快速解读《工业和信息化领域数据安全管理办法（试行）》

《工业和信息化领域数据安全管理办法（试行）》于2023年1月1日正式实施，该办法明确了工业和信息化领域数据安全监管范围和监管职责，确立了数据分级保护原则，对工业和信息化领域数据安全管理进行了顶层设计，以及对国家数据安全管理制度进行细化，为行业数据安全监管提供制度保障。

管理办法的主要内容包括界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责；确定数据分类分级管理、重要数据识别与备案相关要求；针对不同级别的数据，围绕数据全生命周期，提出相应安全管理和保护要求等方面。

工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。为贯彻落实《数据安全法》，加快推动工业和信息化领域数据安全管理工作制度化、规范化，工信部研究起草了《管理办法》，从该管理办法开展数据安全监管和保护工作的方向背景来看，其根本遵循及法律依据为《中华人民共和国数据安全法》：

《数据安全法》

第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

管理办法明确指出适用范围，在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管，应当遵守相关法律、行政法规和本办法的要求。

管理办法还明确了工业和信息化领域数据和工业和信息化领域数据处理者的定义：

《管理办法》明确，监管部门组织制定行业重要数据和核心数据具体目录并实施动态管理，工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。

《管理办法》提出工业和信息化领域数据处理者可参考如下基础进行数据分类分级：

《管理办法》以数据分级保护为总体原则，加强一般数据全生命周期安全管理，重点保护重要数据，严格保护核心数据。对于不同级别数据同时被处理且难以分别采取保护措施的，采取“就高”原则，按照其中级别最高的要求实施保护。

《管理办法》明确规定了工业和信息化领域数据处理者的重要数据和核心数据目录备案义务，如备案内容发生重大变化的，应当在发生变化的三个月内履行备案变更手续。

有如下要求值得企业特别关注：

《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估，可以自行或委托第三方评估机构开展，及时整改风险问题，并向本地区行业监管部门报告。

对于在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。

根据《管理办法》，如数据处理者实施的数据处理活动存在较大安全风险，将被行业监管部门约谈，并按要求采取措施进行整改，消除隐患；如数据处理者违反《管理办法》规定，将由行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

根据《网络安全法》《数据安全法》《个人信息保护法》等上位法规定，如数据处理者涉及严重违法情形的，直接负责的主管人员和其他直接责任人员或将同时被处罚。《管理办法》第十三条就重要数据和核心数据处理者数据安全责任人的设置，提出本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人。我们理解，该等责任人认定方式在一般数据处理者中同样适用。据此，如企业严重违法，前述人员可能直接受到处罚。

工业和信息化领域数据处理者在《管理办法》项下的其他合规义务还包括但不限于：