工业和信息化部关于印发《工业和信息化范畴数据安全办理方法(试行)》的告诉
各省、自治区、直辖市、计划单列市及新疆出产建造兵团工业和信息化主管部分,各省、自治区、直辖市通信办理局,青海、宁夏无线电办理安排,部下各单位,部下各高校,各有关企业:
现将《工业和信息化范畴数据安全办理方法(试行)》印发给你们,请仔细遵照执行。
榜首条为了标准工业和信息化范畴数据处理活动,加强数据安全办理,确保数据安全,促进数据开发运用,维护个人、安排的合法权益,维护国家安全和展开利益,依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息维护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法令法规,拟定本方法。
第二条在中华人民共和国境内展开的工业和信息化范畴数据处理活动及其安全监管,应当恪守相关法令、行政法规和本方法的要求。
第三条工业和信息化范畴数据包含工业数据、电信数据和无线电数据等。工业数据是指工业各职业各范畴在研制规划、出产制作、运营办理、运转维护、途径运营等过程中产生和搜集的数据。
无线电数据是指在展开无线电事务活动中产生和搜集的无线电频率、台(站)等电波参数数据。
工业和信息化范畴数据处理者是指数据处理活动中自主决议处理意图、处理方法的工业企业、软件和信息技能服务企业、获得电信事务运营答应证的电信事务运营者和无线电频率、台(站)运用单位等工业和信息化范畴各类主体。工业和信息化范畴数据处理者依照所属职业范畴可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包含但不限于数据搜集、存储、运用、加工、传输、供给、揭露等活动。
第四条在国家数据安全作业和谐机制统筹和谐下,工业和信息化部担任催促辅导各省、自治区、直辖市及计划单列市、新疆出产建造兵团工业和信息化主管部分,各省、自治区、直辖市通信办理局和无线电办理安排(以下总称当地职业监管部分)展开数据安全监管,对工业和信息化范畴的数据处理活动和安全维护进行监督办理。
当地职业监管部别离离担任对本区域工业、电信、无线电数据处理者的数据处理活动和安全维护进行监督办理。
职业监管部分依照有关法令、行政法规,依法合作有关部分展开的数据安全监管相关作业。
第五条职业监管部分鼓舞数据开发运用和数据安全技能研讨,支撑推行数据安全产品和服务,培养数据安全企业、研讨和服务安排,展开数据安全工业,提高数据安全确保才能,促进数据的立异运用。
工业和信息化范畴数据处理者研讨、开发、运用数据新技能、新产品、新服务,应当有利于促进经济社会和职业展开,契合社会公德和道德。
第六条职业监管部分推动工业和信息化范畴数据开发运用和数据安全标准系统建造,安排展开相关标准制修订及推行运用作业。
第七条工业和信息化部安排拟定工业和信息化范畴数据分类分级、重要数据和中心数据辨认确认、数据分级防护等标准标准,辅导展开数据分类分级办理作业,拟定职业重要数据和中心数据详细目录并施行动态办理。
当地职业监管部别离离安排展开本区域工业和信息化范畴数据分类分级办理及重要数据和中心数据辨认作业,确认本区域重要数据和中心数据详细目录并上报工业和信息化部,目录产生改变的,应当及时上报更新。
工业和信息化范畴数据处理者应当定时整理数据,依照相关标准标准辨认重要数据和中心数据并构成本单位的详细目录。
第八条依据职业要求、特色、事务需求、数据来历和用处等要素,工业和信息化范畴数据分类类别包含但不限于研制数据、出产运转数据、办理数据、运维数据、事务服务数据等。
依据数据遭到篡改、损坏、走漏或许不合法获取、不合法运用,对国家安全、公共利益或许个人、安排合法权益等构成的损害程度,工业和信息化范畴数据分为一般数据、重要数据和中心数据三级。
(二)受影响的用户和企业数量较少、出发日子区域规划较小、继续时刻较短,对企业运营、职业展开、技能进步和工业生态等影响较小;
(一)对政治、疆土、军事、经济、文明、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的要点范畴;
(三)构成严重数据安全事情或出产安全事故,对公共利益或许个人、安排合法权益构成严重影响,社会负面影响大;
(四)引发的级联效应显着,影响规划触及多个职业、区域或许职业界多个企业,或许影响继续时刻长,对职业展开、技能进步和工业生态等构成严重影响;
(一)对政治、疆土、军事、经济、文明、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的要点范畴;
(二)对工业和信息化范畴及其重要骨干企业、要害信息基础设施、重要资源等构成严重影响;
(三)对工业出产运营、电信网络和互联网运转服务、无线电事务展开等构成严重损害,导致大规划罢工停产、大面积无线电事务中止、大规划网络与服务瘫痪、很多事务处理才能损失等;
第十二条工业和信息化范畴数据处理者应当将本单位重要数据和中心数据目录向本区域职业监管部分存案。存案内容包含但不限于数据来历、类别、等级、规划、载体、处理意图和方法、运用规划、责任主体、对外同享、跨境传输、安全维护方法等基本状况,不包含数据内容自身。
当地职业监管部分应当在工业和信息化范畴数据处理者提交存案恳求的二十个作业日内完结审阅作业,存案内容契合要求的,予以存案,一起将存案状况报工业和信息化部;不予存案的应当及时反应存案恳求人并说明理由。存案恳求人应当在收到反应状况后的十五个作业日内再次提交存案恳求。
存案内容产生严重改变的,工业和信息化范畴数据处理者应当在产生改变的三个月内施行存案改变手续。严重改变是指某类重要数据和中心数据规划(数据条目数量或许存储总量等)改变30%以上,或许其它存案内容产生改变。
第十三条工业和信息化范畴数据处理者应当对数据处理活动负安全主体责任,对各类数据施行分级防护,不同等级数据一起被处理且难以别离采纳维护方法的,应当依照其间等级最高的要求施行维护,确保数据继续处于有用维护和合法运用的状况。
(一)树立数据全生命周期安全办理准则,针对不同等级数据,拟定数据搜集、存储、运用、加工、传输、供给、揭露等环节的详细分级防护要求和操作规程;
(二)依据需求装备数据安全办理人员,统筹担任数据处理活动的安全监督办理,帮忙职业监管部分展开作业;
(一)树立掩盖本单位相关部分的数据安全作业系统,清晰数据安全担任人和办理安排,树立常态化交流与协作机制。本单位法定代表人或许首要担任人是数据安全榜首责任人,领导团队中分担数据安全的成员是直接责任人;
(二)清晰数据处理要害岗位和岗位责任,并要求要害岗位人员签署数据安全责任书,责任书内容包含但不限于数据安全岗位责任、责任、处分方法、注意事项等内容;
(三)树立内部挂号、批阅等作业机制,对重要数据和中心数据的处理活动进行严厉办理并留存记载。
第十四条工业和信息化范畴数据处理者搜集数据应当遵从合法、合理的准则,不得盗取或许以其他不合法方法搜集数据。
数据搜集过程中,应当依据数据安全等级采纳相应的安全方法,加强重要数据和中心数据搜集人员、设备的办理,并对搜集来历、时刻、类型、数量、频度、流向等进行记载。
经过直接途径获取重要数据和中心数据的,工业和信息化范畴数据处理者应当与数据供给方经过签署相关协议、承诺书等方法,清晰两边法令责任。
第十五条工业和信息化范畴数据处理者应当依照法令、行政法规规矩和用户约好的方法、期限进行数据存储。存储重要数据和中心数据的,应当选用校验技能、暗码技能等方法进行安全存储,并施行数据容灾备份和存储介质安全办理,定时展开数据康复测验。
第十六条工业和信息化范畴数据处理者运用数据进行自动化决议计划的,应当确保决议计划的透明度和成果公平合理。运用、加工重要数据和中心数据的,还应当加强拜访操控。
工业和信息化范畴数据处理者供给数据处理服务,触及运营电信事务的,应当依照相关法令、行政法规规矩获得电信事务运营答应。
第十七条工业和信息化范畴数据处理者应当依据传输的数据类型、等级和运用场景,拟定安全策略并采纳维护方法。传输重要数据和中心数据的,应当采纳校验技能、暗码技能、安全传输通道或许安全传输协议等方法。
第十八条工业和信息化范畴数据处理者对外供给数据,应当清晰供给的规划、类别、条件、程序等。供给重要数据和中心数据的,应当与数据获取方签定数据安全协议,对数据获取方数据安全维护才能进行核验,采纳必要的安全维护方法。
第十九条工业和信息化范畴数据处理者应当在数据揭露前剖析研判或许对国家安全、公共利益产生的影响,存在严重影响的不得揭露。
第二十条工业和信息化范畴数据处理者应当树立数据毁掉准则,清晰毁掉目标、规矩、流程和技能等要求,对毁掉活动进行记载和留存。个人、安排依照法令规矩、合同约好等恳求毁掉的,工业和信息化范畴数据处理者应当毁掉相应数据。
工业和信息化范畴数据处理者毁掉重要数据和中心数据后,不得以任何理由、任何方法对毁掉数据进行康复,引起存案内容产生改变的,应当施行存案改变手续。
第二十一条工业和信息化范畴数据处理者在中华人民共和国境内搜集和产生的重要数据和中心数据,法令、行政法规有境内存储要求的,应当在境内存储,确需向境外供给的,应当依法依规进行数据出境安全评价。
工业和信息化部依据有关法令和中华人民共和国订立或许参与的世界公约、协议,或许依照平等互惠准则,处理外国工业、电信、无线电法令安排关于供给工业和信息化范畴数据的恳求。非经工业和信息化部赞同,工业和信息化范畴数据处理者不得向外国工业、电信、无线电法令安排供给存储于中华人民共和国境内的工业和信息化范畴数据。
第二十二条工业和信息化范畴数据处理者因吞并、重组、破产等原因需求搬运数据的,应当清晰数据搬运计划,并经过电话、短信、邮件、公告等方法告诉受影响用户。触及重要数据和中心数据存案内容产生改变的,应当施行存案改变手续。
第二十三条工业和信息化范畴数据处理者托付别人展开数据处理活动的,应当经过签定合同协议等方法,清晰托付方与受托方的数据安全责任和责任。托付处理重要数据和中心数据的,应当对受托方的数据安全维护才能、资质进行核验。
除法令、行政法规等还有规矩外,未经托付方赞同,受托方不得将数据供给给第三方。
第二十四条跨主体供给、搬运、托付处理中心数据的,工业和信息化范畴数据处理者应当评价安全危险,采纳必要的安全维护方法,并由本区域职业监管部分查看后报工业和信息化部。工业和信息化部依照有关规矩进行查看。
第二十五条工业和信息化范畴数据处理者应当在数据全生命周期处理过程中,记载数据处理、权限办理、人员操作等日志。日志留存时刻不少于六个月。
第二十六条工业和信息化部树立数据安全危险监测机制,安排拟定数据安全监测预警接口和标准,统筹建造数据安全监测预警技能手段,构成监测、预警、处置、溯源等才能,与相关部分加强信息同享。
当地职业监管部别离离建造本区域数据安全危险监测预警机制,安排展开数据安全危险监测,依照有关规矩及时发布预警信息,告诉本区域工业和信息化范畴数据处理者及时采纳应对方法。
工业和信息化范畴数据处理者应当展开数据安全危险监测,及时排查安全隐患,采纳必要的方法防备数据安全危险。
第二十七条工业和信息化部树立数据安全危险信息上报和同享机制,一致聚集、剖析、研判、通报数据安全危险信息,鼓舞安全服务安排、职业安排、科研安排等展开数据安全危险信息上报和同享。
当地职业监管部别离离汇总剖析本区域数据安全危险,及时将或许构成严重及以上安全事情的危险上报工业和信息化部。
工业和信息化范畴数据处理者应当及时将或许构成较大及以上安全事情的危险向本区域职业监管部分陈述。
第二十八条工业和信息化部拟定工业和信息化范畴数据安全事情应急预案,安排和谐重要数据和中心数据安全事情应急处置作业。
当地职业监管部别离离安排展开本区域数据安全事情应急处置作业。触及重要数据和中心数据的安全事情,应当当即上报工业和信息化部,并及时陈述事情展开和处置状况。
工业和信息化范畴数据处理者在数据安全事情产生后,应当依照应急预案,及时展开应急处置,触及重要数据和中心数据的安全事情,榜首时刻向本区域职业监管部分陈述,事情处置完结后在规矩时限内构成总结陈述,每年向本区域职业监管部分陈述数据安全事情处置状况。
工业和信息化范畴数据处理者对产生的或许损害用户合法权益的数据安全事情,应当及时奉告用户,并供给减轻损害方法。
第二十九条工业和信息化部托付相关职业安排树立工业和信息化范畴数据安全违法行为投诉告发途径,当地职业监管部别离离树立本区域数据安全违法行为投诉告发机制或途径,依法接纳、处理投诉告发,依据作业需求展开法令查询。鼓舞工业和信息化范畴数据处理者树立用户投诉处理机制。
第三十条工业和信息化部辅导、鼓舞具有相应资质的安排,依据相关标准展开职业数据安全检测、认证作业。
第三十一条工业和信息化部拟定职业数据安全评价办理准则,展开评价安排办理作业。拟定职业数据安全评价标准,辅导评价安排展开数据安全危险评价、出境安全评价等作业。
工业和信息化范畴重要数据和中心数据处理者应当自行或托付第三方评价安排,每年对其数据处理活动至少展开一次危险评价,及时整改危险问题,并向本区域职业监管部分报送危险评价陈述。
第三十二条职业监管部分对工业和信息化范畴数据处理者执行本方法要求的状况进行监督查看。
第三十三条工业和信息化部在国家数据安全作业和谐机制辅导下,展开工业和信息化范畴数据安全查看相关作业。
第三十四条职业监管部分及其托付的数据安全评价安排作业人员对在施行责任中知悉的个人信息和商业秘密等,应当严厉保密,不得走漏或许不合法向别人供给。
第三十五条职业监管部分在施行数据安全监督办理责任中,发现数据处理活动存在较大安全危险的,能够依照规矩权限和程序对工业和信息化范畴数据处理者进行约谈,并要求采纳方法进行整改,消除隐患。
第三十六条有违反本方法规矩行为的,由职业监管部分依照相关法令法规,依据情节严重程度给予没收违法所得、罚款、暂停事务、停业整顿、撤消事务答应证等行政处分;构成犯罪的,依法追究刑事责任。
第三十七条中心企业应当催促辅导所属企业,在重要数据和中心数据目录存案、中心数据跨主体处理危险评价、危险信息上报、年度数据安全事情处置陈述、重要数据和中心数据危险评价等作业中施行属地办理要求,还应当全面整理汇总企业集团本部、所属公司的数据安全相关状况,并及时报送工业和信息化部。
第三十八条展开触及个人信息的数据处理活动,还应当恪守有关法令、行政法规的规矩。
第四十条工业和信息化范畴政务数据处理活动的详细方法,由工业和信息化部另行规矩。
第四十一条国防科技工业、烟草范畴数据安全办理由国家国防科技工业局、国家烟草专卖局担任,详细准则参照本方法另行拟定。