《工業和信息化領域數據安全事件應急預案（試行）（征求意見稿）》發布

近日， 為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法（試行）》，推動工業和信息化領域數據安全應急處置工作制度化、規范化開展，工業和信息化部網絡安全管理局研究起草了《工業和信息化領域數據安全事件應急預案（試行）》，并向全社會發布征求意見稿。

主要內容

《應急預案》根據數據安全事件對國家安全、企業網絡設施和信息系統、生產運營、經濟運行等造成的影響范圍和危害程度，將數據安全事件分為特別重大、重大、較大和一般四個級別。《應急預案》提出，數據安全事件應急工作應當堅持統一領導、分級負責。堅持統一指揮、密切協同、快速反應、科學處置。堅持“誰管業務、誰管業務數據、誰管數據安全”，落實數據處理者的數據安全主體責任。

《應急預案》共八章三十九條，主要內容包括：

（一）關于總則（第 1.1 至 1.6 節）。一是明確編制目的、 依據和適用范圍。二是明確事件定義和分級方法。三是提出 應急處置工作應當堅持統一領導、分級負責等原則。

（二）關于組織體系（第 2.1 至 2.4 節）。明確工業和信 息化部、地方行業主管部門、數據處理者、應急支撐機構以 及專家組的工作職責，建立統一指揮、協同配合工作機制。

（三）關于監測與預警（第 3.1 至 3.5 節）。一是建立數 據安全風險監測發現、研判分析以及報告機制。二是按照緊 急程度、發展態勢、數據規模、關聯影響和現實危害等，明 確數據安全風險預警等級。三是規定預警信息發布、響應以 及解除等方面具體措施要求。

（四）關于事件應急響處置（第 4.1 至 5.2 節）。一是事 前建立數據安全事件監測和報告機制，明確數據處理者應急 處置要求。二是事中按照事件級別和響應等級，明確數據安 全事件應急處置采取的措施和具體要求。三是事后加強總 結，明確涉事數據處理者應當評估形成總結報告。

（五）關于預防措施（第 6.1 至 6.5 節）。一是提出預防 保護、應急演練、宣傳培訓、手段建設等措施，提升日常數 據安全意識和防護、應對能力。二是明確要加強國家重大活 動期間數據安全風險監測、威脅研判和事件處置，強化風險 防范與應對措施。

（六）關于保障措施（第 7.1 至 7.7 節）。提出落實責任、獎懲問責、經費保障、隊伍建設、工作協同、物資保障、國際合作等有關保障措施要求，提升工業和信息化領域數據安全事件綜合應對能力。

外媒報道

據路透社12月15日報道，中國有關部門15日發布了一個包含“四級分類”的應急預案(征求意見稿)，以應對數據安全事件。此舉凸顯了中國政府對境內大規模數據泄露和黑客攻擊的擔憂。

在該草案出臺之際，中國與美國及其盟友的地緣政治緊張局勢不斷加劇。中國工信部公開征求對《工業和信息化領域數據安全事件應急預案(試行)(征求意見稿)》的意見。該案根據數據安全事件對國家安全、企業網絡設施和信息系統、生產運營、經濟運行等造成的影響范圍和危害程度，將數據安全事件分為特別重大、重大、較大和一般四個級別。

根據該案，數據遭到篡改、破壞、泄露或者非法獲取、非法利用，造成特別重大經濟損失，損失10億元人民幣(含)以上的情形；發生特別嚴重個人信息安全事件，涉及1億人(含)以上個人信息或者1000萬人(含)以上敏感個人信息的情形，均為特別重大數據安全事件，應發布紅色預警。

此外，工業和信息化領域數據處理者一旦發生數據安全事件，應當立即先行判斷，對自判為較大以上事件的，應當立即向地方行業監管部門報告，不得遲報、謊報、瞞報、漏報。

原文鏈接

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html