為規范工業和信息化領域數據處理活動�����,加強數據安全管理����,促進數據開發利用�,保護個人���、組織的合法權益���,維護國家安全和發展利益����,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規���,工業和信息化部近日印發《工業和信息化領域數據安全管理辦法(試行)》��。本辦法共八章四十二條����,主要內容包括七個方面:一是界定工業和信息化領域數據和數據處理者概念��,明確監管范圍和監管職責����。二是確定數據分類分級管理���、重要數據識別與備案相關要求���。三是針對不同級別的數據�����,圍繞數據收集����、存儲�、加工���、傳輸�����、提供��、公開�����、銷毀��、出境����、轉移�、委托處理等環節����,提出相應安全管理和保護要求�����。四是建立數據安全監測預警���、風險信息報送和共享�����、應急處置���、投訴舉報受理等工作機制�����。五是明確開展數據安全監測��、認證����、評估的相關要求���。六是規定監督檢查等工作要求�����。七是明確相關違法違規行為的法律責任和懲罰措施�。本辦法自2023年1月1日起施行��。關于印發《工業和信息化領域數據安全管理辦法(試行)》的通知
各省���、自治區��、直轄市�、計劃單列市及新疆生產建設兵團工業和信息化主管部門��,各省�����、自治區�、直轄市通信管理局���,青海�����、寧夏無線電管理機構�,部屬各單位����,部屬各高校���,各有關企業: 現將《工業和信息化領域數據安全管理辦法(試行)》印發給你們����,請認真遵照執行����。
第一條 為了規范工業和信息化領域數據處理活動�,加強數據安全管理��,保障數據安全��,促進數據開發利用�,保護個人����、組織的合法權益����,維護國家安全和發展利益�����,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規�����,制定本辦法����。第二條 在中華人民共和國境內開展的工業和信息化領域數據處理活動及其安全監管�,應當遵守相關法律�、行政法規和本辦法的要求����。第三條 工業和信息化領域數據包括工業數據���、電信數據和無線電數據等�。工業數據是指工業各行業各領域在研發設計����、生產制造���、經營管理�����、運行維護���、平臺運營等過程中產生和收集的數據�����。電信數據是指在電信業務經營活動中產生和收集的數據����。無線電數據是指在開展無線電業務活動中產生和收集的無線電頻率�����、臺(站)等電波參數數據���。工業和信息化領域數據處理者是指數據處理活動中自主決定處理目的����、處理方式的工業企業��、軟件和信息技術服務企業��、取得電信業務經營許可證的電信業務經營者和無線電頻率����、臺(站)使用單位等工業和信息化領域各類主體����。工業和信息化領域數據處理者按照所屬行業領域可分為工業數據處理者��、電信數據處理者�����、無線電數據處理者等����。數據處理活動包括但不限于數據收集��、存儲���、使用����、加工���、傳輸�、提供���、公開等活動���。第四條 在國家數據安全工作協調機制統籌協調下�,工業和信息化部負責督促指導各省��、自治區�、直轄市及計劃單列市��、新疆生產建設兵團工業和信息化主管部門�,各省��、自治區�、直轄市通信管理局和無線電管理機構(以下統稱地方行業監管部門)開展數據安全監管����,對工業和信息化領域的數據處理活動和安全保護進行監督管理���。地方行業監管部門分別負責對本地區工業���、電信���、無線電數據處理者的數據處理活動和安全保護進行監督管理�����。工業和信息化部及地方行業監管部門統稱為行業監管部門����。行業監管部門按照有關法律�����、行政法規��,依法配合有關部門開展的數據安全監管相關工作���。第五條 行業監管部門鼓勵數據開發利用和數據安全技術研究�,支持推廣數據安全產品和服務����,培育數據安全企業���、研究和服務機構�,發展數據安全產業�����,提升數據安全保障能力��,促進數據的創新應用�。工業和信息化領域數據處理者研究�����、開發��、使用數據新技術�����、新產品���、新服務����,應當有利于促進經濟社會和行業發展���,符合社會公德和倫理���。第六條 行業監管部門推進工業和信息化領域數據開發利用和數據安全標準體系建設��,組織開展相關標準制修訂及推廣應用工作�����。第七條 工業和信息化部組織制定工業和信息化領域數據分類分級���、重要數據和核心數據識別認定�����、數據分級防護等標準規范��,指導開展數據分類分級管理工作�,制定行業重要數據和核心數據具體目錄并實施動態管理�。地方行業監管部門分別組織開展本地區工業和信息化領域數據分類分級管理及重要數據和核心數據識別工作�����,確定本地區重要數據和核心數據具體目錄并上報工業和信息化部�,目錄發生變化的�����,應當及時上報更新��。工業和信息化領域數據處理者應當定期梳理數據�����,按照相關標準規范識別重要數據和核心數據并形成本單位的具體目錄�。第八條 根據行業要求�����、特點����、業務需求����、數據來源和用途等因素�,工業和信息化領域數據分類類別包括但不限于研發數據�、生產運行數據�����、管理數據�、運維數據��、業務服務數據等�。根據數據遭到篡改��、破壞��、泄露或者非法獲取����、非法利用�����,對國家安全��、公共利益或者個人�、組織合法權益等造成的危害程度����,工業和信息化領域數據分為一般數據���、重要數據和核心數據三級���。工業和信息化領域數據處理者可在此基礎上細分數據的類別和級別�����。第九條 危害程度符合下列條件之一的數據為一般數據:(一)對公共利益或者個人����、組織合法權益造成較小影響�,社會負面影響?��?;(二)受影響的用戶和企業數量較少���、生產生活區域范圍較小��、持續時間較短��,對企業經營����、行業發展���、技術進步和產業生態等影響較?�?;(三)其他未納入重要數據�����、核心數據目錄的數據����。第十條 危害程度符合下列條件之一的數據為重要數據:(一)對政治�、國土��、軍事����、經濟��、文化����、社會�����、科技���、電磁�����、網絡����、生態�����、資源����、核安全等構成威脅��,影響海外利益���、生物����、太空����、極地���、深海�����、人工智能等與國家安全相關的重點領域�����;(二)對工業和信息化領域發展�����、生產�、運行和經濟利益等造成嚴重影響��;(三)造成重大數據安全事件或生產安全事故���,對公共利益或者個人��、組織合法權益造成嚴重影響�,社會負面影響大���;(四)引發的級聯效應明顯�����,影響范圍涉及多個行業��、區域或者行業內多個企業�,或者影響持續時間長�����,對行業發展�、技術進步和產業生態等造成嚴重影響�;(五)經工業和信息化部評估確定的其他重要數據���。第十一條 危害程度符合下列條件之一的數據為核心數據:(一)對政治����、國土�����、軍事����、經濟�、文化���、社會�����、科技���、電磁�����、網絡���、生態�����、資源�、核安全等構成嚴重威脅���,嚴重影響海外利益�、生物�、太空��、極地�����、深海�����、人工智能等與國家安全相關的重點領域���;(二)對工業和信息化領域及其重要骨干企業�、關鍵信息基礎設施�、重要資源等造成重大影響�����;(三)對工業生產運營�����、電信網絡和互聯網運行服務�����、無線電業務開展等造成重大損害�,導致大范圍停工停產�、大面積無線電業務中斷����、大規模網絡與服務癱瘓��、大量業務處理能力喪失等����;(四)經工業和信息化部評估確定的其他核心數據�����。第十二條 工業和信息化領域數據處理者應當將本單位重要數據和核心數據目錄向本地區行業監管部門備案��。備案內容包括但不限于數據來源�����、類別���、級別���、規模��、載體���、處理目的和方式�����、使用范圍����、責任主體�、對外共享�、跨境傳輸�、安全保護措施等基本情況��,不包括數據內容本身�����。地方行業監管部門應當在工業和信息化領域數據處理者提交備案申請的二十個工作日內完成審核工作�,備案內容符合要求的���,予以備案�,同時將備案情況報工業和信息化部�����;不予備案的應當及時反饋備案申請人并說明理由���。備案申請人應當在收到反饋情況后的十五個工作日內再次提交備案申請���。備案內容發生重大變化的��,工業和信息化領域數據處理者應當在發生變化的三個月內履行備案變更手續��。重大變化是指某類重要數據和核心數據規模(數據條目數量或者存儲總量等)變化30%以上���,或者其它備案內容發生變化�����。第十三條 工業和信息化領域數據處理者應當對數據處理活動負安全主體責任����,對各類數據實行分級防護����,不同級別數據同時被處理且難以分別采取保護措施的���,應當按照其中級別最高的要求實施保護����,確保數據持續處于有效保護和合法利用的狀態�。
