工业和信息化领域数据安全管理办法（试行）.docx

工业和信息化领域数据安全管理办法（试行）第一章总则第一条为了规范工业和信息化领域数据处理活动，加强 数据安全管理，保障数据安全，促进数据开发利用，保护 个人、组织的合法权益，维护国家安全和发展利益，根据 中华人民共和国数据安全法中华人民共和国网络安 全法中华人民共和国个人信息保护法中华人民共 和国国家安全法中华人民共和国民法典等法律法 规，制定本办法。第二条在中华人民共和国境内开展的工业和信息化领域 数据处理活动及其安全监管，应当遵守相关法律、行政法 规和本办法的要求。第三条工业和信息化领域数据包括工业数据、电信数据 和无线电数据等。工业数据是指工业各行业各领域在研发 设计、生产制造、经营管理、运行维护、平台运营等过程 中产生和收集的数据。机制。本单位法定代表人或者主要负责人是数据安全第一 责任人，领导团队中分管数据安全的成员是直接责任人；（二）明确数据处理关键岗位和岗位职责，并要求关键 岗位人员签署数据安全责任书，责任书内容包括但不限于 数据安全岗位职责、义务、处罚措施、注意事项等内容；（三）建立内部登记、审批等工作机制，对重要数据和 核心数据的处理活动进行严格管理并留存记录。第十四条工业和信息化领域数据处理者收集数据应当遵 循合法、正当的原则，不得窃取或者以其他非法方式收集 数据。数据收集过程中，应当根据数据安全级别采取相应的安 全措施，加强重要数据和核心数据收集人员、设备的管 理，并对收集来源、时间、类型、数量、频度、流向等进 行记录。通过间接途径获取重要数据和核心数据的，工业和信息 化领域数据处理者应当与数据提供方通过签署相关协议、 承诺书等方式，明确双方法律责任。第十五条工业和信息化领域数据处理者应当按照法律、 行政法规规定和用户约定的方式、期限进行数据存储。存 储重要数据和核心数据的，应当采用校验技术、密码技术 等措施进行安全存储，并实施数据容灾备份和存储介质安 全管理，定期开展数据恢复测试。第十六条工业和信息化领域数据处理者利用数据进行自 动化决策的，应当保证决策的透明度和结果公平合理。使 用、加工重要数据和核心数据的，还应当加强访问控制。工业和信息化领域数据处理者提供数据处理服务，涉及 经营电信业务的，应当按照相关法律、行政法规规定取得 电信业务经营许可。第十七条工业和信息化领域数据处理者应当根据传输的 数据类型、级别和应用场景，制定安全策略并采取保护措 施。传输重要数据和核心数据的，应当采取校验技术、密 码技术、安全传输通道或者安全传输协议等措施。第十八条工业和信息化领域数据处理者对外提供数据, 应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的，应当与数据获取方签订数据安全协议， 对数据获取方数据安全保护能力进行核验，采取必要的安 全保护措施。第十九条工业和信息化领域数据处理者应当在数据公开 前分析研判可能对国家安全、公共利益产生的影响，存在 重大影响的不得公开。第二十条工业和信息化领域数据处理者应当建立数据销 毁制度，明确销毁对象、规则、流程和技术等要求，对销 毁活动进行记录和留存。个人、组织按照法律规定、合同 约定等请求销毁的，工业和信息化领域数据处理者应当销 毁相应数据。工业和信息化领域数据处理者销毁重要数据和核心数据 后，不得以任何理由、任何方式对销毁数据进行恢复，引 起备案内容发生变化的，应当履行备案变更手续。第二十一条工业和信息化领域数据处理者在中华人民共 和国境内收集和产生的重要数据和核心数据，法律、行政 法规有境内存储要求的，应当在境内存储，确需向境外提 供的，应当依法依规进行数据出境安全评估。工业和信息化部根据有关法律和中华人民共和国缔结或 者参加的国际条约、协定，或者按照平等互惠原则，处理 外国工业、电信、无线电执法机构关于提供工业和信息化 领域数据的请求。非经工业和信息化部批准，工业和信息 化领域数据处理者不得向外国工业、电信、无线电执法机 构提供存储于中华人民共和国境内的工业和信息化领域数第二十二条工业和信息化领域数据处理者因兼并、重 组、破产等原因需要转移数据的，应当明确数据转移方 案，并通过电话、短信、邮件、公告等方式通知受影响用 户。涉及重要数据和核心数据备案内容发生变化的，应当 履行备案变更手续。第二十三条工业和信息化领域数据处理者委托他人开展 数据处理活动的，应当通过签订合同协议等方式，明确委 托方与受托方的数据安全责任和义务。委托处理重要数据 和核心数据的，应当对受托方的数据安全保护能力、资质 进行核验。除法律、行政法规等另有规定外，未经委托方同意，受 托方不得将数据提供给第三方。第二十四条跨主体提供、转移、委托处理核心数据的， 工业和信息化领域数据处理者应当评估安全风险，采取必 要的安全保护措施，并由本地区行业监管部门审查后报工 业和信息化部。工业和信息化部按照有关规定进行审查。第二十五条工业和信息化领域数据处理者应当在数据全 生命周期处理过程中，记录数据处理、权限管理、人员操 作等日志。日志留存时间不少于六个月。第四章 数据安全监测预警与应急管理第二十六条工业和信息化部建立数据安全风险监测机 制，组织制定数据安全监测预警接口和标准，统筹建设数 据安全监测预警技术手段，形成监测、预警、处置、溯源 等能力，与相关部门加强信息共享。地方行业监管部门分别建设本地区数据安全风险监测预 警机制，组织开展数据安全风险监测，按照有关规定及时发布预警信息，通知本地区工业和信息化领域数据处理者 及时采取应对措施。工业和信息化领域数据处理者应当开展数据安全风险监 测，及时排查安全隐患，采取必要的措施防范数据安全风 险。第二十七条工业和信息化部建立数据安全风险信息上报 和共享机制，统一汇集、分析、研判、通报数据安全风险 信息，鼓励安全服务机构、行业组织、科研机构等开展数 据安全风险信息上报和共享。地方行业监管部门分别汇总分析本地区数据安全风险， 及时将可能造成重大及以上安全事件的风险上报工业和信 息化部。工业和信息化领域数据处理者应当及时将可能造成较大 及以上安全事件的风险向本地区行业监管部门报告。第二十八条工业和信息化部制定工业和信息化领域数据 安全事件应急预案，组织协调重要数据和核心数据安全事 件应急处置工作。地方行业监管部门分别组织开展本地区数据安全事件应 急处置工作。涉及重要数据和核心数据的安全事件，应当 立即上报工业和信息化部，并及时报告事件发展和处置情 况。工业和信息化领域数据处理者在数据安全事件发生后， 应当按照应急预案，及时开展应急处置，涉及重要数据和 核心数据的安全事件，第一时间向本地区行业监管部门报 告，事件处置完成后在规定期限内形成总结报告，每年向 本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合 法权益的数据安全事件，应当及时告知用户，并提供减轻 危害措施。第二十九条工业和信息化部委托相关行业组织建立工业 和信息化领域数据安全违法行为投诉举报渠道，地方行业 监管部门分别建立本地区数据安全违法行为投诉举报机制 或渠道，依法接收、处理投诉举报，根据工作需要开展执 法调查。鼓励工业和信息化领域数据处理者建立用户投诉 处理机制。第五章 数据安全检测、认证、评估管理第三十条工业和信息化部指导、鼓励具备相应资质的机 构，依据相关标准开展行业数据安全检测、认证工作。第三十一条工业和信息化部制定行业数据安全评估管理 制度，开展评估机构管理工作。制定行业数据安全评估规 范，指导评估机构开展数据安全风险评估、出境安全评估 等工作。地方行业监管部门分别负责组织开展本地区数据安全评 估工作。工业和信息化领域重要数据和核心数据处理者应当自行 或委托第三方评估机构，每年对其数据处理活动至少开展 一次风险评估，及时整改风险问题，并向本地区行业监管 部门报送风险评估报告。第六章监督检查第三十二条行业监管部门对工业和信息化领域数据处理 者落实本办法要求的情况进行监督检查。工业和信息化领域数据处理者应当对行业监管部门监督 检查予以配合。第三十三条工业和信息化部在国家数据安全工作协调机 制指导下，开展工业和信息化领域数据安全审查相关工 作。第三十四条行业监管部门及其委托的数据安全评估机构 工作人员对在履行职责中知悉的个人信息和商业秘密等， 应当严格保密，不得泄露或者非法向他人提供。第七章法律责任第三十五条行业监管部门在履行数据安全监督管理职责 中，发现数据处理活动存在较大安全风险的，可以按照规 定权限和程序对工业和信息化领域数据处理者进行约谈， 并要求采取措施进行整改，消除隐患。第三十六条有违反本办法规定行为的，由行业监管部门 按照相关法律法规，根据情节严重程度给予没收违法所 得、罚款、暂停业务、停业整顿、吊销业务许可证等行政 处罚；构成犯罪的，依法追究刑事责任。第八章附则第三十七条中央企业应当督促指导所属企业，在重要数 据和核心数据目录备案、核心数据跨主体处理风险评估、 风险信息上报、年度数据安全事件处置报告、重要数据和 核心数据风险评估等工作中履行属地管理要求，还应当全 面梳理汇总企业集团本部、所属公司的数据安全相关情 况，并及时报送工业和信息化部。第三十八条开展涉及个人信息的数据处理活动，还应当 遵守有关法律、行政法规的规定。第三十九条涉及军事、国家秘密信息等数据处理活动， 按照国家有关规定执行。第四十条工业和信息化领域政务数据处理活动的具体办 法，由工业和信息化部另行规定。电信数据是指在电信业务经营活动中产生和收集的数 据。无线电数据是指在开展无线电业务活动中产生和收集的 无线电频率、台（站）等电波参数数据。工业和信息化领域数据处理者是指数据处理活动中自主 决定处理目的、处理方式的工业企业、软件和信息技术服 务企业、取得电信业务经营许可证的电信业务经营者和无 线电频率、台（站）使用单位等工业和信息化领域各类主 体。工业和信息化领域数据处理者按照所属行业领域可分 为工业数据处理者、电信数据处理者、无线电数据处理者 等。数据处理活动包括但不限于数据收集、存储、使用、 加工、传输、提供、公开等活动。第四条在国家数据安全工作协调机制统筹协调下，工业 和信息化部负责督促指导各省、自治区、直辖市及计划单 列市、新疆生产建设兵团工业和信息化主管部门，各省、 自治区、直辖市通信管理局和无线电管理机构（以下统称 地方行业监管部门）开展数据安全监管，对工业和信息化 领域的数据处理活动和安全保护进行监督管理。第四十一条国防科技工业、烟草领域数据安全管理由国 家国防科技工业局、国家烟草专卖局负责，具体制度参照 本办法另行制定。第四十二条本办法自2023年1月1日起施行。地方行业监管部门分别负责对本地区工业、电信、无线 电数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方行业监管部门统称为行业监管部 llo行业监管部门按照有关法律、行政法规，依法配合有关 部门开展的数据安全监管相关工作。第五条行业监管部门鼓励数据开发利用和数据安全技术 研究，支持推广数据安全产品和服务，培育数据安全企 业、研究和服务机构，发展数据安全产业，提升数据安全 保障能力，促进数据的创新应用。工业和信息化领域数据处理者研究、开发、使用数据新 技术、新产品、新服务，应当有利于促进经济社会和行业 发展，符合社会公德和伦理。第六条行业监管部门推进工业和信息化领域数据开发利 用和数据安全标准体系建设，组织开展相关标准制修订及 推广应用工作。第二章 数据分类分级管理第七条工业和信息化部组织制定工业和信息化领域数据 分类分级、重要数据和核心数据识别认定、数据分级防护 等标准规范，指导开展数据分类分级管理工作，制定行业 重要数据和核心数据具体目录并实施动态管理。地方行业监管部门分别组织开展本地区工业和信息化领 域数据分类分级管理及重要数据和核心数据识别工作，确 定本地区重要数据和核心数据具体目录并上报工业和信息 化部，目录发生变化的，应当及时上报更新。工业和信息化领域数据处理者应当定期梳理数据，按照 相关标准规范识别重要数据和核心数据并形成本单位的具 体目录。第八条根据行业要求、特点、业务需求、数据来源和用 途等因素，工业和信息化领域数据分类类别包括但不限于 研发数据、生产运行数据、管理数据、运维数据、业务服 务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利 用，对国家安全、公共利益或者个人、组织合法权益等造 成的危害程度，工业和信息化领域数据分为一般数据、重 要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的 类别和级别。第九条危害程度符合下列条件之一的数据为一般数据：（一）对公共利益或者个人、组织合法权益造成较小影 响，社会负面影响小；（二）受影响的用户和企业数量较少、生产生活区域范 围较小、持续时间较短，对企业经营、行业发展、技术进 步和产业生态等影响较小；（三）其他未纳入重要数据、核心数据目录的数据。第十条危害程度符合下列条件之一的数据为重要数据:（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响 海外利益、生物、太空、极地、深海、人工智能等与国家 安全相关的重点领域；（二）对工业和信息化领域发展、生产、运行和经济利 益等造成严重影响；（三）造成重大数据安全事件或生产安全事故，对公共 利益或者个人、组织合法权益造成严重影响，社会负面影 响大；（四）引发的级联效应明显，影响范围涉及多个行业、 区域或者行业内多个企业，或者影响持续时间长，对行业 发展、技术进步和产业生态等造成严重影响；（五）经工业和信息化部评估确定的其他重要数据。第十一条危害程度符合下列条件之一的数据为核心数 据:（一）对政治、国土、军事、经济、文化、社会、科 技、电磁、网络、生态、资源、核安全等构成严重威胁， 严重影响海外利益、生物、太空、极地、深海、人工智能 等与国家安全相关的重点领域；（二）对工业和信息化领域及其重要骨干企业、关键信 息基础设施、重要资源等造成重大影响；（三）对工业生产运营、电信网络和互联网运行服务、 无线电业务开展等造成重大损害，导致大范围停工停产、 大面积无线电业务中断、大规模网络与服务瘫痪、大量业 务处理能力丧失等；（四）经工业和信息化部评估确定的其他核心数据。第十二条工业和信息化领域数据处理者应当将本单位重 要数据和核心数据目录向本地区行业监管部门备案。备案 内容包括但不限于数据来源、类别、级别、规模、载体、 处理目的和方式、使用范围、责任主体、对外共享、跨境 传输、安全保护措施等基本情况，不包括数据内容本身。地方行业监管部门应当在工业和信息化领域数据处理者 提交备案申请的二十个工作日内完成审核工作，备案内容 符合要求的，予以备案，同时将备案情况报工业和信息化 部；不予备案的应当及时反馈备案申请人并说明理由。备 案申请人应当在收到反馈情况后的十五个工作日内再次提 交备案申请。备案内容发生重大变化的，工业和信息化领域数据处理 者应当在发生变化的三个月内履行备案变更手续。重大变 化是指某类重要数据和核心数据规模（数据条目数量或者 存储总量等）变化30%以上，或者其它备案内容发生变 化。第三章数据全生命周期安全管理第十三条工业和信息化领域数据处理者应当对数据处理 活动负安全主体责任，对各类数据实行分级防护，不同级 别数据同时被处理且难以分别采取保护措施的，应当按照 其中级别最高的要求实施保护，确保数据持续处于有效保 护和合法利用的状态。（一）建立数据全生命周期安全管理制度，针对不同级 别数据，制定数据收集、存储、使用、加工、传输、提 供、公开等环节的具体分级防护要求和操作规程；（二）根据需要配备数据安全管理人员，统筹负责数据 处理活动的安全监督管理，协助行业监管部门开展工作；（三）合理确定数据处理活动的操作权限，严格实施人 员权限管理；（四）根据应对数据安全事件的需要，制定应急预案， 并开展应急演练；（五）定期对从业人员开展数据安全教育和培训；（六）法律、行政法规等规定的其他措施。工业和信息化领域重要数据和核心数据处理者，还应 当：（一）建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作