万象城

    政策通知
    【政策资讯】工信部印发《工业和信息化领域数据清静治理措施(试行)》
    2023.04.15 00:06
    导 读

    为规范工业和信息化领域数据处置赏罚运动,增强数据清静治理,促进数据开发使用,掩护小我私人、组织的正当权益,维护国家清静和生长利益,凭证《中华人民共和国数据清静法》《中华人民共和国网络清静法》《中华人民共和国小我私人信息掩护法》《中华人民共和国国家清静法》《中华人民共和国民法典》等执律例则,工业和信息化部克日印发《工业和信息化领域数据清静治理措施(试行)》。本措施共八章四十二条,主要内容包罗七个方面:一是界定工业和信息化领域数据和数据处置赏罚者看法,明确羁系规模和羁系职责。二是确定数据分类分级治理、主要数据识别与存案相关要求。三是针对差异级此外数据,围绕数据网络、存储、加工、传输、提供、果真、销毁、出綾hang⒆、委托处置赏罚等环节,提出响应清静治理和掩护要求。四是建设数据清静监测预警、风险信息报送和共享、应急处置、投诉举报受理等事情机制。五是明确开展数据清静监测、认证、评估的相关要求。六是划定监视检查等事情要求。七是明确相关违法违规行为的执法责任和处罚措施。本措施自2023年1月1日起施行。

    关于印发《工业和信息化领域数据清静治理措施(试行)》的通知



    工信部网安〔2022〕166号

    各省、自治区、直辖市、妄想单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通讯治理局,青海、宁夏无线电治理机构,下属各单元,下属各高校,各有关企业:?
    现将《工业和信息化领域数据清静治理措施(试行)》印发给你们,请认真遵照执行。
    工业和信息化部
    2022年12月8日









    工业和信息化领域数据清静治理措施(试行)

    第一章 总则

    第一条?为了规范工业和信息化领域数据处置赏罚运动,增强数据清静治理,保障数据清静,促进数据开发使用,掩护小我私人、组织的正当权益,维护国家清静和生长利益,凭证《中华人民共和国数据清静法》《中华人民共和国网络清静法》《中华人民共和国小我私人信息掩护法》《中华人民共和国国家清静法》《中华人民共和国民法典》等执律例则,制订本措施。
    第二条?在中华人民共和国境内开展的工业和信息化领域数据处置赏罚运动及其清静羁系,应当遵守相关执法、行政规则和本措施的要求。
    第三条?工业和信息化领域数据包罗工业数据、电信数据和无线电数据等。
    工业数据是指工业各行业各领域在研发设计、生产制造、谋划治理、运行维护、平台运营等历程中发生和网络的数据。
    电信数据是指在电信营业谋划运动中发生和网络的数据。
    无线电数据是指在开展无线电营业运动中发生和网络的无线电频率、台(站)等电波参数数据。
    工业和信息化领域数据处置赏罚者是指数据处置赏罚运动中自主决议处置赏罚目的、处置赏罚方式的工业企业、软件和信息手艺服务企业、取得电信营业谋划允许证的电信营业谋划者和无线电频率、台(站)使用单元等工业和信息化领域种种主体。工业和信息化领域数据处置赏罚者an照所属行业领域可分为工业数据处置赏罚者、电信数据处置赏罚者、无线电数据处置赏罚者等。数据处置赏罚运动包罗但不限于数据网络、存储、使用、加工、传输、提供、果真等运动。
    第四条?在国家数据清静事情协调机制统筹协调下,工业和信息化部认真督促指导各省、自治区、直辖市及妄想单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通讯治理局和无线电治理机构(以下统称地方行业羁系部门)开展数据清静羁系,对工业和信息化领域的数据处置赏罚运动和清静掩护举行监视治理。
    地方行业羁系部门划分认真秠uan镜赜蚬ひ、电信、无线电数据处置赏罚者的数据处置赏罚运动和清静掩护举行监视治理。
    工业和信息化部及地方行业羁系部门统称为行业羁系部门。
    行业羁系部门an照有关执法、行政规则,依法配合有关部门开展的数据清静羁系相关事情。
    第五条?行业羁系部门勉励数据开发使用和数据清静手艺研究,支持推广数据清静产物和服务,培育数据清静企业、研究和服务机构,生长数据清静工业,提升数据清静保障能力,促进数据的创新应用。
    工业和信息化领域数据处置赏罚者研究、开发、使用数据新手艺、新产物、新服务,应当有利于促进经济社会和行业生长,切合社会公德和伦理。
    第六条?行业羁系部门推进工业和信息化领域数据开发使用和数据清静尺度系统建设,组织开展相关尺度制修订及推广应用事情。

    第二章 数据分类分级治理

    第七条?工业和信息化部组织制订工业和信息化领域数据分类分级、主要数据和焦点数据识别认定、数据分级防护等尺度规范,指导开展数据分类分级治理事情,制订行业主要数据和焦点数据详细目录并实验动态治理。
    地方行业羁系部门划分组织开展当地域工业和信息化领域数据分类分级治理及主要数据和焦点数据识别事情,确定当地域主要数据和焦点数据详细目录并上报工业和信息化部,目录发生转变的,应当实时上报更新。
    工业和信息化领域数据处置赏罚者应当定期梳理数据,an照相关尺度规范识别主要数据和焦点数据并形成本单元的详细目录。
    第八条?凭证行业要求、特点、营业需求、数据泉源和用途等因素,工业和信息化领域数据分类种别包罗但不限于研发数据、生产运行数据、治理数据、运维数据、营业服务数据等。
    凭证数据遭到改动、破损、泄露或者非法获取、非法使用,对国家清静、公共利益或者小我私人、组织正当权益等造成的:λ,工业和信息化领域数据分为一ban数据、主要数据和焦点数据三级。
    工业和信息化领域数据处置赏罚者可在此基础上细分数据的种别和级别。
    第九条?危害水平切合下列条件之一的数据为一ban数据:
    (一)对公共利益或者小我私人、组织正当权益造成较小影响,社会负面影响小;
    (二)受影响的用户和企业数目较少、生发生涯区域规模较小、一连时间较短,对企业谋划、行业生长、手艺前进和工业生态等影响较。
    (三)其他未纳入主要数据、焦点数据目录的数据。
    第十条?:λ角泻舷铝刑跫之一的数据为主要数据:
    (一)对政治、领土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核清静等组成威胁,影响外洋利益、生物、太空、极地、深海、人工智能等与国家清静相关的重点领域;
    (二)对工业和信息化领域生长、生产、运行和经济利益等造成严重影响;
    (三)造成重大数据清静事务或生产清静事故,对公共利益或者小我私人、组织正当权益造成严重影响,社会负面影响大;
    (四)引发的级联效应显着,影响规模涉及多个行业、区域或者行业内多个企业,或者影响一连时间长,对行业生长、手艺前进和工业生态等造成严重影响;
    (五)经工业和信息化部评估确定的其他主要数据。
    第十一条?:λ角泻舷铝刑跫之一的数据为焦点数据:
    (一)对政治、领土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核清静等组成严重威胁,严重影响外洋利益、生物、太空、极地、深海、人工智能等与国家清静相关的重点领域;
    (二)对工业和信息化领域及其主要主干企业、关jian信息基础设施、主要资源等造成重大影响;
    (三)对工业生产运营、电信网络和互联网运行服务、无线电营业开展等造成重大损害,导致大规模歇工停产、大面积无线电营业中止、大规模网络与服务瘫痪、大量营业处置赏罚能力损失等;
    (四)经工业和信息化部评估确定的其他焦点数据。
    第十二条?工业和信息化领域数据处置赏罚者应当将本单元主要数据和焦点数据目录向当地域行业羁系部门存案。存案内容包罗但不限于数据泉源、种别、级别、规模、载体、处置赏罚目的和方式、使用规模、责任主体、对外共享、跨境传输、清静掩护措施等基本情形,不包罗数据内容本shen。
    地方行业羁系部门应当在工业和信息化领域数据处置赏罚者提交存案申请的二十个事情日内完成审核事情,存案内容切合要求的,予襶uan赴,同时将存案情形报工业和信息化部;不予存案的应当实时反馈存案申请人并说明理由。存案申请人应当在收到反馈情形后的十五个事情日内再ci提交存案申请。
    存案内容发生重大转变的,工业和信息化领域数据处置赏罚者应当在发生转变的三个月内推行存案变换手续。重大转变是指某类主要数据和焦点数据规模(数据条目数目或者存储总量等)转变30%以上,或者其它存案内容发生转变。

    第三章 数据全生命周期清静治理

    第十三条?工业和信息化领域数据处置赏罚者应当对数据处置赏罚运动负清静主体责任,对种种数据实验分级防护,差异级别数据同时被处置赏罚且难以划分接纳掩护措施的,应当an照其中级别最高的要求实验掩护,确保数据一连处于有用掩护和正当使用的状态。
    (一)建设数据全生命周期清静治理制度,针对差异级别数据,制订数据网络、存储、使用、加工、传输、提供、果真等环节的详细分级防护要求和操作规程;
    (二)凭证需要配备数据清静治理人yuan,统筹认真数据处置赏罚运动的清静监视治理,协助行业羁系部门开展事情;
    (三)合理确定数据处置赏罚运动的操作权限,严酷实验人yuan权限治理;
    (四)凭证应对数据清静事务的需要,制订应急预案,并开展应急演练;
    (五)定期对从业人yuan开展数据清静教育和培训;
    (六)执法、行政规则等划定的其他措施。
    工业和信息化领域主要数据和焦点数据处置赏罚者,还应当:
    (一)建设笼罩本单元相关部门的数据清静事情系统,明确数据清静认真人和治理机构,建设常态化相同与协作机制。本单元法定代表人或者主要认真人是数据清静第一责任人,向导团队中分管数据清静的成yuan是直接责任人;
    (二)明确数据处置赏罚关jian岗位和岗位职责,并要求关jian岗位人yuan签署数据清静责任书,责任书内容包罗但不限于数据清静岗位职责、义务、处罚措施、注重事项等内容;
    (三)建设内部挂号、审批等事情机制,对主要数据和焦点数据的处置赏罚运动举行严酷治理并留存纪录。
    第十四条?工业和信息化领域数据处置赏罚者网络数据应当遵照正当、正当的原则,不得窃取或者以其他非法方式网络数据。
    数据网络历程中,应当凭证数据清静级别接纳响应的清静措施,增强主要数据和焦点数据网络人yuan、装备的治理,并对网络泉源、时间、类型、数目、频度、流向等举行纪录。
    通过间接途径获取主要数据和焦点数据的,工业和信息化领域数据处置赏罚者应当与数据提供方通过签署相关协议、允许书等方式,明确双方执法责任。
    第十五条?工业和信息化领域数据处置赏罚者应当an照执法、行政规则划定和用户约定的方式、限期举行数据存储。存储主要数据和焦点数据的,应当接纳校验手艺、密码手艺等措施举行清静存储,并实验数据容灾备份和存储介质清静治理,定期开展数据恢复测试。
    第十六条?工业和信息化领域数据处置赏罚者使用数据举行自动化决议的,应当保证决议的蚲ai鞫群托Ч侠。使用、加工主要数据和焦点数据的,还应当增强会见控制。
    工业和信息化领域数据处置赏罚者提供数据处置赏罚服务,涉及谋划电信营业的,应当an照相关执法、行政规则划定取得电信营业谋划允许。
    第十七条?工业和信息化领域数据处置赏罚者应当凭证传输的数据类型、级别和应用chang景,制订清静战略并接纳掩护措施。传输主要数据和焦点数据的,应当接纳校验手艺、密码手艺、清静传输通道或者清静传输协议等措施。??
    第十八条?工业和信息化领域数据处置赏罚者对外提供数据,应当明确提供的规模、种别、条件、法式等。提供主要数据和焦点数据的,应当与数据获取方签署数据清静协议,对数据获取方数据清静掩护能力举行核验,接纳须要的清静掩护措施。
    第十九条?工业和信息化领域数据处置赏罚者应当在数据果真前剖析研判可能对国家清静、公共利益发生的影响,存在重大影响的不得果真。
    第二十条?工业和信息化领域数据处置赏罚者应当建设数据销毁制度,明确销毁工具、规则、流程和手艺等要求,对销毁运动举行纪录和留存。小我私人、组织an照执法划定、条约约定等请求销毁的,工业和信息化领域数据处置赏罚者应当销毁响应数据。
    工业和信息化领域数据处置赏罚者销毁主要数据和焦点数据后,不得以任何理由、任何方式对销毁数据举行恢复,引起存案内容发生转变的,应当推行存案变换手续。
    第二十一条?工业和信息化领域数据处置赏罚者在中华人民共和国境内网络和发生的主要数据和焦点数据,执法、行政规则有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规举行数据出境清静评估。
    工业和信息化部凭证有关执法和中华人民共和国缔结或者加入的国际条约、协定,或者an照一律互惠原则,处置赏罚外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处置赏罚者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
    第二十二条?工业和信息化领域数据处置赏罚者因吞并、重组、休业等缘故原由需要转移数据的,应当明确数据转移方案,并通过电话、短信、觭hi、通告等方式通知受影响用户。涉及主要数据和焦点数据存案内容发生转变的,应当推行存案变换手续。
    第二十三条?工业和信息化领域数据处置赏罚者委托他人开展数据处置赏罚运动的,应当通过签署条约协议等方式,明确委托方与受托方的数据清静责任和义务。委托处置赏罚主要数据和焦点数据的,应当对受托方的数据清静掩护能力、资质举行核验。
    除执法、行政规则等尚有划定外,未经委托方赞成,受托方不得将数据提供应第三方。
    第二十四条?跨主体提供、转移、委托处置赏罚焦点数据的,工业和信息化领域数据处置赏罚者应当评估清静风险,接纳须要的清静掩护措施,并由当地域行业羁系部门审查后报工业和信息化部。工业和信息化部an照有关划定举行审查。
    第二十五条?工业和信息化领域数据处置赏罚者应当在数据全生命周期处置赏罚历程中,纪录数据处置赏罚、权限治理、人yuan操作等日志。日志留存时间不少于六个月。

    第四章 数据清静监测预警与应急治理

    第二十六条?工业和信息化部建设数据清静风险监测机制,组织制订数据清静监测预警接口和尺度,统筹建设数据清静监测预警手艺手段,形成监测、预警、处置、溯源等能力,与相关部门增强信息共享。
    地方行业羁系部门划分建设当地域数据清静风险监测预警机制,组织开展数据清静风险监测,an照有关划定实时宣布预警信息,通知当地域工业和信息化领域数据处置赏罚者实时接纳应对措施。
    工业和信息化领域数据处置赏罚者应当开展数据清静风险监测,实时排查清静隐患,接纳须要的措施提防数据清静风险。
    第二十七条?工业和信息化部建设数据清静风险信息上报和共享机制,统一搜集、剖析、研判、转达数据清静风险信息,勉励清静服务机构、行业组织、科研机构等开展数据清静风险信息上报和共享。
    地方行业羁系部门划分汇总剖析当地域数据清静风险,实时将可能造成重大及以上清静事务的风险上报工业和信息化部。
    工业和信息化领域数据处置赏罚者应当实时将可能造成较大及以上清静事务的风险向当地域行业羁系部门陈诉。
    第二十八条?工业和信息化部制订工业和信息化领域数据清静事务应急预案,组织协调主要数据和焦点数据清静事务应急处置事情。
    地方行业羁系部门划分组织开展当地域数据清静事务应急处置事情。涉及主要数据和焦点数据的清静事务,应当连忙上报工业和信息化部,并实时陈诉事务生长和处置情形。
    工业和信息化领域数据处置赏罚者在数据清静事务发生后,应当an照应急预案,实时开展应急处置,涉及主要数据和焦点数据的清静事务,第一时间向当地域行业羁系部门陈诉,事务处置完成后在划定限期内形成总结陈诉,每年向当地域行业羁系部门陈诉数据清静事务处置情形。
    工业和信息化领域数据处置赏罚者对发生的可能损害用户正当权益的数据清静事务,应当实时见告用户,并提供减轻:Υ胧
    第二十九条?工业和信息化部委托相关行业组织建设工业和信息化领域数据清静违法行为投诉举报渠道,地方行业羁系部门划分建设当地域数据清静违法行为投诉举报机制或渠道,依法吸收、处置赏罚投诉举报,凭证事情需要开展执法视察。勉励工业和信息化领域数据处置赏罚者建设用户投诉处置赏罚机制。

    第五章 数据清静检测、认证、评估治理

    第三十条?工业和信息化部指导、勉励具备响应资质的机构,依据相关尺度开展行业数据清静检测、认证事情。
    第三十一条?工业和信息化部制订行业数据清静评估治理制度,开展评估机构治理事情。制订行业数据清静评估规范,指导评估机构开展数据清静风险评估、出境清静评估等事情。
    地方行业羁系部门划分认真组织开展当地域数据清静评估事情。
    工业和信息化领域主要数据和焦点数据处置赏罚者应当自行或委托第三方评估机构,每年对其数据处置赏罚运动至少开展一ci风险评估,实时整改风险问题,并向当地域行业羁系部门报送风险评估陈诉。

    第六章 监视检查

    第三十二条?行业羁系部门对工业和信息化领域数据处置赏罚者落实本措施要求的情形举行监视检查。
    工业和信息化领域数据处置赏罚者应当对行业羁系部门监视检查予以配合。
    第三十三条?工业和信息化部在国家数据清静事情协调机制指导下,开展工业和信息化领域数据清静审查相关事情。
    第三十四条?行业羁系部门及其委托的数据清静评估机构事情人yuan对在推行职责中知悉的小我私人信息和商业神秘等,应当严酷保密,不得泄露或者非法向他人提供。

    第七章 执法责任

    第三十五条?行业羁系部门在推行数据清静监视治理职责中,发现数据处置赏罚运动存在较大清静风险的,可以an照划定权限和法式对工业和信息化领域数据处置赏罚者举行约谈,并要求接纳措施举行整改,消除隐患。
    第三十六条?有违反本措施划定行为的,由行业羁系部门an照相关执律例则,凭证情节严重水平给予没收违法所得、罚款、暂休营业、停颐魅整理、吊销营业允许证等行政处罚;组成犯罪的,依法追究刑事责任。

    第八章 附则

    第三十七条?中央企业应当督促指导所属企业,在主要数据和焦点数据目录存案、焦点数据跨主体处置赏罚风险评估、风险信息上报、年度数据清静事务处置陈诉、主要数据和焦点数据风险评估等事情中推行属地治理要求,还应当周全梳理汇总企业集团本部、所属公司的数据清静相关情形,并实时报送工业和信息化部。
    第三十八条?开展涉及小我私人信息的数据处置赏罚运动,还应当遵守有关执法、行政规则的划定。
    第三十九条?涉及军事、国家神秘信息等数据处置赏罚运动,an照国家有关划定执行。
    第四十条?工业和信息化领域政务数据处置赏罚运动的详细措施,由工业和信息化部另行划定。
    第四十一条?国防科技工业、烟草领域数据清静治理由国家国防科技工业局、国家烟草专卖局认真,详细制度参照本措施另行制订。
    第四十二条?本措施自2023年1月1日起施行。

    泉源:工信微报


    【网站舆图】【sitemap】