新京報訊 12月13日,工信部釋出《工業和資訊化領域資料安全管理辦法(試行)》,其中指出,工業和資訊化領域資料處理者在中華人民共和國境内收集和産生的重要資料和核心資料,法律、行政法規有境記憶體儲要求的,應當在境記憶體儲,确需向境外提供的,應當依法依規進行資料出境安全評估。
詳情如下:
工業和資訊化領域資料安全管理辦法(試行)
第一章 總則
第一條 為了規範工業和資訊化領域資料處理活動,加強資料安全管理,保障資料安全,促進資料開發利用,保護個人、組織的合法權益,維護國家安全和發展利益,根據《中華人民共和國資料安全法》《中華人民共和國網絡安全法》《中華人民共和國個人資訊保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規,制定本辦法。
第二條 在中華人民共和國境内開展的工業和資訊化領域資料處理活動及其安全監管,應當遵守相關法律、行政法規和本辦法的要求。
第三條 工業和資訊化領域資料包括工業資料、電信資料和無線電資料等。工業資料是指工業各行業各領域在研發設計、生産制造、經營管理、運作維護、平台營運等過程中産生和收集的資料。
電信資料是指在電信業務經營活動中産生和收集的資料。
無線電資料是指在開展無線電業務活動中産生和收集的無線電頻率、台(站)等電波參數資料。
工業和資訊化領域資料處理者是指資料處理活動中自主決定處理目的、處理方式的工業企業、軟體和資訊技術服務企業、取得電信業務經營許可證的電信業務經營者和無線電頻率、台(站)使用機關等工業和資訊化領域各類主體。工業和資訊化領域資料處理者按照所屬行業領域可分為工業資料處理者、電信資料處理者、無線電資料處理者等。資料處理活動包括但不限于資料收集、存儲、使用、加工、傳輸、提供、公開等活動。
第四條 在國家資料安全工作協調機制統籌協調下,工業和資訊化部負責督促指導各省、自治區、直轄市及計劃單列市、新疆生産建設兵團工業和資訊化主管部門,各省、自治區、直轄市通信管理局和無線電管理機構(以下統稱地方行業監管部門)開展資料安全監管,對工業和資訊化領域的資料處理活動和安全保護進行監督管理。
地方行業監管部門分别負責對本地區工業、電信、無線電資料處理者的資料處理活動和安全保護進行監督管理。
工業和資訊化部及地方行業監管部門統稱為行業監管部門。
行業監管部門按照有關法律、行政法規,依法配合有關部門開展的資料安全監管相關工作。
第五條 行業監管部門鼓勵資料開發利用和資料安全技術研究,支援推廣資料安全産品和服務,培育資料安全企業、研究和服務機構,發展資料安全産業,提升資料安全保障能力,促進資料的創新應用。
工業和資訊化領域資料處理者研究、開發、使用資料新技術、新産品、新服務,應當有利于促進經濟社會和行業發展,符合社會公德和倫理。
第六條 行業監管部門推進工業和資訊化領域資料開發利用和資料安全标準體系建設,組織開展相關标準制修訂及推廣應用工作。
第二章 資料分類分級管理
第七條 工業和資訊化部組織制定工業和資訊化領域資料分類分級、重要資料和核心資料識别認定、資料分級防護等标準規範,指導開展資料分類分級管理工作,制定行業重要資料和核心資料具體目錄并實施動态管理。
地方行業監管部門分别組織開展本地區工業和資訊化領域資料分類分級管理及重要資料和核心資料識别工作,确定本地區重要資料和核心資料具體目錄并上報工業和資訊化部,目錄發生變化的,應當及時上報更新。
工業和資訊化領域資料處理者應當定期梳理資料,按照相關标準規範識别重要資料和核心資料并形成本機關的具體目錄。
第八條 根據行業要求、特點、業務需求、資料來源和用途等因素,工業和資訊化領域資料分類類别包括但不限于研發資料、生産運作資料、管理資料、運維資料、業務服務資料等。
根據資料遭到篡改、破壞、洩露或者非法擷取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,工業和資訊化領域資料分為一般資料、重要資料和核心資料三級。
工業和資訊化領域資料處理者可在此基礎上細分資料的類别和級别。
第九條 危害程度符合下列條件之一的資料為一般資料:
(一)對公共利益或者個人、組織合法權益造成較小影響,社會負面影響小;
(二)受影響的使用者和企業數量較少、生産生活區域範圍較小、持續時間較短,對企業經營、行業發展、技術進步和産業生态等影響較小;
(三)其他未納入重要資料、核心資料目錄的資料。
第十條 危害程度符合下列條件之一的資料為重要資料:
(一)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生态、資源、核安全等構成威脅,影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域;
(二)對工業和資訊化領域發展、生産、運作和經濟利益等造成嚴重影響;
(三)造成重大資料安全事件或生産安全事故,對公共利益或者個人、組織合法權益造成嚴重影響,社會負面影響大;
(四)引發的級聯效應明顯,影響範圍涉及多個行業、區域或者行業内多個企業,或者影響持續時間長,對行業發展、技術進步和産業生态等造成嚴重影響;
(五)經工業和資訊化部評估确定的其他重要資料。
第十一條 危害程度符合下列條件之一的資料為核心資料:
(一)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生态、資源、核安全等構成嚴重威脅,嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域;
(二)對工業和資訊化領域及其重要骨幹企業、關鍵資訊基礎設施、重要資源等造成重大影響;
(三)對工業生産營運、電信網絡和網際網路運作服務、無線電業務開展等造成重大損害,導緻大範圍停工停産、大面積無線電業務中斷、大規模網絡與服務癱瘓、大量業務處理能力喪失等;
(四)經工業和資訊化部評估确定的其他核心資料。
第十二條 工業和資訊化領域資料處理者應當将本機關重要資料和核心資料目錄向本地區行業監管部門備案。備案内容包括但不限于資料來源、類别、級别、規模、載體、處理目的和方式、使用範圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況,不包括資料内容本身。
地方行業監管部門應當在工業和資訊化領域資料處理者送出備案申請的二十個工作日内完成稽核工作,備案内容符合要求的,予以備案,同時将備案情況報工業和資訊化部;不予備案的應當及時回報備案申請人并說明理由。備案申請人應當在收到回報情況後的十五個工作日内再次送出備案申請。
備案内容發生重大變化的,工業和資訊化領域資料處理者應當在發生變化的三個月内履行備案變更手續。重大變化是指某類重要資料和核心資料規模(資料條目數量或者存儲總量等)變化30%以上,或者其它備案内容發生變化。
第三章 資料全生命周期安全管理
第十三條 工業和資訊化領域資料處理者應當對資料處理活動負安全主體責任,對各類資料實行分級防護,不同級别資料同時被處理且難以分别采取保護措施的,應當按照其中級别最高的要求實施保護,確定資料持續處于有效保護和合法利用的狀态。
(一)建立資料全生命周期安全管理制度,針對不同級别資料,制定資料收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程;
(二)根據需要配備資料安全管理人員,統籌負責資料處理活動的安全監督管理,協助行業監管部門開展工作;
(三)合理确定資料處理活動的操作權限,嚴格實施人員權限管理;
(四)根據應對資料安全事件的需要,制定應急預案,并開展應急演練;
(五)定期對從業人員開展資料安全教育和教育訓練;
(六)法律、行政法規等規定的其他措施。
工業和資訊化領域重要資料和核心資料處理者,還應當:
(一)建立覆寫本機關相關部門的資料安全工作體系,明确資料安全負責人和管理機構,建立常态化溝通與協作機制。本機關法定代表人或者主要負責人是資料安全第一責任人,上司團隊中分管資料安全的成員是直接責任人;
(二)明确資料處理關鍵崗位和崗位職責,并要求關鍵崗位人員簽署資料安全責任書,責任書内容包括但不限于資料安全崗位職責、義務、處罰措施、注意事項等内容;
(三)建立内部登記、審批等工作機制,對重要資料和核心資料的處理活動進行嚴格管理并留存記錄。
第十四條 工業和資訊化領域資料處理者收集資料應當遵循合法、正當的原則,不得竊取或者以其他非法方式收集資料。
資料收集過程中,應當根據資料安全級别采取相應的安全措施,加強重要資料和核心資料收集人員、裝置的管理,并對收集來源、時間、類型、數量、頻度、流向等進行記錄。
通過間接途徑擷取重要資料和核心資料的,工業和資訊化領域資料處理者應當與資料提供方通過簽署相關協定、承諾書等方式,明确雙方法律責任。
第十五條 工業和資訊化領域資料處理者應當按照法律、行政法規規定和使用者約定的方式、期限進行資料存儲。存儲重要資料和核心資料的,應當采用校驗技術、密碼技術等措施進行安全存儲,并實施資料容災備份和存儲媒體安全管理,定期開展資料恢複測試。
第十六條 工業和資訊化領域資料處理者利用資料進行自動化決策的,應當保證決策的透明度和結果公平合理。使用、加工重要資料和核心資料的,還應當加強通路控制。
工業和資訊化領域資料處理者提供資料處理服務,涉及經營電信業務的,應當按照相關法律、行政法規規定取得電信業務經營許可。
第十七條 工業和資訊化領域資料處理者應當根據傳輸的資料類型、級别和應用場景,制定安全政策并采取保護措施。傳輸重要資料和核心資料的,應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協定等措施。
第十八條 工業和資訊化領域資料處理者對外提供資料,應當明确提供的範圍、類别、條件、程式等。提供重要資料和核心資料的,應當與資料擷取方簽訂資料安全協定,對資料擷取方資料安全保護能力進行核驗,采取必要的安全保護措施。
第十九條 工業和資訊化領域資料處理者應當在資料公開前分析研判可能對國家安全、公共利益産生的影響,存在重大影響的不得公開。
第二十條 工業和資訊化領域資料處理者應當建立資料銷毀制度,明确銷毀對象、規則、流程和技術等要求,對銷毀活動進行記錄和留存。個人、組織按照法律規定、合同約定等請求銷毀的,工業和資訊化領域資料處理者應當銷毀相應資料。
工業和資訊化領域資料處理者銷毀重要資料和核心資料後,不得以任何理由、任何方式對銷毀資料進行恢複,引起備案内容發生變化的,應當履行備案變更手續。
第二十一條 工業和資訊化領域資料處理者在中華人民共和國境内收集和産生的重要資料和核心資料,法律、行政法規有境記憶體儲要求的,應當在境記憶體儲,确需向境外提供的,應當依法依規進行資料出境安全評估。
工業和資訊化部根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國工業、電信、無線電執法機構關于提供工業和資訊化領域資料的請求。非經工業和資訊化部準許,工業和資訊化領域資料處理者不得向外國工業、電信、無線電執法機構提供存儲于中華人民共和國境内的工業和資訊化領域資料。
第二十二條 工業和資訊化領域資料處理者因兼并、重組、破産等原因需要轉移資料的,應當明确資料轉移方案,并通過電話、短信、郵件、公告等方式通知受影響使用者。涉及重要資料和核心資料備案内容發生變化的,應當履行備案變更手續。
第二十三條 工業和資訊化領域資料處理者委托他人開展資料處理活動的,應當通過簽訂合同協定等方式,明确委托方與受托方的資料安全責任和義務。委托處理重要資料和核心資料的,應當對受托方的資料安全保護能力、資質進行核驗。
除法律、行政法規等另有規定外,未經委托方同意,受托方不得将資料提供給第三方。
第二十四條 跨主體提供、轉移、委托處理核心資料的,工業和資訊化領域資料處理者應當評估安全風險,采取必要的安全保護措施,并由本地區行業監管部門審查後報工業和資訊化部。工業和資訊化部按照有關規定進行審查。
第二十五條 工業和資訊化領域資料處理者應當在資料全生命周期處理過程中,記錄資料處理、權限管理、人員操作等日志。日志留存時間不少于六個月。
第四章 資料安全監測預警與應急管理
第二十六條 工業和資訊化部建立資料安全風險監測機制,組織制定資料安全監測預警接口和标準,統籌建設資料安全監測預警技術手段,形成監測、預警、處置、溯源等能力,與相關部門加強資訊共享。
地方行業監管部門分别建設本地區資料安全風險監測預警機制,組織開展資料安全風險監測,按照有關規定及時釋出預警資訊,通知本地區工業和資訊化領域資料處理者及時采取應對措施。
工業和資訊化領域資料處理者應當開展資料安全風險監測,及時排查安全隐患,采取必要的措施防範資料安全風險。
第二十七條 工業和資訊化部建立資料安全風險資訊上報和共享機制,統一彙集、分析、研判、通報資料安全風險資訊,鼓勵安全服務機構、行業組織、科研機構等開展資料安全風險資訊上報和共享。
地方行業監管部門分别彙總分析本地區資料安全風險,及時将可能造成重大及以上安全事件的風險上報工業和資訊化部。
工業和資訊化領域資料處理者應當及時将可能造成較大及以上安全事件的風險向本地區行業監管部門報告。
第二十八條 工業和資訊化部制定工業和資訊化領域資料安全事件應急預案,組織協調重要資料和核心資料安全事件應急處置工作。
地方行業監管部門分别組織開展本地區資料安全事件應急處置工作。涉及重要資料和核心資料的安全事件,應當立即上報工業和資訊化部,并及時報告事件發展和處置情況。
工業和資訊化領域資料處理者在資料安全事件發生後,應當按照應急預案,及時開展應急處置,涉及重要資料和核心資料的安全事件,第一時間向本地區行業監管部門報告,事件處置完成後在規定期限内形成總結報告,每年向本地區行業監管部門報告資料安全事件處置情況。
工業和資訊化領域資料處理者對發生的可能損害使用者合法權益的資料安全事件,應當及時告知使用者,并提供減輕危害措施。
第二十九條 工業和資訊化部委托相關行業組織建立工業和資訊化領域資料安全違法行為投訴舉報管道,地方行業監管部門分别建立本地區資料安全違法行為投訴舉報機制或管道,依法接收、處理投訴舉報,根據工作需要開展執法調查。鼓勵工業和資訊化領域資料處理者建立使用者投訴處理機制。
第五章 資料安全檢測、認證、評估管理
第三十條 工業和資訊化部指導、鼓勵具備相應資質的機構,依據相關标準開展行業資料安全檢測、認證工作。
第三十一條 工業和資訊化部制定行業資料安全評估管理制度,開展評估機構管理工作。制定行業資料安全評估規範,指導評估機構開展資料安全風險評估、出境安全評估等工作。
地方行業監管部門分别負責組織開展本地區資料安全評估工作。
工業和資訊化領域重要資料和核心資料處理者應當自行或委托第三方評估機構,每年對其資料處理活動至少開展一次風險評估,及時整改風險問題,并向本地區行業監管部門報送風險評估報告。
第六章 監督檢查
第三十二條 行業監管部門對工業和資訊化領域資料處理者落實本辦法要求的情況進行監督檢查。
工業和資訊化領域資料處理者應當對行業監管部門監督檢查予以配合。
第三十三條 工業和資訊化部在國家資料安全工作協調機制指導下,開展工業和資訊化領域資料安全審查相關工作。
第三十四條 行業監管部門及其委托的資料安全評估機構從業人員對在履行職責中知悉的個人資訊和商業秘密等,應當嚴格保密,不得洩露或者非法向他人提供。
第七章 法律責任
第三十五條 行業監管部門在履行資料安全監督管理職責中,發現資料處理活動存在較大安全風險的,可以按照規定權限和程式對工業和資訊化領域資料處理者進行約談,并要求采取措施進行整改,消除隐患。
第三十六條 有違反本辦法規定行為的,由行業監管部門按照相關法律法規,根據情節嚴重程度給予沒收違法所得、罰款、暫停業務、停業整頓、吊銷業務許可證等行政處罰;構成犯罪的,依法追究刑事責任。
第八章 附則
第三十七條 中央企業應當督促指導所屬企業,在重要資料和核心資料目錄備案、核心資料跨主體處理風險評估、風險資訊上報、年度資料安全事件處置報告、重要資料和核心資料風險評估等工作中履行屬地管理要求,還應當全面梳理彙總企業集團本部、所屬公司的資料安全相關情況,并及時報送工業和資訊化部。
第三十八條 開展涉及個人資訊的資料處理活動,還應當遵守有關法律、行政法規的規定。
第三十九條 涉及軍事、國家秘密資訊等資料處理活動,按照國家有關規定執行。
第四十條 工業和資訊化領域政務資料處理活動的具體辦法,由工業和資訊化部另行規定。
第四十一條 國防科技工業、煙草領域資料安全管理由國家國防科技工業局、國家煙草專賣局負責,具體制度參照本辦法另行制定。
第四十二條 本辦法自2023年1月1日起施行。
編輯 陳媛媛