)、终端和接入企业,提出14条措施。
(一)提升用户服务感知
一是规范安装卸载。《通知》要求确保知情同意安装,真实、准确、完整地向用户明示相关必要信息,并经用户确认同意后方可下载安装;规范网页推荐下载行为,保障用户正常浏览页面信息;实现便捷卸载。除相关规定中明确的基本功能软件外,App应当便捷卸载。二是优化服务体验。《通知》要求对于开屏和弹窗信息窗口难以关闭、“摇一摇”乱跳转等问题予以规范;提前告知服务事项,明示产品功能权益及资费等内容,特别是存在开通会员、收费等附加条件的应显著提示;应当合理启动运行场景,明确在非服务所必需或无合理场景下,不得进行自启动、关联启动,或者唤醒、调用、更新等行为;及时提醒服务续期,在自动续订、自动续费前5日以短信、消息推送等显著方式提醒用户,并提供便捷的退订和取消途径。三是加强个人信息保护。《通知》聚焦超范围收集使用个人信息、规则告知不充分、过度索取权限等群众反映突出的问题,提出坚持合法正当必要原则,明确不得强制要求用户同意超范围或者与服务场景无关的个人信息处理行为;明示个人信息处理规则,通过简洁、清晰、易懂的方式告知用户个人信息处理规则,发生变动的应当及时告知,突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单;合理申请使用权限,在业务功能启动时,动态申请所需权限应同步告知用户申请该权限的目的。四是响应用户诉求。从设立客服热线、妥善处理用户投诉两个方面提出要求,明确热线响应能力和投诉处理时限等,推动企业畅通问题反馈渠道,根据用户诉求改进服务。
(二)提升行业管理能力
《通知》根据服务形态、业务场景、功能特点重点针对5类主体提出了具体规范要求:App开发运营者落实主体责任,分发平台强化分发管理,SDK规范应用服务,智能终端筑牢安全防线,接入企业夯实信息登记和处置责任。其中,App开发运营者应当完善内部管理机制、增强技术保障能力、加强SDK使用管理。分发平台要保证事前严格App上架审核、事中强化在架App巡查、事后完善分发管理机制,落实好“守门人”责任。SDK要做到建立信息公示机制、优化功能配置、加强服务协同。智能终端要强化运行管理能力、记录提醒能力、风险预警能力。由此,通过联防共治,共同提高行业整体管理水平。
(三)推动提升要求落实
为确保推动行业落实《通知》有关要求,进一步提升服务能力,为群众提供高质量的移动互联网应用服务,《通知》提出以下要求。一是抓好组织落实。提高政治站位,强化责任担当,细化分解任务,抓好组织实施,组织相关企业开展自查自纠,健全长效机制,创新模式方法,确保取得实效。二是加强指导监督。健全完善测评、通报、排名、公示机制,推动工作扎实有序开展,及时总结、推广优秀案例和经验做法。加强监督检查,指导督促企业落实各项要求。对落实不到位或出现违规行为的企业,依法采取相应处置措施。三是强化技术手段。组织产业力量,升级打造公共服务平台,做好技术检测、监测服务和监管支撑工作。四是推动行业自律。鼓励行业协会及相关机构制定行业自律公约、技术标准、服务规范,加强评估认证和人才培养。五是进一步畅通渠道倾听群众意见,促进交流互动,努力营造争先创优、互促共进的良好环境,以高质量服务促进高质量发展。
三、简要评析
《通知》坚持问题导向,聚焦行业发展出现的新问题、人民群众愁盼解决的急问题,提出了体系化治理新思路,着力构建“全流程、全链条”综合治理体系,在供给侧推动提升行业上下游服务能力,在需求侧着力解决影响用户服务感知的问题,推动行业治理走深走实,践行发展为了人民、发展依靠人民、发展成果由人民共享的重要理念。《通知》在现有促进产业健康发展和强化监管相关制度的基础上,进一步完善可操作性实施细则,确保《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律要求在信息通信行业领域落实落细,推动相关主体不断完善内部管理、提升依法合规经营意识和能力,共同营造良好的信息消费环境。
第三节 《工业和信息化部 国家金融监督管理总局关于促进网络安全保险规范健康发展的意见》
一、出台背景
随着中国数字经济的快速发展,网络安全基础性、保障性作用增强。网络安全保险作为承保网络安全风险的新险种、网络安全服务的新模式,日益成为转移、防范网络安全风险的重要工具,在行业企业提升网络安全风险应对能力、促进中小企业数字化转型发展、推进构建网络安全社会化服务体系、促进网络安全产业高质量发展、助力制造强国和网络强国建设等方面发挥着重要作用。为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规,加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展,培育网络安全保险新业态,工业和信息化部与国家金融监督管理总局于2023年7月联合印发《工业和信息化部 国家金融监督管理总局关于促进网络安全保险规范健康发展的意见》(以下简称《意见》)。
二、主要内容
(一)推动网络安全保险产品服务创新
《意见》指导和鼓励各方主体积极推进网络安全保险产品和服务创新,推动中国网络安全保险规模发展,促进网络安全产业高质量发展。产品创新方面,《意见》鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。一是面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。二是面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。三是面向网络安全服务开发职业责任险等产品,转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。服务创新方面,《意见》鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。一方面,充分发挥保险机构专业优势,联合网络安全企业、基础电信运营商等加快保险与网络安全服务融合创新;另一方面,充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力。
(二)强化网络安全技术对保险的赋能作用
《意见》聚焦网络安全风险量化评估和网络安全风险监测两方面强化网络安全技术赋能保险发展。一是开展网络安全风险量化评估。《意见》要求加强电信和互联网、工业互联网、车联网、物联网等网络安全风险研究;探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析;支持研发网络安全风险量化评估技术,开发轻量化网络安全风险量化评估工具;鼓励建立网络安全风险理赔数据库,支撑网络安全风险精准定价。二是加强网络安全风险监测能力。《意见》明确开展网络安全保险全生命周期风险监测,覆盖事前、事中、事后等重要环节;要求充分利用网络安全风险监测技术手段,针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测,及时发现网络安全风险隐患,提升网络安全风险监测预警、应急处置等能力。
(三)促进网络安全保险服务应用
《意见》基于多重维度支持网络安全保险服务应用推广,推动网络安全产业需求释放。一是推动重点行业领域先行先试。面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网、物联网等新兴融合领域,开展网络安全保险服务试点。充分发挥网络安全产业、网络安全保险相关联盟协会等作用,形成可复制、可推广的网络安全保险服务模式。二是鼓励重点行业完善风险管理机制。推动制造业、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具,完善网络安全风险管理机制,提升网络基础设施、重要信息系统和数据的安全防护能力。三是推动中小企业网络安全防护能力提升。支持中小企业积极参与网络安全保险,有效监控网络安全风险敞口,建立健全网络安全风险管理体系,不断提升网络安全风险应对能力。
(四)培育网络安全保险发展生态
《意见》聚焦优质企业培育和加强宣传推广两方面培育网络安全保险生态。一是培育优质网络安全保险企业。通过网络安全保险优秀案例征集、网络安全保险应用示范等活动,培育一批专业能力突出的保险机构,发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等,建设一批网络安全保险创新联合体。二是宣传推广网络安全保险服务。充分发挥相关行业联盟协会、重点企业带动作用,整合资源优势,促进网络安全产业和金融服务要素流动。开展网络安全保险教育培训,引导加强从业人员自律,规范网络安全保险推广应用。通过网络和数据安全产业高峰论坛、网络安全技术应用试点示范等活动,宣传普及网络安全保险。举办网络安全保险主题活动,加强经验总结和交流推广,营造促进网络安全保险规范健康发展的浓厚氛围。
三、简要评析
《意见》作为中国网络安全保险领域的首份政策文件,立足我国网络安全保险发展现状和亟待解决的问题,以促进网络安全保险规范健康发展为目标,聚焦提升行业认知、完善行业规范,丰富网络安全保险产品类型、创新保险服务模式,提升风险量化评估能力、加强全生命周期风险监测,推进网络安全保险落地应用、促进企业网络安全能力提升,培育网络安全保险优质企业、加强网络安全保险推广等要点提出意见,重点回答了网络安全保险“是什么”和“怎么做”的问题,对于促进网络安全保险行业健康、有序、规范发展具有重大意义。
第四节 《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》
一、出台背景
数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《中华人民共和国数据安全法》(以下简称《数据安全法》)要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。《工业和信息化领域数据安全管理办法(试行)》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的具体细化要求。为贯彻落实《数据安全法》和《工业和信息化领域数据安全管理办法(试行)》关于数据安全风险评估的相关要求,进一步细化行业数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平,工业和信息化部起草《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《细则》),并于2023年10月向社会公开征求意见。
二、主要内容
《细则》确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。其主要内容包括:
适用范围及管理职责。《细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,明确了工业和信息化部、地方行业监管部门的职责分工,并确立了风险评估工作原则。
评估对象和内容。《细则》明确了评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。
评估机制要求。《细则》详细描述了评估期限、重新申报评估的情形、可采取的评估方式,并对委托评估、评估协作、风险控制和评估报告报送等作出具体要求。
审核、监督和管理。《细则》明确了评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求,并提出建立支撑行业监管工作的第三方评估机构库。
保密义务与特殊要求。《细则》明确了行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事信息、国家秘密信息等数据处理活动参照有关规定执行。
三、简要评析
《细则》的出台对于提升中国工业和信息化领域的数据安全评估能力具有重要意义。一方面,《细则》细化了数据安全风险评估的具体要求,为数据处理者提供了明确的操作指南,有助于推动数据安全风险评估工作的规范化、标准化;另一方面,《细则》明确了监管部门的职责分工,加大了监管力度,有助于形成有效的监管机制,确保数据安全风险评估工作的落实。数据安全评估能力的提升对于保障整体数据安全、维护国家安全和发展利益具有深远意义,为中国工业和信息化领域的数据安全再添一层坚实保障。
第五节 《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》
一、出台背景
数据安全行政处罚是督促数据处理者依法依规落实数据安全保护责任义务、强化数据安全监管的重要手段。《中华人民共和国数据安全法》(以下简称《数据安全法》)专章明确法律责任,对数据处理者的违法行为提出系列处罚措施。为贯彻落实《数据安全法》,进一步衔接细化《数据安全法》相关罚则规定,构建行业数据安全行政处罚职权体系,统一数据安全行政处罚尺度,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展,指导行业监管部门在开展数据安全行政处罚工作时统一裁量尺度,合法、适当地行使行政处罚自由裁量权,有效提升数据安全监管执法能力,工业和信息化部起草《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》(以下简称《指引》),并于2023年11月向社会公开征求意见。
二、主要内容
首先,《指引》明确了行政处罚裁量权概念以及工业和信息化领域各级行政处罚机关职责,强调了行政裁量权基准制定和管理过程需坚持依法行政、责罚相当、处罚与教育相结合等工作原则。
其次,《指引》介绍了行政裁量管辖相关规定。一是明确管辖监督、属地管辖、移送管辖、交叉管辖等不同层级的管辖争议解决方式;二是明确住所地、网络接入地等数据安全违法行为发生地范畴;三是明确一事不再罚等要求。
再次,《指引》说明了行政处罚相关情形。一是以《数据安全法》为基准,提出不履行数据安全保护义务、向境外非法提供数据、不配合监管三类违法行为触发条件;二是综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素,将数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。
复次,《指引》解释了行政处罚裁量权适用规则。一是明确行政处罚实施流程、依据和综合裁量原则;二是规定不予处罚、从轻或减轻处罚、从重处罚的适用情形;三是从处罚种类、幅度两方面明确不予处罚、减轻处罚、从轻处罚、从重处罚的具体内容。
最后,《指引》通过附件的形式详细展示了行政处罚裁量基准。其中:一是明确不予处罚、从轻处罚、减轻处罚、从重处罚等裁量阶次;二是综合考虑危害程度等因素,细化各项行政处罚的适用条件;三是细化处罚标准,提出给予违法主体罚款数额等差异化处罚幅度裁量参考。
三、简要评析
《指引》的出台是工业和信息化领域数据安全监管的一项重要举措,对于提升行业数据安全监管工作效率和公平性具有重要意义。《指引》填补了制度空白,健全了工信领域数据安全管理中对于法律责任和追究机制的规定,使得数据安全行政处罚工作有据可依、有章可循。同时,《指引》细化了行政处罚裁量基准和统一裁量尺度,有助于减少执法过程中的随意性和不确定性,提高行政处罚的公正性和透明度。此外,《指引》的实施有助于推动企业更好地识别和厘清数据安全监管责任和风险,从而有的放矢地开展数据合规工作,既能够促进企业合规经营,也对维护市场正常秩序有所裨益。
第六节 《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》
一、出台背景
数据安全应急处置是做好数据安全监管和保护工作的重要一环。《数据安全法》明确“国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息”。《工业和信息化领域数据安全管理办法(试行)》提出“工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作”。为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律政策的要求,进一步细化行业数据安全事件应急处置流程、机制和要求,推动工业和信息化领域数据安全事件应急处置工作规范化、制度化开展,有效提升数据安全事件应急处置水平,工业和信息化部起草《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》(以下简称《预案》),并于2023年12月向社会公开征求意见。
二、主要内容
《预案》明确了数据安全事件定义和分级方法,根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。《预案》提出应急处置工作应当坚持统一领导、分级负责等原则,充分发挥各方面力量,共同做好数据安全事件应急处置工作。
组织体系。《预案》明确了工业和信息化部、地方行业主管部门、数据处理者、应急支撑机构以及专家组的工作职责,建立统一指挥、协同配合工作机制。
监测预警。《预案》建立了数据安全风险监测发现、研判分析及报告机制;按照紧急程度、发展态势、数据规模、关联影响和现实危害等,明确了数据安全风险预警等级;规定了预警信息发布、响应及解除等方面的具体措施要求。
事件应急处置。《预案》建立了数据安全事件事前监测和报告机制,明确了数据处理者应急处置要求;事中按照事件级别和响应等级,明确了数据安全事件应急处置采取的措施和具体要求;事后加强总结,明确了涉事数据处理者应当评估并形成总结报告。
预防措施。《预案》提出预防保护、应急演练、宣传培训、手段建设等措施,提升日常数据安全意识和防护、应对能力;明确了要加强国家重大活动期间数据安全风险监测、威胁研判和事件处置,强化风险防范与应对措施。
保障措施。《预案》提出落实责任、奖惩问责、经费保障、队伍建设、工作协同、物资保障、国际合作等有关保障措施要求,提升工业和信息化领域数据安全事件综合应对能力。
三、简要评析
《预案》的出台旨在提高工业和信息化领域应对数据安全事件的能力,确保在数据安全事件发生时,能够迅速、有效地进行响应和处置,最大限度地保护数据安全,维护国家利益、公共利益和个人合法权益。《预案》全面系统、可操作性强,其出台为工业和信息化领域数据安全事件的应对提供了有力的制度保障和操作指南。