根据《工业和信息化部全面推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求,结合有关法律法规依据的制修订情况及行政执法工作实际,编制了《工业和信息化部行政执法事项清单(2022年版)》,现对外公布。《22版清单》依据《数据安全法》《数据出境安全评估办法》等规范,新增15项数据安全相关行政执法事项,并依据《关于加强车联网网络安全和数据安全的通知》明确车联网相关网络安全行政执法事项。其中关于数据安全相关条例共15条,具体如下:
1、对工业和信息化领域数据处理者落实数据安全保护责任义务及管理措施落实的监督检查;解读:将会对相关组织进行开展数据安全保护工作的实际情况进行审查,并会具体到实际的落实情况;2、对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,建立健全全流程数据安全管理制度的行政处罚;解读:对数据处理活动的相关组织单位,需要建设数据安全管理制度,未进行相关建设的将会进行处罚。3、对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,组织开展数据安全教育培训的行政处罚;解读:需要组织单位开展数据安全培训教育,进行相关的数据安全意识培训等工作。4、对工业和信息化领域数据处理者开展数据处理活动未依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全的行政处罚;解读:数据处理者相关的组织在技术层面需要进行相关的数据安全防护,保证数据安全,主要的法规有《数据安全法》、《网络安全法》、《个人信息保护法》等;5、对工业和信息化领域数据处理者利用互联网等信息网络开展数据处理活动,未在网络安全等级保护制度的基础上,履行第二十七条数据安全保护义务的行政处罚;解读:经过等保测评后,需要履行第二十七条规定,不得非法从事入侵他人网络等,不得窃取网络数据等相关规定,实际上需要进行网络数据的安全防护;6、对工业和信息化领域重要数据的数据处理者,未明确数据安全负责人和管理机构,落实数据安全保护责任的行政处罚;解读:组织需要明确数据处理的责任人,设立数据处理的相关管理组织;7、对工业和信息化领域数据处理者开展数据处理活动,未加强风险监测,发现数据安全缺陷、漏洞等风险时,未立即采取补救措施的行政处罚;解读:组织需要进行数据安全风险评估,并需要具有相关的应急管理办法;8、对工业和信息化领域数据处理者发生数据安全事件时,未立即采取处置措施的行政处罚;解读:组织需要在明确数据责任人的基础上对数据安全事件进行积极的处置响应;9、对工业和信息化领域数据处理者发生数据安全事件时,未按照规定及时告知用户并向有关主管部门报告的行政处罚;解读:发生数据安全事件后,组织应当向相关的管理部门上报,如公安机关、上级主管单位等;10、对工业和信息化领域重要数据的处理者未按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告的行政处罚;解读:组织需要周期性的进行数据安全风险评估,并需要有评估报告,并将评估报告上报主管单位;11、对工业和信息化领域重要数据的处理者报送的风险评估报告未包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等的行政处罚;解读:风险评估报告中需要包含数据的类别、级别等维度,明确其敏感程度,并需要量化;12、对工业和信息化领域关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《中华人民共和国网络安全法》的有关规定的行政处罚;解读:对开展数据出入境的需要单独设立对此部分数据的管理办法,并需要符合《网络安全法》的管理规定;13、对工业和信息化领域非关键信息基础设施运营者的数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,未落实《数据出境安全评估办法》等有关规定的行政处罚;解读:涉及数据出入境的需要进行《数据安全出入境评估》,经过评估后才可以开展数据处境业务;14、对从事工业和信息化领域数据交易中介服务的机构,未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录的行政处罚;解读:数据交易需要明确数据来源,对于隐私数据需要对相关人员进行告知,不可以非法采集数据;15、对境内的工业和信息化领域数据处理者未经工业、电信、无线电领域主管机关批准向外国司法或者执法机构提供存储于境内的数据的行政处罚;(可放大查看图片。
图中字母涵义如下:A. 工业和信息化部;B.工业和信息化部、各省(自治区、直辖市)通信管理局;C.工业和信息化部、各省(自治区、直辖市)及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省(自治区、直辖市)通信管理局,青海、宁夏无线电管理机构。)
来源:工信委报;版权归属原作者,分享仅供学习参考,如有不当,请联系我们处理。
END
欢迎投稿
邮箱:kedakeyin@openmpc.com
参与更多讨论,请添加小编微信加入交流群