1.問:企業為什么要對數據開展分類分級?
答:《中華人民共和國數據安全法》規定“國家建立數據分類分級保護制度”。數據分類分級是加強數據安全保護和開發利用的重要措施手段,也是企業開展數據資產管理、數據交易、數據跨境流動等的基礎性工作。《中國(天津)自由貿易試驗區企業數據分類分級標準規范》(以下簡稱《標準規范》)為企業進行數據分類分級管理提供了依據。根據《標準規范》,企業可以對照識別、梳理數據資產,劃分不同類別更好促進數據交易流通、開發利用,對不同級別數據采取相應保護措施。開展數據跨境流動活動時,數據級別不同出境方式不盡相同,重要數據需通過數據出境安全評估后出境,一般數據自由流動。
2.問:企業為什么要申報重要數據目錄?
答:企業作為數據處理者,應落實《中華人民共和國數據安全法》要求,履行數據安全保護義務,開展數據分類分級工作,按照相關規定識別、申報重要數據目錄。申報后被認定為重要數據的,相關部門將告知企業,按照法律要求落實數據安全保護責任。在執行層面,天津自貿試驗區制定了企業重要數據目錄申報指南等配套指引,幫助企業申報重要數據目錄。
3.問:企業重要數據目錄報送主體如何確定?
答:根據《標準規范》有關規定,本政策適用范圍為注冊在天津自貿試驗區的企業在生產經營過程中產生、收集、存儲、傳輸和處理的數據(涉及國家秘密的數據、政務數據的分類分級不包含在本規范適用范圍之內),即只要申報主體注冊在天津自貿試驗區,均可按照《標準規范》執行數據的分類分級,與數據的來源、出境地點等因素無關。
4.問:如何理解重要數據識別與數據跨境流動的關系?
答:按照我國現行數據出境安全管理制度,重要數據出境需要申報數據出境安全評估,但具體哪些數據屬于重要數據,如何界定重要數據,這是當前各方都十分關注的問題。《扎實推進高水平對外開放更大力度吸引和利用外資行動方案》(國辦發〔2024〕9號)要求“科學界定重要數據的范圍”。國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》,充分考慮了當前的實際情況,要求數據處理者按照相關規定識別、申報重要數據,規定未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估,極大減輕了數據處理者的壓力。
5.問:如何識別公司業務涉及的數據是核心數據還是重要數據?
答:對于核心數據、重要數據、一般數據的劃分是依據《中華人民共和國數據安全法》從維護數據安全角度考慮的。核心數據,是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據,一旦被非法使用或共享,可能直接影響政治安全。主要包括關系國家安全重點領域的數據,關系國民經濟命脈、重要民生、重大公共利益的數據,經國家有關部門評估確定的其他數據。重要數據,是指特定領域、特定群體、特定區域或達到一定精度和規模的數據,一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。僅影響組織自身或公民個體的數據,一般不作為重要數據。參照定義,核心數據是滿足一定條件的重要數據,如果企業難以判斷業務涉及的數據屬于重要數據還是核心數據,可以先按程序報送重要數據目錄,請相關部門給予審定。
6.問:在對企業數據分類分級時,需要細化到什么層級?
答:根據《標準規范》,對于數據分類,只需細分到第一級和第二級,第三級或者更細分的類別由企業自主決定;對于數據分級,所有數據都應當與法定的核心數據、重要數據、一般數據三級相對應。
7.問:企業向政府部門提交資料后,政府如何盡到保護商業秘密的責任?
答:政府部門將會嚴格遵守國家法律法規和保密規定,從機制上完善工作流程,提高工作人員保密意識,保護企業正當權益。目前,相關法律法規對政府工作人員保護企業商業秘密有嚴格規定,如《中華人民共和國公職人員政務處分法》第三十九條第五款規定,泄露國家秘密、工作秘密,或者泄露因履行職責掌握的商業秘密、個人隱私,造成不良后果或者影響的,予以警告、記過或者記大過;情節較重的,予以降級或者撤職;情節嚴重的,予以開除。
8.問:若公司因經營需求調整經營方向,在調整期內如何申報重要數據目錄?
答:可遵循“數據分類分級程序”中“(四)數據分類分級變更”相關要求執行。當企業因應用場景、業務調整導致數據發生較大變化時,要及時調整數據目錄,涉及重要數據變化的,按程序補充報送重要數據目錄。對于企業未報備,但經有關主管、監管部門評估達到核心數據、重要數據的,及時將相關數據納入目錄,并通知涉及企業加強數據安全保護。
9.公司對照《標準規范》對內部數據所屬類別進行識別時發現,有的數據感覺可以分屬不同的類別,這種情況應該如何處理?
答:數據的分類主要是為了便于開發利用,根據不同維度可以有多種分類視角,企業可以根據實際情況綜合考慮相關數據的業務屬性、特征等因素,選擇適當的數據類別。
10.問:目前企業主要業務是全球客戶服務的后臺中心,涉及個人客戶信息數據跨境流動,是否適用?
答:要按照統一識別規則進行判定,識別為重要數據的包括:1000萬人以上個人信息;100萬人以上個人敏感信息;10萬人以上且包含個人銀行賬戶、個人保險賬戶、個人注冊賬戶、個人診療數據等的個人敏感信息。相關認定結果作為開展數據安全保護和跨境流動等工作的基礎。相關數據跨境流動應遵守《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》,向境外提供重要數據的,應進行數據出境安全評估。
11.問:如果企業由于數據安全管理能力不足,對文件理解有偏差等原因,對本應納入重要數據目錄的數據沒有申報,是否有相應后果?
答:對于重要數據目錄的申報,部門、企業都要按照規定,履行職責和義務,對于應報未報造成嚴重后果的要追究相關單位和個人的責任。
12.問:“對于企業未報備,但經有關主管、監管部門評估達到核心數據、重要數據的,及時將相關數據納入目錄,并通知涉及企業加強數據安全保護。”在何種情況下主管和監管部門會進行核心數據評估,這是否意味著由監管部門承擔評估和通知企業的義務?
答:對適用《標準規范》的企業來說,行業主管、監管部門在履職過程中,會結合《標準規范》,以及本行業、本領域數據分類分級標準規范,按照規定程序對有關數據進行識別,這是企業按要求梳理報備重要數據目錄之外的補充。原則上重要數據目錄以企業主動申報為主。企業和相關主管、監管部門均應按照政策法規要求承擔各自職責。
13.問:在梳理企業內部數據時,因為數據分類復雜、工作量大,數據識別專業度高,政府能否提供專業指導和幫助?
答:對企業數據分類分級工作,天津市行業主管部門與自貿試驗區有關部門將加強政策宣傳和落地執行,為企業提供全方位、便利化咨詢渠道,使企業全面知曉、掌握政策,對重點行業和重點領域企業,將提供專業輔導。同時,會加強對招商、政務、商促等相關部門的政策培訓,將數據分類分級作為企業服務的重要內容。
14.問:作為供應鏈金融公司,在開展數據分類分級過程中,對于“涉及國家安全的供應鏈數據”如何明確具體定義?
答:持金融牌照的供應鏈金融公司,適用《標準規范》。根據《標準規范》,首先判斷企業供應鏈數據是否涉及影響國家安全,具體包括政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、生態安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全、深海安全。之后,應當進一步分析企業供應鏈數據是否符合《標準規范》“七、數據分級機制”中(二)到(十四)共十三類重要數據識別的標準。
15.問:企業經營多門類業務,比如醫藥研發外包企業,相關數據分類為服務外包類數據,還是衛生健康和食品藥品類數據?
答:企業數據分類分級的對象是數據而非企業,在判斷企業數據應當分為哪一類時,不是看企業本身的行業屬性,而是看數據的屬性,醫藥研發外包企業可以同時擁有服務外包類數據和衛生健康類數據,并不矛盾。
16.問:“銀行的機構安保信息,以及其處理的重要企事業單位業務數據,包括國防軍工企業、關系國家安全企業的相關信息。”安保信息具體包括哪些,關系國家安全企業的相關信息如何定義?
答:安保信息包括不限于:安保規劃部署信息、安保機構隊伍信息、安保裝備信息、安保技術信息等。關系國家安全的企業,是指企業從事的業務能夠影響我國的政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、生態安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全、深海安全等。
17.問:根據《中華人民共和國個人信息保護法》的有關規定,“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息”,個人敏感信息并不包括注冊賬戶信息。而《標準規范》中“統一識別規則”中提到“10萬人以上且包含個人銀行賬戶、個人保險賬戶、個人注冊賬戶、個人診療數據等的個人敏感信息。”將個人注冊賬戶信息定為敏感信息,請問依據是什么?個人注冊賬戶具體是指哪些賬戶?
答:文件中的個人注冊賬戶是指電信領域、廣播電視領域的用戶注冊信息。參照《個人信息安全規范》(GB/T35273-2020),這些個人注冊賬戶信息直接關系個人通信記錄和內容、通訊錄、網頁瀏覽記錄和虛擬貨幣、虛擬交易等虛擬財產信息,一旦泄露或者非法使用容易造成嚴重損失。
