政策速递 | 工信部公开对《工业和信息化领域数据安全行政处罚裁量指引（试行）》征求意见

本次发布的《裁量指引》由正文及附件《工业和信息化领域数据安全行政处罚裁量基准裁量基准》（以下简称《裁量基准》）组成。其中，正文包括总则、管辖、数据安全行政处罚情形及附则，共五章二十六条；附件共十四条。主要内容如下：

《裁量指引》适用于在中华人民共和国境内开展的工业和信息化领域数据安全违法行为行政处罚裁量工作。

行政处罚裁量权，是指工业、电信、无线电行业监管部门在职责范围内对数据处理活动进行监管处罚时，根据行政处罚原则，在法律、行政法规等规定的行政处罚种类和幅度内，综合考量违法的事实、性质、手段、后果、情节和合规措施等因素，正确、适当地确定行政处罚的种类、幅度或者作出不予行政处罚决定的选择适用权限。

第一大类：以《数据安全法》为基准，提出不履行数据安全保护义务、向境外非法提供数据、不配合监管违法行为触发条件

（1）不履行数据安全保护义务的违法行为处罚条件

•未定期梳理数据，识别重要数据和核心数据并形成本单位具体目录；

•未建立数据全生命周期安全管理制度，未针对不同级别数据明确数据处理各环节的具体分级防护要求和操作规程；

•未根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业（领域）监管部门开展工作；

•未合理确定数据处理活动的操作权限，严格实施人员权限管理；

•未根据应对数据安全事件的需要，制定应急预案，并开展应急演练；

•未定期对从业人员开展数据安全教育和培训；

•未开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险；

•发现可能造成较大及以上数据安全事件的风险后，未按照风险信息报送与共享工作机制向所在地行业监管部门报告并及时处置；

•数据安全事件发生后，未按照应急预案开展应急处置；

•数据安全事件发生后，未按照规定向所在地行业监管部门报告；

•数据安全事件发生后，未按照规定及时告知用户，并提供减轻危害措施；

•未在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月；

•重要数据和核心数据处理者未建立覆盖本单位相关部门的数据安全工作体系，未明确数据安全负责人和管理机构，未建立常态化沟通与协作机制；

•重要数据和核心数据处理者未明确数据处理关键岗位和岗位职责，未要求关键岗位人员签署数据安全责任书；

•重要数据和核心数据处理者未建立数据内部登记、审批等工作机制，未对重要数据和核心数据的处理活动进行严格管理并留存记录；

•重要数据和核心数据处理者未按照有关规定做好重要数据和核心数据目录备案管理；

•涉及重要数据和核心数据的安全事件，未第一时间向所在地行业监管部门报告，事件处置完成后未在规定期限内形成总结报告，每年未向本地区行业监管部门报告数据安全事件处置情况；

•重要数据和核心数据处理者未按照规定对其数据处理活动每年至少开展一次风险评估，及时整改风险问题，并向有关主管部门报送风险评估报告；

•重要数据和核心数据处理者报送的风险评估报告未包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等；

•对于核心数据跨主体提供、转移、委托处理，未按照有关规定进行评估、保护、报批等；

•其他不履行数据安全保护义务的。

（2）向境外非法提供数据的违法行为触发条件

•工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储，或者因业务需要，确需向境外提供的，未按照有关规定进行数据出境安全评估；

•其他工业和信息化领域数据处理者，在中华人民共和国境内收集和产生的重要数据和核心数据，未按照法律、行政法规等要求在境内存储，或者确需向境外提供的，未依法依规进行数据出境安全评估；

•非经工业和信息化部批准，向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据；

•其他向境外非法提供数据的

（3）在各级行政处罚机关依法开展监督检查的过程中，不配合监管的违法行为触发条件

•在有关行政处罚机关开展数据安全监督检查过程中，未对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，未开放安全相关数据访问、提供必要技术支持的；

•拒绝提供有关材料、信息的，或提供虚假材料、信息的，或者隐匿、销毁、转移证据的；

•其他不履行配合数据安全监管义务的。

第二大类：综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素，对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。

此外，《裁量指引》还明确了行政处罚裁量权适用规则，包括明确行政处罚实施流程、依据和综合裁量原则；规定不予处罚、从轻或减轻处罚、从重处罚的适用情形；从处罚种类、幅度两方面明确不予处罚、减轻处罚、从轻处罚、从重处罚的具体内容。

《裁量指引》衔接和细化了《数据安全法》相关罚责规定，使行政处罚机关实施行政处罚有了具体依据。在监管形势不断趋严的情形下，企业务必做好数据安全合规工作，以避免因合规问题遭到行政处罚。

首先，《裁量指引》明确了不履行数据安全保护义务的违法行为处罚条件，主要涉及数据资产梳理、数据分类分级、数据安全管理制度、数据安全人员、数据安全教育培训、数据安全风险监测、数据安全事件风险信息报送等方面。同时针对重要数据和核心数据的处理者明确要建立数据安全工作体系，明确职责与分工，至少每年开展一次风险评估等。为避免因违反数据安全保护义务而触发行政处罚，企业应当严格履行数据安全保护义务。

针对上述合规要求，亿赛通凭借自身在数据安全领域多年的实践经验，构建了数据安全咨询服务体系，推出了基于用户业务需求的咨询规划、评估服务及运营服务等全流程服务。通过数据资产盘点、分类分级、组织建设、制度建设、人员能力培养、数据安全风险评估、数据安全检查、数据安全培训等服务项，可以帮助组织更好地应对数据安全建设和管理中的问题，全方位夯实数据安全保障能力，打造全面的数据安全管理运营体系。

其次，《裁量指引》明确了向境外非法提供数据的违法行为触发条件，涉及数据出境安全评估。

针对上述合规要求，亿赛通深入研究相关政策法规文件精神，能够为相关机构提供数据出境合规咨询服务，通过建立出境合规管理机制、数据出境业务分析、拟出境数据分类分级、数据出境安全合规评估、出境方数据安全能力论证、数据出境合规整改、境外方数据安全能力论证、编制数据出境安全合规评估报告、出境行为和风险持续监测九个步骤，帮助相关企业落实数据出境监管要求，掌控敏感数据流向，完善数据安全体系化能力，从而最终实现数据资产的放心流转，加强关联主体间的信息共享，保障出境业务的高效流通。