國慶節前工信部發布了《工業和信息化領域數據安全管理辦法（試行） 》的征求意見稿（“管理辦法征求意見稿”），為國慶加餐。快速閱讀一遍，算是學習筆記：

　　上位法列明了《民法典》《數據安全法》《網絡安全法》，但沒有列明《個人信息保護法》。

　　適用范圍方面，管理辦法征求意見稿僅關注中國境內的數據處理活動，《數據安全法》中的域外效力在管理辦法征求意見稿中沒有體現。

　　工業數據和電信數據以后說不定可以被統稱為“工信數據”，這會是一個非常廣的概念，因為電信業務的概念非常廣（參見電信業務分類、經營性與非經營的互聯網信息業務范圍），定義里工業的概念也非常廣。

　　工業數據和電信數據用的定義方式不太一樣，工業數據是逐一列舉的方式，而電信數據是概況描述式的方式。

　　管理辦法征求意見稿對《數據安全法》里面的制度進行了細化，比如先分類后分級。類別包括：研發數據、生產運行數據、管理數據、運維數據、業務服務數據、個人信息等。

　　數據級別分為一般數據、重要數據和核心數據三級。如果某數據集中的多類數據無法精確區分級別，就按照最高級別保護。

　　一般數據、重要數據和核心數據的界定其實也是較為模糊，有賴實踐中提供更多信息。

　　工信數據處理者的義務會是企業關注的焦點。比如重要數據和核心數據的報送義務，工信部會設立相關平臺，地方通管局或經信委會對備案內容進行審核。

　　備案內容包括數據的數量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數據提供、公開、出境、承接，以及數據安全風險、事件處置等情況。

　　數據全生命周期安全管理的要求其實會深入到企業治理層面，避免企業從崗位設置、管理架構、決策流程等方面全面檢討。想要毫不費力，通過幾份文件就實現數據合規會越來越難。

　　黨委（黨組）或領導班子會是負責主體，企業負責人就是第一責任人，下設分管數據安全的負責人，該負責人也應當是領導層的一員。

　　很多企業的解決方案可能是讓CTO擔任數據安全負責人，但這樣的設置問題在于不符合信息安全管理中崗位分離的原則。CISO的地位可能需要提升。

　　《安全協議書》是法務需要為HR部門、IT部門、信息安全部門準備的一份法律文件，內部數據處理人員需要簽署該文件。

　　核實數據接收方的安全保護能力+數據安全協議+督促將成為數據提供、委托處理過程中不可獲取的環節。

　　安全評估將以自評和委托檢測機構評估兩種模式，不一定必須委托第三方完成。

　　較之《汽車數據安全管理若干規定（試行）》，《工業和信息化領域數據安全管理辦法（試行）（征求意見稿》反而不夠明晰。比如關于重要數據的定義。但對于汽車行業企業來說，未來需要同時遵守兩個規定。合規工作需要先“合并同類項”，梳理法規，合并相同或類似義務。

　　在未來，《工業和信息化領域數據安全管理辦法（試行）》會是《數據安全法》框架下中的重要一環，也是數據合規的工作的重要組成部分，值得所有數據處理者關注。