數安條例百問91、92、93、94：關于數據安全監管職責

對應條款

第五十五條國家網信部門負責統籌協調數據安全和相關監督管理工作。

公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

主管部門應當明確本行業、本領域數據安全保護工作機構和人員，編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。

主管部門應當定期組織開展本行業、本領域的數據安全風險評估，對數據處理者履行數據安全保護義務情況進行監督檢查，指導督促數據處理者及時對存在的風險隱患進行整改。

解讀

《數據安全法》第六條對數據安全規定了如下部門職責：

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。

國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。

《個人信息保護法》第六十條對個人信息保護規定了如下部門職責：

國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。

縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。

前兩款規定的部門統稱為履行個人信息保護職責的部門。

在部門職責這個問題上，《條例》顯然不能有發揮的余地，故其繼承了《數據安全法》的規定。但其本身同時規范個人信息保護和重要數據安全，這就引出了一個問題：《個人信息保護法》規定的職責與《條例》是什么關系？

在關于國家網信部門職責方面，《個人信息保護法》與《數據安全法》的表述是一致的；在關于數據安全監督管理部門職責方面，兩者的表述也是不矛盾的，《數據安全法》強調了公安機關、國家安全機關，但并沒有排除其他部門（如保密、密碼等部門），使用的是“等”，《個人信息保護法》則使用的是“國務院有關部門”；但《個人信息保護法》沒有強調行業主管部門，這是與《數據安全法》和《條例》不同的地方。

這個不同可以有兩種理解。一種理解是，《條例》對重要數據安全作了很多規定，其中一些涉及到向行業主管部門報告、由行業主管部門審批的事項，故有必要單獨強調行業主管部門，而個人信息保護則沒有這方面的考慮。另一種理解是，“國務院有關部門”已經包含了行業主管部門，因為行業主管部門本身也是國務院有關部門。

當然，數據安全監督管理事項本來就比較多，除公安機關、國家安全機關的打擊犯罪、防諜反諜等工作外，產業發展、出口管制、認證認可、審計、交易流通等均屬維護數據安全的重要方面。那么，有沒有必要對數據安全監督管理部門進行展開呢？即不僅僅像現在這樣僅列舉公安機關、國家安全機關。這種寫法也可以考慮，但目前《條例》還是與《數據安全法》在具體文字上保持了一致。

對應條款

第五十五條國家網信部門負責統籌協調數據安全和相關監督管理工作。

公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

主管部門應當明確本行業、本領域數據安全保護工作機構和人員，編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。

解讀

《條例》對行業主管部門的職責作了規定，即承擔本行業、本領域數據安全監管職責。這主要體現在兩個方面：

一是編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。這主要是對行業主管部門賦予了的頂層設計職責。

二是定期組織開展本行業、本領域的數據安全風險評估，對數據處理者履行數據安全保護義務情況進行監督檢查，指導督促數據處理者及時對存在的風險隱患進行整改。這主要是給予了行業主管部門監督管理抓手。

這樣的表述，既是與《數據安全法》一致，也與《網絡安全法》等上位法中規定網絡安全/數據安全監督管理職責的思路相吻合。例如，《網絡安全法》第八條中，對網絡安全監督管理職責的描述是：

國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。

上述規定中，突出了國務院電信主管部門、公安部門，而不是《數據安全法》規定的公安機關、國家安全機關。這沒有本質區別，因為這些法律使用的都是列舉式。

但《網絡安全法》第三十二條又規定，按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。這里的“負責關鍵信息基礎設施安全保護工作的部門”即為關鍵信息基礎設施所在的行業主管監管部門。

因此，理解網絡安全/數據安全監督管理職責的關鍵，是搞清法律確定這些監督管理職責時的邏輯。在數據安全監督管理中，各部門有各自的監督管理事項，其區分在于法定職責的不同，如打擊犯罪、防諜反諜、保密、密碼使用等分別由不同部門負責，這些職責均屬于網絡安全/數據安全工作的一個方面，這就是“在各自職責范圍內”的內涵所在。而在行業的數據安全監管中，行業主管部門依法對所在行業進行監督管理（每個行業主管部門都有相應的上位法，明確了對本行業監督管理的職責），網絡安全/數據安全監督管理是行業監督管理的組成部分。故本行業的數據安全以及關鍵信息基礎設施安全保護，總體上是由行業主管監管部門負責，這主要體現在對本行業網絡安全/數據安全工作的領導、規劃、指導、監督檢查等。只不過，到某個特定工作時（如打擊犯罪），則由該項工作的法定責任部門負責，這時候便與具體在哪個行業無關了。

對應條款

第五十五條國家網信部門負責統籌協調數據安全和相關監督管理工作。

公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

主管部門應當明確本行業、本領域數據安全保護工作機構和人員，編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。

解讀

《條例》第五十五條規定，主管部門應當明確本行業、本領域數據安全保護工作機構和人員，編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。這里的“主管部門”是行業主管部門，上述規定相當于確立了行業主管部門（含行業監管部門）對本行業數據安全的主管職責。為了體現這個職責，既要求主管部門定機構、定人員，也要求主管部門編制數據安全規劃。

為什么提出“編制數據安全規劃”的要求呢？這一邏輯來源于《網絡安全法》第三十二條的規定：按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。《關鍵信息基礎設施安全保護條例》第二十二條進一步指出，保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作任務、具體措施。

因此，《條例》的上述規定有著明確的導向：行業主管部門要制定本行業網絡安全/數據安全的頂層設計文件和具體落實方案，這統稱“安全規劃”。

需要指出三點：

一是，這個“安全規劃”不完全等同于人們熟悉的“五年規劃”。

二是，這個“安全規劃”要體現行業特點。國家層面對網絡安全/數據安全有要求，網絡安全/數據安全監督管理部門也在各自職責范圍內對特定工作事項有要求，但以上要求都還沒有深入行業，一般也不反映行業的特殊性。一般而言，只有由行業主管部門制定安全規劃，才能更好地對本行業、本領域網絡安全/數據安全工作作出科學系統安排。

三是，這個“安全規劃”是國際慣例。在美等國家的關鍵基礎設施安全保護實踐中，都在國家計劃之下，要求各行業分別制定各自的保護計劃。目前，美國各行業的關鍵基礎設施安全保護計劃多為2015年制定的版本，正在修訂之中。