工业和@@信息化@@部@@关于印发@@《工业和@@信息化@@领域数据安全管理办法@@（试行@@）》的通知@@

各省@@、自治区@@、直辖市@@、计划单列市及新疆生产@@建设兵团工业和@@信息化@@主管部门@@@@，各省@@、自治区@@、直辖市@@通信管理局@@，青海@@、宁夏无线电管理机构@@，部属各单位@@，部属各高校@@，各有关企业@@：

　　现将@@《工业和@@信息化@@领域数据安全管理办法@@（试行@@）》印发给你们@@，请认真遵照执行@@。

　　工业和@@信息化@@部@@

　　2022年@@12月@@8日@@

工业和@@信息化@@领域数据安全管理办法@@（试行@@）

　　第一@@章@@ 总则@@

　　第一@@条@@ 为了规范工业和@@信息化@@领域数据处理活动@@，加强数据安全管理@@，保障数据安全@@，促进数据开发@@利用@@，保护个人@@@@、组织的合法权益@@，维护国家安全和发展利益@@，根据@@《中华人民共和国数据安全法@@》《中华人民共和国网络@@安全法@@》《中华人民共和国个人@@信息保护法@@》《中华人民共和国国家安全法@@》《中华人民共和国民法典@@》等法律@@法规@@，制定本办法@@。

　　第二@@条@@ 在中华人民共和国境内开展的工业和@@信息化@@领域数据处理活动及其安全监管@@，应当遵守相关法律@@@@、行政法规@@和本办法的要求@@。

　　第三@@条@@ 工业和@@信息化@@领域数据包括工业数据@@、电信@@数据和无线电数据等@@。工业数据是指工业各行业各领域在研发设计@@、生产@@制造@@、经营管理@@、运行维护@@、平台@@@@运营等过程中产生和收集的数据@@。

　　电信@@数据是指在电信@@业务经营活动中产生和收集的数据@@。

　　无线电数据是指在开展无线电业务活动中产生和收集的无线电频率@@、台@@（站@@）等电波参数数据@@。

　　工业和@@信息化@@领域数据处理者是指数据处理活动中自主决定处理目的@@、处理方式的工业企业@@、软件和信息技术服务企业@@、取得电信@@业务经营许可证的电信@@业务经营者和无线电频率@@、台@@（站@@）使用@@单位等工业和@@信息化@@领域各类主体@@@@。工业和@@信息化@@领域数据处理者按照所属行业领域可分为工业数据处理者@@、电信@@数据处理者@@、无线电数据处理者等@@。数据处理活动包括但不限于数据收集@@、存储@@、使用@@、加工@@、传输@@、提供@@、公开等活动@@。

　　第四@@条@@ 在国家数据安全工作协调机制统筹协调下@@，工业和@@信息化@@部@@负责督促指导各省@@@@、自治区@@、直辖市@@及计划单列市@@、新疆生产@@建设兵团工业和@@信息化@@主管部门@@，各省@@、自治区@@、直辖市@@通信管理局@@和无线电管理机构@@（以下统称地方行业监管部门@@）开展数据安全监管@@，对工业和@@信息化@@领域的数据处理活动和安全保护进行监督管理@@。

　　地方行业监管部门分别负责对本地区工业@@、电信@@、无线电数据处理者的数据处理活动和安全保护进行监督管理@@。

　　工业和@@信息化@@部@@及地方行业监管部门统称为行业监管部门@@。

　　行业监管部门按照有关法律@@@@、行政法规@@，依法配合有关部门开展的数据安全监管相关工作@@。

　　第五@@条@@ 行业监管部门鼓励数据开发@@利用和数据安全技术研究@@，支持推广数据安全产品和服务@@，培育数据安全企业@@、研究和服务机构@@，发展数据安全产业@@，提升数据安全保障能力@@，促进数据的创新应用@@。

　　工业和@@信息化@@领域数据处理者研究@@、开发@@、使用@@数据新技术@@、新产品@@、新服务@@，应当有利于促进经济@@社会@@和行业发展@@@@，符合社会@@公德和伦理@@。

　　第六@@条@@ 行业监管部门推进工业和@@信息化@@领域数据开发@@利用和数据安全标@@准体系建设@@，组织开展相关标@@准制修订及推广应用工作@@。

　　第二@@章@@ 数据分类分级管理@@

　　第七条@@ 工业和@@信息化@@部@@组织制定工业和@@信息化@@领域数据分类分级@@、重要数据和核心数据识别认定@@、数据分级防护等标@@准规范@@，指导开展数据分类分级管理@@工作@@，制定行业重要数据和核心数据具体目录并实施动态管理@@。

　　地方行业监管部门分别组织开展本地区工业和@@信息化@@领域数据分类分级管理@@及重要数据和核心数据识别工作@@，确定本地区重要数据和核心数据具体目录并上报工业和@@信息化@@部@@@@，目录发生变化@@的@@，应当及时上报更新@@。

　　工业和@@信息化@@领域数据处理者应当定期梳理数据@@，按照相关标@@准规范识别重要数据和核心数据并形成本单位的具体目录@@。

　　第八条@@ 根据@@行业要求@@、特点@@、业务需求@@、数据来源和用途等因素@@，工业和@@信息化@@领域数据分类类别@@包括但不限于研发数据@@、生产@@运行数据@@、管理数据@@、运维数据@@、业务服务数据等@@。

　　根据@@数据遭到篡改@@、破坏@@、泄露或者非法获取@@、非法利用@@，对国家安全@@、公共利益或者个人@@@@、组织合法权益等造成的危害程度@@，工业和@@信息化@@领域数据分为一@@般数据@@、重要数据和核心数据三@@级@@。

　　工业和@@信息化@@领域数据处理者可在此基础上细分数据的类别@@和级别@@@@。

　　第九条@@ 危害程度符合下列条件@@之一@@的数据为一@@般数据@@：

　　（一@@）对公共利益或者个人@@@@@@、组织合法权益造成较小影响@@，社会@@负面影响小@@；

　　（二@@）受影响的用户和企业数量@@较少@@、生产@@生活区域范围较小@@、持续时间@@较短@@，对企业经营@@、行业发展@@、技术进步和产业生态@@等影响较小@@；

　　（三@@）其他未纳入重要数据@@、核心数据目录的数据@@。

　　第十条@@ 危害程度符合下列条件@@之一@@的数据为重要数据@@：

　　（一@@）对政治@@、国土@@、军事@@、经济@@、文化@@、社会@@、科技@@、电磁@@、网络@@、生态@@、资源@@、核安全等构成威胁@@，影响海外利益@@、生物@@、太空@@、极地@@、深海@@、人工智能等与国家安全相关的重点领域@@；

　　（二@@）对工业和@@信息化@@领域发展@@、生产@@、运行和经济@@利益等造成严重影响@@；

　　（三@@）造成重大数据安全事件或生产@@安全事故@@，对公共利益或者个人@@@@@@、组织合法权益造成严重影响@@，社会@@负面影响大@@；

　　（四@@）引发的级联效应明显@@，影响范围涉及多个行业@@、区域或者行业内多个企业@@，或者影响持续时间@@长@@，对行业发展@@@@、技术进步和产业生态@@等造成严重影响@@；

　　（五@@）经工业和@@信息化@@部@@评估确定的其他重要数据@@。

　　第十一@@条@@ 危害程度符合下列条件@@之一@@的数据为核心数据@@：

　　（一@@）对政治@@、国土@@、军事@@、经济@@、文化@@、社会@@、科技@@、电磁@@、网络@@、生态@@、资源@@、核安全等构成严重威胁@@，严重影响海外利益@@@@、生物@@、太空@@、极地@@、深海@@、人工智能等与国家安全相关的重点领域@@；

　　（二@@）对工业和@@信息化@@领域及其重要骨干企业@@、关键信息基础设施@@、重要资源@@等造成重大影响@@；

　　（三@@）对工业生产@@运营@@、电信@@网络@@和互联网运行服务@@、无线电业务开展等造成重大损害@@，导致大范围停工停产@@、大面积无线电业务中断@@、大规模@@网络@@与服务瘫痪@@、大量业务处理能力丧失等@@；

　　（四@@）经工业和@@信息化@@部@@评估确定的其他核心数据@@。

　　第十二@@条@@ 工业和@@信息化@@领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案@@。备案内容包括但不限于数据来源@@、类别@@、级别@@、规模@@、载体@@、处理目的和方式@@、使用@@范围@@、责任主体@@@@、对外共享@@、跨境传输@@@@、安全保护措施等基本情况@@，不包括数据内容本身@@。

　　地方行业监管部门应当在工业和@@信息化@@领域数据处理者提交备案申请的二@@十个工作日@@内完成审核工作@@，备案内容符合要求的@@，予以备案@@，同时将备案情况报工业和@@信息化@@部@@@@；不予备案的应当及时反馈备案申请人并说明理由@@。备案申请人应当在收到反馈情况后的十五@@个工作日@@内再次提交备案申请@@。

　　备案内容发生重大变化@@的@@，工业和@@信息化@@领域数据处理者应当在发生变化@@的三@@个月@@内履行备案变更手续@@。重大变化@@是指某类重要数据和核心数据规模@@@@（数据条目数量@@或者存储@@总量等@@）变化@@30％以上@@，或者其它备案内容发生变化@@@@。

　　第三@@章@@ 数据全生命周期安全管理@@

　　第十三@@条@@ 工业和@@信息化@@领域数据处理者应当对数据处理活动负安全主体@@责任@@，对各类数据实行分级防护@@，不同级别@@数据同时被处理且难以分别采取保护措施的@@，应当按照其中级别@@最高的要求实施保护@@，确保数据持续处于有效保护和合法利用的状态@@。

　　（一@@）建立数据全生命周期安全管理@@制度@@，针对不同级别@@数据@@，制定数据收集@@、存储@@、使用@@、加工@@、传输@@、提供@@、公开等环节的具体分级防护要求和操作规程@@；

　　（二@@）根据@@需要配备数据安全管理人员@@，统筹负责数据处理活动的安全监督管理@@，协助行业监管部门开展工作@@；

　　（三@@）合理确定数据处理活动的操作权限@@，严格实施人员权限管理@@@@；

　　（四@@）根据@@应对数据安全事件的需要@@，制定应急预案@@，并开展应急演练@@；

　　（五@@）定期对从业人员开展数据安全教育和培训@@；

　　（六@@）法律@@、行政法规@@等规定的其他措施@@。

　　工业和@@信息化@@领域重要数据和核心数据处理者@@，还应当@@：

　　（一@@）建立覆盖本单位相关部门的数据安全工作体系@@，明确数据安全负责人和管理机构@@，建立常态化沟通与协作机制@@。本单位法定代表人或者主要负责人是数据安全第一@@责任人@@，领导团队中分管数据安全的成员是直接责任人@@；

　　（二@@）明确数据处理关键岗位和岗位职责@@，并要求关键岗位人员签署数据安全责任书@@，责任书内容包括但不限于数据安全岗位职责@@、义务@@、处罚措施@@、注意事项等内容@@；

　　（三@@）建立内部登记@@、审批等工作机制@@，对重要数据和核心数据的处理活动进行严格管理并留存记录@@。

　　第十四@@条@@ 工业和@@信息化@@领域数据处理者收集数据应当遵循合法@@、正当的原则@@，不得窃取或者以其他非法方式收集数据@@。

　　数据收集过程中@@，应当根据@@数据安全级别@@采取相应的安全措施@@，加强重要数据和核心数据收集人员@@、设备的管理@@，并对收集来源@@、时间@@、类型@@、数量@@、频度@@、流向等进行记录@@。

　　通过间接途径获取重要数据和核心数据的@@，工业和@@信息化@@领域数据处理者应当与数据提供@@方通过签署相关协议@@、承诺书等方式@@，明确双方法律@@责任@@@@。

　　第十五@@条@@ 工业和@@信息化@@领域数据处理者应当按照法律@@@@、行政法规@@规定和用户约定的方式@@、期限进行数据存储@@@@。存储@@重要数据和核心数据的@@，应当采用校验技术@@、密码技术@@等措施进行安全存储@@@@，并实施数据容灾备份和存储@@介质安全管理@@，定期开展数据恢复测试@@。

　　第十六@@条@@ 工业和@@信息化@@领域数据处理者利用数据进行自动化决策的@@，应当保证决策的透明度和结果公平合理@@。使用@@、加工@@重要数据和核心数据的@@，还应当@@加强访问控制@@。

　　工业和@@信息化@@领域数据处理者提供@@数据处理服务@@，涉及经营电信@@业务的@@，应当按照相关法律@@@@、行政法规@@规定取得电信@@业务经营许可@@。

　　第十七条@@ 工业和@@信息化@@领域数据处理者应当根据@@传输@@的数据类型@@@@、级别@@和应用场景@@，制定安全策略并采取保护措施@@。传输@@重要数据和核心数据的@@，应当采取校验技术@@、密码技术@@、安全传输@@通道或者安全传输@@协议等措施@@。

　　第十八条@@ 工业和@@信息化@@领域数据处理者对外提供@@数据@@，应当明确提供@@的范围@@、类别@@、条件@@、程序等@@。提供@@重要数据和核心数据的@@，应当与数据获取方签订数据安全协议@@，对数据获取方数据安全保护能力进行核验@@，采取必要的安全保护措施@@。

　　第十九条@@ 工业和@@信息化@@领域数据处理者应当在数据公开前分析@@研判@@可能对国家安全@@@@、公共利益产生的影响@@，存在重大影响的不得公开@@。

　　第二@@十条@@ 工业和@@信息化@@领域数据处理者应当建立数据销毁制度@@，明确销毁对象@@、规则@@、流程和技术等要求@@，对销毁活动进行记录和留存@@。个人@@、组织按照法律@@规定@@、合同约定等请求销毁的@@，工业和@@信息化@@领域数据处理者应当销毁相应数据@@。

　　工业和@@信息化@@领域数据处理者销毁重要数据和核心数据后@@，不得以任何理由@@、任何方式对销毁数据进行恢复@@，引起备案内容发生变化@@的@@，应当履行备案变更手续@@。

　　第二@@十一@@条@@ 工业和@@信息化@@领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据@@，法律@@、行政法规@@有境内存储@@要求的@@，应当在境内存储@@@@，确需向境外提供@@的@@，应当依法依规进行数据出境安全评估@@。

　　工业和@@信息化@@部@@根据@@有关法律@@和中华人民共和国缔结或者参加的国际条约@@、协定@@，或者按照平等互惠原则@@，处理外国工业@@、电信@@、无线电执法机构关于提供@@工业和@@信息化@@领域数据的请求@@。非经工业和@@信息化@@部@@批准@@，工业和@@信息化@@领域数据处理者不得向外国工业@@、电信@@、无线电执法机构提供@@存储@@于中华人民共和国境内的工业和@@信息化@@领域数据@@。

　　第二@@十二@@条@@ 工业和@@信息化@@领域数据处理者因兼并@@、重组@@、破产等原因需要转移@@数据的@@，应当明确数据转移@@方案@@，并通过电话@@、短信@@、邮件@@、公告等方式通知受影响用户@@。涉及重要数据和核心数据备案内容发生变化@@的@@，应当履行备案变更手续@@。

　　第二@@十三@@条@@ 工业和@@信息化@@领域数据处理者委托他人开展数据处理活动的@@，应当通过签订合同协议等方式@@，明确委托方与受托方的数据安全责任和义务@@@@。委托处理重要数据和核心数据的@@，应当对受托方的数据安全保护能力@@、资质进行核验@@。

　　除法律@@@@、行政法规@@等另有规定外@@，未经委托方同意@@，受托方不得将数据提供@@给第三@@方@@。

　　第二@@十四@@条@@ 跨主体@@提供@@@@、转移@@、委托处理核心数据的@@，工业和@@信息化@@领域数据处理者应当评估安全风险@@，采取必要的安全保护措施@@，并由本地区行业监管部门审查后报工业和@@信息化@@部@@@@。工业和@@信息化@@部@@按照有关规定进行审查@@。

　　第二@@十五@@条@@ 工业和@@信息化@@领域数据处理者应当在数据全生命周期处理过程中@@，记录数据处理@@、权限管理@@、人员操作等日@@志@@。日@@志留存时间@@不少于六@@个月@@@@。

　　第四@@章@@ 数据安全监测预警@@与应急管理@@

　　第二@@十六@@条@@ 工业和@@信息化@@部@@建立数据安全风险监测机制@@，组织制定数据安全监测预警@@接口和标@@准@@，统筹建设数据安全监测预警@@技术手段@@，形成监测@@、预警@@、处置@@、溯源等能力@@，与相关部门加强信息共享@@。

　　地方行业监管部门分别建设本地区数据安全风险监测预警@@机制@@，组织开展数据安全风险监测@@，按照有关规定及时发布预警@@信息@@，通知本地区工业和@@信息化@@领域数据处理者及时采取应对措施@@。

　　工业和@@信息化@@领域数据处理者应当开展数据安全风险监测@@，及时排查安全隐患@@，采取必要的措施防范数据安全风险@@。

　　第二@@十七条@@ 工业和@@信息化@@部@@建立数据安全风险信息上报@@和共享机制@@，统一@@汇集@@、分析@@、研判@@、通报数据安全风险信息@@，鼓励安全服务机构@@、行业组织@@、科研机构等开展数据安全风险信息上报@@和共享@@。

　　地方行业监管部门分别汇总分析@@本地区数据安全风险@@，及时将可能造成重大及以上@@安全事件的风险上报工业和@@信息化@@部@@@@。

　　工业和@@信息化@@领域数据处理者应当及时将可能造成较大及以上@@安全事件的风险向本地区行业监管部门报告@@。

　　第二@@十八条@@ 工业和@@信息化@@部@@制定工业和@@信息化@@领域数据安全事件应急预案@@，组织协调重要数据和核心数据安全事件应急处置@@工作@@。

　　地方行业监管部门分别组织开展本地区数据安全事件应急处置@@工作@@。涉及重要数据和核心数据的安全事件@@，应当立即上报工业和@@信息化@@部@@@@，并及时报告事件发展和处置@@情况@@。

　　工业和@@信息化@@领域数据处理者在数据安全事件发生后@@，应当按照应急预案@@，及时开展应急处置@@@@，涉及重要数据和核心数据的安全事件@@，第一@@时间@@向本地区行业监管部门报告@@，事件处置@@完成后在规定期限内形成总结报告@@，每年@@向本地区行业监管部门报告数据安全事件处置@@情况@@。

　　工业和@@信息化@@领域数据处理者对发生的可能损害用户合法权益的数据安全事件@@，应当及时告知用户@@，并提供@@减轻危害措施@@。

　　第二@@十九条@@ 工业和@@信息化@@部@@委托相关行业组织@@建立工业和@@信息化@@领域数据安全违法行为投诉举报渠道@@，地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道@@，依法接收@@、处理投诉举报@@，根据@@工作需要开展执法调查@@。鼓励工业和@@信息化@@领域数据处理者建立用户投诉处理机制@@。

　　第五@@章@@ 数据安全检测@@、认证@@、评估管理@@

　　第三@@十条@@ 工业和@@信息化@@部@@指导@@、鼓励具备相应资质的机构@@，依据相关标@@准开展行业数据安全检测@@@@、认证@@工作@@。

　　第三@@十一@@条@@ 工业和@@信息化@@部@@制定行业数据安全评估管理@@制度@@，开展评估机构管理工作@@。制定行业数据安全评估规范@@，指导评估机构开展数据安全风险评估@@、出境安全评估等工作@@。

　　地方行业监管部门分别负责组织开展本地区数据安全评估工作@@。

　　工业和@@信息化@@领域重要数据和核心数据处理者@@应当自行或委托第三@@方评估机构@@，每年@@对其数据处理活动至少开展一@@次风险评估@@，及时整改风险问题@@@@，并向本地区行业监管部门报送风险评估报告@@。

　　第六@@章@@ 监督检查@@

　　第三@@十二@@条@@ 行业监管部门对工业和@@信息化@@领域数据处理者落实本办法要求的情况进行监督检查@@@@。

　　工业和@@信息化@@领域数据处理者应当对行业监管部门监督检查@@予以配合@@。

　　第三@@十三@@条@@ 工业和@@信息化@@部@@在国家数据安全工作协调机制指导下@@，开展工业和@@信息化@@领域数据安全审查相关工作@@。

　　第三@@十四@@条@@ 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人@@信息和商业秘密等@@，应当严格保密@@，不得泄露或者非法向他人提供@@@@。

　　第七章@@ 法律@@责任@@

　　第三@@十五@@条@@ 行业监管部门在履行数据安全监督管理职责中@@，发现数据处理活动存在较大安全风险的@@，可以按照规定权限和程序对工业和@@信息化@@领域数据处理者进行约谈@@，并要求采取措施进行整改@@，消除隐患@@。

　　第三@@十六@@条@@ 有违反本办法规定行为的@@，由行业监管部门按照相关法律@@法规@@，根据@@情节严重程度给予没收违法所得@@、罚款@@、暂停业务@@、停业整顿@@、吊销业务许可证等行政处罚@@；构成犯罪的@@，依法追究刑事责任@@。

　　第八章@@ 附则@@

　　第三@@十七条@@ 中央企业应当督促指导所属企业@@，在重要数据和核心数据目录备案@@、核心数据跨主体@@处理风险评估@@、风险信息上报@@、年@@度数据安全事件处置@@报告@@、重要数据和核心数据风险评估等工作中履行属地管理要求@@，还应当@@全面梳理汇总企业集团本部@@、所属公司的数据安全相关情况@@，并及时报送工业和@@信息化@@部@@@@。

　　第三@@十八条@@ 开展涉及个人@@信息的数据处理活动@@，还应当@@遵守有关法律@@@@、行政法规@@的规定@@。

　　第三@@十九条@@ 涉及军事@@@@、国家秘密信息等数据处理活动@@，按照国家有关规定执行@@。

　　第四@@十条@@ 工业和@@信息化@@领域政务数据处理活动的具体办法@@，由工业和@@信息化@@部@@另行规定@@。

　　第四@@十一@@条@@ 国防科技@@工业@@、烟草领域数据安全管理由国家国防科技@@工业@@局@@、国家烟草专卖局负责@@，具体制度参照本办法另行制定@@。

　　第四@@十二@@条@@ 本办法自@@2023年@@1月@@1日@@起施行@@。