為規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng),加強(qiáng)數(shù)據(jù)安全管理��,促進(jìn)數(shù)據(jù)開發(fā)利用�,保護(hù)個(gè)人、組織的合法權(quán)益����,維護(hù)國家安全和發(fā)展利益,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規(guī)��,工業(yè)和信息化部近日印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》�����。本辦法共八章四十二條����,主要內(nèi)容包括七個(gè)方面:一是界定工業(yè)和信息化領(lǐng)域數(shù)據(jù)和數(shù)據(jù)處理者概念,明確監(jiān)管范圍和監(jiān)管職責(zé)��。二是確定數(shù)據(jù)分類分級(jí)管理�����、重要數(shù)據(jù)識(shí)別與備案相關(guān)要求���。三是針對(duì)不同級(jí)別的數(shù)據(jù)��,圍繞數(shù)據(jù)收集���、存儲(chǔ)、加工���、傳輸����、提供��、公開���、銷毀��、出境�����、轉(zhuǎn)移��、委托處理等環(huán)節(jié)����,提出相應(yīng)安全管理和保護(hù)要求。四是建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警����、風(fēng)險(xiǎn)信息報(bào)送和共享、應(yīng)急處置�����、投訴舉報(bào)受理等工作機(jī)制����。五是明確開展數(shù)據(jù)安全監(jiān)測(cè)、認(rèn)證�����、評(píng)估的相關(guān)要求����。六是規(guī)定監(jiān)督檢查等工作要求。七是明確相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施���。本辦法自2023年1月1日起施行���。
關(guān)于印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》的通知
工信部網(wǎng)安〔2022〕166號(hào)
各省�、自治區(qū)�、直轄市�、計(jì)劃單列市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門,各省�����、自治區(qū)��、直轄市通信管理局���,青海��、寧夏無線電管理機(jī)構(gòu)�����,部屬各單位���,部屬各高校,各有關(guān)企業(yè):
現(xiàn)將《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》印發(fā)給你們����,請(qǐng)認(rèn)真遵照?qǐng)?zhí)行���。
工業(yè)和信息化部
2022年12月8日
工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)
第一章 總則
第一條 為了規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng),加強(qiáng)數(shù)據(jù)安全管理�����,保障數(shù)據(jù)安全���,促進(jìn)數(shù)據(jù)開發(fā)利用����,保護(hù)個(gè)人�、組織的合法權(quán)益,維護(hù)國家安全和發(fā)展利益����,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規(guī),制定本辦法���。
第二條 在中華人民共和國境內(nèi)開展的工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管��,應(yīng)當(dāng)遵守相關(guān)法律���、行政法規(guī)和本辦法的要求���。
第三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等�����。
工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計(jì)����、生產(chǎn)制造�、經(jīng)營管理、運(yùn)行維護(hù)�、平臺(tái)運(yùn)營等過程中產(chǎn)生和收集的數(shù)據(jù)。
電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)�。
無線電數(shù)據(jù)是指在開展無線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)企業(yè)���、軟件和信息技術(shù)服務(wù)企業(yè)�����、取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者和無線電頻率�、臺(tái)(站)使用單位等工業(yè)和信息化領(lǐng)域各類主體。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者按照所屬行業(yè)領(lǐng)域可分為工業(yè)數(shù)據(jù)處理者����、電信數(shù)據(jù)處理者、無線電數(shù)據(jù)處理者等��。數(shù)據(jù)處理活動(dòng)包括但不限于數(shù)據(jù)收集���、存儲(chǔ)�、使用���、加工��、傳輸���、提供、公開等活動(dòng)�����。
第四條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下,工業(yè)和信息化部負(fù)責(zé)督促指導(dǎo)各省���、自治區(qū)����、直轄市及計(jì)劃單列市�����、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門����,各省��、自治區(qū)�、直轄市通信管理局和無線電管理機(jī)構(gòu)(以下統(tǒng)稱地方行業(yè)監(jiān)管部門)開展數(shù)據(jù)安全監(jiān)管,對(duì)工業(yè)和信息化領(lǐng)域的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理�。
地方行業(yè)監(jiān)管部門分別負(fù)責(zé)對(duì)本地區(qū)工業(yè)、電信�、無線電數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。
工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門�����。
行業(yè)監(jiān)管部門按照有關(guān)法律、行政法規(guī)���,依法配合有關(guān)部門開展的數(shù)據(jù)安全監(jiān)管相關(guān)工作����。
第五條 行業(yè)監(jiān)管部門鼓勵(lì)數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究�����,支持推廣數(shù)據(jù)安全產(chǎn)品和服務(wù)����,培育數(shù)據(jù)安全企業(yè)、研究和服務(wù)機(jī)構(gòu)�,發(fā)展數(shù)據(jù)安全產(chǎn)業(yè),提升數(shù)據(jù)安全保障能力�����,促進(jìn)數(shù)據(jù)的創(chuàng)新應(yīng)用���。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者研究����、開發(fā)、使用數(shù)據(jù)新技術(shù)���、新產(chǎn)品���、新服務(wù),應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)和行業(yè)發(fā)展��,符合社會(huì)公德和倫理���。
第六條 行業(yè)監(jiān)管部門推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)���,組織開展相關(guān)標(biāo)準(zhǔn)制修訂及推廣應(yīng)用工作。
第二章 數(shù)據(jù)分類分級(jí)管理
第七條 工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)�����、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定��、數(shù)據(jù)分級(jí)防護(hù)等標(biāo)準(zhǔn)規(guī)范�,指導(dǎo)開展數(shù)據(jù)分類分級(jí)管理工作����,制定行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實(shí)施動(dòng)態(tài)管理��。
地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)管理及重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別工作���,確定本地區(qū)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報(bào)工業(yè)和信息化部,目錄發(fā)生變化的��,應(yīng)當(dāng)及時(shí)上報(bào)更新���。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理數(shù)據(jù)��,按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位的具體目錄�。
第八條 根據(jù)行業(yè)要求���、特點(diǎn)�����、業(yè)務(wù)需求�����、數(shù)據(jù)來源和用途等因素����,工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)��、管理數(shù)據(jù)���、運(yùn)維數(shù)據(jù)�、業(yè)務(wù)服務(wù)數(shù)據(jù)等�����。
根據(jù)數(shù)據(jù)遭到篡改�����、破壞��、泄露或者非法獲取�、非法利用,對(duì)國家安全�����、公共利益或者個(gè)人���、組織合法權(quán)益等造成的危害程度����,工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)和核心數(shù)據(jù)三級(jí)�。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可在此基礎(chǔ)上細(xì)分?jǐn)?shù)據(jù)的類別和級(jí)別��。
第九條 危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù):
?����。ㄒ唬?duì)公共利益或者個(gè)人����、組織合法權(quán)益造成較小影響,社會(huì)負(fù)面影響?��?���;
?�。ǘ┦苡绊懙挠脩艉推髽I(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小�����、持續(xù)時(shí)間較短�����,對(duì)企業(yè)經(jīng)營�、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較?���。?/p>
?��。ㄈ┢渌醇{入重要數(shù)據(jù)��、核心數(shù)據(jù)目錄的數(shù)據(jù)���。
第十條 危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù):
(一)對(duì)政治���、國土�����、軍事��、經(jīng)濟(jì)��、文化����、社會(huì)����、科技、電磁��、網(wǎng)絡(luò)��、生態(tài)��、資源���、核安全等構(gòu)成威脅�,影響海外利益���、生物�、太空、極地���、深海����、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域�;
(二)對(duì)工業(yè)和信息化領(lǐng)域發(fā)展����、生產(chǎn)、運(yùn)行和經(jīng)濟(jì)利益等造成嚴(yán)重影響���;
?����。ㄈ┰斐芍卮髷?shù)據(jù)安全事件或生產(chǎn)安全事故��,對(duì)公共利益或者個(gè)人�、組織合法權(quán)益造成嚴(yán)重影響,社會(huì)負(fù)面影響大�;
(四)引發(fā)的級(jí)聯(lián)效應(yīng)明顯�����,影響范圍涉及多個(gè)行業(yè)�、區(qū)域或者行業(yè)內(nèi)多個(gè)企業(yè)�,或者影響持續(xù)時(shí)間長(zhǎng),對(duì)行業(yè)發(fā)展�����、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響�����;
?。ㄎ澹┙?jīng)工業(yè)和信息化部評(píng)估確定的其他重要數(shù)據(jù)。
第十一條 危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
?����。ㄒ唬?duì)政治����、國土�、軍事���、經(jīng)濟(jì)�����、文化��、社會(huì)�、科技����、電磁、網(wǎng)絡(luò)��、生態(tài)����、資源、核安全等構(gòu)成嚴(yán)重威脅�����,嚴(yán)重影響海外利益、生物�����、太空��、極地����、深海����、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域;
?���。ǘ?duì)工業(yè)和信息化領(lǐng)域及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施�����、重要資源等造成重大影響�;
(三)對(duì)工業(yè)生產(chǎn)運(yùn)營�����、電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)運(yùn)行服務(wù)、無線電業(yè)務(wù)開展等造成重大損害��,導(dǎo)致大范圍停工停產(chǎn)����、大面積無線電業(yè)務(wù)中斷、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓��、大量業(yè)務(wù)處理能力喪失等�;
(四)經(jīng)工業(yè)和信息化部評(píng)估確定的其他核心數(shù)據(jù)�����。
第十二條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向本地區(qū)行業(yè)監(jiān)管部門備案�。備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別�、級(jí)別、規(guī)模�����、載體����、處理目的和方式���、使用范圍、責(zé)任主體���、對(duì)外共享�����、跨境傳輸�、安全保護(hù)措施等基本情況�����,不包括數(shù)據(jù)內(nèi)容本身�����。
地方行業(yè)監(jiān)管部門應(yīng)當(dāng)在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提交備案申請(qǐng)的二十個(gè)工作日內(nèi)完成審核工作�,備案內(nèi)容符合要求的����,予以備案���,同時(shí)將備案情況報(bào)工業(yè)和信息化部;不予備案的應(yīng)當(dāng)及時(shí)反饋備案申請(qǐng)人并說明理由�。備案申請(qǐng)人應(yīng)當(dāng)在收到反饋情況后的十五個(gè)工作日內(nèi)再次提交備案申請(qǐng)。
備案內(nèi)容發(fā)生重大變化的�����,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)生變化的三個(gè)月內(nèi)履行備案變更手續(xù)����。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲(chǔ)總量等)變化30%以上,或者其它備案內(nèi)容發(fā)生變化���。
第三章 數(shù)據(jù)全生命周期安全管理
第十三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任�����,對(duì)各類數(shù)據(jù)實(shí)行分級(jí)防護(hù)�,不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的�,應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù),確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)��。
?���。ㄒ唬┙?shù)據(jù)全生命周期安全管理制度�,針對(duì)不同級(jí)別數(shù)據(jù)����,制定數(shù)據(jù)收集、存儲(chǔ)���、使用����、加工�、傳輸、提供����、公開等環(huán)節(jié)的具體分級(jí)防護(hù)要求和操作規(guī)程��;
?����。ǘ└鶕?jù)需要配備數(shù)據(jù)安全管理人員����,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理��,協(xié)助行業(yè)監(jiān)管部門開展工作�;
?。ㄈ┖侠泶_定數(shù)據(jù)處理活動(dòng)的操作權(quán)限,嚴(yán)格實(shí)施人員權(quán)限管理��;
?���。ㄋ模└鶕?jù)應(yīng)對(duì)數(shù)據(jù)安全事件的需要,制定應(yīng)急預(yù)案���,并開展應(yīng)急演練����;
?����。ㄎ澹┒ㄆ趯?duì)從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn)�����;
(六)法律��、行政法規(guī)等規(guī)定的其他措施��。
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者�����,還應(yīng)當(dāng):
?�。ㄒ唬┙⒏采w本單位相關(guān)部門的數(shù)據(jù)安全工作體系����,明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),建立常態(tài)化溝通與協(xié)作機(jī)制�����。本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人���,領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人���;
?�。ǘ┟鞔_數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書���,責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)���、義務(wù)、處罰措施�、注意事項(xiàng)等內(nèi)容;
?�。ㄈ┙?nèi)部登記���、審批等工作機(jī)制��,對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄�����。
第十四條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法�、正當(dāng)?shù)脑瓌t�����,不得竊取或者以其他非法方式收集數(shù)據(jù)。
數(shù)據(jù)收集過程中��,應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級(jí)別采取相應(yīng)的安全措施���,加強(qiáng)重要數(shù)據(jù)和核心數(shù)據(jù)收集人員����、設(shè)備的管理��,并對(duì)收集來源��、時(shí)間�、類型、數(shù)量����、頻度、流向等進(jìn)行記錄��。
通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的�,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式�,明確雙方法律責(zé)任。
第十五條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)按照法律�����、行政法規(guī)規(guī)定和用戶約定的方式����、期限進(jìn)行數(shù)據(jù)存儲(chǔ)。存儲(chǔ)重要數(shù)據(jù)和核心數(shù)據(jù)的�,應(yīng)當(dāng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲(chǔ)�����,并實(shí)施數(shù)據(jù)容災(zāi)備份和存儲(chǔ)介質(zhì)安全管理�����,定期開展數(shù)據(jù)恢復(fù)測(cè)試����。
第十六條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者利用數(shù)據(jù)進(jìn)行自動(dòng)化決策的,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理����。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的�,還應(yīng)當(dāng)加強(qiáng)訪問控制。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)處理服務(wù),涉及經(jīng)營電信業(yè)務(wù)的�����,應(yīng)當(dāng)按照相關(guān)法律����、行政法規(guī)規(guī)定取得電信業(yè)務(wù)經(jīng)營許可。
第十七條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型��、級(jí)別和應(yīng)用場(chǎng)景����,制定安全策略并采取保護(hù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的�,應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)�、安全傳輸通道或者安全傳輸協(xié)議等措施。
第十八條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對(duì)外提供數(shù)據(jù)����,應(yīng)當(dāng)明確提供的范圍、類別��、條件����、程序等�����。提供重要數(shù)據(jù)和核心數(shù)據(jù)的���,應(yīng)當(dāng)與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議���,對(duì)數(shù)據(jù)獲取方數(shù)據(jù)安全保護(hù)能力進(jìn)行核驗(yàn)��,采取必要的安全保護(hù)措施����。
第十九條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開前分析研判可能對(duì)國家安全�����、公共利益產(chǎn)生的影響����,存在重大影響的不得公開。
第二十條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷毀制度��,明確銷毀對(duì)象、規(guī)則����、流程和技術(shù)等要求,對(duì)銷毀活動(dòng)進(jìn)行記錄和留存����。個(gè)人、組織按照法律規(guī)定��、合同約定等請(qǐng)求銷毀的�����,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)銷毀相應(yīng)數(shù)據(jù)���。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者銷毀重要數(shù)據(jù)和核心數(shù)據(jù)后�,不得以任何理由�、任何方式對(duì)銷毀數(shù)據(jù)進(jìn)行恢復(fù),引起備案內(nèi)容發(fā)生變化的�,應(yīng)當(dāng)履行備案變更手續(xù)。
第二十一條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)��,法律���、行政法規(guī)有境內(nèi)存儲(chǔ)要求的�,應(yīng)當(dāng)在境內(nèi)存儲(chǔ),確需向境外提供的��,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估�����。
工業(yè)和信息化部根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約��、協(xié)定�,或者按照平等互惠原則�����,處理外國工業(yè)�����、電信��、無線電執(zhí)法機(jī)構(gòu)關(guān)于提供工業(yè)和信息化領(lǐng)域數(shù)據(jù)的請(qǐng)求�。非經(jīng)工業(yè)和信息化部批準(zhǔn),工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國工業(yè)��、電信、無線電執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)����。
第二十二條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者因兼并、重組���、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的��,應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移方案��,并通過電話�����、短信�、郵件�、公告等方式通知受影響用戶。涉及重要數(shù)據(jù)和核心數(shù)據(jù)備案內(nèi)容發(fā)生變化的�����,應(yīng)當(dāng)履行備案變更手續(xù)����。
第二十三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者委托他人開展數(shù)據(jù)處理活動(dòng)的���,應(yīng)當(dāng)通過簽訂合同協(xié)議等方式,明確委托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)��。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的�,應(yīng)當(dāng)對(duì)受托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行核驗(yàn)��。
除法律����、行政法規(guī)等另有規(guī)定外,未經(jīng)委托方同意�����,受托方不得將數(shù)據(jù)提供給第三方����。
第二十四條 跨主體提供��、轉(zhuǎn)移���、委托處理核心數(shù)據(jù)的�����,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)評(píng)估安全風(fēng)險(xiǎn)�,采取必要的安全保護(hù)措施,并由本地區(qū)行業(yè)監(jiān)管部門審查后報(bào)工業(yè)和信息化部�����。工業(yè)和信息化部按照有關(guān)規(guī)定進(jìn)行審查���。
第二十五條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過程中�,記錄數(shù)據(jù)處理�����、權(quán)限管理�����、人員操作等日志��。日志留存時(shí)間不少于六個(gè)月���。
第四章 數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理
第二十六條 工業(yè)和信息化部建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制�,組織制定數(shù)據(jù)安全監(jiān)測(cè)預(yù)警接口和標(biāo)準(zhǔn),統(tǒng)籌建設(shè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)手段�,形成監(jiān)測(cè)、預(yù)警�����、處置���、溯源等能力��,與相關(guān)部門加強(qiáng)信息共享���。
地方行業(yè)監(jiān)管部門分別建設(shè)本地區(qū)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警機(jī)制,組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)��,按照有關(guān)規(guī)定及時(shí)發(fā)布預(yù)警信息�,通知本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者及時(shí)采取應(yīng)對(duì)措施。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)���,及時(shí)排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn)�����。
第二十七條 工業(yè)和信息化部建立數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享機(jī)制,統(tǒng)一匯集�����、分析�����、研判�、通報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)信息,鼓勵(lì)安全服務(wù)機(jī)構(gòu)�����、行業(yè)組織���、科研機(jī)構(gòu)等開展數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享�����。
地方行業(yè)監(jiān)管部門分別匯總分析本地區(qū)數(shù)據(jù)安全風(fēng)險(xiǎn)�����,及時(shí)將可能造成重大及以上安全事件的風(fēng)險(xiǎn)上報(bào)工業(yè)和信息化部��。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)將可能造成較大及以上安全事件的風(fēng)險(xiǎn)向本地區(qū)行業(yè)監(jiān)管部門報(bào)告�����。
第二十八條 工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案�,組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。
地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作����。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應(yīng)當(dāng)立即上報(bào)工業(yè)和信息化部�,并及時(shí)報(bào)告事件發(fā)展和處置情況。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后����,應(yīng)當(dāng)按照應(yīng)急預(yù)案,及時(shí)開展應(yīng)急處置�,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,第一時(shí)間向本地區(qū)行業(yè)監(jiān)管部門報(bào)告��,事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報(bào)告���,每年向本地區(qū)行業(yè)監(jiān)管部門報(bào)告數(shù)據(jù)安全事件處置情況。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對(duì)發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,應(yīng)當(dāng)及時(shí)告知用戶����,并提供減輕危害措施。
第二十九條 工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報(bào)渠道����,地方行業(yè)監(jiān)管部門分別建立本地區(qū)數(shù)據(jù)安全違法行為投訴舉報(bào)機(jī)制或渠道,依法接收�、處理投訴舉報(bào),根據(jù)工作需要開展執(zhí)法調(diào)查�。鼓勵(lì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者建立用戶投訴處理機(jī)制。
第五章 數(shù)據(jù)安全檢測(cè)���、認(rèn)證��、評(píng)估管理
第三十條 工業(yè)和信息化部指導(dǎo)���、鼓勵(lì)具備相應(yīng)資質(zhì)的機(jī)構(gòu),依據(jù)相關(guān)標(biāo)準(zhǔn)開展行業(yè)數(shù)據(jù)安全檢測(cè)����、認(rèn)證工作。
第三十一條 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評(píng)估管理制度�����,開展評(píng)估機(jī)構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評(píng)估規(guī)范�����,指導(dǎo)評(píng)估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估����、出境安全評(píng)估等工作。
地方行業(yè)監(jiān)管部門分別負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全評(píng)估工作����。
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評(píng)估機(jī)構(gòu),每年對(duì)其數(shù)據(jù)處理活動(dòng)至少開展一次風(fēng)險(xiǎn)評(píng)估����,及時(shí)整改風(fēng)險(xiǎn)問題,并向本地區(qū)行業(yè)監(jiān)管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告�����。
第六章 監(jiān)督檢查
第三十二條 行業(yè)監(jiān)管部門對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實(shí)本辦法要求的情況進(jìn)行監(jiān)督檢查��。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)行業(yè)監(jiān)管部門監(jiān)督檢查予以配合���。
第三十三條 工業(yè)和信息化部在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制指導(dǎo)下����,開展工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全審查相關(guān)工作����。
第三十四條 行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評(píng)估機(jī)構(gòu)工作人員對(duì)在履行職責(zé)中知悉的個(gè)人信息和商業(yè)秘密等,應(yīng)當(dāng)嚴(yán)格保密��,不得泄露或者非法向他人提供��。
第七章 法律責(zé)任
第三十五條 行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中����,發(fā)現(xiàn)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的,可以按照規(guī)定權(quán)限和程序?qū)I(yè)和信息化領(lǐng)域數(shù)據(jù)處理者進(jìn)行約談�����,并要求采取措施進(jìn)行整改����,消除隱患。
第三十六條 有違反本辦法規(guī)定行為的�����,由行業(yè)監(jiān)管部門按照相關(guān)法律法規(guī),根據(jù)情節(jié)嚴(yán)重程度給予沒收違法所得��、罰款�����、暫停業(yè)務(wù)�����、停業(yè)整頓�����、吊銷業(yè)務(wù)許可證等行政處罰��;構(gòu)成犯罪的�����,依法追究刑事責(zé)任���。
第八章 附則
第三十七條 中央企業(yè)應(yīng)當(dāng)督促指導(dǎo)所屬企業(yè)��,在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案��、核心數(shù)據(jù)跨主體處理風(fēng)險(xiǎn)評(píng)估�、風(fēng)險(xiǎn)信息上報(bào)、年度數(shù)據(jù)安全事件處置報(bào)告���、重要數(shù)據(jù)和核心數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等工作中履行屬地管理要求,還應(yīng)當(dāng)全面梳理匯總企業(yè)集團(tuán)本部����、所屬公司的數(shù)據(jù)安全相關(guān)情況,并及時(shí)報(bào)送工業(yè)和信息化部��。
第三十八條 開展涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)��,還應(yīng)當(dāng)遵守有關(guān)法律�、行政法規(guī)的規(guī)定。
第三十九條 涉及軍事��、國家秘密信息等數(shù)據(jù)處理活動(dòng)�����,按照國家有關(guān)規(guī)定執(zhí)行�。
第四十條 工業(yè)和信息化領(lǐng)域政務(wù)數(shù)據(jù)處理活動(dòng)的具體辦法��,由工業(yè)和信息化部另行規(guī)定����。
第四十一條 國防科技工業(yè)�、煙草領(lǐng)域數(shù)據(jù)安全管理由國家國防科技工業(yè)局、國家煙草專賣局負(fù)責(zé)��,具體制度參照本辦法另行制定��。
第四十二條 本辦法自2023年1月1日起施行���。
轉(zhuǎn)自:人民郵電報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn)�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
