當前，數據已成為數字經濟時代最為活躍的新型生產要素之一。與此同時，數據安全風險日益突出，成為關系個人權益、公共利益和國家安全的重要因素。

　　12月13日，工信部正式發布《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》)。該管理辦法將于2023年1月1日起正式實施。

　　12月14日，紅星資本局從工信部相關部門了解到，研究起草《管理辦法》，一是在工業和信息化領域對國家數據安全管理制度要求進行細化，明確開展數據分類分級保護、重要數據管理等工作的具體要求，細化數據全生命周期安全義務，為行業數據安全監管提供制度保障。二是構建工業和信息化領域數據安全監管體系，明確工業和信息化部、地方行業監管部門的職責范圍，建立權責一致的工作機制。三是根據工業、電信、無線電領域的實際情況，明確數據全生命周期保護要求，指導數據處理者健全數據安全管理和技術保護措施，履行安全保護主體責任。

　　①

　　工業數據、電信數據和無線電數據等

　　均屬處理對象

　　據悉，《管理辦法》作為工業和信息化領域數據安全管理頂層制度文件，共八章四十二條，重點解決工業和信息化領域數據安全“誰來管、管什么、怎么管”的問題。

　　《管理辦法》對工業和信息化領域數據處理活動進行安全監管。

　　從處理主體看，工業和信息化領域數據處理者是指能夠在工業和信息化領域數據處理活動中自主決定處理目的、處理方式的各類主體，主要包括工業數據處理者、電信數據處理者以及無線電數據處理者。

　　從處理對象看，工業和信息化領域數據主要包括工業數據、電信數據和無線電數據等。

　　從處理活動看，數據收集、存儲、使用、加工、傳輸、提供、公開等活動都屬于監管范圍。

　�、�

　　數據分級保護

　　不同級別采取“就高”原則

　　《管理辦法》提出了“數據分級保護”的總體原則，要求一般數據加強全生命周期安全管理，重要數據在一般數據保護的基礎上進行重點保護，核心數據在重要數據保護的基礎上實施更加嚴格保護。對于不同級別數據同時被處理且難以分別采取保護措施的，采取“就高”原則，按照其中級別最高的要求實施保護。

　　《管理辦法》對保障數據全生命周期也提出了要求。圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關鍵環節，分別針對一般數據、重要數據、核心數據細化明確了安全保護要求，主要包括明確細化了協議約束、安全評估、審批等管理要求，以及校驗與密碼技術使用、數據訪問控制等技術保護要求。

　�、�

　　境內收集和產生的重要和核心數據

　　應境內存儲，向境外提供應安全評估

　　在哪些情形下需要開展數據安全風險評估？《管理辦法》明確重要數據和核心數據處理者每年至少完成一次數據安全風險評估，可以自行或委托第三方評估機構開展。

　　評估內容包括合規評估和風險研判：合規評估是指對標對表法律法規和政策文件，評估是否滿足相關要求，風險研判是指通過分析數據處理者的安全保障能力、面臨的威脅情況和發生安全事件后的影響程度等，評估數據處理活動的安全風險等級。

　　對于數據出境安全評估，《管理辦法》明確，工業和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依照《數據安全法》《數據出境安全評估辦法》等法律法規進行安全評估。