前言
当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日《中华人民共和国数据安全法》的正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中第六条明确了工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。
工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。为贯彻落实《数据安全法》,加快推动工业和信息化领域数据安全管理工作制度化、规范化,2022年12月8日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,解决了工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括以下七个方面:
一、界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责
1、明确工业和信息化领域数据及数据处理者
2、构建联动的监管机制
二、确定数据分类分级管理、重要数据识别与备案相关要求
1、细化数据分类分级标准及其管理制度
2、规定了更细致的数据分级标准
3、明确重要数据和核心数据目录备案要求及流程

三、针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求
1、建立数据全生命周期安全管理制度
2、细化数据处理者职责


四、建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制
五、明确开展数据安全监测、认证、评估的相关要求
六、规定监督检查等工作要求
七、明确相关违法违规行为的法律责任和惩罚措施
如果要对《管理办法》进行总体解读,我们认为归纳起来有以下三个方面:
在工业和信息化领域对国家数据安全管理制度要求进行了细化,明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化了数据全生命周期 安全义务,为行业数据安全监管提供了制度保障。
构建了工业和信息化领域数据安全监管体系,明确了工业和信息化部、地方行业监管部⻔的职责范围,建立了权责一致的工作机制。
根据工业、电信、无线电领域的实际情况,明确了数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护数据主体的责任。
当前,数据已成为数字经济时代最为活跃的新型生产要素。与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日《中华人民共和国数据安全法》的正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中第六条明确了工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。
工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。为贯彻落实《数据安全法》,加快推动工业和信息化领域数据安全管理工作制度化、规范化,2022年12月8日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,解决了工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括以下七个方面:
一、界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责
1、明确工业和信息化领域数据及数据处理者
| 工业和信息化 领域数据 | 工业数据 | 工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。 |
| 电信数据 | 在电信业务经营活动中产生和收集的数据。 | |
| 无线数据 | 在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。 | |
| 工业和信息化 领域处理者 | 数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。 | |
2、构建联动的监管机制
| 行业监管部门 | 工业和信息化部 | 督促指导地方行业监管部门开展数据安全监管,对工信领域的数据处理活动和安全保护进行监督管理。 | 配合监管工作 促进产业发展 推进标准制定 |
| 地方行业监管部门 | 监督管理本地区工业、电信、无线电数据处理者的数据处理活动和安全保护。地方行业监管部门包括: 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门 各省、自治区、直辖市通信管理局 各省、自治区、直辖市无线电管理机构 |
二、确定数据分类分级管理、重要数据识别与备案相关要求
1、细化数据分类分级标准及其管理制度
| 分级分类工作要求 | 工业和信息化部 | 制定标准规范 指导数据分类分级管理工作 制定行业重要、核心数据具体目录并实施动态管理 |
| 地方行业监管部门 | 开展数据分类分级管理及识别工作 确定重要、核心数据具体目录上报工信部,并及时更新 | |
| 工业和信息化领域数据处理者 | 定期梳理数据 识别重要、核心数据形成具体目录 | |
| 分级分类方法 | 根据行业要求、特点、业务需求、数据来源和用途等因素 | 工信领域数据分类包括但不限于: 研发数据 生产运行数据 管理数据 运维数据 业务服务数据等 |
| 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度 | 工信领域数据分级为: 一般数据 重要数据 核心数据 |
2、规定了更细致的数据分级标准
| 一般数据 | 重要数据 | 核心数据 |
| 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域 | 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域 | |
| 对工业和信息化领域发展、生产、运行和经济利益等造成严重影响 | 对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响 | |
| 对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小 | 造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大 | 对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等 |
| 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小 | 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响 | |
| 其他未纳入重要数据、核心数据目录的数据 | 经工业和信息化部评估确定的其他重要数据 | 经工业和信息化部评估确定的其他核心数据 |
3、明确重要数据和核心数据目录备案要求及流程

三、针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求
1、建立数据全生命周期安全管理制度
| 工信领域数据处理者 | 制定具体分级防护要求和操作规程 配备数据安全管理员 实施人员权限管理 制定应急预案并演练 定期开展教育和培训 |
| 工信领域重要、核心 数据处理者 | 建立数据安全工作体系 明确数据安全责任人 明确数据处理关键岗位和岗位职责 建立内部登记、审批等工作机制 |
2、细化数据处理者职责


四、建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制
| 监测预警机制 | 工业和信息化部 | 建立风险监测机制 制定监测预警接口和标准 建设监测预警技术手段 加强信息共享 |
| 地方行业监管部门 | 建设风险预测预警机制 开展风险监测 发布预警信息,并采取措施 | |
| 工业和信息化领域数据处理者 | 开展风险监测 | |
| 风险信息报送和共享机制 | 工业和信息化部 | 建立风险信息上报和共享机制 统一汇集、分析、研判、通报风险信息 |
| 地方行业监管部门 | 汇总分析本地区风险,并将可能造成重大及以上事件的风险上报工信部 | |
| 工业和信息化领域数据处理者 | 及时将可能造成较大及以上事件的风险向地方行业监管部门报告 | |
| 应急处置机制 | 工业和信息化部 | 制定数据安全事件应急预案 协调重要、核心数据安全事件应急处置工作 |
| 地方行业监管部门 | 开展应急处置工作 涉重要、核心数据的安全事件,立即上报工信部 | |
| 工业和信息化领域数据处理者 | 数据安全事件发生后,及时开展应急处置 涉重要、核心数据的安全事件,第一时间向地方行业监管部门报告 形成总结报告,每年向地方行业监管部门报告数据安全事件处置情况 对可能损害用户权益的事件,及时告知用户,并提供减轻危害措施 | |
| 投诉举报 受理机制 | 工业和信息化部 | 委托相关行业组织建立投诉举报渠道 |
| 地方行业监管部门 | 建立投诉举报机制或渠道 依法接收、处理投诉举报,并开展执法调查 | |
| 工业和信息化领域数据处理者 | 鼓励建立用户投诉处理机制 |
五、明确开展数据安全监测、认证、评估的相关要求
| 安全检测与认证 | 安全评估 | |
| 工业和信息化部 | 指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作 | 制定评估管理制度,开展评估机构管理工作 制定评估规范,指导评估机构开展风险评估、出境安全评估等工作 |
| 地方行业监管部门 | 开展评估工作 | |
| 工业和信息化领域重要、核心数据处理者 | 自行或委托第三方评估机构,每年对数据处理活动至少开展一次风险评估 及时整改风险问题,并向地方行业监管部门报送风险评估报告 |
六、规定监督检查等工作要求
| 数据安全审查 | 监督检查 | 保密义务 | |
| 工业和信息化部 | 在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。 | 开展监督检查 | 对在履行职责中知悉的个人信息和商业秘密等,应当严格保密 |
| 地方行业监管部门 | |||
| 工业和信息化领域数据处理者 | 履行配合义务 |
七、明确相关违法违规行为的法律责任和惩罚措施
| 责任主体 | 违规行为 | 监管部门 | 罚则 |
| 工业和信息化领域数据处理者 | 数据处理活动存在较大安全风险的 | 行业监管部门 | 约谈 整改 |
| 有违反本办法规定行为的 | 根据情节严重程度给予: 没收违法所得 罚款 暂停业务 停业整顿 吊销业务许可证 等其他行政处罚 | ||
| 构成犯罪的: 依法追究刑事责任 | |||
如果要对《管理办法》进行总体解读,我们认为归纳起来有以下三个方面:
在工业和信息化领域对国家数据安全管理制度要求进行了细化,明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化了数据全生命周期 安全义务,为行业数据安全监管提供了制度保障。
构建了工业和信息化领域数据安全监管体系,明确了工业和信息化部、地方行业监管部⻔的职责范围,建立了权责一致的工作机制。
根据工业、电信、无线电领域的实际情况,明确了数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护数据主体的责任。
