國慶節(jié)前工信部發(fā)布了《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行） 》的征求意見稿（“管理辦法征求意見稿”），為國慶加餐?？焖匍喿x一遍，算是學習筆記：

　　上位法列明了《民法典》《數(shù)據(jù)安全法》《網(wǎng)絡安全法》，但沒有列明《個人信息保護法》。

　　適用范圍方面，管理辦法征求意見稿僅關(guān)注中國境內(nèi)的數(shù)據(jù)處理活動，《數(shù)據(jù)安全法》中的域外效力在管理辦法征求意見稿中沒有體現(xiàn)。

　　工業(yè)數(shù)據(jù)和電信數(shù)據(jù)以后說不定可以被統(tǒng)稱為“工信數(shù)據(jù)”，這會是一個非常廣的概念，因為電信業(yè)務的概念非常廣（參見電信業(yè)務分類、經(jīng)營性與非經(jīng)營的互聯(lián)網(wǎng)信息業(yè)務范圍），定義里工業(yè)的概念也非常廣。

　　工業(yè)數(shù)據(jù)和電信數(shù)據(jù)用的定義方式不太一樣，工業(yè)數(shù)據(jù)是逐一列舉的方式，而電信數(shù)據(jù)是概況描述式的方式。

　　管理辦法征求意見稿對《數(shù)據(jù)安全法》里面的制度進行了細化，比如先分類后分級。類別包括：研發(fā)數(shù)據(jù)、生產(chǎn)運行數(shù)據(jù)、管理數(shù)據(jù)、運維數(shù)據(jù)、業(yè)務服務數(shù)據(jù)、個人信息等。

　　數(shù)據(jù)級別分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。如果某數(shù)據(jù)集中的多類數(shù)據(jù)無法精確區(qū)分級別，就按照最高級別保護。

　　一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)的界定其實也是較為模糊，有賴實踐中提供更多信息。

　　工信數(shù)據(jù)處理者的義務會是企業(yè)關(guān)注的焦點。比如重要數(shù)據(jù)和核心數(shù)據(jù)的報送義務，工信部會設立相關(guān)平臺，地方通管局或經(jīng)信委會對備案內(nèi)容進行審核。

　　備案內(nèi)容包括數(shù)據(jù)的數(shù)量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數(shù)據(jù)提供、公開、出境、承接，以及數(shù)據(jù)安全風險、事件處置等情況。

　　數(shù)據(jù)全生命周期安全管理的要求其實會深入到企業(yè)治理層面，避免企業(yè)從崗位設置、管理架構(gòu)、決策流程等方面全面檢討。想要毫不費力，通過幾份文件就實現(xiàn)數(shù)據(jù)合規(guī)會越來越難。

　　黨委（黨組）或領導班子會是負責主體，企業(yè)負責人就是第一責任人，下設分管數(shù)據(jù)安全的負責人，該負責人也應當是領導層的一員。

　　很多企業(yè)的解決方案可能是讓CTO擔任數(shù)據(jù)安全負責人，但這樣的設置問題在于不符合信息安全管理中崗位分離的原則。CISO的地位可能需要提升。

　　《安全協(xié)議書》是法務需要為HR部門、IT部門、信息安全部門準備的一份法律文件，內(nèi)部數(shù)據(jù)處理人員需要簽署該文件。

　　核實數(shù)據(jù)接收方的安全保護能力+數(shù)據(jù)安全協(xié)議+督促將成為數(shù)據(jù)提供、委托處理過程中不可獲取的環(huán)節(jié)。

　　安全評估將以自評和委托檢測機構(gòu)評估兩種模式，不一定必須委托第三方完成。

　　較之《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）（征求意見稿》反而不夠明晰。比如關(guān)于重要數(shù)據(jù)的定義。但對于汽車行業(yè)企業(yè)來說，未來需要同時遵守兩個規(guī)定。合規(guī)工作需要先“合并同類項”，梳理法規(guī)，合并相同或類似義務。

　　在未來，《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》會是《數(shù)據(jù)安全法》框架下中的重要一環(huán)，也是數(shù)據(jù)合規(guī)的工作的重要組成部分，值得所有數(shù)據(jù)處理者關(guān)注。