确立分类监管规则，数据安全保障再进一步

　　9月30日，工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》(下称《管理办法》)并面向社会公开征求意见。该规定是数安法施行后，首个由行业、领域主管部门制定发布的数据安全相关法规。《管理办法》对一般数据、重要数据、核心数据的判定条件予以明确，有专家指出，这也是在国内数据安全层面的法律法规中首次提出数据销毁有关问题。

　　不同于2019年5月发布的《数据安全管理办法》以个人信息和重要数据为主要管理对象，并针对在中国境内利用网络开展数据收集、存储、传输、处理、使用等数据活动做出监管规定。此次的《管理办法》将目光聚焦在了工信领域，拟将监管对象限定为工业领域的原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等。也就是说，与此前更多聚焦于C端不同，此次更多关注B端的信息安全问题。

　　无论是哪个领域的数据安全，明确不同数据类型的定义都是基础工作。此次《管理办法》共八章四十四条，是工信领域数据安全管理顶层设计，其中的一大亮点，正在于明确了对不同数据的定义。对于一般数据、重要数据、核心数据，《管理办法》给出了详细的判断条件，主要是以对公共利益或者个人、组织合法权益造成的影响和社会负面影响的大小来区分。

　　只有对不同类别数据进行这样的细化定义，给出具体的判定条件，才能真正在实际操作中辨别出不同数据及其重要性、安全等级，从而更好地保障数据安全。

　　在有了明确定义的基础上，如何更好地保护数据？对此，《管理办法》明确了数据全生命周期安全保护要求——针对不同级别数据，从数据收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。

　　更重要的是，《管理办法》对数据全生命周期安全保护的最后一环，即数据销毁，首次提出了相关要求。《管理办法》确立数据销毁策略和管理制度，明确销毁对象、流程和技术等要求，要求对销毁活动进行记录和留存。销毁重要数据和核心数据的，不得以任何理由、任何方式对销毁数据进行恢复。

　　之所以会将数据销毁作为合规的必要要求，是因为这对于降低数据泄露风险有着重要意义。企业对于信息的使用、访问授权都有一定的范围，但如果数据超出使用范围地被存储则加大了泄露风险，甚至可能被挪作他用。目前，对于数据销毁的规定与监管都尚属空白，很多企业对此并不在意，而有一小部分企业甚至利用这一漏洞间接妨害数据安全。中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括指出，在具体落实过程中，销毁不彻底、虚假销毁等现象是监管机关的关注重点，需要有效、及时的公证、审计等第三方服务跟进。当然，亦有专家担心此举会为再次使用信息增加难度，建议更灵活化地使用这一条款。至于效果如何，需要更为严格还是更为灵活地执行，则需要在实践中探索找出答案。

　　同时，对于用户非常担心的用户画像被滥用导致的“大数据杀熟”等问题，即数据使用加工方面，《管理办法》拟规定工信数据处理者未经个人、单位等同意，不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。

　　对重要性不同的数据进行明确的定义与划分，就数据销毁作出确切的合规要求及在实际操作中进行调整，都是关乎数据安全保障的必要之举。期待《管理办法》吸收有益的公众意见，进一步提升对数据安全的全生命周期保障。