1.问:企业为什么要对数据开展分类分级?
答:《中华人民共和国数据安全法》规定“国家建立数据分类分级保护制度”。数据分类分级是加强数据安全保护和开发利用的重要措施手段,也是企业开展数据资产管理、数据交易、数据跨境流动等的基础性工作。《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称《标准规范》)为企业进行数据分类分级管理提供了依据。根据《标准规范》,企业可以对照识别、梳理数据资产,划分不同类别更好促进数据交易流通、开发利用,对不同级别数据采取相应保护措施。开展数据跨境流动活动时,数据级别不同出境方式不尽相同,重要数据需通过数据出境安全评估后出境,一般数据自由流动。
2.问:企业为什么要申报重要数据目录?
答:企业作为数据处理者,应落实《中华人民共和国数据安全法》要求,履行数据安全保护义务,开展数据分类分级工作,按照相关规定识别、申报重要数据目录。申报后被认定为重要数据的,相关部门将告知企业,按照法律要求落实数据安全保护责任。在执行层面,天津自贸试验区制定了企业重要数据目录申报指南等配套指引,帮助企业申报重要数据目录。
3.问:企业重要数据目录报送主体如何确定?
答:根据《标准规范》有关规定,本政策适用范围为注册在天津自贸试验区的企业在生产经营过程中产生、收集、存储、传输和处理的数据(涉及国家秘密的数据、政务数据的分类分级不包含在本规范适用范围之内),即只要申报主体注册在天津自贸试验区,均可按照《标准规范》执行数据的分类分级,与数据的来源、出境地点等因素无关。
4.问:如何理解重要数据识别与数据跨境流动的关系?
答:按照我国现行数据出境安全管理制度,重要数据出境需要申报数据出境安全评估,但具体哪些数据属于重要数据,如何界定重要数据,这是当前各方都十分关注的问题。《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(国办发〔2024〕9号)要求“科学界定重要数据的范围”。国家互联网信息办公室公布《促进和规范数据跨境流动规定》,充分考虑了当前的实际情况,要求数据处理者按照相关规定识别、申报重要数据,规定未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估,极大减轻了数据处理者的压力。
5.问:如何识别公司业务涉及的数据是核心数据还是重要数据?
答:对于核心数据、重要数据、一般数据的划分是依据《中华人民共和国数据安全法》从维护数据安全角度考虑的。核心数据,是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。重要数据,是指特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。仅影响组织自身或公民个体的数据,一般不作为重要数据。参照定义,核心数据是满足一定条件的重要数据,如果企业难以判断业务涉及的数据属于重要数据还是核心数据,可以先按程序报送重要数据目录,请相关部门给予审定。
6.问:在对企业数据分类分级时,需要细化到什么层级?
答:根据《标准规范》,对于数据分类,只需细分到第一级和第二级,第三级或者更细分的类别由企业自主决定;对于数据分级,所有数据都应当与法定的核心数据、重要数据、一般数据三级相对应。
7.问:企业向政府部门提交资料后,政府如何尽到保护商业秘密的责任?
答:政府部门将会严格遵守国家法律法规和保密规定,从机制上完善工作流程,提高工作人员保密意识,保护企业正当权益。目前,相关法律法规对政府工作人员保护企业商业秘密有严格规定,如《中华人民共和国公职人员政务处分法》第三十九条第五款规定,泄露国家秘密、工作秘密,或者泄露因履行职责掌握的商业秘密、个人隐私,造成不良后果或者影响的,予以警告、记过或者记大过;情节较重的,予以降级或者撤职;情节严重的,予以开除。
8.问:若公司因经营需求调整经营方向,在调整期内如何申报重要数据目录?
答:可遵循“数据分类分级程序”中“(四)数据分类分级变更”相关要求执行。当企业因应用场景、业务调整导致数据发生较大变化时,要及时调整数据目录,涉及重要数据变化的,按程序补充报送重要数据目录。对于企业未报备,但经有关主管、监管部门评估达到核心数据、重要数据的,及时将相关数据纳入目录,并通知涉及企业加强数据安全保护。
9.公司对照《标准规范》对内部数据所属类别进行识别时发现,有的数据感觉可以分属不同的类别,这种情况应该如何处理?
答:数据的分类主要是为了便于开发利用,根据不同维度可以有多种分类视角,企业可以根据实际情况综合考虑相关数据的业务属性、特征等因素,选择适当的数据类别。
10.问:目前企业主要业务是全球客户服务的后台中心,涉及个人客户信息数据跨境流动,是否适用?
答:要按照统一识别规则进行判定,识别为重要数据的包括:1000万人以上个人信息;100万人以上个人敏感信息;10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。相关认定结果作为开展数据安全保护和跨境流动等工作的基础。相关数据跨境流动应遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,向境外提供重要数据的,应进行数据出境安全评估。
11.问:如果企业由于数据安全管理能力不足,对文件理解有偏差等原因,对本应纳入重要数据目录的数据没有申报,是否有相应后果?
答:对于重要数据目录的申报,部门、企业都要按照规定,履行职责和义务,对于应报未报造成严重后果的要追究相关单位和个人的责任。
12.问:“对于企业未报备,但经有关主管、监管部门评估达到核心数据、重要数据的,及时将相关数据纳入目录,并通知涉及企业加强数据安全保护。”在何种情况下主管和监管部门会进行核心数据评估,这是否意味着由监管部门承担评估和通知企业的义务?
答:对适用《标准规范》的企业来说,行业主管、监管部门在履职过程中,会结合《标准规范》,以及本行业、本领域数据分类分级标准规范,按照规定程序对有关数据进行识别,这是企业按要求梳理报备重要数据目录之外的补充。原则上重要数据目录以企业主动申报为主。企业和相关主管、监管部门均应按照政策法规要求承担各自职责。
13.问:在梳理企业内部数据时,因为数据分类复杂、工作量大,数据识别专业度高,政府能否提供专业指导和帮助?
答:对企业数据分类分级工作,天津市行业主管部门与自贸试验区有关部门将加强政策宣传和落地执行,为企业提供全方位、便利化咨询渠道,使企业全面知晓、掌握政策,对重点行业和重点领域企业,将提供专业辅导。同时,会加强对招商、政务、商促等相关部门的政策培训,将数据分类分级作为企业服务的重要内容。
14.问:作为供应链金融公司,在开展数据分类分级过程中,对于“涉及国家安全的供应链数据”如何明确具体定义?
答:持金融牌照的供应链金融公司,适用《标准规范》。根据《标准规范》,首先判断企业供应链数据是否涉及影响国家安全,具体包括政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全。之后,应当进一步分析企业供应链数据是否符合《标准规范》“七、数据分级机制”中(二)到(十四)共十三类重要数据识别的标准。
15.问:企业经营多门类业务,比如医药研发外包企业,相关数据分类为服务外包类数据,还是卫生健康和食品药品类数据?
答:企业数据分类分级的对象是数据而非企业,在判断企业数据应当分为哪一类时,不是看企业本身的行业属性,而是看数据的属性,医药研发外包企业可以同时拥有服务外包类数据和卫生健康类数据,并不矛盾。
16.问:“银行的机构安保信息,以及其处理的重要企事业单位业务数据,包括国防军工企业、关系国家安全企业的相关信息。”安保信息具体包括哪些,关系国家安全企业的相关信息如何定义?
答:安保信息包括不限于:安保规划部署信息、安保机构队伍信息、安保装备信息、安保技术信息等。关系国家安全的企业,是指企业从事的业务能够影响我国的政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全等。
17.问:根据《中华人民共和国个人信息保护法》的有关规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,个人敏感信息并不包括注册账户信息。而《标准规范》中“统一识别规则”中提到“10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。”将个人注册账户信息定为敏感信息,请问依据是什么?个人注册账户具体是指哪些账户?
答:文件中的个人注册账户是指电信领域、广播电视领域的用户注册信息。参照《个人信息安全规范》(GB/T35273-2020),这些个人注册账户信息直接关系个人通信记录和内容、通讯录、网页浏览记录和虚拟货币、虚拟交易等虚拟财产信息,一旦泄露或者非法使用容易造成严重损失。