专业研究

9月30日，工信部发布意见称，为贯彻落实《数据安全法》等法律法规，加快推动工业和信息化领域数据安全管理工作制度化、规范化，提升工业、电信行业数据安全保护能力，防范数据安全风险，工信部研究起草了《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》（以下简称《办法》），面向社会公开征求意见。

《办法》聚焦于我国境内开展的工业和信息化领域的数据处理活动，在第三条中明确“工业数据”是指工业原材料、装备、消费品、电子信息制造业、软件和信息技术服务业、民爆等行业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据；“电信数据”是电信业务经营活动中收集和产生的数据。

涉及国家秘密信息、密码使用等数据，军事数据，政务数据，国防科技工业、烟草领域数据均不受《办法》规制。

《办法》根据《数据安全法》的要求，对工业和电信数据进行分类分级管理。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，明确工业和电信数据划分为一般数据、重要数据和核心数据的依据。

危害程度符合下列条件之一的数据为一般数据：

• 对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；

• 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

• 恢复数据或消除负面影响所需付出的代价小；

•  其他未纳入重要数据、核心数据目录的数据。

危害程度符合下列条件之一的数据为重要数据：

• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全；

• 对工业、电信行业发展、生产、运行和经济利益等造成影响；

• 造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

• 引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

• 恢复数据或消除负面影响所需付出的代价大；

• 经行业监管部门评估确定的其他重要数据。

危害程度符合下列条件之一的数据为核心数据：

• 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全；

• 对工业、电信行业及其重要骨干企业、关键信息基础设施、重要资源等造成严重影响；

• 对工业生产运营、电信和互联网运行和服务等造成重大损害，导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等；

• 经工业和信息化部评估确定的其他核心数据。

在数据全生命周期安全管理方面，《办法》针对不同级别数据，从数据收集、存储、加工、 传输、提供、公开、销毁、跨境、承接、委托处理等环节落实分级保护要求。

《办法》在第二十三条特别明确“数据销毁”，要求数据处理者应当建立数据销毁策略和管理制度，明确销毁对象、流程和技术等要求，对销毁活动进行记录和留存。

对于重要数据和核心数据，如果没有承接方且符合销毁条件的，数据处理者应依法进行数据销毁；没有承接方且不符合销毁条件的，数据处理者应及时上报所在地工信主管部门或通信管理局，将数据移交至行业监管部门指定的机构保存。销毁重要数据和核心数据的，不得以任何理由、任何方式对销毁数据进行恢复。

《办法》对数据保护的权责做了细化规定。涉及重要数据和核心数据的，数据处理者应设置专门的数据安全管理责任部门，本单位党委（党组）或领导班子对数据安全负主体责任，主要负责人是数据安全第一责任人，分管数据安全的负责人是直接责任人。对于关键岗位及人员，《办法》要求签署数据安全责任书，记录数据处理活动。

在数据出境管理方面，《办法》明确提出数据处理者在境内收集和产生的重要数据应当依照法律、行政法规要求在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估，在确保安全的前提下进行数据出境，并加强对数据出境后的跟踪掌握。核心数据不得出境。

（本文为原创文章，作者为王俊林律师、石陇辉律师助理。欢迎转载，转发请注明出处，侵权必究）