近日，工业和信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿）》（以下简称《裁量指引》），对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定，这对于推进工信领域数据安全管理的法治化、规范化又迈出务实的一步。

《裁量指引》三大亮点

《裁量指引》的上位法是依据《数据安全法》，其关键点是消除数据管理者和运营者在数据安全建设中的盲区，确保数据安全行政处罚裁量指引有明确的法律指导。更具体而言，《裁量指引》有以下亮点值得关注：

1.细分三大类处罚情形

《裁量指引》将数据安全行政处罚的情形共分为三大类，即不履行数据安全保护义务、向境外非法提供数据以及不配合监管，三大类情形下又细化规定了共二十多项情形。其中，不履行数据安全保护义务的细化情景最为复杂，向境外非法提供数据包括4种细分情形，不配合监管也包括4种细分情况，基本涵盖了数据安全违规违法的各种细分场景。

2.细化处罚裁量基准

《裁量指引》还明确了后果轻重情节的相关指标，包括数据指标、经济损失、影响范围等。

3.明确行政处罚裁量基准

结合违法行为和造成危害后果的不同程度，以及对执法的配合程度，《裁量指引》设定了不予行政处罚、减轻行政处罚、从轻行政处罚和从重行政处罚四种不同情形，进一步明确了行政处罚裁量基准。

道普信息风险管控专家认为，《裁量指引》的出台，一是为数据处理者明确了数据安全保护义务，并提供了安全合规建设的落地指引；二是细化处罚裁量基准和裁量尺度，使得监管部门执法有法可依、有章可循、有据有度。

数据安全合规常态化

近年来，随着数据安全立法的加速，我国已经初步建立了涵盖法律、行政法规、部门规章、地方性法规、地方政府规章、规范性文件、国家标准7大层次的法律法规体系。

在此体系中，《网络安全法》《数据安全法》和《个人信息保护法》三部基本法律构成了基础的治理框架。《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法》等行政法规是对三部上位法的补充、落实和细化。2023年以来，从国家网信办3月发布的《网信部门行政执法程序规定》，再到还是近期工信部发布的《裁量指引》，都标志着数据安全监管的常态化时代已经来临。可以预见，随着法律体系细则的不断完善和补齐，数据安全合规也将加速全面性、实质性的落地。

我国对数据安全的监管日趋正规化、严格化、常态化，行政处罚力度和频率明显加大。截至9月，2023年已有146起依据《数据安全法》作出行政处罚决定的案例对外公示，被处罚的主要原因有未采取技术措施保障数据安全、未建立健全流程数据安全管理制度等。相比之下，2022年全年公示的案例仅有11起。

《裁量指引》使得工业和信息化领域的数据安全行政处罚工作更加明确规范，势必将对数据安全合规的加速落地，起到实质性推动作用。

第三方信息化风险管控保障数据安全

面对数据安全多合规建设需求和风险驱动，各行业都需要持续具备“红线意识”。尤其对于掌握了与国家安全、重点科研、国计民生紧密相关重要和敏感数据的数据平台而言，更需要兼顾安全合规、重要数据保护和业务发展等多方面的使命。

道普信息风险管控专家建议，通过第三方信息化风险管控，采取多规管理融合、数据安全风险评估等手段，积极跟踪国内主要政策，切实落实数据安全制度要求，建立起可信赖的数字经济环境。

1.多规管理融合加强数据安全合规

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，一次测评，多规满足，针对风险提出改进建议，帮助完成合规整改。

强化数据安全风险评估，对数据全生命周期进行风险识别和评估，提升数据安全保障能力、风险发现能力，确保数据安全风险可控。

2.构建安全防护体系实现数据安全运营

构建长期、有序、常态的运营体系，在前期做好基础安全防护，在具备基础之后，做好分类分级、数据流转，做分级管控和安全防护，实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现等安全运营。

在数字经济时代，数据安全成为了生存和发展的关键要素，数据安全问题对行业和个人都具有极大的影响。《裁量指引》的出台，数据安全合规落地实现有据、有度。面对日趋严格的多合规需求和日益严峻的数据安全挑战，道普信息风险管控专家强调，需要制定相应的策略来保护数据资源，确保 “安全合规不踩线”，保障数字化行稳致远。