工业和电信核心数据不得出境 数据安全法对企业的影响

工业和电信核心数据不得出境

工业和信息化部9月30日消息，为贯彻落实数据安全法等法律法规，加快推动工业和信息化领域数据安全管理工作制度化、规范化，提升工业、电信行业数据安全保护能力，防范数据安全风险，工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》)，现面向社会公开征求意见。

《管理办法》共八章四十四条，定位为工业和信息化领域数据安全管理顶层设计。对接《数据安全法》要求，《管理办法》在工业和信息化领域对国家数据安全管理制度进行细化，明确开展数据分类分级保护、重要数据管理等具体要求。同时，构建工业和信息化领域数据安全监管体系。

针对数据出境，《管理办法》规定，工业和电信数据处理者在中国境内收集和产生的重要数据，应在境内存储，确需向境外提供的，应进行数据出境安全评估。核心数据不得出境。

具体而言，应建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;明确数据安全管理的主要负责人和责任部门，统筹负责数据处理活动的安全监督管理;合理确定数据处理活动的操作权限，严格实施人员权限管理;制定数据安全事件应急预案，并定期进行演练;定期对从业人员开展数据安全教育和培训;法律、行政法规规定的其他措施。

其中，针对数据使用加工，《管理办法》规定，工业和电信数据处理者未经个人、单位等同意，不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的，应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制，建立登记、审批机制并留存记录。

针对数据出境，《管理办法》要求，工业和电信数据处理者在中国境内收集和产生的重要数据，应当依照法律、行政法规要求在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握。核心数据不得出境。

数据安全法对企业的影响

《数据安全法》、《关键信息基础设施安全保护条例》和《个人信息保护法》接踵而至。其中，《数据安全法》和《关键信息基础设施安全保护条例》在9月1日起正式施行，《个人信息保护法》紧随其后，将在11月1日起正式施行。中国的安全似乎从未像如今一样攀上风口浪尖，这也标志着网络安全新的机遇与挑战直面而来。

数字化已成为各行各业的普遍趋势，数据安全法实施后，受影响较大的主要集中在数字化程度较高的和涉及海量用户信息的企业及机构，例如政府、事业单位、金融、医疗等行业。只要是产生数据的行业，都会涉及数据处理、开发、利用、交换、共享，严格来讲，未来所有行业都将面临数据安全的法律风险，所以数据安全法的落地实施，也对应地要求所有企业、机构乃至个人必须重视数据安全。

值得一提的是，数据安全法对数据治理方面的约束，对企业数字化升级起到关键作用。国家、行业都在大力推进数字化和智能化，各类应用、系统、平台产生海量数据资产，数据治理即通过数据的分析和流动创造业务价值，因此数据会在企业内部甚至更大范围内流转，若要保障数据的使用安全，就需要企业甚至行业制定安全策略框架加以约束。数据安全法的出台，意味着从法律层面强制要求所有相关单位都必须保证数据安全，为数字化转型和升级创造良序环境。

数据安全是一个存在高技术门槛的领域，无论是在安全策略还是安全技术的成熟度方面，新进服务商很难体系化地实现数据全流程安全防护，这需要长时间的实践积累。未来，随着产业互联网升级，数据量不仅会越来越大，数据形态也将更加多样化，不仅包含文本还会有海量的图片、视频、语音等数据，数据安全防护将更为复杂。

想了解更多中国网络安全行业研究具体分析，可点击中研产业研究院《2021-2025年中国网络安全行业竞争分析及发展趋势预测报告》