第六条 【各地区、各部门维护数据安全的职责】

各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

【释义】

本条规范的对象是地方和部门层面数据安全职责的条、块划分。本条规定了各地区、各部门、各行业主管部门的数据安全保护责任和数据安全监管责任两类数据安全责任。本条与第5条一起，构建了我国中央层面和地方、部门层面的国家数据安全责任体系，即在中央国家安全领导机构的决策和议事协调机制之下，规定各地区、各主管部门的数据安全责任，形成了国家数据安全工作协调机制。

具体来讲，本条第1款是对各地区、各部门所承担的数据安全责任的整体上的条块划分。第2款、第3款、第4款则分别规定了比较重要领域的政府主管部门的数据安全监管责任，是不完全列举。对不能被第2款、第3款、第4款涵盖的情形，则适用第1款的总体性规定。

本条第1款是关于地区和部门数据安全总则性条款，规定了各地区、各部门需要对工作中产生和收集的数据及数据安全负责。该款简单概括地规定了中央机制之下，地区和部门的数据安全责任机制。从责任主体上看，包括各地区和各部门的责任主体，形成条、块责任的划分。从适用对象上看，包括各责任主体在工作中所产生和收集的数据。从责任内容上看，包括对数据的责任和对数据安全的责任。对数据的责任是指责任主体对工作中所产生和收集数据的安全保护责任，关联《数据安全法》第四章的“数据安全保护义务”，对数据安全的责任则是指各地区、各部门对隶属于本地区、本部门管辖的数据处理活动承担数据安全的监管责任，体现了我国数据安全监管责任的条、块划分。因此，该条款实际上包含了各地区、各部门的数据安全保护义务和数据安全监管责任。据此，我国网络安全与信息安全治理形成“主体责任+监管责任”的治理框架。现在，这一框架延续到数据安全治理领域。

各地区、各部门的定义有待进一步廓清。各地区应当包括按照《宪法》第30条规定的行政区域划分的各级区域，即除省（自治区、直辖市）、市（自治州、县、自治县）、县（区）外，由于本条款并没有限制各地区的级别，因此，乡（民族乡、镇）街道、村庄等基层组织单元应当也包含在各地区的范围之内。各部门则体现了我国数据安全监管职责的垂直监管职责划分，涉及各个行业和社会领域，如工业、电信、交通、金融、自然资源、卫生健康、教育、科技等部门。

各地区、各部门对于数据安全的监管职责主要通过三个方式实现：

一是制定法规、地方政府规章以及规范性文件。例如，2016年9月15日上海市人民政府印发《上海市大数据发展实施意见》（沪府发〔2016〕79号），该意见将“安全规范、繁荣有序”作为大数据发展的基本原则之一，要求“完善大数据标准规范和法规制度，增强安全意识、强化安全管理和防护，保障数据安全”。浙江省人大于2020年12月24日通过的《浙江省数字经济促进条例》（浙江省第十三届人民代表大会常务委员会公告第44号）第22条规定，“县级以上人民政府及其有关部门应当坚持保障安全与发展数字经济并重的原则，建立健全网络安全、数据安全保障体系，完善协调机制以及安全预警、安全处置机制”。

二是各部门制定本行业、本领域、本系统的数据安全政策、部门规章以及规范性文件，细化目标，分解任务，使之更具针对性和可操作性。如工业和信息化部负责对全国电信业务中的数据安全工作进行垂直领导。2013年《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）第3条规定，工业和信息化部和各省、自治区、直辖市通信管理局依法对电信和互联网用户个人信息保护工作实施监督管理。2017年《电信业务经营许可管理办法》（工业和信息化部第5号）则就电信业务经营许可证申请办理中的经营主体的网络与信息安全保障措施做出规定。 本条第2款、第3款、第4款则属于列举重要行业、领域内的数据安全监管工作。第2款列举工业、电信、交通、金融、自然资源、卫生健康、教育、科技等行业、领域内，主管部门的数据安全监管职责。第3款规定了公安机关、国家安全机关在职责范围内承担的数据安全监管职责。第4款规定的是国家网信部门负责统筹协调网络数据安全和相关监管工作。值得注意的是，各部门之间必然存在业务领域内数据安全监管工作的交叉重叠，如互联网数据可能横跨各个行业、领域，因此需要建立跨部门的统筹协调机制，鉴于互联网与各个行业、领域的深度融合，本条第4款赋予国家网信部门统筹协调互联网数据安全的职责。与之相类似的有《国家安全法》第48条，“……建立跨部门会商工作机制……”各级国家网信部门应当与其他主管部门针对本行业、领域内互联网数据安全的监管工作展开“会商”，积极履行统筹协调的职责。

三是制订工作计划或工作方案，列出进度表，明确责任人，组织人力、物力、财力予以贯彻落实。这是大多数地区和部门贯彻落实国家数据安全战略的方式之一。例如，2020年4月广西壮族自治区数字广西建设领导小组办公室印发《广西政务数据治理实施方案》，为全面推进政务数据治理工作，进一步加快数据广西建设，提供了详细的工作方案和进度表。

不论采取何种方式，要确保国家数据安全战略的真正贯彻实施，加强监督检查和责任追究都是必要的，本法第49条、第50条分别规定了国家机关的数据安全保护责任和国家工作人员的数据安全监管责任。

【关联规定】

《中华人民共和国宪法》第30条，本法第20条、第49条、第50条，《中华人民共和国国家安全法》第2条、第47条、第48条，《中华人民共和国网络安全法》第8条、第10条、第11条，《中华人民共和国地方各级人民代表大会和地方各级人民政府组织法》 第37条、第38条

（撰稿人：魏露露）