详细解读《自然资源领域数据安全管理办法》

随着信息技术的快速发展，数据已成为国家重要的战略资源。自然资源领域的数据安全对于国家安全、经济发展和社会稳定具有重要意义。2024年3月22日，自然资源部根据《数据安全法》、《网络安全法》、《个人信息保护法》等相关法律法规，制定并印发了《自然资源领域数据安全管理办法》（以下简称“《管理办法》”），旨在加强自然资源领域数据的安全管理，促进数据的合法、安全和有效利用。

《管理办法》的主要内容

（一）《管理办法》适用哪些场景

《管理办法》作为一部自然资源部发布的部门规章，主要针对的对象是履行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动及其安全监管。我们理解，《管理办法》是自然资源部根据《数据安全法》第六条的要求和授权起草并发布的部门规章，《数据安全法》第六条要求，“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”《数据安全法》第二十一条进一步要求各部门制定重要数据目录，加强对重要数据的保护；且各部门应当按照数据分类分级保护制度，确定本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。因此，在《数据安全法》生效2年多以后，自然资源部出台了本部门的数据安全管理办法。

（二） 什么数据是自然资源领域的“核心数据”与“重要数据”

《管理办法》下定义的自然资源领域数据，是指在开展自然资源活动中收集和产生的数据，主要包括基础地理信息、遥感影像等地理信息数据，土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据，总体规划、详细规划、专项规划等国土空间规划数据，用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。开展上述数据处理活动的自然资源行业各类单位均构成该办法下的自然资源领域数据处理者。呼应《数据安全法》和近期全国网络安全标准化技术委员会出台的《数据安全技术 数据分类分级规则》（GB/T 43697-2024，“《分类分级规则》”）的规定，《管理办法》将自然资源领域的数据分为一般数据、重要数据和核心数据三级，并针对“自然资源领域数据”这一类目对重要数据和核心数据给出了更为明确的定义。

《分类分级规则》下，数据分级的基本逻辑是，根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据分为上述三个级别。分级需要考虑分级要素以及数据影响，综合进行定级。分级要素主要包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等（具体考虑这些要素的哪些层面可参考《分类分级规则》附录C），数据影响则考虑影响的对象（影响对象考虑因素可参考《分类分级规则》附录E）和影响的程度（影响程度参考示例可参考《分类分级规则》附录F），例如，影响对象如果是国家安全、经济运行、社会秩序或公共利益，则一般认为其危害较为严重。

《管理办法》结合上述基本逻辑，对自然资源领域数据的分级提出了以下规则：

核心数据：对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生和重大公共利益的数据，经国家有关部门评估确定的其他数据。

重要数据：特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

在此基础上，《管理办法》还试图提供更为明确的参考指标，以协助自然资源领域数据处理者辨认、确认其掌握、处理的重要数据，第10条明确规定，满足两项或以上参考指标的为重要数据：

（一）支撑党中央和国务院赋予的“两统一”职责产生的具有不可替代性和行业唯一性的，一旦发生数据篡改、泄露或服务中断等安全事故，将影响自然资源部门履行职责，对全国范围内服务对象产生重要影响的数据。

（二）涉及国民经济和重要民生的，为其他行业、领域提供自然资源基础数据支撑的，一旦发生数据安全事故会对其他行业、领域造成重要影响的数据。

（三）覆盖多个省份甚至全国，规模大、精度高，且极具敏感性、重要性的数据。

（四）直接影响国家关键信息基础设施正常运行服务的数据。

（五）危害国家安全、国家经济竞争力、危害公众接受公共服务、危害公民生存条件和安定工作生活环境、危害公民的生命财产安全和其他合法利益、导致社会恐慌等的数据。

（六）我国法律法规及规范性文件规定的其他自然资源重要数据。（以下图示中统称为“六项标准”）。

此外，《分类分级规则》附录G《重要数据识别指南》还提出了一些重要数据识别时的考虑因素，其中与自然资源领域相关的考虑因素包括：

a) 直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据；

b) 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据；

j) 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文观测结果、耕地面积或质量变化情况的数据；

m) 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据，以及影响人员在上述领域安全进出的数据。

我们理解，在判断自然资源领域中的重要数据时，上述标准和参考因素均应纳入考虑范围。

符合重要数据指标，且关系国家经济命脉、重要民生和重大公共利益、影响政治安全的数据为核心数据。一般数据是指除重要数据、核心数据以外的其他数据。

这种行业上的分类和参考指标虽然依然是描述性的、相对模糊的，但相对《数据安全法》下的定义已经针对行业特征进行了细化，并且明确了核心数据、重要数据与一般数据之间的关系，为数据的保护和管理提供了法律依据，有助于实现数据安全的分级保护。

（三）数据处理者处理核心数据和重要数据有哪些义务

《管理办法》对数据处理者提出了一系列要求，比起《数据安全法》更加明确和严格。首先，《管理办法》进一步明确了数据分级分类防护是数据安全管理工作的基础，针对不同级别数据应采取不同的保护措施，无法明确区分时应按照最高级别实施保护。除了对于普通的数据处理者提出的建立数据安全管理制度、配备数据安全管理人员、落实网络安全等级保护、采取相应技术措施保障数据安全、合理确认操作权限、制定应急预案、定期开展数据安全教育培训等基本要求外，特别强调了重要数据和核心数据处理者应明确法定代表人或主要负责人是数据安全第一责任人，要求建立数据安全工作体系，关键岗位人员签署数据安全责任书，涉及核心数据的关键岗位人员、信息系统建设和运维单位还需进行国家安全背景审查，确保数据处理活动的合法性和安全性。

（四）数据收集、存储、使用和销毁有哪些特殊要求

《管理办法》规定了数据收集的合法性和正当性原则，要求数据处理者在收集、存储、使用和销毁数据的过程中，采取有效的技术和管理措施，保障数据的安全和合法利用。对于重要数据，《管理办法》明确要求落实第三级及以上网络安全等级保护要求，这一要求曾分别出现在2021年发布的《网络数据安全管理条例》（征求意见稿）（第9条）和2023年发布的《信息安全技术 重要数据处理安全要求》（征求意见稿）中（4.1条）。《管理办法》还要求存储核心数据的，要落实关键信息基础设施安全保护要求或第四级网络安全等级保护要求，这一规定只出现在《中国人民银行业务领域数据安全管理办法》（征求意见稿）（第33条）中。

（五）数据加工、委托处理和提供有哪些特殊要求

相比起《数据安全法》，《管理办法》对数据加工、委托处理、提供和公开等各种数据处理活动分别提出了较为详细的保护要求。

《管理办法》规定，数据处理者开展数据加工使用处理活动，应当采取访问控制、数据防泄漏、操作审计等管控措施，确保过程安全、合规、可控、可溯源，防范数据关联挖掘、分析过程中有价值信息和个人隐私泄漏的安全风险，明确数据使用加工过程中的相关责任，保证数据的正当加工使用。同时，该条还要求数据真实可靠，数据来源经过审查核实。如涉及重要数据和核心数据，还应当实施严格的安全控制机制。

数据处理者委托他人处理、与他人共同处理数据的，应当在与合作方的协议中明确数据安全责任和义务，涉及重要数据的，委托方应对受托方的数据安全保护能力、资质进行评估或核实，经过严格的审批程序，明确受托方的数据处理权限和保护责任，并监督受托方履行数据安全保护义务。

对外提供数据的，则应明确提供的范围、类别、条件、程序等，提供的数据应限于实现处理目的的最小范围；如涉及重要数据的提供，则需要与数据接收方签订数据安全协议；涉及核心数据的，应当采取必要的保护措施并上报自然资源部。

（六）重要数据的传输和转移

针对重要数据跨境传输，和《促进和规范数据跨境流动规定》保持一致，《管理办法》亦要求落实数据出境安全评估有关规定。

如因重组等原因需要转移重要数据的，也需要事先向行业监管部门报告数据转移方案，引起重要数据目录发生变化的，还应当及时向行业监管部门报备。这一要求相比2021年发布的《网络数据安全管理条例》（征求意见稿），实质上有所放松，在该征求意见稿下，数据处理者共享、交易、委托处理重要数据的均须征得主管部门同意。

（七）重要数据处理者的风险评估

《数据安全法》第三十条规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。《管理办法》对此风险评估制度进行了进一步明确。第一种情况，涉及提供、共享核心数据的，除了以上提到的采取必要的安全保护措施、上报自然资源部外，如自本年度1月1日起可能累计达到总量30%及以上的，应当经自然资源部报国家数据安全工作协调机制组织风险评估。第二种情况是，重要数据处理者每年应自行或委托第三方评估机构至少开展一次数据处理活动的风险评估，及时整改，并向行业监管部门报送风险评估报告。该报告应保留至少三年。并且，核心数据处理者应优先使用第三方评估机构开展风险评估。

我们的建议

《管理办法》的发布是我国在自然资源领域数据安全管理方面的重要进展，不仅为自然资源数据的安全管理提供了明确的法律依据，也为相关企业和机构的合规操作提供了指导。

考虑到《管理办法》的监管对象包括基础地理信息、遥感影像等地理信息数据，这些信息一般被认为落入测绘地理信息的范畴，在自动驾驶技术迅速发展的今天，精度高的测绘地理信息是制作高精度地图的关键信息，因此，《管理办法》可能对智能网联汽车企业、自动驾驶技术服务提供商、地图服务提供商等相关行业玩家产生影响。因此，我们建议相关企业和机构：

1. 及时调整和优化数据安全管理体系，确保符合《管理办法》的要求。

2. 跟进自然资源领域数据分类分级标准规范的立法进展，注意识别、梳理、申报重要数据和核心数据。

3. 重要数据、核心数据的处理者增加每年一次的风险评估流程，逐项审阅补充内部数据处理相关政策。