工信部就数据安全行政处罚征求意见，合规落地实现有据、有度

11月23日，工信部官网发布信息，为贯彻落实《数据安全法》、《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全行政处罚裁量指引（试行）》（以下简称：《裁量指引》），现向社会公开征求意见。

《管子· 明法》曾说过，“有法度之制者，不可巧以诈伪，有权衡之称者，不可欺以轻重。” 《说文解字》曰，“规，有法度也。”可见，法和度是不可分离的，执法需要有力度，更需要遵循尺度。

奇安信集团副总裁、数据安全首席科学家刘前伟认为，《裁量指引》征求意见稿的出台，一是为数据处理者明确了数据安全保护义务，并提供了安全合规建设的落地指引；二是细化处罚裁量基准和裁量尺度，使得监管部门执法有法可依、有章可循、有据有度。

更具体而言，《裁量指引》有以下亮点值得关注：

首先是明确和细分了三大类、20多种处罚情形。

《裁量指引》在内容上，指出了三大类数据安全行政处罚情形，数十小类细分情形。三大类情形包括不履行数据安全保护义务、向境外非法提供数据、不配合监管等。其中，不履行数据安全保护义务包含了20余种细分情形，向境外非法提供数据包括4种细分情形，不配合监管也包括4种细分情况，基本涵盖了数据安全违规违法的各种细分场景。

其次是明确和细化了处罚裁量基准，并统一了相关的裁量尺度。

《裁量指引》还明确了后果轻重情节的相关指标，包括数据指标、经济损失、影响范围等。

例如“第十三条”指出，1000 万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短，或直接经济损失在1000 万元以内的，属于“后果较轻情节”。超过1000 万条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或者涉及重要数据、核心数据的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过1000 万元且在5000 万元以内的；影响范围较大，涉及多个企业，或涉及跨地区的；其他对行业发展、社会稳定和国家安全造成较重后果的，属于“后果较重情节”。如果被篡改、破坏和泄露数据量超过1亿，经济损失超过5000万，就属于“后果严重情节”。

同时，结合违法行为和造成危害后果的不同程度，以及对执法的配合程度，《裁量指引》设定了不予行政处罚、减轻行政处罚、从轻行政处罚和从重行政处罚四种不同情形，进一步明确了行政处罚裁量基准。

最后是完善裁量细则，推动合规监管走向实质性落地。

过去几年，我国陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》（简称“三大上位法”）等法律法规，初步搭建起数字经济安全制度的基本框架体系。但细化到各个行业部门、细分领域，目前还存在缺乏落实法律规章所需要的配套细则、落地执行要求的现象。

而《裁量指引》征求意见稿的发布，细化了行政处罚裁量基准和尺度，为数据合规与数据安全保护义务、数据安全监管的落地执行，明确了相关要求和落地指引，使得工业和信息化领域的数据安全行政处罚工作更加明确规范，势必将对数据安全合规的加速落地，起到实质性推动作用。

2023年以来，从国家网信办3月发布的《网信部门行政执法程序规定》，到7月央行发布的《中国人民银行业务领域数据安全管理办法（征求意见稿），再到还是近期工信部发布的《裁量指引》），都标志着数据安全监管的常态化时代已经来临。可以预见，随着法律体系细则的不断完善和补齐，数据安全合规也将加速全面性、实质性的落地。

面对不断趋严的监管形势，企业务必在网络安全、数据安全和个人信息保护等问题上做好安全合规工作，以避免重蹈滴滴、知网等被高额处罚等类似事件的覆辙。