12月13日,工信部正式发布《工业和信息化领域数据安全管理办法(试行)》。《管理办法》提出,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工信部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
此外,《管理办法》明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。评估内容包括合规评估和风险研判:合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求,风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。
《管理办法》共八章四十二条,除总则、监督检查、法律责任和附则外,对数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理均进行详细要求。本办法将于2023年1月1日起施行。