【儀表網(wǎng) 儀表文件】12月8日，工業(yè)和信息化部印發(fā)了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(下稱《管理辦法》)。
 

　　當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最為活躍的新型生產(chǎn)要素。與此同時(shí)，數(shù)據(jù)安全風(fēng)險(xiǎn)日益突出，成為關(guān)系個(gè)人權(quán)益、公共利益和國家安全的重要因素。2021年9月1日，《中華人民共和國數(shù)據(jù)安全法》正式實(shí)施，為開展數(shù)據(jù)安全監(jiān)管和保護(hù)工作提供了法律依據(jù)和根本遵循，其中明確工業(yè)和信息化部承擔(dān)工業(yè)、電信行業(yè)數(shù)據(jù)安全監(jiān)管職責(zé)，并對(duì)數(shù)據(jù)處理者的安全保護(hù)義務(wù)提出了相關(guān)要求。
 

　　為了規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)，加強(qiáng)數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國家安全和發(fā)展利益，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規(guī)，制定本辦法。
 

　　《管理辦法》作為工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理頂層制度文件，共八章四十二條，重點(diǎn)解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰來管、管什么、怎么管”的問題。主要內(nèi)容包括七個(gè)方面：一是界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念，明確監(jiān)管范圍和監(jiān)管職責(zé)。二是確定數(shù)據(jù)分類分級(jí)管理、重要數(shù)據(jù)識(shí)別與備案相關(guān)要求。三是針對(duì)不同級(jí)別的數(shù)據(jù)，圍繞數(shù)據(jù)收集、存儲(chǔ)、加工、傳輸、提供、公開、銷毀、出境、轉(zhuǎn)移、委托處理等環(huán)節(jié)，提出相應(yīng)安全管理和保護(hù)要求。四是建立數(shù)據(jù)安全監(jiān)測預(yù)警、風(fēng)險(xiǎn)信息報(bào)送和共享、應(yīng)急處置、投訴舉報(bào)受理等工作機(jī)制。五是明確開展數(shù)據(jù)安全監(jiān)測、認(rèn)證、評(píng)估的相關(guān)要求。六是規(guī)定監(jiān)督檢查等工作要求。七是明確相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施。
 

　　《管理辦法》對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)進(jìn)行安全監(jiān)管，具體可以從處理對(duì)象、處理主體、處理活動(dòng)三方面進(jìn)行認(rèn)識(shí)：從處理主體看，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指能夠在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的各類主體，主要包括工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者以及無線電數(shù)據(jù)處理者。從處理對(duì)象看，工業(yè)和信息化領(lǐng)域數(shù)據(jù)主要包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等。從處理活動(dòng)看，數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)都屬于監(jiān)管范圍。
 

　　《管理辦法》圍繞數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等全生命周期關(guān)鍵環(huán)節(jié)，分別針對(duì)一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)細(xì)化明確了安全保護(hù)要求，主要包括明確細(xì)化了協(xié)議約束、安全評(píng)估、審批等管理要求，以及校驗(yàn)與密碼技術(shù)使用、數(shù)據(jù)訪問控制等技術(shù)保護(hù)要求。
 

　　《管理辦法》明確重要數(shù)據(jù)和核心數(shù)據(jù)處理者每年至少完成一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，可以自行或委托第三方評(píng)估機(jī)構(gòu)開展，及時(shí)整改風(fēng)險(xiǎn)問題，并向本地區(qū)行業(yè)監(jiān)管部門報(bào)告。評(píng)估內(nèi)容包括合規(guī)評(píng)估和風(fēng)險(xiǎn)研判：合規(guī)評(píng)估是指對(duì)標(biāo)對(duì)表法律法規(guī)和政策文件，評(píng)估是否滿足相關(guān)要求，風(fēng)險(xiǎn)研判是指通過分析數(shù)據(jù)處理者的安全保障能力、面臨的威脅情況和發(fā)生安全事件后的影響程度等，評(píng)估數(shù)據(jù)處理活動(dòng)的安全風(fēng)險(xiǎn)等級(jí)。
 

　　《管理辦法》明確建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全應(yīng)急處置工作機(jī)制，細(xì)化不同主體的責(zé)任與義務(wù)：一是工業(yè)和信息化部統(tǒng)籌行業(yè)數(shù)據(jù)安全應(yīng)急處置管理工作，制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作；二是地方行業(yè)監(jiān)管部門負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作，及時(shí)上報(bào)涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件；三是數(shù)據(jù)處理者制定本單位數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期開展應(yīng)急演練，在發(fā)生數(shù)據(jù)安全事件后及時(shí)進(jìn)行處置，并按要求及時(shí)向行業(yè)監(jiān)管部門報(bào)告。