国庆节前工信部发布了《工业和信息化领域数据安全管理办法（试行） 》的征求意见稿（“管理办法征求意见稿”），为国庆加餐。快速阅读一遍，算是学习笔记：

　　上位法列明了《民法典》《数据安全法》《网络安全法》，但没有列明《个人信息保护法》。

　　适用范围方面，管理办法征求意见稿仅关注中国境内的数据处理活动，《数据安全法》中的域外效力在管理办法征求意见稿中没有体现。

　　工业数据和电信数据以后说不定可以被统称为“工信数据”，这会是一个非常广的概念，因为电信业务的概念非常广（参见电信业务分类、经营性与非经营的互联网信息业务范围），定义里工业的概念也非常广。

　　工业数据和电信数据用的定义方式不太一样，工业数据是逐一列举的方式，而电信数据是概况描述式的方式。

　　管理办法征求意见稿对《数据安全法》里面的制度进行了细化，比如先分类后分级。类别包括：研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。

　　数据级别分为一般数据、重要数据和核心数据三级。如果某数据集中的多类数据无法精确区分级别，就按照最高级别保护。

　　一般数据、重要数据和核心数据的界定其实也是较为模糊，有赖实践中提供更多信息。

　　工信数据处理者的义务会是企业关注的焦点。比如重要数据和核心数据的报送义务，工信部会设立相关平台，地方通管局或经信委会对备案内容进行审核。

　　备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况，数据提供、公开、出境、承接，以及数据安全风险、事件处置等情况。

　　数据全生命周期安全管理的要求其实会深入到企业治理层面，避免企业从岗位设置、管理架构、决策流程等方面全面检讨。想要毫不费力，通过几份文件就实现数据合规会越来越难。

　　党委（党组）或领导班子会是负责主体，企业负责人就是第一责任人，下设分管数据安全的负责人，该负责人也应当是领导层的一员。

　　很多企业的解决方案可能是让CTO担任数据安全负责人，但这样的设置问题在于不符合信息安全管理中岗位分离的原则。CISO的地位可能需要提升。

　　《安全协议书》是法务需要为HR部门、IT部门、信息安全部门准备的一份法律文件，内部数据处理人员需要签署该文件。

　　核实数据接收方的安全保护能力+数据安全协议+督促将成为数据提供、委托处理过程中不可获取的环节。

　　安全评估将以自评和委托检测机构评估两种模式，不一定必须委托第三方完成。

　　较之《汽车数据安全管理若干规定（试行）》，《工业和信息化领域数据安全管理办法（试行）（征求意见稿》反而不够明晰。比如关于重要数据的定义。但对于汽车行业企业来说，未来需要同时遵守两个规定。合规工作需要先“合并同类项”，梳理法规，合并相同或类似义务。

　　在未来，《工业和信息化领域数据安全管理办法（试行）》会是《数据安全法》框架下中的重要一环，也是数据合规的工作的重要组成部分，值得所有数据处理者关注。