工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》的通知
工信部網(wǎng)安〔2022〕166號
各省��、自治區(qū)����、直轄市��、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門,各省���、自治區(qū)��、直轄市通信管理局,青海�、寧夏無線電管理機構(gòu),部屬各單位,部屬各高校,各有關(guān)企業(yè):
現(xiàn)將《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》印發(fā)給你們,請認真遵照執(zhí)行。
工業(yè)和信息化部
2022年12月8日
工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)
第一章 總則
第一條 為了規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動,加強數(shù)據(jù)安全管理,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人�、組織的合法權(quán)益,維護國家安全和發(fā)展利益,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規(guī),制定本辦法。
第二條 在中華人民共和國境內(nèi)開展的工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動及其安全監(jiān)管,應(yīng)當遵守相關(guān)法律�����、行政法規(guī)和本辦法的要求���。
第三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)�����、電信數(shù)據(jù)和無線電數(shù)據(jù)等��。工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計�����、生產(chǎn)制造���、經(jīng)營管理�����、運行維護、平臺運營等過程中產(chǎn)生和收集的數(shù)據(jù)��。
電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)��。
無線電數(shù)據(jù)是指在開展無線電業(yè)務(wù)活動中產(chǎn)生和收集的無線電頻率��、臺(站)等電波參數(shù)數(shù)據(jù)��。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指數(shù)據(jù)處理活動中自主決定處理目的����、處理方式的工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)�、取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者和無線電頻率、臺(站)使用單位等工業(yè)和信息化領(lǐng)域各類主體����。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者按照所屬行業(yè)領(lǐng)域可分為工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者��、無線電數(shù)據(jù)處理者等�����。數(shù)據(jù)處理活動包括但不限于數(shù)據(jù)收集、存儲����、使用、加工�����、傳輸���、提供��、公開等活動�����。
第四條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下,工業(yè)和信息化部負責督促指導各省����、自治區(qū)�����、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門,各省����、自治區(qū)、直轄市通信管理局和無線電管理機構(gòu)(以下統(tǒng)稱地方行業(yè)監(jiān)管部門)開展數(shù)據(jù)安全監(jiān)管,對工業(yè)和信息化領(lǐng)域的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理��。
地方行業(yè)監(jiān)管部門分別負責對本地區(qū)工業(yè)���、電信、無線電數(shù)據(jù)處理者的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理�。
工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。
行業(yè)監(jiān)管部門按照有關(guān)法律����、行政法規(guī),依法配合有關(guān)部門開展的數(shù)據(jù)安全監(jiān)管相關(guān)工作。
第五條 行業(yè)監(jiān)管部門鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究,支持推廣數(shù)據(jù)安全產(chǎn)品和服務(wù),培育數(shù)據(jù)安全企業(yè)�����、研究和服務(wù)機構(gòu),發(fā)展數(shù)據(jù)安全產(chǎn)業(yè),提升數(shù)據(jù)安全保障能力,促進數(shù)據(jù)的創(chuàng)新應(yīng)用����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者研究、開發(fā)���、使用數(shù)據(jù)新技術(shù)�、新產(chǎn)品、新服務(wù),應(yīng)當有利于促進經(jīng)濟社會和行業(yè)發(fā)展,符合社會公德和倫理����。
第六條 行業(yè)監(jiān)管部門推進工業(yè)和信息化領(lǐng)域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標準體系建設(shè),組織開展相關(guān)標準制修訂及推廣應(yīng)用工作。
第二章 數(shù)據(jù)分類分級管理
第七條 工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級��、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定��、數(shù)據(jù)分級防護等標準規(guī)范,指導開展數(shù)據(jù)分類分級管理工作,制定行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實施動態(tài)管理����。
地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別工作,確定本地區(qū)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報工業(yè)和信息化部,目錄發(fā)生變化的,應(yīng)當及時上報更新。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當定期梳理數(shù)據(jù),按照相關(guān)標準規(guī)范識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位的具體目錄����。
第八條 根據(jù)行業(yè)要求、特點�����、業(yè)務(wù)需求���、數(shù)據(jù)來源和用途等因素,工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)����、生產(chǎn)運行數(shù)據(jù)、管理數(shù)據(jù)�����、運維數(shù)據(jù)�����、業(yè)務(wù)服務(wù)數(shù)據(jù)等�����。
根據(jù)數(shù)據(jù)遭到篡改���、破壞、泄露或者非法獲取�����、非法利用,對國家安全�、公共利益或者個人、組織合法權(quán)益等造成的危害程度,工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)和核心數(shù)據(jù)三級����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可在此基礎(chǔ)上細分數(shù)據(jù)的類別和級別。
第九條 危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù):
(一)對公共利益或者個人�����、組織合法權(quán)益造成較小影響,社會負面影響小;
(二)受影響的用戶和企業(yè)數(shù)量較少��、生產(chǎn)生活區(qū)域范圍較小���、持續(xù)時間較短,對企業(yè)經(jīng)營����、行業(yè)發(fā)展���、技術(shù)進步和產(chǎn)業(yè)生態(tài)等影響較小;
(三)其他未納入重要數(shù)據(jù)�、核心數(shù)據(jù)目錄的數(shù)據(jù)���。
第十條 危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù):
(一)對政治���、國土����、軍事��、經(jīng)濟�、文化、社會����、科技、電磁�����、網(wǎng)絡(luò)�����、生態(tài)���、資源、核安全等構(gòu)成威脅,影響海外利益���、生物�����、太空����、極地、深海�、人工智能等與國家安全相關(guān)的重點領(lǐng)域;
(二)對工業(yè)和信息化領(lǐng)域發(fā)展、生產(chǎn)�、運行和經(jīng)濟利益等造成嚴重影響;
(三)造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故,對公共利益或者個人、組織合法權(quán)益造成嚴重影響,社會負面影響大;
(四)引發(fā)的級聯(lián)效應(yīng)明顯,影響范圍涉及多個行業(yè)����、區(qū)域或者行業(yè)內(nèi)多個企業(yè),或者影響持續(xù)時間長,對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響;
(五)經(jīng)工業(yè)和信息化部評估確定的其他重要數(shù)據(jù)����。
第十一條 危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
(一)對政治、國土����、軍事、經(jīng)濟��、文化、社會�����、科技�、電磁、網(wǎng)絡(luò)���、生態(tài)���、資源、核安全等構(gòu)成嚴重威脅,嚴重影響海外利益���、生物��、太空�����、極地、深海���、人工智能等與國家安全相關(guān)的重點領(lǐng)域;
(二)對工業(yè)和信息化領(lǐng)域及其重要骨干企業(yè)���、關(guān)鍵信息基礎(chǔ)設(shè)施��、重要資源等造成重大影響;
(三)對工業(yè)生產(chǎn)運營�、電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)運行服務(wù)��、無線電業(yè)務(wù)開展等造成重大損害,導致大范圍停工停產(chǎn)��、大面積無線電業(yè)務(wù)中斷��、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓���、大量業(yè)務(wù)處理能力喪失等;
(四)經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)���。
第十二條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向本地區(qū)行業(yè)監(jiān)管部門備案。備案內(nèi)容包括但不限于數(shù)據(jù)來源��、類別�����、級別��、規(guī)模���、載體�、處理目的和方式、使用范圍�����、責任主體��、對外共享�、跨境傳輸、安全保護措施等基本情況,不包括數(shù)據(jù)內(nèi)容本身�。
地方行業(yè)監(jiān)管部門應(yīng)當在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提交備案申請的二十個工作日內(nèi)完成審核工作,備案內(nèi)容符合要求的,予以備案,同時將備案情況報工業(yè)和信息化部;不予備案的應(yīng)當及時反饋備案申請人并說明理由。備案申請人應(yīng)當在收到反饋情況后的十五個工作日內(nèi)再次提交備案申請��。
備案內(nèi)容發(fā)生重大變化的,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當在發(fā)生變化的三個月內(nèi)履行備案變更手續(xù)���。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲總量等)變化30%以上,或者其它備案內(nèi)容發(fā)生變化����。
第三章 數(shù)據(jù)全生命周期安全管理
第十三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當對數(shù)據(jù)處理活動負安全主體責任,對各類數(shù)據(jù)實行分級防護,不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的,應(yīng)當按照其中級別最高的要求實施保護,確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)����。
(一)建立數(shù)據(jù)全生命周期安全管理制度,針對不同級別數(shù)據(jù),制定數(shù)據(jù)收集、存儲�、使用、加工��、傳輸�����、提供�、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程;
(二)根據(jù)需要配備數(shù)據(jù)安全管理人員,統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理,協(xié)助行業(yè)監(jiān)管部門開展工作;
(三)合理確定數(shù)據(jù)處理活動的操作權(quán)限,嚴格實施人員權(quán)限管理;
(四)根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要,制定應(yīng)急預(yù)案,并開展應(yīng)急演練;
(五)定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓;
(六)法律、行政法規(guī)等規(guī)定的其他措施�。
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者,還應(yīng)當:
(一)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負責人和管理機構(gòu),建立常態(tài)化溝通與協(xié)作機制。本單位法定代表人或者主要負責人是數(shù)據(jù)安全第一責任人,領(lǐng)導團隊中分管數(shù)據(jù)安全的成員是直接責任人;
(二)明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責,并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責任書,責任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責����、義務(wù)、處罰措施���、注意事項等內(nèi)容;
(三)建立內(nèi)部登記���、審批等工作機制,對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動進行嚴格管理并留存記錄。
第十四條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當遵循合法�����、正當?shù)脑瓌t,不得竊取或者以其他非法方式收集數(shù)據(jù)��。
數(shù)據(jù)收集過程中,應(yīng)當根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施,加強重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理,并對收集來源�����、時間���、類型��、數(shù)量���、頻度、流向等進行記錄��。
通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議��、承諾書等方式,明確雙方法律責任��。
第十五條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當按照法律�、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數(shù)據(jù)存儲�。存儲重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當采用校驗技術(shù)、密碼技術(shù)等措施進行安全存儲,并實施數(shù)據(jù)容災(zāi)備份和存儲介質(zhì)安全管理,定期開展數(shù)據(jù)恢復(fù)測試���。
第十六條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者利用數(shù)據(jù)進行自動化決策的,應(yīng)當保證決策的透明度和結(jié)果公平合理��。使用����、加工重要數(shù)據(jù)和核心數(shù)據(jù)的,還應(yīng)當加強訪問控制����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)處理服務(wù),涉及經(jīng)營電信業(yè)務(wù)的,應(yīng)當按照相關(guān)法律、行政法規(guī)規(guī)定取得電信業(yè)務(wù)經(jīng)營許可����。
第十七條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景,制定安全策略并采取保護措施�。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當采取校驗技術(shù)、密碼技術(shù)����、安全傳輸通道或者安全傳輸協(xié)議等措施。
第十八條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對外提供數(shù)據(jù),應(yīng)當明確提供的范圍��、類別��、條件�����、程序等。提供重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議,對數(shù)據(jù)獲取方數(shù)據(jù)安全保護能力進行核驗,采取必要的安全保護措施�。
第十九條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響,存在重大影響的不得公開���。
第二十條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)銷毀制度,明確銷毀對象�、規(guī)則�����、流程和技術(shù)等要求,對銷毀活動進行記錄和留存�。個人、組織按照法律規(guī)定�����、合同約定等請求銷毀的,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當銷毀相應(yīng)數(shù)據(jù)�����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者銷毀重要數(shù)據(jù)和核心數(shù)據(jù)后,不得以任何理由���、任何方式對銷毀數(shù)據(jù)進行恢復(fù),引起備案內(nèi)容發(fā)生變化的,應(yīng)當履行備案變更手續(xù)���。
第二十一條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律�、行政法規(guī)有境內(nèi)存儲要求的,應(yīng)當在境內(nèi)存儲,確需向境外提供的,應(yīng)當依法依規(guī)進行數(shù)據(jù)出境安全評估�����。
工業(yè)和信息化部根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約���、協(xié)定,或者按照平等互惠原則,處理外國工業(yè)、電信��、無線電執(zhí)法機構(gòu)關(guān)于提供工業(yè)和信息化領(lǐng)域數(shù)據(jù)的請求���。非經(jīng)工業(yè)和信息化部批準,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國工業(yè)�、電信�、無線電執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)。
第二十二條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者因兼并�、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的,應(yīng)當明確數(shù)據(jù)轉(zhuǎn)移方案,并通過電話�、短信、郵件��、公告等方式通知受影響用戶�����。涉及重要數(shù)據(jù)和核心數(shù)據(jù)備案內(nèi)容發(fā)生變化的,應(yīng)當履行備案變更手續(xù)。
第二十三條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者委托他人開展數(shù)據(jù)處理活動的,應(yīng)當通過簽訂合同協(xié)議等方式,明確委托方與受托方的數(shù)據(jù)安全責任和義務(wù)��。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,應(yīng)當對受托方的數(shù)據(jù)安全保護能力�����、資質(zhì)進行核驗�。
除法律、行政法規(guī)等另有規(guī)定外,未經(jīng)委托方同意,受托方不得將數(shù)據(jù)提供給第三方�����。
第二十四條 跨主體提供���、轉(zhuǎn)移���、委托處理核心數(shù)據(jù)的,工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當評估安全風險,采取必要的安全保護措施,并由本地區(qū)行業(yè)監(jiān)管部門審查后報工業(yè)和信息化部。工業(yè)和信息化部按照有關(guān)規(guī)定進行審查�。
第二十五條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)全生命周期處理過程中,記錄數(shù)據(jù)處理、權(quán)限管理��、人員操作等日志��。日志留存時間不少于六個月。
第四章 數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理
第二十六條 工業(yè)和信息化部建立數(shù)據(jù)安全風險監(jiān)測機制,組織制定數(shù)據(jù)安全監(jiān)測預(yù)警接口和標準,統(tǒng)籌建設(shè)數(shù)據(jù)安全監(jiān)測預(yù)警技術(shù)手段,形成監(jiān)測�����、預(yù)警�����、處置���、溯源等能力,與相關(guān)部門加強信息共享�����。
地方行業(yè)監(jiān)管部門分別建設(shè)本地區(qū)數(shù)據(jù)安全風險監(jiān)測預(yù)警機制,組織開展數(shù)據(jù)安全風險監(jiān)測,按照有關(guān)規(guī)定及時發(fā)布預(yù)警信息,通知本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者及時采取應(yīng)對措施。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當開展數(shù)據(jù)安全風險監(jiān)測,及時排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風險�����。
第二十七條 工業(yè)和信息化部建立數(shù)據(jù)安全風險信息上報和共享機制,統(tǒng)一匯集��、分析�����、研判、通報數(shù)據(jù)安全風險信息,鼓勵安全服務(wù)機構(gòu)�����、行業(yè)組織����、科研機構(gòu)等開展數(shù)據(jù)安全風險信息上報和共享。
地方行業(yè)監(jiān)管部門分別匯總分析本地區(qū)數(shù)據(jù)安全風險,及時將可能造成重大及以上安全事件的風險上報工業(yè)和信息化部����。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當及時將可能造成較大及以上安全事件的風險向本地區(qū)行業(yè)監(jiān)管部門報告。
第二十八條 工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作����。
地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應(yīng)當立即上報工業(yè)和信息化部,并及時報告事件發(fā)展和處置情況���。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后,應(yīng)當按照應(yīng)急預(yù)案,及時開展應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,第一時間向本地區(qū)行業(yè)監(jiān)管部門報告,事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報告,每年向本地區(qū)行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況�。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,應(yīng)當及時告知用戶,并提供減輕危害措施��。
第二十九條 工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報渠道,地方行業(yè)監(jiān)管部門分別建立本地區(qū)數(shù)據(jù)安全違法行為投訴舉報機制或渠道,依法接收�����、處理投訴舉報,根據(jù)工作需要開展執(zhí)法調(diào)查。鼓勵工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者建立用戶投訴處理機制����。
第五章 數(shù)據(jù)安全檢測、認證��、評估管理
第三十條 工業(yè)和信息化部指導����、鼓勵具備相應(yīng)資質(zhì)的機構(gòu),依據(jù)相關(guān)標準開展行業(yè)數(shù)據(jù)安全檢測、認證工作�。
第三十一條 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度,開展評估機構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范,指導評估機構(gòu)開展數(shù)據(jù)安全風險評估��、出境安全評估等工作��。
地方行業(yè)監(jiān)管部門分別負責組織開展本地區(qū)數(shù)據(jù)安全評估工作�。
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當自行或委托第三方評估機構(gòu),每年對其數(shù)據(jù)處理活動至少開展一次風險評估,及時整改風險問題,并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告��。
第六章 監(jiān)督檢查
第三十二條 行業(yè)監(jiān)管部門對工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實本辦法要求的情況進行監(jiān)督檢查�。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當對行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。
第三十三條 工業(yè)和信息化部在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下,開展工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全審查相關(guān)工作��。
第三十四條 行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評估機構(gòu)工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等,應(yīng)當嚴格保密,不得泄露或者非法向他人提供��。
第七章 法律責任
第三十五條 行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中,發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風險的,可以按照規(guī)定權(quán)限和程序?qū)I(yè)和信息化領(lǐng)域數(shù)據(jù)處理者進行約談,并要求采取措施進行整改,消除隱患。
第三十六條 有違反本辦法規(guī)定行為的,由行業(yè)監(jiān)管部門按照相關(guān)法律法規(guī),根據(jù)情節(jié)嚴重程度給予沒收違法所得��、罰款��、暫停業(yè)務(wù)��、停業(yè)整頓�、吊銷業(yè)務(wù)許可證等行政處罰;構(gòu)成犯罪的,依法追究刑事責任。
第八章 附則
第三十七條 中央企業(yè)應(yīng)當督促指導所屬企業(yè),在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案���、核心數(shù)據(jù)跨主體處理風險評估�����、風險信息上報���、年度數(shù)據(jù)安全事件處置報告、重要數(shù)據(jù)和核心數(shù)據(jù)風險評估等工作中履行屬地管理要求,還應(yīng)當全面梳理匯總企業(yè)集團本部�、所屬公司的數(shù)據(jù)安全相關(guān)情況,并及時報送工業(yè)和信息化部。
第三十八條 開展涉及個人信息的數(shù)據(jù)處理活動,還應(yīng)當遵守有關(guān)法律����、行政法規(guī)的規(guī)定。
第三十九條 涉及軍事��、國家秘密信息等數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。
第四十條 工業(yè)和信息化領(lǐng)域政務(wù)數(shù)據(jù)處理活動的具體辦法,由工業(yè)和信息化部另行規(guī)定�����。
第四十一條 國防科技工業(yè)�、煙草領(lǐng)域數(shù)據(jù)安全管理由國家國防科技工業(yè)局、國家煙草專賣局負責,具體制度參照本辦法另行制定�。
第四十二條 本辦法自2023年1月1日起施行。
中企網(wǎng)微博
中企網(wǎng)微信