《工業和信息化領域數據安全管理辦法（試行）》重點問題回應

　　近日
，工業和信息化部印發《工業和信息化領域數據安全管理辦法》（工信部網安〔2022〕166號），（以下簡稱《管理辦法》）。現就《管理辦法》重點問題回應如下：

　　一、《管理辦法》出台的背景和目的是什麼？

　　當前
，數據已成為數字經濟時代最為活躍的新型生產要素。與此同時，數據安全風險日益突出
，成為關係個人權益
、公共利益和國家安全的重要因素。2021年9月1日
，《中華人民共和國數據安全法》正式實施，為開展數據安全監管和保護工作提供了法律依據和根本遵循，其中明確工業和信息化部承擔工業、電信行業數據安全監管職責，並對數據處理者的安全保護義務提出了相關要求。

　　工業和信息化領域是數字經濟發展的主陣地和先導區
，是推進數字經濟做強做優做大的主力軍。為貫徹落實《數據安全法》，加快推動工業和信息化領域數據安全管理工作製度化、規範化，我部研究起草了《管理辦法》
，一是在工業和信息化領域對國家數據安全管理製度要求進行細化，明確開展數據分類分級保護、重(zhong)要(yao)數(shu)據(ju)管(guan)理(li)等(deng)工(gong)作(zuo)的(de)具(ju)體(ti)要(yao)求(qiu)，細(xi)化(hua)數(shu)據(ju)全(quan)生(sheng)命(ming)周(zhou)期(qi)安(an)全(quan)義(yi)務(wu)，為(wei)行(xing)業(ye)數(shu)據(ju)安(an)全(quan)監(jian)管(guan)提(ti)供(gong)製(zhi)度(du)保(bao)障(zhang)。二(er)是(shi)構(gou)建(jian)工(gong)業(ye)和(he)信(xin)息(xi)化(hua)領(ling)域(yu)數(shu)據(ju)安(an)全(quan)監(jian)管(guan)體(ti)係(xi)，明(ming)確(que)工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)、地方行業監管部門的職責範圍，建立權責一致的工作機製。三是根據工業、電信、無線電領域的實際情況，明確數據全生命周期保護要求，指導數據處理者健全數據安全管理和技術保護措施，履行安全保護主體責任。

　　二、《管理辦法》的定位和主要內容是什麼？

　　《管理辦法》作為工業和信息化領域數據安全管理頂層製度文件，共八章四十二條
，重點解決工業和信息化領域數據安全“誰來管、管什麼、怎麼管”的問題。主要內容包括七個方麵：一是界定工業和信息化領域數據和數據處理者概念
，明確監管範圍和監管職責。二是確定數據分類分級管理、重要數據識別與備案相關要求。三是針對不同級別的數據，圍繞數據收集
、存儲、加工、傳輸、提供、公開
、銷毀、出境、轉移、委托處理等環節
，提出相應安全管理和保護要求。四是建立數據安全監測預警、風險信息報送和共享、應急處置

、投訴舉報受理等工作機製。五是明確開展數據安全監測、認證
、評估的相關要求。六是規定監督檢查等工作要求。七是明確相關違法違規行為的法律責任和懲罰措施。

　　三

、《管理辦法》明確的監管範圍是什麼
？

　　《管理辦法》對工業和信息化領域數據處理活動進行安全監管，具體可以從處理對象
、處理主體、處理活動三方麵進行認識：從處理主體看，工業和信息化領域數據處理者是指能夠在工業和信息化領域數據處理活動中自主決定處理目的
、處理方式的各類主體
，主要包括工業數據處理者
、電信數據處理者以及無線電數據處理者。從處理對象看

，工業和信息化領域數據主要包括工業數據

、電信數據和無線電數據等。從處理活動看，數據收集、存儲、使用、加工
、傳輸
、提供、公開等活動都屬於監管範圍。

　　四、《管理辦法》明確了怎樣的監管職責分工

？

　　《管理辦法》構建了“工業和信息化部、地方行業監管部門”兩級監管機製。

　　gongyehexinxihuabutongchougongyehedianxinlingyushujuanquanjianguangongzuo

，baokuozuzhizhidingxingyeshujuanquanguanlizhengcezhiduhebiaozhunguifan，bianzhixingyezhongyaoshujuhehexinshujumulu，jianlizhongyaoshujumulubeian、監測預警
、風險信息報送和共享、應急處置等工作機製，指導地方行業監管部門開展屬地監管
，督促全行業數據處理者加強數據安全保護工作。

　　地方行業監管部門，包括各省、自治區、直轄市及計劃單列市、新疆生產建設兵團工業和信息化主管部門，各省、自治區、直轄市通信管理局和無線電管理機構，分別負責對本地區工業
、電信、無線電領域數據處理者進行監督管理，包括審核重要數據目錄備案
，編製重要數據和核心數據具體目錄，開展監測預警、風險信息報送和共享、應急處置、風險評估
、投訴舉報受理等工作，並可結合工作實際，建立更加細化完善的工作機製。

　　五
、《管理辦法》對數據分級保護的要求是什麼？

　　《管理辦法》以(yi)數(shu)據(ju)分(fen)級(ji)保(bao)護(hu)為(wei)總(zong)體(ti)原(yuan)則(ze)，要(yao)求(qiu)一(yi)般(ban)數(shu)據(ju)加(jia)強(qiang)全(quan)生(sheng)命(ming)周(zhou)期(qi)安(an)全(quan)管(guan)理(li)，重(zhong)要(yao)數(shu)據(ju)在(zai)一(yi)般(ban)數(shu)據(ju)保(bao)護(hu)的(de)基(ji)礎(chu)上(shang)進(jin)行(xing)重(zhong)點(dian)保(bao)護(hu)，核(he)心(xin)數(shu)據(ju)在(zai)重(zhong)要(yao)數(shu)據(ju)保(bao)護(hu)的(de)基(ji)礎(chu)上(shang)實(shi)施(shi)更(geng)加(jia)嚴(yan)格(ge)保(bao)護(hu)。對(dui)於(yu)不(bu)同(tong)級(ji)別(bie)數(shu)據(ju)同(tong)時(shi)被(bei)處(chu)理(li)且(qie)難(nan)以(yi)分(fen)別(bie)采(cai)取(qu)保(bao)護(hu)措(cuo)施(shi)的(de)，采(cai)取(qu)“就高”原則
，按照其中級別最高的要求實施保護。

　　六
、《管理辦法》要求重要數據處理者履行哪些數據安全保護義務？

　　《管理辦法》依據國家數據分類分級保護製度要求

，規定重要數據處理者在履行一般數據處理者數據安全保護義務的基礎上，還應承擔以下保護義務：一是開展數據識別備案
，按照相關標準規範識別重要數據，形成本單位具體目錄並進行備案；二er是shi加jia強qiang內nei部bu管guan理li
，建jian立li數shu據ju安an全quan工gong作zuo體ti係xi，明ming確que數shu據ju安an全quan負fu責ze人ren

，加jia強qiang數shu據ju處chu理li關guan鍵jian崗gang位wei管guan理li
，構gou建jian重zhong要yao數shu據ju處chu理li登deng記ji審shen批pi機ji製zhi，強qiang化hua數shu據ju全quan生sheng命ming周zhou期qi安an全quan保bao護hu措cuo施shi；三是組織常態化監測預警與應急處置，涉及重要數據和核心數據安全事件的應第一時間進行上報；四是定期實施風險評估，及時發現整改風險問題，並按照要求上報風險評估報告。

　　七
、企業如何按照《管理辦法》開展重要數據識別和目錄備案工作？

　　工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)結(jie)合(he)國(guo)家(jia)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)要(yao)求(qiu)和(he)行(xing)業(ye)實(shi)際(ji)，組(zu)織(zhi)製(zhi)定(ding)工(gong)業(ye)和(he)信(xin)息(xi)化(hua)領(ling)域(yu)重(zhong)要(yao)數(shu)據(ju)和(he)核(he)心(xin)數(shu)據(ju)識(shi)別(bie)認(ren)定(ding)標(biao)準(zhun)規(gui)範(fan)，明(ming)確(que)識(shi)別(bie)規(gui)則(ze)和(he)方(fang)法(fa)。數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)當(dang)定(ding)期(qi)梳(shu)理(li)本(ben)單(dan)位(wei)數(shu)據(ju)資(zi)源(yuan)，按(an)照(zhao)所(suo)屬(shu)行(xing)業(ye)標(biao)準(zhun)規(gui)範(fan)識(shi)別(bie)重(zhong)要(yao)數(shu)據(ju)後(hou)
，向(xiang)本(ben)地(di)區(qu)行(xing)業(ye)監(jian)管(guan)部(bu)門(men)備(bei)案(an)重(zhong)要(yao)數(shu)據(ju)目(mu)錄(lu)。當(dang)備(bei)案(an)內(nei)容(rong)發(fa)生(sheng)重(zhong)大(da)變(bian)化(hua)後(hou)，數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)當(dang)及(ji)時(shi)履(lv)行(xing)備(bei)案(an)變(bian)更(geng)手(shou)續(xu)，保(bao)證(zheng)目(mu)錄(lu)備(bei)案(an)的(de)時(shi)效(xiao)性(xing)、準確性與真實性。

　　八、《管理辦法》對保障數據全生命周期提了哪些要求？

　　《管理辦法》圍繞數據收集、存儲、使用
、加工、傳輸、提供、公開等全生命周期關鍵環節，分別針對一般數據
、重要數據、核心數據細化明確了安全保護要求
，主要包括明確細化了協議約束
、安全評估
、審批等管理要求
，以及校驗與密碼技術使用

、數據訪問控製等技術保護要求。

　　九、《管理辦法》要求在哪些情形下需要開展數據安全風險評估？

　　《管理辦法》明ming確que重zhong要yao數shu據ju和he核he心xin數shu據ju處chu理li者zhe每mei年nian至zhi少shao完wan成cheng一yi次ci數shu據ju安an全quan風feng險xian評ping估gu
，可ke以yi自zi行xing或huo委wei托tuo第di三san方fang評ping估gu機ji構gou開kai展zhan，及ji時shi整zheng改gai風feng險xian問wen題ti，並bing向xiang本ben地di區qu行xing業ye監jian管guan部bu門men報bao告gao。評ping估gu內nei容rong包bao括kuo合he規gui評ping估gu和he風feng險xian研yan判pan：合規評估是指對標對表法律法規和政策文件，評估是否滿足相關要求，風險研判是指通過分析數據處理者的安全保障能力
、麵臨的威脅情況和發生安全事件後的影響程度等，評估數據處理活動的安全風險等級。

　　十、《管理辦法》要求如何開展數據出境安全評估？

　　《管理辦法》明確工業和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據
，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依照《數據安全法》《數據出境安全評估辦法》等法律法規進行安全評估。

　　十一、如何按照《管理辦法》開展數據安全風險監測預警工作？

　　監測預警是有效發現和防範數據安全突出風險的重要工作。《管理辦法》明確了“部-省-企業”三級聯動協同的數據安全風險監測預警工作機製：一是工業和信息化部統籌指導行業數據安全監測預警工作

，建設行業數據安全風險監測預警技術手段，統一彙集、研判、tongbaoshujuanquanfengxianxinxi。ershidifangxingyejianguanbumenfuzejianlibendiqubenlingyushujuanquanjianceyujingjizhi，zuzhiguanxiafanweineideshujuchulizhekaizhanshujuanquanfengxianjiancehexinxibaosong。sanshishujuchulizhezuohaobendanweishujuanquanfengxianjiance
，anzhaoxingyejianguanbumenyaoqiukaizhanfengxianjiancepaizha，jishifangfanhuajiefengxianyinhuan。

　　十二
、企業如何按照《管理辦法》開展數據安全應急處置工作


？

　　《管理辦法》明確建立工業和信息化領域數據安全應急處置工作機製，細化不同主體的責任與義務：一(yi)是(shi)工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)統(tong)籌(chou)行(xing)業(ye)數(shu)據(ju)安(an)全(quan)應(ying)急(ji)處(chu)置(zhi)管(guan)理(li)工(gong)作(zuo)，製(zhi)定(ding)數(shu)據(ju)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)預(yu)案(an)
，組(zu)織(zhi)協(xie)調(tiao)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)和(he)核(he)心(xin)數(shu)據(ju)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)處(chu)置(zhi)工(gong)作(zuo)
；二是地方行業監管部門負責組織開展本地區數據安全事件應急處置工作，及時上報涉及重要數據和核心數據的安全事件
；sanshishujuchulizhezhidingbendanweishujuanquanshijianyingjiyuanbingdingqikaizhanyingjiyanlian
，zaifashengshujuanquanshijianhoujishijinxingchuzhi，binganyaoqiujishixiangxingyejianguanbumenbaogao。

　　十三、《管理辦法》對中央企業提出了哪些要求
？

　　中央企業是國民經濟的重要支柱和骨幹力量
，產生、彙聚了大量關係國計民生的重要數據。中央企業所屬公司業務既受地方行業監管部門管理，也受集團公司管理。因此
，《管理辦法》對中央企業提出兩項工作要求：一是督促所屬公司按照屬地行業監管部門要求，履行重要數據目錄備案、風險信息上報等要求。二是做好集團本部數據安全保護工作
，全麵梳理彙總集團本部、所屬公司相關情況
，及時向工業和信息化部報送。

　　十四
、下一步如何推進相關工作？

　　《管理辦法》發布後，工業和信息化部將從政策宣貫
、細則製定、正向引導、監督執法等方麵抓好落實：一是加強宣貫培訓。對《管理辦法》的主要內容進行全麵
、係統解讀，指導行業數據處理者準確理解、全麵把握、認真落實相關要求，提升數據安全保護意識和能力。二是製定配套規範標準。重點推進監測預警、應急處置
、安全評估等製度機製的實施細則
，為企業進一步提供深入細致
、操作性強的工作指引。三是加強正向引導。通過行業自律

、貫(guan)標(biao)達(da)標(biao)，典(dian)型(xing)案(an)例(li)遴(lin)選(xuan)等(deng)形(xing)式(shi)，加(jia)強(qiang)示(shi)範(fan)引(yin)領(ling)，引(yin)導(dao)企(qi)業(ye)自(zi)動(dong)對(dui)標(biao)管(guan)理(li)要(yao)求(qiu)
，自(zi)覺(jiao)提(ti)升(sheng)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)能(neng)力(li)。四(si)是(shi)加(jia)強(qiang)監(jian)督(du)執(zhi)法(fa)。通(tong)過(guo)專(zhuan)項(xiang)行(xing)動(dong)、監督檢查等工作，及時發現違法違規行為，並依法進行處罰。

　　一圖讀懂《工業和信息化領域數據安全管理辦法（試行）》