【儀表網 儀表文件】12月8日，工業和信息化部印發了《工業和信息化領域數據安全管理辦法(試行)》(下稱《管理辦法》)。
 

　　當前，數據已成為數字經濟時代最為活躍的新型生產要素。與此同時，數據安全風險日益突出，成為關系個人權益、公共利益和國家安全的重要因素。2021年9月1日，《中華人民共和國數據安全法》正式實施，為開展數據安全監管和保護工作提供了法律依據和根本遵循，其中明確工業和信息化部承擔工業、電信行業數據安全監管職責，并對數據處理者的安全保護義務提出了相關要求。
 

　　為了規范工業和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家安全和發展利益，根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規，制定本辦法。
 

　　《管理辦法》作為工業和信息化領域數據安全管理頂層制度文件，共八章四十二條，重點解決工業和信息化領域數據安全“誰來管、管什么、怎么管”的問題。主要內容包括七個方面：一是界定工業和信息化領域數據和數據處理者概念，明確監管范圍和監管職責。二是確定數據分類分級管理、重要數據識別與備案相關要求。三是針對不同級別的數據，圍繞數據收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉移、委托處理等環節，提出相應安全管理和保護要求。四是建立數據安全監測預警、風險信息報送和共享、應急處置、投訴舉報受理等工作機制。五是明確開展數據安全監測、認證、評估的相關要求。六是規定監督檢查等工作要求。七是明確相關違法違規行為的法律責任和懲罰措施。
 

　　《管理辦法》對工業和信息化領域數據處理活動進行安全監管，具體可以從處理對象、處理主體、處理活動三方面進行認識：從處理主體看，工業和信息化領域數據處理者是指能夠在工業和信息化領域數據處理活動中自主決定處理目的、處理方式的各類主體，主要包括工業數據處理者、電信數據處理者以及無線電數據處理者。從處理對象看，工業和信息化領域數據主要包括工業數據、電信數據和無線電數據等。從處理活動看，數據收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監管范圍。
 

　　《管理辦法》圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關鍵環節，分別針對一般數據、重要數據、核心數據細化明確了安全保護要求，主要包括明確細化了協議約束、安全評估、審批等管理要求，以及校驗與密碼技術使用、數據訪問控制等技術保護要求。
 

　　《管理辦法》明確重要數據和核心數據處理者每年至少完成一次數據安全風險評估，可以自行或委托第三方評估機構開展，及時整改風險問題，并向本地區行業監管部門報告。評估內容包括合規評估和風險研判：合規評估是指對標對表法律法規和政策文件，評估是否滿足相關要求，風險研判是指通過分析數據處理者的安全保障能力、面臨的威脅情況和發生安全事件后的影響程度等，評估數據處理活動的安全風險等級。
 

　　《管理辦法》明確建立工業和信息化領域數據安全應急處置工作機制，細化不同主體的責任與義務：一是工業和信息化部統籌行業數據安全應急處置管理工作，制定數據安全事件應急預案，組織協調行業重要數據和核心數據安全事件應急處置工作；二是地方行業監管部門負責組織開展本地區數據安全事件應急處置工作，及時上報涉及重要數據和核心數據的安全事件；三是數據處理者制定本單位數據安全事件應急預案并定期開展應急演練，在發生數據安全事件后及時進行處置，并按要求及時向行業監管部門報告。