广东广悦律师事务所

前言

2021年9月30日，工业和信息化部（以下简称“工信部”）发文，面向社会公开征集对《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》（以下简称《管理办法》）的意见。《管理办法》是《中华人民共和国数据安全法》（以下简称《数据安全法》）施行后，首个由行业、领域主管部门制定发布的数据安全相关法规，意味着《数据安全法》在行业、部门落地执行方面取得重大进展，我国数据安全保障体系日趋完善，步入各个行业细化阶段。

《管理办法》作为工业和信息化领域数据安全管理顶层设计，一是全面对接《数据安全法》要求。在工业和信息化领域对国家数据安全管理制度进行细化，明确开展数据分类分级保护、重要数据管理等工作的具体要求，为行业数据安全监管提供制度保障。二是构建工业和信息化领域数据安全监管体系。明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围，建立权责一致的工作机制。三是明确数据保护要求。根据工业、电信行业实际情况，明确了数据全生命周期安全保护要求，指导行业企业健全数据安全管理和技术保护措施，履行保护义务。

一

《管理办法》要点简述

《管理办法》一共8章，44个条款，包含了工业和电信领域数据处理活动的一系列要素，包括管理对象、管理职责、管理保障、监督检查等内容。

（一）管理对象

《管理办法》对工业数据、电信数据、工业和电信数据处理者等管理对象的概念和范畴进行了界定。从相关条文内容看，管理对象包含三层含义。

一是“工业和信息化领域数据”的定义范围。根据《管理办法》第三条规定，“工业和信息化领域数据”包括工业数据和电信数据两大类。其中对“工业数据”界定为“在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据”，这与工信部此前发布的《工业数据分类分级指南（试行）》基本保持一致，所不同的是《管理办法》以列举方式对工业行业的范围进行了进一步限定：“指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域”。

二是“工业和信息化领域数据”的定义中未列明个人信息。《数据安全法》将个人信息作为特别重要的一类数据，纳入重要数据目录和核心数据目录进行重点保护，既要遵守数据安全管理有关规定，还要遵守个人信息保护法的特别规定。《管理办法》秉承了上述工作理念，将个人信息纳入数据全生命周期安全管理，不再单独提出个人信息保护的要求。

三是数据处理者主要包括三类企业。根据《管理办法》第三条，可以将数据处理者归纳为三类企业，即：工业企业、软件和信息技术服务企业、电信业务经营者（取得电信业务经营许可证）。关于工业领域，在《管理办法》中明确列出包括原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等领域，便于在实际工作中对应落实监管责任。电信行业范畴包括获得电信业务经营许可证的电信业务经营者。国防科技工业、烟草领域数据安全管理则由国防科工局、国家烟草专卖局负责，可参照本办法另行制定管理制度。

（二）管理职责

《管理办法》对行业管理职责进行了明确，构建了“部-地方-企业”三级联动的数据分类分级、重要数据和核心数据识别认定及数据分级防护工作机制。一是明确工业和信息化部、地方工业和信息化主管部门、地方电信管理机构的监管职责。二是落实作为数据安全产业管理部门，需承担的支持技术研究和引导产业发展的责任。三是明确数据处理者的主体责任。

首先，从层级上看，主要有“数据安全工作协调机制”、“行业监管部门”两层。其中，按照《管理办法》第三十五条规定，在涉及工信数据安全审查相关职责时，该机制将发挥指导作用，这是对《数据安全法》的承接与细化。而“行业监管部门”主要包括工信部、地方工信主管部门和地方通信管理局，是实施工信领域数据安全管理的主要力量。

其次，从职能分工上看，在行业监管部门中：“工业和信息化部”负责对工业和电信数据处理者的数据处理活动和安全保护进行监督管理；“地方工业和信息化主管部门”则负责本地区工业数据处理者的数据处理活动和安全保护进行监督管理；而“地方通信管理局”负责对本地区电信数据处理者的数据处理活动和安全保护进行监督管理。

最后，工业和电信数据处理者应当对数据处理活动负安全主体责任，采取必要措施确保数据持续处于有效保护和合法利用的状态，包括建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程等。

工作体系方面，涉及重要数据和核心数据的，工业和电信数据处理者应当建立覆盖本单位相关部门的数据安全工作体系，设置专门的数据安全管理责任部门，本单位党委(党组)或领导班子对数据安全负主体责任，主要负责人是数据安全第一责任人，分管数据安全的负责人是直接责任人。

（三）管理保障

一是强化工信数据安全基础保障。《管理办法》明确规定了行业监管机构鼓励和促进工信数据安全产业发展，包括技术、产品服务、产业生态构建等，并明确了技术产品创新应遵循的最低基本准则。同时，还规定了以标准化建设促进相关技术产业发展的举措。

二是建设工信数据安全能力服务保障。《管理办法》在规定数据处理者生命周期管理要求的同时，从协助和服务角度也同时规定了安全能力认证保障，包括建立完善数据安全检测、评估与认证机构管理制度、制定机构认定标准，开展机构选拔认定、资质授权、日常管理和推荐目录发布等。

（四）监督检查

一是对工业和电信数据处理者落实数据安全保护义务进行监督检查。主要包括平台汇总（如数据备案平台、数据安全监测预警平台等）、数据安全检查、数据安全审查、数据安全约谈整改等。

二是建立数据安全检测评估、认证机构管理制度，开展检测评估、认证机构选拔认定和管理。同时制定工业和信息化领域数据安全评估规范，指导开展数据安全风险评估、合规评估。

三是举报投诉。《管理办法》建立了针对数据安全违法行为的投诉处理机制，完善了自下而上的监管反馈渠道和机制，有助于全面提升工信数据安全管理的成效。

四是提出监督检查工作中的保密要求。

此外，《管理办法》还明确了违反本规定的法律责任，并对涉密数据、军事数据、政务数据作了排除规定，还提出信用机制，新规的执行力度增强。比如，行业监管部门应当将工业和电信数据处理者落实数据安全管理责任情况纳入信用管理。对存在数据安全违法违规行为受到行政处罚的数据处理者，按照有关规定将其列入业务经营不良名单或失信名单。对于违反本办法的，由行业监管部门依照《数据安全法》、《网络安全法》等法律和相关行政法规，根据情节严重程度给予公开曝光、没收违法所得、罚款、暂停业务、停业整顿、关闭网站、吊销业务许可证或吊销营业执照等行政处罚；构成犯罪的，依法追究刑事责任。

二

《管理办法》标志着数据安全政策步入行业细化阶段

《管理办法》作为首个由行业、领域主管部门制定发布的数据安全相关法规，随着其发布，数据安全政策步入各个行业细化阶段，有利于加速数据安全需求释放，为更多行业政策出台提供参考。

1.《管理办法》开行业数据保护的先河。《数据安全法》开启了我国数据安全保护工作的全新阶段，其规定了数据安全保护工作的基本制度框架。而《管理办法》作为首个由行业、领域主管部门制定发布的数据安全相关法规，随着其发布，数据安全政策步入各个行业细化阶段，有利于加速数据安全需求释放，为更多行业政策出台提供参考。

2.《管理办法》助力完善数据安全保护法规体系。《数据安全法》是我国数据安全保护领域的基本法，而在行政法规、部门规章层面仍需不断体系化完善。《管理办法》率先面向社会征求意见，其修改完善后将会以工信部规范性文件的形式发布，也将同时填补数据安全“部门规章”这一法规类型的空白，推进我国数据安全法律法规体系的完善。

三

《管理办法》对企业的合规启示

《管理办法》对工业和信息化领域数据构建了清晰的监管框架与制度保障。对企业而言，建议从以下几点推进相关合规工作。

1.由于《管理办法》对工业数据、电信数据、工业和电信数据处理者等管理对象的概念和范畴进行了明确界定，企业可先行根据认定因素展开自查，预估自己是否属于数据处理者所涵盖的三类企业，即工业企业、软件和信息技术服务企业、电信业务经营者（取得电信业务经营许可证），并密切关注本行业主管、监管部门在识别认定方面的最新动态。

2.对于后续被通知构成数据处理者的企业，《管理条例》实行“一把手负责制”，企业应当按照前述工业和信息化领域数据的各项合规义务开展工作。否则，对未能履行合规义务的企业及直接负责的主管人员，可能承担相应的法律后果。

3.对于后续被通知构成数据处理者的企业除关注《条例》的要求外，还应关注散见于其他法律法规（如《数据安全法》）、工信部印发的相关指南（如《工业数据分类分级指南（试行）》）和全国信息安全标准化技术委员会（以下简称信安标委）的相关标准中的要求。

信安标委发布的相关规范性文件，虽然不具有正式法律法规的强制约束力，但对企业开展数据合规工作，能提供很好的参考借鉴。以下文件在实操指引上值得企业重点关注：

《信息安全技术电信领域大数据安全防护实现指南》
《信息安全技术重要数据识别指南》
《信息安全技术数据出境安全评估指南》

4.《管理办法》施行之后，工业和信息化领域数据的存储、传输与防护将受到更严格的监管。对于其网络产品和服务的提供方，应当针对《管理办法》中规定的相关条款积极对自身活动的合规性展开自查，对其中不完善、不合规，或存在制度性缺陷的地方尽快整改规范，以适应新形势下对于工业和信息化领域数据的全新监管与合规要求。

END