《工業(yè)和信息化領域數據安全管理辦法（試行）》重點問題回應

　　近日，工業(yè)和信息化部印發(fā)《工業(yè)和信息化領域數據安全管理辦法》（工信部網安〔2022〕166號），（以下簡稱《管理辦法》）?，F就《管理辦法》重點問題回應如下：

　　一、《管理辦法》出臺的背景和目的是什么？

　　當前，數據已成為數字經濟時代最為活躍的新型生產要素。與此同時，數據安全風險日益突出，成為關系個人權益、公共利益和國家安全的重要因素。2021年9月1日，《中華人民共和國數據安全法》正式實施，為開展數據安全監(jiān)管和保護工作提供了法律依據和根本遵循，其中明確工業(yè)和信息化部承擔工業(yè)、電信行業(yè)數據安全監(jiān)管職責，并對數據處理者的安全保護義務提出了相關要求。

　　工業(yè)和信息化領域是數字經濟發(fā)展的主陣地和先導區(qū)，是推進數字經濟做強做優(yōu)做大的主力軍。為貫徹落實《數據安全法》，加快推動工業(yè)和信息化領域數據安全管理工作制度化、規(guī)范化，我部研究起草了《管理辦法》，一是在工業(yè)和信息化領域對國家數據安全管理制度要求進行細化，明確開展數據分類分級保護、重要數據管理等工作的具體要求，細化數據全生命周期安全義務，為行業(yè)數據安全監(jiān)管提供制度保障。二是構建工業(yè)和信息化領域數據安全監(jiān)管體系，明確工業(yè)和信息化部、地方行業(yè)監(jiān)管部門的職責范圍，建立權責一致的工作機制。三是根據工業(yè)、電信、無線電領域的實際情況，明確數據全生命周期保護要求，指導數據處理者健全數據安全管理和技術保護措施，履行安全保護主體責任。

　　二、《管理辦法》的定位和主要內容是什么？

　　《管理辦法》作為工業(yè)和信息化領域數據安全管理頂層制度文件，共八章四十二條，重點解決工業(yè)和信息化領域數據安全“誰來管、管什么、怎么管”的問題。主要內容包括七個方面：一是界定工業(yè)和信息化領域數據和數據處理者概念，明確監(jiān)管范圍和監(jiān)管職責。二是確定數據分類分級管理、重要數據識別與備案相關要求。三是針對不同級別的數據，圍繞數據收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉移、委托處理等環(huán)節(jié)，提出相應安全管理和保護要求。四是建立數據安全監(jiān)測預警、風險信息報送和共享、應急處置、投訴舉報受理等工作機制。五是明確開展數據安全監(jiān)測、認證、評估的相關要求。六是規(guī)定監(jiān)督檢查等工作要求。七是明確相關違法違規(guī)行為的法律責任和懲罰措施。

　　三、《管理辦法》明確的監(jiān)管范圍是什么？

　　《管理辦法》對工業(yè)和信息化領域數據處理活動進行安全監(jiān)管，具體可以從處理對象、處理主體、處理活動三方面進行認識：從處理主體看，工業(yè)和信息化領域數據處理者是指能夠在工業(yè)和信息化領域數據處理活動中自主決定處理目的、處理方式的各類主體，主要包括工業(yè)數據處理者、電信數據處理者以及無線電數據處理者。從處理對象看，工業(yè)和信息化領域數據主要包括工業(yè)數據、電信數據和無線電數據等。從處理活動看，數據收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監(jiān)管范圍。

　　四、《管理辦法》明確了怎樣的監(jiān)管職責分工？

　　《管理辦法》構建了“工業(yè)和信息化部、地方行業(yè)監(jiān)管部門”兩級監(jiān)管機制。

　　工業(yè)和信息化部統(tǒng)籌工業(yè)和電信領域數據安全監(jiān)管工作，包括組織制定行業(yè)數據安全管理政策制度和標準規(guī)范，編制行業(yè)重要數據和核心數據目錄，建立重要數據目錄備案、監(jiān)測預警、風險信息報送和共享、應急處置等工作機制，指導地方行業(yè)監(jiān)管部門開展屬地監(jiān)管，督促全行業(yè)數據處理者加強數據安全保護工作。

　　地方行業(yè)監(jiān)管部門，包括各省、自治區(qū)、直轄市及計劃單列市、新疆生產建設兵團工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局和無線電管理機構，分別負責對本地區(qū)工業(yè)、電信、無線電領域數據處理者進行監(jiān)督管理，包括審核重要數據目錄備案，編制重要數據和核心數據具體目錄，開展監(jiān)測預警、風險信息報送和共享、應急處置、風險評估、投訴舉報受理等工作，并可結合工作實際，建立更加細化完善的工作機制。

　　五、《管理辦法》對數據分級保護的要求是什么？

　　《管理辦法》以數據分級保護為總體原則，要求一般數據加強全生命周期安全管理，重要數據在一般數據保護的基礎上進行重點保護，核心數據在重要數據保護的基礎上實施更加嚴格保護。對于不同級別數據同時被處理且難以分別采取保護措施的，采取“就高”原則，按照其中級別最高的要求實施保護。

　　六、《管理辦法》要求重要數據處理者履行哪些數據安全保護義務？

　　《管理辦法》依據國家數據分類分級保護制度要求，規(guī)定重要數據處理者在履行一般數據處理者數據安全保護義務的基礎上，還應承擔以下保護義務：一是開展數據識別備案，按照相關標準規(guī)范識別重要數據，形成本單位具體目錄并進行備案；二是加強內部管理，建立數據安全工作體系，明確數據安全負責人，加強數據處理關鍵崗位管理，構建重要數據處理登記審批機制，強化數據全生命周期安全保護措施；三是組織常態(tài)化監(jiān)測預警與應急處置，涉及重要數據和核心數據安全事件的應第一時間進行上報；四是定期實施風險評估，及時發(fā)現整改風險問題，并按照要求上報風險評估報告。

　　七、企業(yè)如何按照《管理辦法》開展重要數據識別和目錄備案工作？

　　工業(yè)和信息化部結合國家數據安全保護要求和行業(yè)實際，組織制定工業(yè)和信息化領域重要數據和核心數據識別認定標準規(guī)范，明確識別規(guī)則和方法。數據處理者應當定期梳理本單位數據資源，按照所屬行業(yè)標準規(guī)范識別重要數據后，向本地區(qū)行業(yè)監(jiān)管部門備案重要數據目錄。當備案內容發(fā)生重大變化后，數據處理者應當及時履行備案變更手續(xù)，保證目錄備案的時效性、準確性與真實性。

　　八、《管理辦法》對保障數據全生命周期提了哪些要求？

　　《管理辦法》圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關鍵環(huán)節(jié)，分別針對一般數據、重要數據、核心數據細化明確了安全保護要求，主要包括明確細化了協(xié)議約束、安全評估、審批等管理要求，以及校驗與密碼技術使用、數據訪問控制等技術保護要求。

　　九、《管理辦法》要求在哪些情形下需要開展數據安全風險評估？

　　《管理辦法》明確重要數據和核心數據處理者每年至少完成一次數據安全風險評估，可以自行或委托第三方評估機構開展，及時整改風險問題，并向本地區(qū)行業(yè)監(jiān)管部門報告。評估內容包括合規(guī)評估和風險研判：合規(guī)評估是指對標對表法律法規(guī)和政策文件，評估是否滿足相關要求，風險研判是指通過分析數據處理者的安全保障能力、面臨的威脅情況和發(fā)生安全事件后的影響程度等，評估數據處理活動的安全風險等級。

　　十、《管理辦法》要求如何開展數據出境安全評估？

　　《管理辦法》明確工業(yè)和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規(guī)有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依照《數據安全法》《數據出境安全評估辦法》等法律法規(guī)進行安全評估。

　　十一、如何按照《管理辦法》開展數據安全風險監(jiān)測預警工作？

　　監(jiān)測預警是有效發(fā)現和防范數據安全突出風險的重要工作。《管理辦法》明確了“部-省-企業(yè)”三級聯動協(xié)同的數據安全風險監(jiān)測預警工作機制：一是工業(yè)和信息化部統(tǒng)籌指導行業(yè)數據安全監(jiān)測預警工作，建設行業(yè)數據安全風險監(jiān)測預警技術手段，統(tǒng)一匯集、研判、通報數據安全風險信息。二是地方行業(yè)監(jiān)管部門負責建立本地區(qū)本領域數據安全監(jiān)測預警機制，組織管轄范圍內的數據處理者開展數據安全風險監(jiān)測和信息報送。三是數據處理者做好本單位數據安全風險監(jiān)測，按照行業(yè)監(jiān)管部門要求開展風險監(jiān)測排查，及時防范化解風險隱患。

　　十二、企業(yè)如何按照《管理辦法》開展數據安全應急處置工作？

　　《管理辦法》明確建立工業(yè)和信息化領域數據安全應急處置工作機制，細化不同主體的責任與義務：一是工業(yè)和信息化部統(tǒng)籌行業(yè)數據安全應急處置管理工作，制定數據安全事件應急預案，組織協(xié)調行業(yè)重要數據和核心數據安全事件應急處置工作；二是地方行業(yè)監(jiān)管部門負責組織開展本地區(qū)數據安全事件應急處置工作，及時上報涉及重要數據和核心數據的安全事件；三是數據處理者制定本單位數據安全事件應急預案并定期開展應急演練，在發(fā)生數據安全事件后及時進行處置，并按要求及時向行業(yè)監(jiān)管部門報告。

　　十三、《管理辦法》對中央企業(yè)提出了哪些要求？

　　中央企業(yè)是國民經濟的重要支柱和骨干力量，產生、匯聚了大量關系國計民生的重要數據。中央企業(yè)所屬公司業(yè)務既受地方行業(yè)監(jiān)管部門管理，也受集團公司管理。因此，《管理辦法》對中央企業(yè)提出兩項工作要求：一是督促所屬公司按照屬地行業(yè)監(jiān)管部門要求，履行重要數據目錄備案、風險信息上報等要求。二是做好集團本部數據安全保護工作，全面梳理匯總集團本部、所屬公司相關情況，及時向工業(yè)和信息化部報送。

　　十四、下一步如何推進相關工作？

　　《管理辦法》發(fā)布后，工業(yè)和信息化部將從政策宣貫、細則制定、正向引導、監(jiān)督執(zhí)法等方面抓好落實：一是加強宣貫培訓。對《管理辦法》的主要內容進行全面、系統(tǒng)解讀，指導行業(yè)數據處理者準確理解、全面把握、認真落實相關要求，提升數據安全保護意識和能力。二是制定配套規(guī)范標準。重點推進監(jiān)測預警、應急處置、安全評估等制度機制的實施細則，為企業(yè)進一步提供深入細致、操作性強的工作指引。三是加強正向引導。通過行業(yè)自律、貫標達標，典型案例遴選等形式，加強示范引領，引導企業(yè)自動對標管理要求，自覺提升數據安全保護能力。四是加強監(jiān)督執(zhí)法。通過專項行動、監(jiān)督檢查等工作，及時發(fā)現違法違規(guī)行為，并依法進行處罰。

　　一圖讀懂《工業(yè)和信息化領域數據安全管理辦法（試行）》