《自然资源领域数据安全管理办法》简评

2024年3月28日，自然资源部发布《自然资源领域数据安全管理办法》（以下简称《管理办法》）。该办法是继工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）》（以下简称《工信领域数据管理办法》）后，相关主管部门发布的第二部特定领域数据安全管理办法。《管理办法》明确了自然资源领域数据范围，分类分级基本原则，重要数据及核心数据识别要素及自然资源领域数据全生命周期的管理制度。一、适用范围与主要适用情形《管理办法》明确自然资源领域数据主要包括四类数据：（1）基础地理信息、遥感影像等地理信息数据；（2）土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据；（3）总体规划、详细规划、专项规划等国土空间规划数据；（4）用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据[1]。其中，基础地理信息是指反映地球表层水系、居民地及建筑设施、交通、管线、境界与政区、地貌、植被与土质等自然和人文要素的位置、形态和属性的基本信息，以及地名和地理空间参考信息[2]。地理信息则是指直接或间接涉及与地球位置相关联的现象的信息[3]。2.非涉密数据《数据安全法》在附则部分明确，开展涉及国家秘密的数据处理活动适用于《保守国家秘密法》等法律、行政法规的规定[4]。将一般数据、重要数据、核心数据的数据安全管理与国家秘密的相关要求独立监管的逻辑同样体现在《工信领域数据管理办法》中。该办法明确，涉及军事、国家秘密信息等数据处理活动的，按照国家有关规定执行[5]。国家标准《数据安全技术数据分类分级规则》（GB/T43697-2024）亦明确其对于一般数据、重要数据、核心数据的分类分级规则不适用于涉及国家秘密的数据和军事数据[6]。《管理办法》也延续了前述监管逻辑，明确其适用于自然资源领域非涉密数据处理活动。《测绘地理信息管理工作国家秘密范围的规定》在其附件《测绘地理信息管理工作国家秘密目录》中明确了“军事禁区以外1:1万、1:5千国家基本比例尺地形图（模拟产品）及其全要素数字化成果；军事禁区以外连续覆盖范围超过25平方千米的大于1:5千的国家基本比例尺地形图（模拟产品）及其全要素数字化成果”[7]等26项测绘地理信息管理工作国自然资源领域数据处理者（以下简称“数据处理者”）在依据《管理办法》相关规定处理自然资源领域数据时应依据包括前述测绘地理信息管理工作国家秘密范围在内的相关要求，遵守国家秘密相关规定。3.主要适用情形我们理解，《管理办法》适用范围中的地理信息数据定义较为宽泛，有关图商、汽车企业、自动驾驶技术服务提供商等相关数据处理者均可能因涉及处理地理信息数据落入《管理办法》的规制范围内。例如，随着智能网联汽车自动驾驶技术逐渐从“单车智能”走向“车路云”融合协同发展，智能网联汽车数据生态扩展到路侧和基础设施侧，智能网联汽车也会收集到路端数据、道路基础设施数据等。汽车企业及自动驾驶技术服务提供商在处理前述数据时可能也会因涉及处理地理信息数据而需遵守《管理办法》的相关要求。此外、智慧公路、智慧城市、现代农场、智慧港口等项目在建设和运维过程中也可能会涉及地理信息数据的采集值得注意的是，自然资源部2022年发布了《关于促进智能网联汽车发展维护测绘地理信息安全的通知》（“自然资源部1号文”）。该1号文明确智能网联汽车采集、存储、传输和处理测绘地理信息的行为属于测绘活动，相关车企、服务商及智能驾驶软件提供商应取得相应测绘资质或委托具有测绘资质的单位开展相应测绘活动[8]。我们理解1号文主要对于测绘行为进行规定，而《管理办法》，就地理信息数据而言，则更倾向于侧重明确地理信息数据的分级分类及全生命周期保护等。汽车企业、图商、自动驾驶技术服务提供商等数据处理者应结合自身业务实际判断所需遵守的相关规定。二、自然资源领域数据分级与重要数据识别1.自然资源领域数据分级《管理办法》明确在对自然资源领域数据进行分级时，应对自然资源领域数据重要性、精度、规模、安全风险，以及数据价值、可用性、可共享性、可开放性等进行综合分析，判断数据遭到篡改、破坏、泄露或者非法获取、非法利用后的影响对象、影响程度、影响范围[9]，并将自然资源领域数据分级为一般数据、重要数据、相较于《工信数据管理办法》对于工业数据、电信数据和无线电数据根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度[10]的分级标准，《管理办法》的分级标准在强调数据非法利用后的影响对象、影响程度基础上，突出了对于数据重要性、精度、规模方面的考虑。国家标准《数据安全技术数据分类分级规则》（GB/T43697-2024）也明确了相关数据分级要素的具体含义，可资参考[11]：2.重要数据识别《数据安全法》规定“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”[12]在此基础上，《管理办法》明确自然资源部组织制定重要数据和核心数据识别认定标准规范，编制行业重要数据和核心数据目录[13]。在明确自然资源领域数据分级标准后，《管理办法》也规定了自然资源领域重要数据的识别标准。该识别标准与《工信领域数据管理办法》重要数据识别标准类似，均在原则上明确了本领域的若干重要数据识别因素。国家标准《数据安全技术数据分类分级规则》（GB/T43697-2024）在附录G《重要数据识别指南》中列举的重要数据识别考虑因素也包括了涉及自然资源领域数据的相关内容。此外，《汽车数据安全管理若干规定（试行）》明确的重要数据类型“军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息”[14]也属于自然资源领域数据，也可能被认定为自然资源领域重要数三、自然资源领域数据全生命周期安全管理《管理办法》明确了数据处理者对于自然资源领域数据分级防护的保护原则，数据处理者同时处理不同级别数据且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利1.自然资源领域数据处理者数据安全保护义务与《工信数据管理办法》一致，《管理办法》明确了数据处理者的分级防护要求和操作规程、配备数据安全管理人员、实施人员权限管理、制定数据安全事件应急预案及对从业人员开展数据安全教育培训等要求[15]。此外，《管理办法》还强调数据处理者应落实网络安全等级保护义务并需采取相应技术措施保障数据安全[16]。对于重要数据与核心数据处理者，《管理办法》与《工信数据管理办法》均明确数据处理者应建立覆盖本单位相关部门的数据安全工作体系、明确数据安全负责人和管理机构、明确数据处理关键岗位和岗位职责并要求签署数据安全责任书、对重要数据和核心数据的处理活动进行严格管理并留存记录等安全保护义务。《管理办法》在此基础上特别明确对于数据处理关键岗位和岗位职责，应按照业务工作需要和最小授权原则，设定数据处理权限并控制重要数据接触范围。值得注意的是，《管理办法》要求涉及核心数据的相关关键岗位人员、信息系统建设和运维单位等，应提交公安机关、国家安全机关进行国家安全背景审查[17]。与该规定类似，《关键信息基础设施安全保护条例》要求关键信息基础设施运营者对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助[18]。《管理办法》明确数据处理者应按照法律法规和国家有关规定要求使用商用密码进行保护。《密码法》亦规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护[19]。2.自然资源领域数据的收集、存储与加工使用对于数据的收集、存储，《管理办法》明确应采取相关安全措施，加强人员、设备、存储环境的管控措施并对数据收集行为进行记录。2023年发布的《信息安全技术重要数据处理安全要求》（征求意见稿）曾要求，处理重要数据的系统应符合《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）第三级安全要求，并通过网络安全等级保护三级（含）以上测评[20]。《管理办法》着重强调重要数据和核心数据的存储要求：数据处理者存储重要数据的，应落实第三级及以上网络安全等级保护要求，存储核心数据的，要落实关键信息基础设施安全保护要求或第四级网络安全等级保护要求[21]。中国人民银行《中国人民银行业务领域数据安全管理办法（征求意见稿）》中对于重要数据与核心数据的存储也明确了与前述内容一致的规定[22]。对于自然资源领域数据加工而言，《管理办法》除明确应采用访问控制、操作审计等技术措施防范安全风险外，亦对数据本身的真实可靠性、数据来源、收集过程是否经审查核实等提出要求。3.自然资源领域数据的提供与委托处理数据的委托处理与对外提供是促进数据流动，释放数据价值的重要方式，也是数据处理安全保护的重要场景。《管理办法》强化了数据处理者在对外提供或委托处理自然资源领域数据时的安全保护义务，明确应告知接收方采取相关安全保护措施，委托处理时应签订合同协议等法律文件明确双方数据安全责任和义务。对于重要数据，《管理办法》强调数据处理者在对外提供时应采取技术措施定期监测数据共享、调用情况，配备风险隔离等安全保护措施；在委托处理时应对受托方的数据安全保护能力、资质进行评估核实。此外，《管理办法》对核心数据的对外提供提出了更高的监管要求：提供、共享核心数据的数据处理者应上报自然资源部，自本年度1月1日起可能累计达到总量30%及以上的，应当经自然资源部报国家数据安全工作协调机制组织风险评估[23]。4.自然资源领域数据的跨境提供2024年3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》，相较于此前《数据出境安全评估办法》《个人信息出境标准合同办法》明确的数据跨境监管制度，《促进和规范数据跨境流动规定》在一定程度上放松了对于个人信息（不含敏感个人信息）跨境传输的监管力度，但并未放宽对于重要数据的出境监管措施——即数据处理者向境外提供重要数据前，仍需通过国家网信部门的数据出境安全评估。《管理办法》在第二十条明确“数据处理者在中华人民共和国境内收集和产生的重要数据，应当在境内存储，确需向境外提供的，数据处理者应当落实国家网信部门数据出境安全评估有关规定”。此处，《管理办法》对于自然资源领域重要数据的存储要求为“应当在境内存储”。相较于《工信领域数据管理办法》对于重要数据“法律、行政法规有境内存储要求的，应当在境内存储”[24]的存储要求，《管理办法》对于重要数据采取了更为严格的本地化存储要求。值得注意的是，《网络安全法》中明确关键信息基础设施运营者在中国境内收集和产生的重要数据“应当在境内存储”。《管理办法》对于自然资源领域重要数据的存储要求与《网络安全法》对于关键信息基础设施运营者存储重要数据的要求基本一致。我们理解，由于自然资源领域数据敏感程度普遍较高，《管理办法》出于数据敏感程度，安全风险等方面的考虑对自然资源领域重要数据的存储提出了更高要求。小结自《数据安全法》明确“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”后，工业和信息化部、自然资源部均已发布本领域的数据安全管理办法，中国人民银行亦发布《中国人民银行业务领域数据安全管理办法》（征求意见稿）。在行业范围上，适用于汽车行业的《汽车数据安全管理若干规定（试行）》已生效两年有余；适用于银行业保险业的《银行保险机构数据安全管理办法》（征求意见稿）已于2024年3月22日发布。在地区层面，北京市通信管理局亦发布了《北京地区电信领域数据安全管理实施细无论是在