2024年3月28日，自然資源部發(fā)布《自然資源領域數(shù)據(jù)安全管理辦法》（以下簡稱《管理辦法》）。該辦法是繼工業(yè)和信息化部發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》（以下簡稱《工信領域數(shù)據(jù)管理辦法》）后，相關主管部門發(fā)布的第二部特定領域數(shù)據(jù)安全管理辦法。《管理辦法》明確了自然資源領域數(shù)據(jù)范圍，分類分級基本原則，重要數(shù)據(jù)及核心數(shù)據(jù)識別要素及自然資源領域數(shù)據(jù)全生命周期的管理制度。一、適用范圍與主要適用情形《管理辦法》明確自然資源領域數(shù)據(jù)主要包括四類數(shù)據(jù)：（1）基礎地理信息、遙感影像等地理信息數(shù)據(jù)；（2）土地、礦產、森林、草原、水、濕地、海域海島等自然資源調查監(jiān)測數(shù)據(jù)；（3）總體規(guī)劃、詳細規(guī)劃、專項規(guī)劃等國土空間規(guī)劃數(shù)據(jù)；（4）用途管制、資產管理、耕地保護、生態(tài)修復、開發(fā)利用、不動產登記等自然資源管理數(shù)據(jù)[1]。其中，基礎地理信息是指反映地球表層水系、居民地及建筑設施、交通、管線、境界與政區(qū)、地貌、植被與土質等自然和人文要素的位置、形態(tài)和屬性的基本信息，以及地名和地理空間參考信息[2]。地理信息則是指直接或間接涉及與地球位置相關聯(lián)的現(xiàn)象的信息[3]。2.非涉密數(shù)據(jù)《數(shù)據(jù)安全法》在附則部分明確，開展涉及國家秘密的數(shù)據(jù)處理活動適用于《保守國家秘密法》等法律、行政法規(guī)的規(guī)定[4]。將一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的數(shù)據(jù)安全管理與國家秘密的相關要求獨立監(jiān)管的邏輯同樣體現(xiàn)在《工信領域數(shù)據(jù)管理辦法》中。該辦法明確，涉及軍事、國家秘密信息等數(shù)據(jù)處理活動的，按照國家有關規(guī)定執(zhí)行[5]。國家標準《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》（GB/T43697-2024）亦明確其對于一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的分類分級規(guī)則不適用于涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)[6]?！豆芾磙k法》也延續(xù)了前述監(jiān)管邏輯，明確其適用于自然資源領域非涉密數(shù)據(jù)處理活動。《測繪地理信息管理工作國家秘密范圍的規(guī)定》在其附件《測繪地理信息管理工作國家秘密目錄》中明確了“軍事禁區(qū)以外1:1萬、1:5千國家基本比例尺地形圖（模擬產品）及其全要素數(shù)字化成果；軍事禁區(qū)以外連續(xù)覆蓋范圍超過25平方千米的大于1:5千的國家基本比例尺地形圖（模擬產品）及其全要素數(shù)字化成果”[7]等26項測繪地理信息管理工作國自然資源領域數(shù)據(jù)處理者（以下簡稱“數(shù)據(jù)處理者”）在依據(jù)《管理辦法》相關規(guī)定處理自然資源領域數(shù)據(jù)時應依據(jù)包括前述測繪地理信息管理工作國家秘密范圍在內的相關要求，遵守國家秘密相關規(guī)定。3.主要適用情形我們理解，《管理辦法》適用范圍中的地理信息數(shù)據(jù)定義較為寬泛，有關圖商、汽車企業(yè)、自動駕駛技術服務提供商等相關數(shù)據(jù)處理者均可能因涉及處理地理信息數(shù)據(jù)落入《管理辦法》的規(guī)制范圍內。例如，隨著智能網(wǎng)聯(lián)汽車自動駕駛技術逐漸從“單車智能”走向“車路云”融合協(xié)同發(fā)展，智能網(wǎng)聯(lián)汽車數(shù)據(jù)生態(tài)擴展到路側和基礎設施側，智能網(wǎng)聯(lián)汽車也會收集到路端數(shù)據(jù)、道路基礎設施數(shù)據(jù)等。汽車企業(yè)及自動駕駛技術服務提供商在處理前述數(shù)據(jù)時可能也會因涉及處理地理信息數(shù)據(jù)而需遵守《管理辦法》的相關要求。此外、智慧公路、智慧城市、現(xiàn)代農場、智慧港口等項目在建設和運維過程中也可能會涉及地理信息數(shù)據(jù)的采集值得注意的是，自然資源部2022年發(fā)布了《關于促進智能網(wǎng)聯(lián)汽車發(fā)展維護測繪地理信息安全的通知》（“自然資源部1號文”）。該1號文明確智能網(wǎng)聯(lián)汽車采集、存儲、傳輸和處理測繪地理信息的行為屬于測繪活動，相關車企、服務商及智能駕駛軟件提供商應取得相應測繪資質或委托具有測繪資質的單位開展相應測繪活動[8]。我們理解1號文主要對于測繪行為進行規(guī)定，而《管理辦法》，就地理信息數(shù)據(jù)而言，則更傾向于側重明確地理信息數(shù)據(jù)的分級分類及全生命周期保護等。汽車企業(yè)、圖商、自動駕駛技術服務提供商等數(shù)據(jù)處理者應結合自身業(yè)務實際判斷所需遵守的相關規(guī)定。二、自然資源領域數(shù)據(jù)分級與重要數(shù)據(jù)識別1.自然資源領域數(shù)據(jù)分級《管理辦法》明確在對自然資源領域數(shù)據(jù)進行分級時，應對自然資源領域數(shù)據(jù)重要性、精度、規(guī)模、安全風險，以及數(shù)據(jù)價值、可用性、可共享性、可開放性等進行綜合分析，判斷數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后的影響對象、影響程度、影響范圍[9]，并將自然資源領域數(shù)據(jù)分級為一般數(shù)據(jù)、重要數(shù)據(jù)、相較于《工信數(shù)據(jù)管理辦法》對于工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度[10]的分級標準，《管理辦法》的分級標準在強調數(shù)據(jù)非法利用后的影響對象、影響程度基礎上，突出了對于數(shù)據(jù)重要性、精度、規(guī)模方面的考慮。國家標準《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》（GB/T43697-2024）也明確了相關數(shù)據(jù)分級要素的具體含義，可資參考[11]：2.重要數(shù)據(jù)識別《數(shù)據(jù)安全法》規(guī)定“國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護?！盵12]在此基礎上，《管理辦法》明確自然資源部組織制定重要數(shù)據(jù)和核心數(shù)據(jù)識別認定標準規(guī)范，編制行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)目錄[13]。在明確自然資源領域數(shù)據(jù)分級標準后，《管理辦法》也規(guī)定了自然資源領域重要數(shù)據(jù)的識別標準。該識別標準與《工信領域數(shù)據(jù)管理辦法》重要數(shù)據(jù)識別標準類似，均在原則上明確了本領域的若干重要數(shù)據(jù)識別因素。國家標準《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》（GB/T43697-2024）在附錄G《重要數(shù)據(jù)識別指南》中列舉的重要數(shù)據(jù)識別考慮因素也包括了涉及自然資源領域數(shù)據(jù)的相關內容。此外，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》明確的重要數(shù)據(jù)類型“軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息”[14]也屬于自然資源領域數(shù)據(jù)，也可能被認定為自然資源領域重要數(shù)三、自然資源領域數(shù)據(jù)全生命周期安全管理《管理辦法》明確了數(shù)據(jù)處理者對于自然資源領域數(shù)據(jù)分級防護的保護原則，數(shù)據(jù)處理者同時處理不同級別數(shù)據(jù)且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利1.自然資源領域數(shù)據(jù)處理者數(shù)據(jù)安全保護義務與《工信數(shù)據(jù)管理辦法》一致，《管理辦法》明確了數(shù)據(jù)處理者的分級防護要求和操作規(guī)程、配備數(shù)據(jù)安全管理人員、實施人員權限管理、制定數(shù)據(jù)安全事件應急預案及對從業(yè)人員開展數(shù)據(jù)安全教育培訓等要求[15]。此外，《管理辦法》還強調數(shù)據(jù)處理者應落實網(wǎng)絡安全等級保護義務并需采取相應技術措施保障數(shù)據(jù)安全[16]。對于重要數(shù)據(jù)與核心數(shù)據(jù)處理者，《管理辦法》與《工信數(shù)據(jù)管理辦法》均明確數(shù)據(jù)處理者應建立覆蓋本單位相關部門的數(shù)據(jù)安全工作體系、明確數(shù)據(jù)安全負責人和管理機構、明確數(shù)據(jù)處理關鍵崗位和崗位職責并要求簽署數(shù)據(jù)安全責任書、對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動進行嚴格管理并留存記錄等安全保護義務?！豆芾磙k法》在此基礎上特別明確對于數(shù)據(jù)處理關鍵崗位和崗位職責，應按照業(yè)務工作需要和最小授權原則，設定數(shù)據(jù)處理權限并控制重要數(shù)據(jù)接觸范圍。值得注意的是，《管理辦法》要求涉及核心數(shù)據(jù)的相關關鍵崗位人員、信息系統(tǒng)建設和運維單位等，應提交公安機關、國家安全機關進行國家安全背景審查[17]。與該規(guī)定類似，《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施運營者對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時，公安機關、國家安全機關應當予以協(xié)助[18]?！豆芾磙k法》明確數(shù)據(jù)處理者應按照法律法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護?！睹艽a法》亦規(guī)定，法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護[19]。2.自然資源領域數(shù)據(jù)的收集、存儲與加工使用對于數(shù)據(jù)的收集、存儲，《管理辦法》明確應采取相關安全措施，加強人員、設備、存儲環(huán)境的管控措施并對數(shù)據(jù)收集行為進行記錄。2023年發(fā)布的《信息安全技術重要數(shù)據(jù)處理安全要求》（征求意見稿）曾要求，處理重要數(shù)據(jù)的系統(tǒng)應符合《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T22239—2019）第三級安全要求，并通過網(wǎng)絡安全等級保護三級（含）以上測評[20]?！豆芾磙k法》著重強調重要數(shù)據(jù)和核心數(shù)據(jù)的存儲要求：數(shù)據(jù)處理者存儲重要數(shù)據(jù)的，應落實第三級及以上網(wǎng)絡安全等級保護要求，存儲核心數(shù)據(jù)的，要落實關鍵信息基礎設施安全保護要求或第四級網(wǎng)絡安全等級保護要求[21]。中國人民銀行《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》中對于重要數(shù)據(jù)與核心數(shù)據(jù)的存儲也明確了與前述內容一致的規(guī)定[22]。對于自然資源領域數(shù)據(jù)加工而言，《管理辦法》除明確應采用訪問控制、操作審計等技術措施防范安全風險外，亦對數(shù)據(jù)本身的真實可靠性、數(shù)據(jù)來源、收集過程是否經(jīng)審查核實等提出要求。3.自然資源領域數(shù)據(jù)的提供與委托處理數(shù)據(jù)的委托處理與對外提供是促進數(shù)據(jù)流動，釋放數(shù)據(jù)價值的重要方式，也是數(shù)據(jù)處理安全保護的重要場景?！豆芾磙k法》強化了數(shù)據(jù)處理者在對外提供或委托處理自然資源領域數(shù)據(jù)時的安全保護義務，明確應告知接收方采取相關安全保護措施，委托處理時應簽訂合同協(xié)議等法律文件明確雙方數(shù)據(jù)安全責任和義務。對于重要數(shù)據(jù)，《管理辦法》強調數(shù)據(jù)處理者在對外提供時應采取技術措施定期監(jiān)測數(shù)據(jù)共享、調用情況，配備風險隔離等安全保護措施；在委托處理時應對受托方的數(shù)據(jù)安全保護能力、資質進行評估核實。此外，《管理辦法》對核心數(shù)據(jù)的對外提供提出了更高的監(jiān)管要求：提供、共享核心數(shù)據(jù)的數(shù)據(jù)處理者應上報自然資源部，自本年度1月1日起可能累計達到總量30%及以上的，應當經(jīng)自然資源部報國家數(shù)據(jù)安全工作協(xié)調機制組織風險評估[23]。4.自然資源領域數(shù)據(jù)的跨境提供2024年3月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，相較于此前《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》明確的數(shù)據(jù)跨境監(jiān)管制度，《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》在一定程度上放松了對于個人信息（不含敏感個人信息）跨境傳輸?shù)谋O(jiān)管力度，但并未放寬對于重要數(shù)據(jù)的出境監(jiān)管措施——即數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)前，仍需通過國家網(wǎng)信部門的數(shù)據(jù)出境安全評估。《管理辦法》在第二十條明確“數(shù)據(jù)處理者在中華人民共和國境內收集和產生的重要數(shù)據(jù)，應當在境內存儲，確需向境外提供的，數(shù)據(jù)處理者應當落實國家網(wǎng)信部門數(shù)據(jù)出境安全評估有關規(guī)定”。此處，《管理辦法》對于自然資源領域重要數(shù)據(jù)的存儲要求為“應當在境內存儲”。相較于《工信領域數(shù)據(jù)管理辦法》對于重要數(shù)據(jù)“法律、行政法規(guī)有境內存儲要求的，應當在境內存儲”[24]的存儲要求，《管理辦法》對于重要數(shù)據(jù)采取了更為嚴格的本地化存儲要求。值得注意的是，《網(wǎng)絡安全法》中明確關鍵信息基礎設施運營者在中國境內收集和產生的重要數(shù)據(jù)“應當在境內存儲”?！豆芾磙k法》對于自然資源領域重要數(shù)據(jù)的存儲要求與《網(wǎng)絡安全法》對于關鍵信息基礎設施運營者存儲重要數(shù)據(jù)的要求基本一致。我們理解，由于自然資源領域數(shù)據(jù)敏感程度普遍較高，《管理辦法》出于數(shù)據(jù)敏感程度，安全風險等方面的考慮對自然資源領域重要數(shù)據(jù)的存儲提出了更高要求。小結自《數(shù)據(jù)安全法》明確“各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產生的數(shù)據(jù)及數(shù)據(jù)安全負責。工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責”后，工業(yè)和信息化部、自然資源部均已發(fā)布本領域的數(shù)據(jù)安全管理辦法，中國人民銀行亦發(fā)布《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法》（征求意見稿）。在行業(yè)范圍上，適用于汽車行業(yè)的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》已生效兩年有余；適用于銀行業(yè)保險業(yè)的《銀行保險機構數(shù)據(jù)安全管理辦法》（征求意見稿）已于2024年3月22日發(fā)布。在地區(qū)層面，北京市通信管理局亦發(fā)布了《北京地區(qū)電信領域數(shù)據(jù)安全管理實施細無論是在