為貫徹落實《數據安全法》等法律法規，加快推動工業和信息化領域數據安全管理工作制度化、規范化，提升工業、電信行業數據安全保護能力，防范數據安全風險，近日工信部研究起草了《工業和信息化領域數據安全管理辦法（試行）（征求意見稿）》（以下簡稱“征求意見稿”），于今年10月30日前收集反饋意見。

征求意見稿指出，工業數據是指原材料工業、裝備工業、消費品工業、電子信息制造業、軟件和信息技術服務業、民爆等行業領域，在研發設計、生產制造、經營管理、運維服務、平臺運營、應用服務等過程中收集和產生的數據。電信數據是指在電信業務經營活動中收集和產生的數據。工業和電信數據處理者是指對工業、電信數據進行收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動的工業企業、軟件和信息技術服務企業以及取得電信業務經營許可證的電信業務經營者等工業和信息化領域各類主體。

對工業和電信數據進行分類分級管理，是征求意見稿的核心內容之一。具體來看，工業和電信數據處理者應當堅持先分類后分級，定期梳理，根據行業要求、業務需求、數據來源和用途等因素對數據進行分類和標識，形成數據分類清單。

數據分類類別包括但不限于研發數據、生產運行數據、管理數據、運維數據、業務服務數據、個人信息等。工信部按照國家有關規定，根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，將工業和電信數據分為一般數據、重要數據和核心數據3級。

根據工作要求，工信部組織制定工業和信息化領域數據分類分級、重要數據和核心數據識別認定及數據分級防護等制度規范，形成行業重要數據和核心數據具體目錄并實施動態管理，指導開展數據分類分級防護工作。

地方工業和信息化主管部門、通信管理局組織開展本地區工業、電信行業數據分類分級防護及重要數據和核心數據識別認定工作，形成本地區行業重要數據和核心數據具體目錄并上報工信部。

工業和電信數據處理者應當建立健全數據分類分級管理制度，將重要數據和核心數據目錄報送地方工業和信息化主管部門或通信管理局，并采取措施開展數據分級防護，對重要數據進行重點保護，對核心數據在重要數據保護基礎上實施更嚴格的管理和保護。

值得關注的是，征求意見稿提出建立工業和信息化領域重要數據和核心數據備案管理制度，統籌建設備案管理平臺。備案內容包括數據的數量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數據提供、公開、出境、承接，以及數據安全風險、事件處置等情況。

征求意見稿還針對數據全生命周期安全管理提出多項具體要求。例如，工業和電信數據處理者收集數據應當遵循合法、正當、必要的原則，不得竊取或者以其他非法方式收集數據；未經個人、單位等同意，不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精準畫像、數據復原等加工處理活動；在數據全生命周期處理過程中，應當記錄數據處理、權限管理、人員操作等日志，日志留存時間不少于6個月，定期進行安全審計，涉及重要數據和核心數據的，應當至少每半年進行一次；在中華人民共和國境內收集和產生的重要數據，應當依照法律、行政法規要求在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估，在確保安全的前提下進行數據出境，核心數據不得出境。

數據安全監測預警與應急管理方面，由工信部統籌建立工業和信息化領域數據安全風險監測機制，建設數據安全監測預警平臺，對數據泄露、違規傳輸、流量異常等安全風險進行監測和預警，及時組織研判重要數據和核心數據安全風險并進行預警。地方工業和信息化主管部門、通信管理局建設數據安全監測預警平臺，組織開展本地區工業、電信行業數據安全風險監測，按照有關規定及時發布預警信息，通知本地區工業和電信數據處理者及時采取應對措施。

此外，征求意見稿還就數據安全檢測、評估與認證管理，監督檢查，以及法律責任等方面提出要求。（夏小禾）