数安条例百问91、92、93、94：关于数据安全监管职责

对应条款

第五十五条国家网信部门负责统筹协调数据安全和相关监督管理工作。

公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。

主管部门应当定期组织开展本行业、本领域的数据安全风险评估，对数据处理者履行数据安全保护义务情况进行监督检查，指导督促数据处理者及时对存在的风险隐患进行整改。

解读

《数据安全法》第六条对数据安全规定了如下部门职责：

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

《个人信息保护法》第六十条对个人信息保护规定了如下部门职责：

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

在部门职责这个问题上，《条例》显然不能有发挥的余地，故其继承了《数据安全法》的规定。但其本身同时规范个人信息保护和重要数据安全，这就引出了一个问题：《个人信息保护法》规定的职责与《条例》是什么关系？

在关于国家网信部门职责方面，《个人信息保护法》与《数据安全法》的表述是一致的；在关于数据安全监督管理部门职责方面，两者的表述也是不矛盾的，《数据安全法》强调了公安机关、国家安全机关，但并没有排除其他部门（如保密、密码等部门），使用的是“等”，《个人信息保护法》则使用的是“国务院有关部门”；但《个人信息保护法》没有强调行业主管部门，这是与《数据安全法》和《条例》不同的地方。

这个不同可以有两种理解。一种理解是，《条例》对重要数据安全作了很多规定，其中一些涉及到向行业主管部门报告、由行业主管部门审批的事项，故有必要单独强调行业主管部门，而个人信息保护则没有这方面的考虑。另一种理解是，“国务院有关部门”已经包含了行业主管部门，因为行业主管部门本身也是国务院有关部门。

当然，数据安全监督管理事项本来就比较多，除公安机关、国家安全机关的打击犯罪、防谍反谍等工作外，产业发展、出口管制、认证认可、审计、交易流通等均属维护数据安全的重要方面。那么，有没有必要对数据安全监督管理部门进行展开呢？即不仅仅像现在这样仅列举公安机关、国家安全机关。这种写法也可以考虑，但目前《条例》还是与《数据安全法》在具体文字上保持了一致。

对应条款

第五十五条国家网信部门负责统筹协调数据安全和相关监督管理工作。

公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。

解读

《条例》对行业主管部门的职责作了规定，即承担本行业、本领域数据安全监管职责。这主要体现在两个方面：

一是编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。这主要是对行业主管部门赋予了的顶层设计职责。

二是定期组织开展本行业、本领域的数据安全风险评估，对数据处理者履行数据安全保护义务情况进行监督检查，指导督促数据处理者及时对存在的风险隐患进行整改。这主要是给予了行业主管部门监督管理抓手。

这样的表述，既是与《数据安全法》一致，也与《网络安全法》等上位法中规定网络安全/数据安全监督管理职责的思路相吻合。例如，《网络安全法》第八条中，对网络安全监督管理职责的描述是：

国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

上述规定中，突出了国务院电信主管部门、公安部门，而不是《数据安全法》规定的公安机关、国家安全机关。这没有本质区别，因为这些法律使用的都是列举式。

但《网络安全法》第三十二条又规定，按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。这里的“负责关键信息基础设施安全保护工作的部门”即为关键信息基础设施所在的行业主管监管部门。

因此，理解网络安全/数据安全监督管理职责的关键，是搞清法律确定这些监督管理职责时的逻辑。在数据安全监督管理中，各部门有各自的监督管理事项，其区分在于法定职责的不同，如打击犯罪、防谍反谍、保密、密码使用等分别由不同部门负责，这些职责均属于网络安全/数据安全工作的一个方面，这就是“在各自职责范围内”的内涵所在。而在行业的数据安全监管中，行业主管部门依法对所在行业进行监督管理（每个行业主管部门都有相应的上位法，明确了对本行业监督管理的职责），网络安全/数据安全监督管理是行业监督管理的组成部分。故本行业的数据安全以及关键信息基础设施安全保护，总体上是由行业主管监管部门负责，这主要体现在对本行业网络安全/数据安全工作的领导、规划、指导、监督检查等。只不过，到某个特定工作时（如打击犯罪），则由该项工作的法定责任部门负责，这时候便与具体在哪个行业无关了。

对应条款

第五十五条国家网信部门负责统筹协调数据安全和相关监督管理工作。

公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。

解读

《条例》第五十五条规定，主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。这里的“主管部门”是行业主管部门，上述规定相当于确立了行业主管部门（含行业监管部门）对本行业数据安全的主管职责。为了体现这个职责，既要求主管部门定机构、定人员，也要求主管部门编制数据安全规划。

为什么提出“编制数据安全规划”的要求呢？这一逻辑来源于《网络安全法》第三十二条的规定：按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。《关键信息基础设施安全保护条例》第二十二条进一步指出，保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

因此，《条例》的上述规定有着明确的导向：行业主管部门要制定本行业网络安全/数据安全的顶层设计文件和具体落实方案，这统称“安全规划”。

需要指出三点：

一是，这个“安全规划”不完全等同于人们熟悉的“五年规划”。

二是，这个“安全规划”要体现行业特点。国家层面对网络安全/数据安全有要求，网络安全/数据安全监督管理部门也在各自职责范围内对特定工作事项有要求，但以上要求都还没有深入行业，一般也不反映行业的特殊性。一般而言，只有由行业主管部门制定安全规划，才能更好地对本行业、本领域网络安全/数据安全工作作出科学系统安排。

三是，这个“安全规划”是国际惯例。在美等国家的关键基础设施安全保护实践中，都在国家计划之下，要求各行业分别制定各自的保护计划。目前，美国各行业的关键基础设施安全保护计划多为2015年制定的版本，正在修订之中。