近日，工信部印发了《工业和信息化领域数据安全管理办法（试行）》（以下称《管理办法》）。

该《管理办法》共八章，四十二条，除总则、监督检查、法律责任和附则外，对数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理均进行详细要求。本办法将于2023 年 1 月 1 日起施行。

如今，数据已成为数字经济时代最为活跃的新型生产要素，但与之而来的是日益突出的数据安全风险。数据安全是关乎个人权益、公共利益、国家安全的重要因素。

此外，为开展数据安全监管和保护工作提供法律依据和根本遵循，数据安全法已落地实施一年多了。其中明确工业和信息化部承担工业、电信行业数据安全监管职责，并对数据处理者的安全保护义务提出相关要求。

工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。故此，为贯彻落实《数据安全法》，加快推动工业和信息化领域数据安全管理工作制度化、规范化，工业和信息化部研究起草了《管理办法》。

其目的意义在于：

工信领域细化国家数据安全管理制度：在工业和信息化领域对国家数据安全管理制度要求进行细化，明确开展数据分类分级保护、重要数据管理等工作的具体要求，细化数据全生命周期安全义务，为行业数据安全监管提供制度保障。

构建工信数据安全监管体系：构建工业和信息化领域数据安全监管体系，明确工业和信息化部、地方行业监管部门的职责范围，建立权责一致的工作机制。

明确数据安全管理和技术保护措施：根据工业、电信、无线电领域的实际情况，明确数据全生命周期保护要求，指导数据处理者健全数据安全管理和技术保护措施，履行安全保护主体责任。

其中，《管理办法》以数据分级保护为总体原则，数据分为一般数据（加强全生命周期安全管理）、重要数据（在一般数据保护的基础上进行重点保护）、核心数据（在重要数据保护的基础上实施更加严格保护）。对不同级别数据同时被处理且难以分别采取保护措施的，采取“就高”原则，按照其中级别最高的要求实施保护。

其中，《管理办法》依据国家数据分类分级保护制度要求，规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上，还应承担以下保护义务：

开展数据识别备案：按照相关标准规范识别重要数据，形成本单位具体目录并进行备案；

加强内部管理：建立数据安全工作体系，明确数据安全负责人，加强数据处理关键岗位管理，构建重要数据处理登记审批机制，强化数据全生命居期安全保护措施；

组织常态化监测预警与应急处置：涉及重要数据和核心数据安全事件的应第一时间进行上报；

定期实施风险评估：及时发现整改风险问题，并按照要求上报风险评估报告。

另外，《管理办法》其中明确，工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

据了解，工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。