日前，工信部印发《工业和信息化领域数据安全管理办法(试行)》(下称《管理办法》)。
　　《管理办法》共八章四十二条，围绕总则，数据分类分级管理，数据全生命周期安全管理，数据安全监测预警，数据安全检测、认证、评估管理，监督检查，法律责任以及附则等八个方面，对工业和信息化领域中的各项数据安全要求做出规定。
　　《管理办法》明确了开展数据分类分级保护、重要数据管理等工作的具体要求，细化数据全生命周期安全义务。同时，构建了工业和信息化领域数据安全监管体系，明确工业和信息化部、地方行业监管部门的职责范围，建立权责一致的工作机制。此外，根据工业、电信、无线电领域的实际情况，明确数据全生命周期保护要求，指导数据处理者健全数据安全管理和技术保护措施，履行安全保护主体责任。
　　监管范围方面，《管理办法》指出，数据处理主体主要包括工业数据处理者、电信数据处理者以及无线电数据处理者；处理对象则包含工业数据、电信数据和无线电数据等；相关数据收集、存储、使用、加工、传输、提供、公开等活动均属于监管范围。
　　工信领域数据分类分级管理
　　《管理办法》指出，工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。并根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将数据分为一般数据、重要数据和核心数据三级。
　　其中，级别最高的核心数据，包括对政治、国土、军事、经济、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的数据；对工信领域重要骨干企业、关键信息基础设施、重要资源等造成重大影响的数据；对工业生产运营、电信网络和互联网服务等业务开展造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等的数据；以及经工信部评估确定的其他核心数据。
　　重要数据则是指对政治、国土、军事、经济、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的数据；对工信领域发展、生产、运行和经济利益等造成严重影响的数据；造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大的数据等。
　　《管理办法》依据国家数据分类分级保护制度要求，规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上，还应承担以下保护义务：
　　一是开展数据识别备案，按照相关标准规范识别重要数据，形成本单位具体目录并进行备案；
　　二是加强内部管理，建立数据安全工作体系，明确数据安全负责人，加强数据处理关键岗位管理，构建重要数据处理登记审批机制，强化数据全生命周期安全保护措施；
　　三是组织常态化监测预警与应急处置，涉及重要数据和核心数据安全事件的应第一时间进行上报；
　　四是定期实施风险评估，及时发现整改风险问题，并按照要求上报风险评估报告。
　　《管理办法》还要求，工信领域数据处理者对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。
　　工信领域数据出境应依法依规进行安全评估
　　《管理办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节，分别针对一般数据、重要数据、核心数据细化明确了安全保护要求，主要包括明确细化了协议约束、安全评估、审批等管理要求，以及校验与密码技术使用、数据访问控制等技术保护要求。
　　《管理办法》指出，数据处理者收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据。数据存储方面，相关方应依法依规，并按照和用户约定的方式、期限进行数据存储相关数据。
　　相关数据处理者利用数据进行自动化决策时，应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制。若涉及经营电信业务的，还应当按照相关法律、行政法规规定取得电信业务经营许可。
　　《管理办法》还指出，数据传输时，应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
　　若需要对外提供数据，应当明确提供的范围、类别、条件、程序等；提供重要数据和核心数据的，应当与数据获取方签订数据安全协议，对数据获取方数据安全保护能力进行核验，采取必要的安全保护措施。
　　对于境内产生数据的存储和出境方面，《管理办法》要求，工信域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。
（文章来源：证券时报网）