政策法規篇

第三章　2023年中國網絡安全重要政策文件

第一節　《工業和信息化部等十六部門關于促進數據安全產業發展的指導意見》

一、出臺背景

數據是經濟發展的重要生產要素和核心引擎，數據安全已成為中國總體國家安全觀的重要組成部分。發展數據安全產業對于提高各行業各領域數據安全保障能力，加速數據要素市場培育和價值釋放，夯實數字中國建設和數字經濟發展基礎有著重要意義。為指導產業各方主體積極、有序開展數據安全產業相關工作，共同推動數據安全產業高質量發展，工業和信息化部等十六個部門聯合出臺《工業和信息化部等十六部門關于促進數據安全產業發展的指導意見》（以下簡稱《意見》）。

二、主要內容

《意見》聚焦數據安全保護及相關數據資源開發利用需求，提出促進數據安全產業發展的總體要求，并按2025年、2035年兩個階段提出產業發展目標。具體而言，《意見》分兩個層面明確促進數據安全產業發展的七項重點任務：一個層面是圍繞產業本身要做什么，明確了提升產業創新能力、壯大數據安全服務、推進標準體系建設和推廣技術產品應用四項重點任務，指出加強核心技術攻關，構建數據安全產品體系，布局新興領域融合創新，推進規劃咨詢與建設運維服務，積極發展檢測、評估、認證服務，加強數據安全產業重點標準供給，提升關鍵環節、重點領域應用水平，加強應用試點和示范推廣等具體工作方向；另一個層面是圍繞以什么為抓手，明確了構建產業繁榮生態、強化人才供給保障和深化國際合作交流三項重點任務，將推動產業集聚發展，打造融通發展的企業體系，強化基礎設施建設，加強人才隊伍建設，推進國際產業交流合作等實際思路予以闡明。《意見》還提出加強組織協調、加大政策支撐和優化產業發展環境三方面落地保障措施，切實推動產業健康發展。

（一）推動數據安全技術、產品和服務創新

一是技術創新，支持科研機構、高等院校、企業等主體共建高水平的重點實驗室、研發機構、協同創新中心等，圍繞新計算模式、新網絡架構和新應用場景，加強數據安全基礎理論研究，攻關突破數據安全基礎共性技術、關鍵核心技術、前沿革新技術。二是產品創新，鼓勵數據安全企業緊密圍繞產業數字化和數字產業化過程的數據安全保護需求，優化升級傳統數據安全產品，創新研發新興融合領域專用數據安全產品；面向重點行業領域特色需求、中小企業個性化需求，以及數據開放共享、數據交易等開發利用場景，加快適用產品研發；加強數據安全產品與基礎軟硬件的適配發展，增強數據安全內生能力。三是服務創新，鼓勵數據安全企業、第三方服務機構由提供技術產品向提供服務和解決方案轉變，發展壯大數據安全規劃咨詢、建設運維、檢測評估與認證、權益保護、違約鑒定等服務，推進數據安全服務云化、一體化、定制化等服務模式創新。

（二）調動數據安全產業區域發展積極性

一是鼓勵地方立足數據安全法律政策及本地區產業基礎、發展基礎等因素，規劃建設國家數據安全產業園，并通過財政、金融、稅收等政策工具，吸引企業、技術、資本、人才等加快向園區集中。二是支持地方結合發展需要，建設數據安全創新應用先進示范區，集中示范應用并推廣技術先進、特點突出、應用成效顯著的數據安全技術產品和典型案例，推動先進適用技術產品在各行業領域的應用推廣。三是鼓勵地方結合產業基礎和優勢，圍繞關鍵技術產品和重點領域應用，打造龍頭企業引領、具有綜合競爭力的高端化、特色化數據安全產業集群，并加大跨區域產業合作。

（三）開展數據安全產業主體培育

一是鼓勵在核心技術研發、關鍵產品供給、產業鏈影響力等方面具有“頭雁”效應的大型數據安全企業，向產業龍頭骨干企業發展；引導中小微企業走專精特新發展道路，不斷增強內生動力；支持單項產品市場占有率較高的企業逐步發展壯大成為單項冠軍企業。二是組織融資路演活動，解決企業融資需求，并支持符合條件的數據安全企業享受軟件和集成電路企業、高新技術企業等優惠政策。三是鼓勵龍頭骨干企業發揮引領作用，帶動中小微企業補齊短板、壯大規模、創新模式，形成創新鏈、產業鏈優勢互補，資金鏈、人才鏈資源共享的合作共贏關系。

（四）滿足數據安全保護需求

一是積極拓展產業合作渠道，建設數據安全產業公共服務平臺，組織數據安全產業會議、展覽、賽事、學術研討、產業沙龍等活動，促進數據安全企業與數據處理者強化交流合作，推動供需精準對接和產業信息共享。二是支持數據安全企業深度分析工業、電信、交通、金融、衛生健康、知識產權等領域數據處理者的合規需求和保護需求，梳理典型應用場景，發展、提升相關產品和服務的功能性能，特別是面向重點行業領域、新型應用場景及中小企業特色需求，開發適用產品或解決方案。三是引導數據處理者圍繞落實《中華人民共和國數據安全法》和行業數據安全管理要求，梳理自身數據安全保護需求，科學合理制定數據安全保護規劃，持續強化數據安全保護能力；同時，與數據安全企業加強互動反饋，以數據安全最新需求牽引技術產品和服務的迭代升級。四是鼓勵各地區規劃建設數據安全創新應用先進示范區，組織本地區相關單位和企業部署應用數據安全保護產品，對特點鮮明、成效顯著的產品和解決方案予以推廣，形成示范效應。

（五）推動數據安全產業生態培育

一是加快推動國家數據安全產業園區、數據安全創新應用先進示范區、數據安全重點實驗室等創新載體規劃建設，促進形成產業發展集聚效應，并加快數據安全產業公共服務平臺等基礎設施建設。二是構建融通發展企業體系，共同打造完整、協同、穩定的數據安全產業鏈，并鼓勵企業在技術創新、產品研發、應用推廣、高端人才等方面深化交流合作，促進形成創新鏈、產業鏈優勢互補，資金鏈、人才鏈資源共享的合作共贏關系。三是持續優化產業生態環境，強化數據安全配套政策支持與引導，加快數據安全產業標準體系建設，推動產業科技成果轉移轉化，并發展數據安全保險等配套服務，加強數據安全產業政策國際交流與合作。

三、簡要評析

《意見》作為數據安全產業頂層政策文件，貫徹《中華人民共和國數據安全法》和部署國家數據安全工作協調機制，堅持統籌發展和安全，構建數據安全產業頂層制度，為產業發展創造良好的政策環境，鼓勵各方加大投入，共同做大做強數據安全產業。《意見》明確了數據安全產業發展任務，聚焦數據安全保護和開發利用兩類需求，多維度、分層次明確產業發展主要任務，從供給側為保障國家數據安全提供技術、產品和服務支撐。《意見》有利于營造數據安全產業發展生態，提出的加強標準體系建設、專業人才培養等工作對于營造良好發展環境、保障產業健康持續發展具有重要意義。

第二節　《工業和信息化部關于進一步提升移動互聯網應用服務能力的通知》

一、出臺背景

近年來，中國移動互聯網蓬勃發展，各類應用服務日益豐富，小程序、快應用等創新形態不斷出現，在推動經濟社會發展、服務群眾生活方面發揮了重要作用。移動互聯網應用服務水平已經成為當前人民群眾最關心、最直接、最現實的利益問題之一。為此，工業和信息化部大力推動提升移動互聯網應用服務質量，切實維護用戶合法權益，但部分企業服務行為不規范、相關環節責任落實不到位等問題仍時有發生。對此，工業和信息化部依據《中華人民共和國個人信息保護法》《中華人民共和國電信條例》《規范互聯網信息服務市場秩序若干規定》《電信和互聯網用戶個人信息保護規定》等相關法律法規發布了《工業和信息化部關于進一步提升移動互聯網應用服務能力的通知》（以下簡稱《通知》），以優化服務供給，改善用戶體驗，維護良好的信息消費環境，促進行業高質量發展。

二、主要內容

《通知》緊扣“全流程、全鏈條”治理思路，圍繞應用服務安裝、使用、卸載的全流程，系統梳理影響用戶感知的環節，提出優化改善的措施；圍繞移動互聯網行業上下游全鏈條各主體，提出強化管理要求，著力提升體系化服務能力。具體而言，《通知》圍繞提升用戶服務感知、提升行業管理能力提出26條措施：聚焦App安裝卸載、服務體驗、個人信息保護、訴求響應等，針對性提出改善用戶服務感知的12條措施；從行業協同規范發展、上下游聯防共治的角度出發，抓住當前移動互聯網服務的5類關鍵主體，即App開發運營者、分發平臺、軟件開發工具包（以下簡稱SDK）、終端和接入企業，提出14條措施。

（一）提升用戶服務感知

一是規范安裝卸載。《通知》要求確保知情同意安裝，真實、準確、完整地向用戶明示相關必要信息，并經用戶確認同意后方可下載安裝；規范網頁推薦下載行為，保障用戶正常瀏覽頁面信息；實現便捷卸載。除相關規定中明確的基本功能軟件外，App應當便捷卸載。二是優化服務體驗。《通知》要求對于開屏和彈窗信息窗口難以關閉、“搖一搖”亂跳轉等問題予以規范；提前告知服務事項，明示產品功能權益及資費等內容，特別是存在開通會員、收費等附加條件的應顯著提示；應當合理啟動運行場景，明確在非服務所必需或無合理場景下，不得進行自啟動、關聯啟動，或者喚醒、調用、更新等行為；及時提醒服務續期，在自動續訂、自動續費前5日以短信、消息推送等顯著方式提醒用戶，并提供便捷的退訂和取消途徑。三是加強個人信息保護。《通知》聚焦超范圍收集使用個人信息、規則告知不充分、過度索取權限等群眾反映突出的問題，提出堅持合法正當必要原則，明確不得強制要求用戶同意超范圍或者與服務場景無關的個人信息處理行為；明示個人信息處理規則，通過簡潔、清晰、易懂的方式告知用戶個人信息處理規則，發生變動的應當及時告知，突出顯示敏感個人信息的處理目的、方式和范圍，建立已收集個人信息清單；合理申請使用權限，在業務功能啟動時，動態申請所需權限應同步告知用戶申請該權限的目的。四是響應用戶訴求。從設立客服熱線、妥善處理用戶投訴兩個方面提出要求，明確熱線響應能力和投訴處理時限等，推動企業暢通問題反饋渠道，根據用戶訴求改進服務。

（二）提升行業管理能力

《通知》根據服務形態、業務場景、功能特點重點針對5類主體提出了具體規范要求：App開發運營者落實主體責任，分發平臺強化分發管理，SDK規范應用服務，智能終端筑牢安全防線，接入企業夯實信息登記和處置責任。其中，App開發運營者應當完善內部管理機制、增強技術保障能力、加強SDK使用管理。分發平臺要保證事前嚴格App上架審核、事中強化在架App巡查、事后完善分發管理機制，落實好“守門人”責任。SDK要做到建立信息公示機制、優化功能配置、加強服務協同。智能終端要強化運行管理能力、記錄提醒能力、風險預警能力。由此，通過聯防共治，共同提高行業整體管理水平。

（三）推動提升要求落實

為確保推動行業落實《通知》有關要求，進一步提升服務能力，為群眾提供高質量的移動互聯網應用服務，《通知》提出以下要求。一是抓好組織落實。提高政治站位，強化責任擔當，細化分解任務，抓好組織實施，組織相關企業開展自查自糾，健全長效機制，創新模式方法，確保取得實效。二是加強指導監督。健全完善測評、通報、排名、公示機制，推動工作扎實有序開展，及時總結、推廣優秀案例和經驗做法。加強監督檢查，指導督促企業落實各項要求。對落實不到位或出現違規行為的企業，依法采取相應處置措施。三是強化技術手段。組織產業力量，升級打造公共服務平臺，做好技術檢測、監測服務和監管支撐工作。四是推動行業自律。鼓勵行業協會及相關機構制定行業自律公約、技術標準、服務規范，加強評估認證和人才培養。五是進一步暢通渠道傾聽群眾意見，促進交流互動，努力營造爭先創優、互促共進的良好環境，以高質量服務促進高質量發展。

三、簡要評析

《通知》堅持問題導向，聚焦行業發展出現的新問題、人民群眾愁盼解決的急問題，提出了體系化治理新思路，著力構建“全流程、全鏈條”綜合治理體系，在供給側推動提升行業上下游服務能力，在需求側著力解決影響用戶服務感知的問題，推動行業治理走深走實，踐行發展為了人民、發展依靠人民、發展成果由人民共享的重要理念。《通知》在現有促進產業健康發展和強化監管相關制度的基礎上，進一步完善可操作性實施細則，確保《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律要求在信息通信行業領域落實落細，推動相關主體不斷完善內部管理、提升依法合規經營意識和能力，共同營造良好的信息消費環境。

第三節　《工業和信息化部　國家金融監督管理總局關于促進網絡安全保險規范健康發展的意見》

一、出臺背景

隨著中國數字經濟的快速發展，網絡安全基礎性、保障性作用增強。網絡安全保險作為承保網絡安全風險的新險種、網絡安全服務的新模式，日益成為轉移、防范網絡安全風險的重要工具，在行業企業提升網絡安全風險應對能力、促進中小企業數字化轉型發展、推進構建網絡安全社會化服務體系、促進網絡安全產業高質量發展、助力制造強國和網絡強國建設等方面發揮著重要作用。為深入貫徹《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等相關法律法規，加快推動網絡安全產業和金融服務融合創新，引導網絡安全保險健康有序發展，培育網絡安全保險新業態，工業和信息化部與國家金融監督管理總局于2023年7月聯合印發《工業和信息化部　國家金融監督管理總局關于促進網絡安全保險規范健康發展的意見》（以下簡稱《意見》）。

二、主要內容

（一）推動網絡安全保險產品服務創新

《意見》指導和鼓勵各方主體積極推進網絡安全保險產品和服務創新，推動中國網絡安全保險規模發展，促進網絡安全產業高質量發展。產品創新方面，《意見》鼓勵保險機構面向不同行業場景的差異化網絡安全風險管理需求，開發多元化網絡安全保險產品。一是面向重點行業企業開發網絡安全財產損失險、責任險和綜合險等，提升企業網絡安全風險應對能力。二是面向信息技術產品開發產品責任險，面向網絡安全產品開發網絡安全專門保險，為信息網絡技術產品提供保險保障。三是面向網絡安全服務開發職業責任險等產品，轉移專業技術人員在安全服務過程中因人為操作可能引發的安全風險。服務創新方面，《意見》鼓勵網絡安全保險服務機構協同合作，探索構建以網絡安全保險為核心的全流程網絡安全風險管理解決方案。一方面，充分發揮保險機構專業優勢，聯合網絡安全企業、基礎電信運營商等加快保險與網絡安全服務融合創新；另一方面，充分發揮網絡安全企業、專業網絡安全測評機構技術優勢，聯合保險公司提升網絡安全保險服務能力。

（二）強化網絡安全技術對保險的賦能作用

《意見》聚焦網絡安全風險量化評估和網絡安全風險監測兩方面強化網絡安全技術賦能保險發展。一是開展網絡安全風險量化評估。《意見》要求加強電信和互聯網、工業互聯網、車聯網、物聯網等網絡安全風險研究；探索建立網絡安全風險量化評估模型，加強網絡安全風險影響規模預測、經濟損失等分析；支持研發網絡安全風險量化評估技術，開發輕量化網絡安全風險量化評估工具；鼓勵建立網絡安全風險理賠數據庫，支撐網絡安全風險精準定價。二是加強網絡安全風險監測能力。《意見》明確開展網絡安全保險全生命周期風險監測，覆蓋事前、事中、事后等重要環節；要求充分利用網絡安全風險監測技術手段，針對網絡安全漏洞、惡意網絡資源、網絡安全事件等開展網絡安全威脅實時監測，及時發現網絡安全風險隱患，提升網絡安全風險監測預警、應急處置等能力。

（三）促進網絡安全保險服務應用

《意見》基于多重維度支持網絡安全保險服務應用推廣，推動網絡安全產業需求釋放。一是推動重點行業領域先行先試。面向電信和互聯網、能源、金融、醫療衛生等重點行業，以及工業互聯網、車聯網、物聯網等新興融合領域，開展網絡安全保險服務試點。充分發揮網絡安全產業、網絡安全保險相關聯盟協會等作用，形成可復制、可推廣的網絡安全保險服務模式。二是鼓勵重點行業完善風險管理機制。推動制造業、能源、金融、交通、水利、教育等重點行業企業積極利用網絡安全保險工具，完善網絡安全風險管理機制，提升網絡基礎設施、重要信息系統和數據的安全防護能力。三是推動中小企業網絡安全防護能力提升。支持中小企業積極參與網絡安全保險，有效監控網絡安全風險敞口，建立健全網絡安全風險管理體系，不斷提升網絡安全風險應對能力。

（四）培育網絡安全保險發展生態

《意見》聚焦優質企業培育和加強宣傳推廣兩方面培育網絡安全保險生態。一是培育優質網絡安全保險企業。通過網絡安全保險優秀案例征集、網絡安全保險應用示范等活動，培育一批專業能力突出的保險機構，發展一批技術支撐能力領先的網絡安全企業、專業網絡安全測評機構等，建設一批網絡安全保險創新聯合體。二是宣傳推廣網絡安全保險服務。充分發揮相關行業聯盟協會、重點企業帶動作用，整合資源優勢，促進網絡安全產業和金融服務要素流動。開展網絡安全保險教育培訓，引導加強從業人員自律，規范網絡安全保險推廣應用。通過網絡和數據安全產業高峰論壇、網絡安全技術應用試點示范等活動，宣傳普及網絡安全保險。舉辦網絡安全保險主題活動，加強經驗總結和交流推廣，營造促進網絡安全保險規范健康發展的濃厚氛圍。

三、簡要評析

《意見》作為中國網絡安全保險領域的首份政策文件，立足我國網絡安全保險發展現狀和亟待解決的問題，以促進網絡安全保險規范健康發展為目標，聚焦提升行業認知、完善行業規范，豐富網絡安全保險產品類型、創新保險服務模式，提升風險量化評估能力、加強全生命周期風險監測，推進網絡安全保險落地應用、促進企業網絡安全能力提升，培育網絡安全保險優質企業、加強網絡安全保險推廣等要點提出意見，重點回答了網絡安全保險“是什么”和“怎么做”的問題，對于促進網絡安全保險行業健康、有序、規范發展具有重大意義。

第四節　《工業和信息化領域數據安全風險評估實施細則（試行）（征求意見稿）》

一、出臺背景

數據安全風險評估是做好重要數據和核心數據監管與保護工作的重要一環。《中華人民共和國數據安全法》（以下簡稱《數據安全法》）要求“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估”。《工業和信息化領域數據安全管理辦法（試行）》提出了“工業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構，每年對其數據處理活動至少開展一次風險評估，及時整改風險問題，并向本地區行業監管部門報送風險評估報告”的具體細化要求。為貫徹落實《數據安全法》和《工業和信息化領域數據安全管理辦法（試行）》關于數據安全風險評估的相關要求，進一步細化行業數據安全風險評估規則，規范風險評估活動，有效提升重要數據和核心數據保護水平，工業和信息化部起草《工業和信息化領域數據安全風險評估實施細則（試行）（征求意見稿）》（以下簡稱《細則》），并于2023年10月向社會公開征求意見。

二、主要內容

《細則》確定了部省兩級數據安全風險評估工作體系，細化了重要數據和核心數據處理者的評估義務，明確了行業主管部門監督管理評估活動的機制流程。其主要內容包括：

適用范圍及管理職責。《細則》適用于工業和信息化領域重要數據、核心數據處理者對其數據處理活動的安全風險評估，明確了工業和信息化部、地方行業監管部門的職責分工，并確立了風險評估工作原則。

評估對象和內容。《細則》明確了評估對象為數據處理活動中涉及的目的和場景、管理體系、人員能力、技術工具、風險來源、安全影響等要素，并按照以上要素細化了具體評估內容。

評估機制要求。《細則》詳細描述了評估期限、重新申報評估的情形、可采取的評估方式，并對委托評估、評估協作、風險控制和評估報告報送等作出具體要求。

審核、監督和管理。《細則》明確了評估報告審核、評估機構認定、評估機構義務、監督檢查、機構監管等要求，并提出建立支撐行業監管工作的第三方評估機構庫。

保密義務與特殊要求。《細則》明確了行業監管部門及委托支撐機構的工作人員的保密義務，提出涉及軍事信息、國家秘密信息等數據處理活動參照有關規定執行。

三、簡要評析

《細則》的出臺對于提升中國工業和信息化領域的數據安全評估能力具有重要意義。一方面，《細則》細化了數據安全風險評估的具體要求，為數據處理者提供了明確的操作指南，有助于推動數據安全風險評估工作的規范化、標準化；另一方面，《細則》明確了監管部門的職責分工，加大了監管力度，有助于形成有效的監管機制，確保數據安全風險評估工作的落實。數據安全評估能力的提升對于保障整體數據安全、維護國家安全和發展利益具有深遠意義，為中國工業和信息化領域的數據安全再添一層堅實保障。

第五節　《工業和信息化領域數據安全行政處罰裁量指引（試行）（征求意見稿）》

一、出臺背景

數據安全行政處罰是督促數據處理者依法依規落實數據安全保護責任義務、強化數據安全監管的重要手段。《中華人民共和國數據安全法》（以下簡稱《數據安全法》）專章明確法律責任，對數據處理者的違法行為提出系列處罰措施。為貫徹落實《數據安全法》，進一步銜接細化《數據安全法》相關罰則規定，構建行業數據安全行政處罰職權體系，統一數據安全行政處罰尺度，推動工業和信息化領域數據安全行政處罰工作制度化、規范化開展，指導行業監管部門在開展數據安全行政處罰工作時統一裁量尺度，合法、適當地行使行政處罰自由裁量權，有效提升數據安全監管執法能力，工業和信息化部起草《工業和信息化領域數據安全行政處罰裁量指引（試行）（征求意見稿）》（以下簡稱《指引》），并于2023年11月向社會公開征求意見。

二、主要內容

首先，《指引》明確了行政處罰裁量權概念以及工業和信息化領域各級行政處罰機關職責，強調了行政裁量權基準制定和管理過程需堅持依法行政、責罰相當、處罰與教育相結合等工作原則。

其次，《指引》介紹了行政裁量管轄相關規定。一是明確管轄監督、屬地管轄、移送管轄、交叉管轄等不同層級的管轄爭議解決方式；二是明確住所地、網絡接入地等數據安全違法行為發生地范疇；三是明確一事不再罰等要求。

再次，《指引》說明了行政處罰相關情形。一是以《數據安全法》為基準，提出不履行數據安全保護義務、向境外非法提供數據、不配合監管三類違法行為觸發條件；二是綜合涉及數據級別和數量、公共利益損害時間、直接經濟損失、影響范圍等因素，將數據安全違法行為的危害程度劃分為“較輕”“較重”“嚴重”等情節。

復次，《指引》解釋了行政處罰裁量權適用規則。一是明確行政處罰實施流程、依據和綜合裁量原則；二是規定不予處罰、從輕或減輕處罰、從重處罰的適用情形；三是從處罰種類、幅度兩方面明確不予處罰、減輕處罰、從輕處罰、從重處罰的具體內容。

最后，《指引》通過附件的形式詳細展示了行政處罰裁量基準。其中：一是明確不予處罰、從輕處罰、減輕處罰、從重處罰等裁量階次；二是綜合考慮危害程度等因素，細化各項行政處罰的適用條件；三是細化處罰標準，提出給予違法主體罰款數額等差異化處罰幅度裁量參考。

三、簡要評析

《指引》的出臺是工業和信息化領域數據安全監管的一項重要舉措，對于提升行業數據安全監管工作效率和公平性具有重要意義。《指引》填補了制度空白，健全了工信領域數據安全管理中對于法律責任和追究機制的規定，使得數據安全行政處罰工作有據可依、有章可循。同時，《指引》細化了行政處罰裁量基準和統一裁量尺度，有助于減少執法過程中的隨意性和不確定性，提高行政處罰的公正性和透明度。此外，《指引》的實施有助于推動企業更好地識別和厘清數據安全監管責任和風險，從而有的放矢地開展數據合規工作，既能夠促進企業合規經營，也對維護市場正常秩序有所裨益。

第六節　《工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）》

一、出臺背景

數據安全應急處置是做好數據安全監管和保護工作的重要一環。《數據安全法》明確“國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息”。《工業和信息化領域數據安全管理辦法（試行）》提出“工業和信息化部制定工業和信息化領域數據安全事件應急預案，組織協調重要數據和核心數據安全事件應急處置工作”。為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》等法律政策的要求，進一步細化行業數據安全事件應急處置流程、機制和要求，推動工業和信息化領域數據安全事件應急處置工作規范化、制度化開展，有效提升數據安全事件應急處置水平，工業和信息化部起草《工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）》（以下簡稱《預案》），并于2023年12月向社會公開征求意見。

二、主要內容

《預案》明確了數據安全事件定義和分級方法，根據數據安全事件對國家安全、企業網絡設施和信息系統、生產運營、經濟運行等造成的影響范圍和危害程度，將數據安全事件分為特別重大、重大、較大和一般四個級別。《預案》提出應急處置工作應當堅持統一領導、分級負責等原則，充分發揮各方面力量，共同做好數據安全事件應急處置工作。

組織體系。《預案》明確了工業和信息化部、地方行業主管部門、數據處理者、應急支撐機構以及專家組的工作職責，建立統一指揮、協同配合工作機制。

監測預警。《預案》建立了數據安全風險監測發現、研判分析及報告機制；按照緊急程度、發展態勢、數據規模、關聯影響和現實危害等，明確了數據安全風險預警等級；規定了預警信息發布、響應及解除等方面的具體措施要求。

事件應急處置。《預案》建立了數據安全事件事前監測和報告機制，明確了數據處理者應急處置要求；事中按照事件級別和響應等級，明確了數據安全事件應急處置采取的措施和具體要求；事后加強總結，明確了涉事數據處理者應當評估并形成總結報告。

預防措施。《預案》提出預防保護、應急演練、宣傳培訓、手段建設等措施，提升日常數據安全意識和防護、應對能力；明確了要加強國家重大活動期間數據安全風險監測、威脅研判和事件處置，強化風險防范與應對措施。

保障措施。《預案》提出落實責任、獎懲問責、經費保障、隊伍建設、工作協同、物資保障、國際合作等有關保障措施要求，提升工業和信息化領域數據安全事件綜合應對能力。

三、簡要評析

《預案》的出臺旨在提高工業和信息化領域應對數據安全事件的能力，確保在數據安全事件發生時，能夠迅速、有效地進行響應和處置，最大限度地保護數據安全，維護國家利益、公共利益和個人合法權益。《預案》全面系統、可操作性強，其出臺為工業和信息化領域數據安全事件的應對提供了有力的制度保障和操作指南。