近日消息：工業和信息化部出臺了《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱“《管理辦法》”)?！豆芾磙k法》作為工業和信息化領域(以下簡稱“工信領域”)數據安全管理頂層制度文件，是全面貫徹落實《數據安全法》等國家數據安全法律法規的重要舉措，也是前期工信領域數據安全管理實踐經驗的固化總結?！豆芾磙k法》以安全發展理念為指引，建立健全了工信領域數據安全制度機制，搭建起工信領域數據安全管理的“四梁八柱”，細化明確了數據全生命周期安全保護要求，為工信領域企業落實數據安全管理和技術保護措施提供了明確指引，標志著工信領域數據安全管理工作邁出了具有里程碑意義的重要一步。

　　一、夯實數據安全根基，建立工信領域數據安全管理基本遵循

　　隨著全球數字經濟的蓬勃發展，數據已成為關鍵生產要素和核心戰略資源，數據安全的基礎保障作用和發展驅動效應日益突出，攸關國家安全、公共利益和個人權利。黨和國家敏銳把握數字經濟發展的戰略機遇，將數據作為新型生產要素，加快培育數據要素市場，充分釋放數據紅利，同時，高度重視、不斷推進數據安全保護工作。黨的二十大報告立足中華民族偉大復興戰略全局和世界百年未有之大變局，做出“統籌發展與安全”的重要部署，要求“堅定不移貫徹總體國家安全觀”，“以新安全格局保障新發展格局”，重點強化數據安全保障體系建設。

　　安全保障，制度先行。習近平總書記在十九屆中央政治局第三十四次集體學習時講話指出，“要健全法律法規和政策制度，完善體制機制，提高我國數字經濟治理體系和治理能力現代化水平”。國務院《“十四五”數字經濟發展規劃》將研究完善行業數據安全管理政策作為提升國家總體數據安全保障水平的關鍵一環?！稊祿踩ā贰秱€人信息保護法》等國家重大數據安全立法加速出臺，進一步明確了數據安全行政監管的上位法依據和職責邊界，對各行業、各領域承接落實也提出了新要求。

　　工信領域是我國數字化轉型的排頭兵和產業數字化的主陣地。信息通信網絡覆蓋社會千行百業，是經濟社會運行的“神經中樞”，匯聚海量用戶數據和關系國計民生的重要數據。工業數字化轉型催生海量工業數據資源，且數據互聯互通加快導致數據安全風險與威脅點增多，數據安全形勢愈發嚴峻復雜，工信領域數據安全保護亟待強化。加速完善工信領域數據安全管理政策，夯實數據安全工作基石，是認真踐行總體國家安全觀，統籌發展和安全，護航工信領域數字化發展的必然要求，也是落實黨和國家決策部署、提升國家總體數據安全保障水平的必擔之責。

　　二、筑牢數字安全屏障，明確工信領域數據安全保護的規則指引

　　《管理辦法》堅持安全與發展并重、鼓勵與規范并舉原則，推動建立健全安全可控、彈性包容的工信領域數據安全規則體系，一方面，明確數據安全管理關鍵制度要求，劃定工信領域數據流通利用的安全基線，同時，構建多元主體協同共治格局，著力提升工信領域數字信任，為我國數字化轉型保駕護航。具體來說，《管理辦法》核心內容包括以下幾個方面：

　?。ㄒ唬┟鞔_管理體制，建立三級聯動的數據安全工作機制

　　《管理辦法》銜接國家數據安全工作協調機制，充分結合工信領域既成的監管體制，構建了“部-地方-企業”三級聯動的數據安全工作機制：在部層面，由工業和信息化部負責工信領域數據安全總體統籌與監督管理。在地方層面，地方工業和信息化主管部門、地方通信管理局、地方無線電管理機構分別負責對本地區工業數據處理者、電信數據處理者、無線電數據處理者的數據處理活動和安全保護進行監督管理。在企業層面，工業數據處理者、電信數據處理者、無線電數據處理者承擔本單位的數據安全主體責任，落實工信領域數據安全管理要求。這種條塊結合的監管組織架構既貫徹了《數據安全法》對于各地區、各行業、各領域數據安全監管的責任分工，也充分考慮了工信領域管理的共性需求與實踐差異。

　?。ǘ┘毣诸惙旨?，建立涵蓋事前事中事后的監管制度機制

　　《管理辦法》承接細化《數據安全法》數據分類分級保護要求，以預防、控制和消除數據安全風險為核心，建立工信領域數據安全管理關鍵制度機制。一是明確工信領域數據分類參考因素及數據分級識別依據，建立重要數據和核心數據目錄備案管理機制，為工信領域數據分類分級安全管理提供實操指引。二是建立工信領域數據安全風險監測機制及風險信息上報和共享機制，對數據安全風險進行監測、匯聚、分析、通報，加強工信領域數據安全風險的事前感知。三是明確應急處置機制流程，制定工信領域數據安全事件應急預案，預防和減少數據安全事件發生后造成的損失和危害。四是完善投訴舉報機制，建立部省兩級數據投訴舉報渠道，充分發揮社會監督作用，廣泛獲取數據安全違法信息。五是建立數據安全檢測、認證、評估管理制度，提升工信領域數據安全產品、服務質量及安全保障能力，推動數字安全產業發展。

　?。ㄈ┞鋵嵵黧w責任，加強重要數據和核心數據重點保護

　　《管理辦法》對標《數據安全法》《網絡安全法》《個人信息保護法》中的數據安全保護義務，明確細化工信領域數據處理者的數據安全主體責任。一是要求建立數據全生命周期安全管理制度，制定各環節分級防護要求和操作規程，配備管理人員，加強權限管理，制定應急預案，定期開展教育培訓以及其他必要措施。二是要求結合數據收集、存儲、使用、加工、傳輸、提供、公開等環節特點設置針對性保護措施，有效加強數據安全保護。三是以一般數據、重要數據、核心數據三級數據劃分為主線貫穿數據全生命周期安全管理，要求采取工作體系建設、內部登記審批、關鍵崗位管理、安全防護等管理及技術措施對重要數據和核心數據進行重點保護，切實保障國家安全和社會公共利益。

　?。ㄋ模┮攵嗬嫦嚓P方，構建數據安全協同治理生態

　　數據安全保護涉及主體多元、場景復雜、環節眾多，構建良好的數據安全治理生態需要開展多方協同?！豆芾磙k法》引入企業、研究機構、行業組織、安全服務機構等各類主體參與數據安全治理。一是推動數據安全產業發展，支持數據安全企業、研究和服務機構開展數據安全技術研發創新，結合行業數據安全需求培育、發展數據安全產品和服務，提升數據安全產品供給能力。二是組織企業、研究機構、高等院校、行業組織等各類主體開展相關標準的制修訂及推廣應用工作，增強標準制定參與主體的廣泛性，通過標準促進數據應用規范化，提升數據處理活動的安全性。三是發揮安全服務機構、行業組織、科研機構數據安全能力，鼓勵協同開展數據安全風險信息上報和共享，匯聚多方力量應對數據安全風險。四是發揮評估機構專業能力，輔助開展數據安全風險評估、出境評估等活動，助力企業持續提升數據安全保障水平。

　　三、凝聚多方合力，全面提升工信領域數據安全保障水平

　　在數據安全威脅和風險日益突出，國家數據安全管理要求亟需落地的大背景下，《管理辦法》的出臺正當其時?！豆芾磙k法》正式實施后，將開創工信領域數據安全保護工作新局面。為進一步推動其落地，有效提升工信領域數據安全治理能力，重點提出以下幾方面思考：

　?。ㄒ唬┘訌娬咝炁嘤?，全面提升數據安全保護意識和水平

　　《管理辦法》發布是引導工信領域深入貫徹領會數據安全管理制度要求，加快推動數據安全管理工作制度化、規范化的良好契機。做好宣貫培訓，采取部級示范培訓和地方重點培訓相結合的方式，針對性、分層次、有深度地設計行業數據安全宣貫培訓內容，對《數據安全法》《管理辦法》進行系統闡釋和深入解讀，統一理解認識，有助于行業監管部門推動管理制度要求有效落實與執行，打響“發令槍”。同時，數據處理者要定期開展數據安全管理培訓，明確關鍵、重點崗位培訓方案，確保數據安全從業人員全覆蓋，及時評定培訓效果，做好“沖鋒者”。

　?。ǘ┳龊弥匾獢祿R別備案，有效夯實數據安全工作基礎

　　重要數據保護已成為工信領域數據安全管理的重中之重。隨著《管理辦法》的推進實施，還需要行業監管部門結合工業、電信行業領域自身特點和實踐需求，配套制定重要數據識別標準規范，建立完善備案審核及上報流程機制，為工信領域企業深化落實數據安全基線要求進一步提供細化規則。數據處理者也需要按照行業監管部門的工作要求，緊密結合自身數據安全工作實際，定期梳理數據資源，扎實開展重要數據識別和目錄動態備案管理工作，切實履行好安全主體責任。

　?。ㄈ┳ズ蔑L險防范化解，切實增強數據安全保障能力

　　有效發現、抵御工信領域數據安全突出風險，是維護數據安全的發力點和核心戰力。加強數據安全風險評估、報告、信息共享、監測預警工作部署，推進全國數據安全管理平臺建設，加快打造工信領域數據安全風險態勢感知能力，將成為下一步行業監管工作的重點。數據處理者應圍繞數據安全保護需求，配合部、省兩級主管部門開展風險監測排查，及時防范行業數據安全風險隱患;做好數據安全風險評估和數據出境安全評估，不斷提升數據安全合規能力。安全服務機構、行業組織、科研機構要主動參與風險信息上報和共享，按照“及時、客觀、準確、真實、完整”的原則報送掌握的風險信息。

　?。ㄋ模┘訌娬蚣钜龑?，多措并舉提升數據安全保護水平

　　堅持監督管理與正向引導相結合，有利于充分調動企業的自主性和積極性，更大程度激發企業提升自身數據安全管理水平的內生動力。行業監管部門在加強監督檢查，通過執法、約談等措施敦促企業責任落實的同時，可以綜合運用行業自律、競賽、優秀案例評選等多種方式加強示范引領，推進企業標準貫標達標工作，指引企業提升數據安全管理能力。數據處理者要充分發揮能動性，自動對標管理要求和最佳實踐，自覺提升數據收集、存儲、加工、傳輸、提供、公開、銷毀等全環節安全保護水平。在業務系統上線、運營中，同步規劃、同步建設、同步運行數據安全保障措施，進一步提升數據有效利用與安全保護平衡能力。