为贯彻落实数据安全法等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》),现面向社会公开征求意见。
《办法》指出,行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,壮大数据安全产业,提升数据安全保障能力,促进数据的创新应用。
《办法》提出,工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当采取配备技术手段、签署安全协议等措施加强对数据收集人员、设备的管理,并对数据收集的时间、类型、数量、频度、流向等进行记录。通过间接途径获取数据的,应当要求数据提供方做出数据源合法性的书面承诺,并承担相应的法律责任。
《办法》指出,工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
《办法》提出,工业和电信数据处理者未经个人、单位等同意,不得使用數据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。工业和电信数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。