工信部印发《数据安全管理办法》，用户数据必须境内存储！

【GameLook专稿，未经授权不得转载】

GameLook报道/近日，工业和信息化部印发了《工业和信息化领域数据安全管理办法》（以下简称管理办法），并就相关问题做了回应和解读。《管理办法》将于2023年1月1日起施行。

工业和信息化部指出，《管理办法》作为工业和信息化领域数据安全管理顶层制度文件，共八章四十二条，主要内容包括界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责；确定数据分类分级管理、重要数据识别与备案相关要求；针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求等七个方面。

GameLook对《管理办法》部分内容进行了摘选：

（1）针对数据处理者，《管理办法》明确规定，其应当定期梳理本单位数据资源，按照所属行业标准规范识别重要数据后，向本地区行业监管部门备案重要数据目录。当备案内容发生重大变化后，数据处理者应当及时履行备案变更手续，保证目录备案的时效性、准确性与真实性。

至于重要数据处理者，则需要承担更多保护义务，包括：一、开展数据识别备案；二、加强内部管理，建立数据安全工作体系，明确数据安全负责人，构建重要数据处理登记审批机制；三、组织常态化监测预警与应急处置，涉及重要数据和核心数据安全事件的应第一时间进行上报；四是定期实施风险评估，及时发现整改风险问题，并按照要求上报风险评估报告。

（2）针对数据出境问题，《管理办法》明确数据处理者在国内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储。需向境外提供的，应当依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。

（3）针对数据主体转移，《管理办法》指出，数据处理者因兼并、重组、破产等原因需要转移数据的，应当明确数据转移方案，并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的，应当履行备案变更手续。另外，除法律、行政法规等另有规定外，未经委托方同意，受托方不得将数据提供给第三方。

（4）针对违反规定行为的主体，《管理办法》指出将由行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

在游戏领域，因实名制、防沉迷等政策的要求，中国游戏公司可能是全球掌握玩家信息数据最多的游戏运营商，除了最基本的玩家游戏信息外，还可能包括玩家的身份证、电话、银行卡等更私人的数据。

繁多的数据自然能让游戏运营商更好地了解玩家，从而提供更优质的内容服务。但同时，这也意味着运营商需要承担保护数据的义务和代价。《管理办法》的出台，实际上是对这种义务和代价的再一次明确，要求游戏运营商要具备更强烈的保护玩家数据隐私的责任意识和手段。

对于此前一些模糊的问题，比如海外公司研发、国内公司代理的游戏，玩家数据主体该如何定夺，《管理办法》此次也明确回答，所有在国内运营的游戏，其玩家数据都要在本地保存，也就是说不能向海外研发商提供。对于部分已经进军全球的游戏公司，其掌握的国内玩家的数据也只能放在国内，而不能输送到境外的子公司。

实际上，这种规定并非是国内特有。今年11月，脸书母公司Meta就因将超过5亿欧洲用户数据转移到美国本部，而被欧洲监管机构处以2.65亿欧元的严厉处罚。尽管游戏公司相比这些互联网巨头，业务要更窄。但正如前面所言，因政策原因，即便是国内的小游戏公司，其所掌握的用户信息完整度也并不比这些互联网巨头低。

更重要的是，在掌握如此大量、完整的玩家数据的情况下，国内游戏还大量对接三方SDK，导致玩家数据、权限极容易被广告数据公司大量夺走，造成数据泄露。在这过程中，游戏公司作为数据处理者，很可能就因此被牵连和触发。因此，在对接SDK这一环节，游戏公司要更加谨慎。