正文

政策速递 | 工信部公开对《工业和信息化领域数据安全行政处罚裁量指引(试行)》征求意见

admin
admin V管理员 /0 评论 /99 阅读
1208
此篇文章发布距今已超过287天,您需要注意文章的内容或图片是否可用!

数据安全行政处罚是督促数据处理者依法依规落实数据安全保护义务、强化数据安全监管的重要手段。《数据安全法》设立专章明确法律责任,对数据处理者的违法行为提出系列处罚措施。为进一步衔接细化《数据安全法》相关罚则规定,构建行业数据安全行政处罚职权体系,统一数据安全行政处罚尺度,指导行业监管部门开展数据安全行政处罚工作,有效提升数据安全监管执法能力,2023年11月23日,工业和信息化部公开对《工业和信息化领域数据安全行政处罚裁量指引(试行)》(以下简称《裁量指引》)征求意见。

本次发布的《裁量指引》由正文及附件《工业和信息化领域数据安全行政处罚裁量基准裁量基准》(以下简称《裁量基准》)组成。其中,正文包括总则、管辖、数据安全行政处罚情形及附则,共五章二十六条;附件共十四条。主要内容如下:


1


明确适用范围与行政处罚裁量权概念

《裁量指引》适用于在中华人民共和国境内开展的工业和信息化领域数据安全违法行为行政处罚裁量工作。

行政处罚裁量权,是指工业、电信、无线电行业监管部门在职责范围内对数据处理活动进行监管处罚时,根据行政处罚原则,在法律、行政法规等规定的行政处罚种类和幅度内,综合考量违法的事实、性质、手段、后果、情节和合规措施等因素,正确、适当地确定行政处罚的种类、幅度或者作出不予行政处罚决定的选择适用权限。

2


明确不同层级的管辖争议解决方式

类别

解决方式

属地管辖

由违法行为发生地的行政处罚机关管辖。数据安全违法行为发生地包括实施违法行为的住所地、实际经营地、工商注册地(工商注册地与实际经营地不一致的,应按实际经营地),网络接入地,取得电信和互联网信息服务相关许可(备案)所在地,网站建立者、管理者、使用者所在地,计算机等终端设备所在地,数据集中存储地、交易地、出境活动所在地等。

交叉管辖

两个及以上行政处罚机关对同一违法行为均有管辖权的,应当由最先立案的行政处罚机关管辖

指定管辖 

两个及以上的行政处罚机关对管辖权有争议的,应当在发生争议之日起7日内协商解决,协商不成的,应当在7日内报请共同的上一级行政处罚机关指定管辖;也可以直接由共同的上一级行政处罚机关指定管辖

监督管辖

工业和信息化部依职权指导监督工业和信息化领域数据安全违法行为管辖工作。存在下列情况之一的,可以由工业和信息化部指定管辖

(一)数据安全违法行为情节严重的;(二)省级地方行政处罚机关对管辖发生争议,协商不成的;(三)数据安全违法行为或主体涉及不同省级地区、不同行业主管部门的;(四)法律、行政法规、部门规章等规定应当由工业和信息化部指定管辖的其他情形。

移送管辖

行政处罚机关发现案件不属于其管辖的,应当依法依规及时向有管辖权的行政处罚机关移送

行政处罚机关发现违法行为涉嫌犯罪的,应当依法及时将案件移送司法机关,不得以行政处罚代替刑事处罚


3


明确两大类行政处罚的情形

第一大类:以《数据安全法》为基准,提出不履行数据安全保护义务、向境外非法提供数据、不配合监管违法行为触发条件

(1)不履行数据安全保护义务的违法行为处罚条件

未定期梳理数据,识别重要数据和核心数据并形成本单位具体目录

•未建立数据全生命周期安全管理制度,未针对不同级别数据明确数据处理各环节的具体分级防护要求和操作规程;

•未根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展工作;

•未合理确定数据处理活动的操作权限,严格实施人员权限管理

•未根据应对数据安全事件的需要,制定应急预案,并开展应急演练;

•未定期对从业人员开展数据安全教育和培训

•未开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险;

•发现可能造成较大及以上数据安全事件的风险后,未按照风险信息报送与共享工作机制向所在地行业监管部门报告并及时处置

•数据安全事件发生后,未按照应急预案开展应急处置;

•数据安全事件发生后,未按照规定向所在地行业监管部门报告;

•数据安全事件发生后,未按照规定及时告知用户,并提供减轻危害措施;

•未在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月;

•重要数据和核心数据处理者未建立覆盖本单位相关部门的数据安全工作体系,未明确数据安全负责人和管理机构,未建立常态化沟通与协作机制;

•重要数据和核心数据处理者未明确数据处理关键岗位和岗位职责,未要求关键岗位人员签署数据安全责任书;

•重要数据和核心数据处理者未建立数据内部登记、审批等工作机制,未对重要数据和核心数据的处理活动进行严格管理并留存记录;

•重要数据和核心数据处理者未按照有关规定做好重要数据和核心数据目录备案管理;

•涉及重要数据和核心数据的安全事件,未第一时间向所在地行业监管部门报告,事件处置完成后未在规定期限内形成总结报告,每年未向本地区行业监管部门报告数据安全事件处置情况;

•重要数据和核心数据处理者未按照规定对其数据处理活动每年至少开展一次风险评估,及时整改风险问题,并向有关主管部门报送风险评估报告;

•重要数据和核心数据处理者报送的风险评估报告未包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等;

•对于核心数据跨主体提供、转移、委托处理,未按照有关规定进行评估、保护、报批等;

•其他不履行数据安全保护义务的。


(2)向境外非法提供数据的违法行为触发条件

•工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储,或者因业务需要,确需向境外提供的,未按照有关规定进行数据出境安全评估

•其他工业和信息化领域数据处理者,在中华人民共和国境内收集和产生的重要数据和核心数据,未按照法律、行政法规等要求在境内存储,或者确需向境外提供的,未依法依规进行数据出境安全评估;

•非经工业和信息化部批准,向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据;

•其他向境外非法提供数据的

(3)在各级行政处罚机关依法开展监督检查的过程中,不配合监管的违法行为触发条件

•在有关行政处罚机关开展数据安全监督检查过程中,未对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,未开放安全相关数据访问、提供必要技术支持的;

•拒绝提供有关材料、信息的,或提供虚假材料、信息的,或者隐匿、销毁、转移证据的;

•其他不履行配合数据安全监管义务的。


第二大类:综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素,对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。

危害程度

具体情节

后果较轻

1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用;(数据数量

•对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短,或直接经济损失在1000万元以内;(公共利益损害时间+直接经济损失

•影响范围小,影响对象为单个或少数企业,且不涉及跨地区的;(影响范围

•其他对行业发展、社会稳定和国家安全造成较轻后果的。(数据级别

后果较重

超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或者涉及重要数据、核心数据的;(数据数量、级别)

•对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过1000万元且在5000万元以内的;(公共利益损害时间+直接经济损失

•影响范围较大,涉及多个企业,或涉及跨地区的;(影响范围

•其他对行业发展、社会稳定和国家安全造成较重后果的。

后果严重

超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或者涉及2个以上数据处理者的重要数据、核心数据的;(数据类型、级别

•对公民、法人和组织合法权益、社会公共利益造成损害的持续时间长,或直接经济损失超过5000万元的;(公共利益损害时间+直接经济损失

•影响范围涉及多个行业、地区的;(影响范围

•其他对行业发展、社会稳定和国家安全造成严重后果的。

此外,《裁量指引》还明确了行政处罚裁量权适用规则,包括明确行政处罚实施流程、依据和综合裁量原则;规定不予处罚、从轻或减轻处罚、从重处罚的适用情形;从处罚种类、幅度两方面明确不予处罚、减轻处罚、从轻处罚、从重处罚的具体内容。

总结

《裁量指引》衔接和细化了《数据安全法》相关罚责规定,使行政处罚机关实施行政处罚有了具体依据。在监管形势不断趋严的情形下,企业务必做好数据安全合规工作,以避免因合规问题遭到行政处罚。


首先,《裁量指引》明确了不履行数据安全保护义务的违法行为处罚条件,主要涉及数据资产梳理、数据分类分级、数据安全管理制度、数据安全人员、数据安全教育培训、数据安全风险监测、数据安全事件风险信息报送等方面。同时针对重要数据和核心数据的处理者明确要建立数据安全工作体系,明确职责与分工,至少每年开展一次风险评估等。为避免因违反数据安全保护义务而触发行政处罚,企业应当严格履行数据安全保护义务。


针对上述合规要求,亿赛通凭借自身在数据安全领域多年的实践经验,构建了数据安全咨询服务体系,推出了基于用户业务需求的咨询规划、评估服务及运营服务等全流程服务。通过数据资产盘点、分类分级、组织建设、制度建设、人员能力培养、数据安全风险评估、数据安全检查、数据安全培训等服务项,可以帮助组织更好地应对数据安全建设和管理中的问题,全方位夯实数据安全保障能力,打造全面的数据安全管理运营体系。


其次,《裁量指引》明确了向境外非法提供数据的违法行为触发条件,涉及数据出境安全评估。


针对上述合规要求,亿赛通深入研究相关政策法规文件精神,能够为相关机构提供数据出境合规咨询服务,通过建立出境合规管理机制、数据出境业务分析、拟出境数据分类分级、数据出境安全合规评估、出境方数据安全能力论证、数据出境合规整改、境外方数据安全能力论证、编制数据出境安全合规评估报告、出境行为和风险持续监测九个步骤,帮助相关企业落实数据出境监管要求,掌控敏感数据流向,完善数据安全体系化能力,从而最终实现数据资产的放心流转,加强关联主体间的信息共享,保障出境业务的高效流通。

近期热点





推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com