工業(yè)和信息化領域數據安全管理辦法（試行）

第一章 總則

第一條 為了規(guī)范工業(yè)和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家安全和發(fā)展利益，根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規(guī)，制定本辦法。

第二條 在中華人民共和國境內開展的工業(yè)和信息化領域數據處理活動及其安全監(jiān)管，應當遵守相關法律、行政法規(guī)和本辦法的要求。

第三條 工業(yè)和信息化領域數據包括工業(yè)數據、電信數據和無線電數據等。工業(yè)數據是指工業(yè)各行業(yè)各領域在研發(fā)設計、生產制造、經營管理、運行維護、平臺運營等過程中產生和收集的數據。

電信數據是指在電信業(yè)務經營活動中產生和收集的數據。

無線電數據是指在開展無線電業(yè)務活動中產生和收集的無線電頻率、臺（站）等電波參數數據。

工業(yè)和信息化領域數據處理者是指數據處理活動中自主決定處理目的、處理方式的工業(yè)企業(yè)、軟件和信息技術服務企業(yè)、取得電信業(yè)務經營許可證的電信業(yè)務經營者和無線電頻率、臺（站）使用單位等工業(yè)和信息化領域各類主體。工業(yè)和信息化領域數據處理者按照所屬行業(yè)領域可分為工業(yè)數據處理者、電信數據處理者、無線電數據處理者等。數據處理活動包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開等活動。

第四條 在國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調下，工業(yè)和信息化部負責督促指導各省、自治區(qū)、直轄市及計劃單列市、新疆生產建設兵團工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局和無線電管理機構（以下統(tǒng)稱地方行業(yè)監(jiān)管部門）開展數據安全監(jiān)管，對工業(yè)和信息化領域的數據處理活動和安全保護進行監(jiān)督管理。

地方行業(yè)監(jiān)管部門分別負責對本地區(qū)工業(yè)、電信、無線電數據處理者的數據處理活動和安全保護進行監(jiān)督管理。

工業(yè)和信息化部及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。

行業(yè)監(jiān)管部門按照有關法律、行政法規(guī)，依法配合有關部門開展的數據安全監(jiān)管相關工作。

第五條 行業(yè)監(jiān)管部門鼓勵數據開發(fā)利用和數據安全技術研究，支持推廣數據安全產品和服務，培育數據安全企業(yè)、研究和服務機構，發(fā)展數據安全產業(yè)，提升數據安全保障能力，促進數據的創(chuàng)新應用。

工業(yè)和信息化領域數據處理者研究、開發(fā)、使用數據新技術、新產品、新服務，應當有利于促進經濟社會和行業(yè)發(fā)展，符合社會公德和倫理。

第六條 行業(yè)監(jiān)管部門推進工業(yè)和信息化領域數據開發(fā)利用和數據安全標準體系建設，組織開展相關標準制修訂及推廣應用工作。

第二章 數據分類分級管理

第七條 工業(yè)和信息化部組織制定工業(yè)和信息化領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規(guī)范，指導開展數據分類分級管理工作，制定行業(yè)重要數據和核心數據具體目錄并實施動態(tài)管理。

地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)工業(yè)和信息化領域數據分類分級管理及重要數據和核心數據識別工作，確定本地區(qū)重要數據和核心數據具體目錄并上報工業(yè)和信息化部，目錄發(fā)生變化的，應當及時上報更新。

工業(yè)和信息化領域數據處理者應當定期梳理數據，按照相關標準規(guī)范識別重要數據和核心數據并形成本單位的具體目錄。

第八條 根據行業(yè)要求、特點、業(yè)務需求、數據來源和用途等因素，工業(yè)和信息化領域數據分類類別包括但不限于研發(fā)數據、生產運行數據、管理數據、運維數據、業(yè)務服務數據等。

根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，工業(yè)和信息化領域數據分為一般數據、重要數據和核心數據三級。

工業(yè)和信息化領域數據處理者可在此基礎上細分數據的類別和級別。

第九條 危害程度符合下列條件之一的數據為一般數據：

（一）對公共利益或者個人、組織合法權益造成較小影響，社會負面影響?。?

（二）受影響的用戶和企業(yè)數量較少、生產生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經營、行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等影響較?。?

（三）其他未納入重要數據、核心數據目錄的數據。

第十條 危害程度符合下列條件之一的數據為重要數據：

（一）對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態(tài)、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；

（二）對工業(yè)和信息化領域發(fā)展、生產、運行和經濟利益等造成嚴重影響；

（三）造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；

（四）引發(fā)的級聯(lián)效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等造成嚴重影響；

（五）經工業(yè)和信息化部評估確定的其他重要數據。

第十一條 危害程度符合下列條件之一的數據為核心數據：

（一）對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；

（二）對工業(yè)和信息化領域及其重要骨干企業(yè)、關鍵信息基礎設施、重要資源等造成重大影響；

（三）對工業(yè)生產運營、電信網絡和互聯(lián)網運行服務、無線電業(yè)務開展等造成重大損害，導致大范圍停工停產、大面積無線電業(yè)務中斷、大規(guī)模網絡與服務癱瘓、大量業(yè)務處理能力喪失等；

（四）經工業(yè)和信息化部評估確定的其他核心數據。

第十二條 工業(yè)和信息化領域數據處理者應當將本單位重要數據和核心數據目錄向本地區(qū)行業(yè)監(jiān)管部門備案。備案內容包括但不限于數據來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數據內容本身。

地方行業(yè)監(jiān)管部門應當在工業(yè)和信息化領域數據處理者提交備案申請的二十個工作日內完成審核工作，備案內容符合要求的，予以備案，同時將備案情況報工業(yè)和信息化部；不予備案的應當及時反饋備案申請人并說明理由。備案申請人應當在收到反饋情況后的十五個工作日內再次提交備案申請。

備案內容發(fā)生重大變化的，工業(yè)和信息化領域數據處理者應當在發(fā)生變化的三個月內履行備案變更手續(xù)。重大變化是指某類重要數據和核心數據規(guī)模（數據條目數量或者存儲總量等）變化30％以上，或者其它備案內容發(fā)生變化。

第三章 數據全生命周期安全管理

第十三條 工業(yè)和信息化領域數據處理者應當對數據處理活動負安全主體責任，對各類數據實行分級防護，不同級別數據同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數據持續(xù)處于有效保護和合法利用的狀態(tài)。

（一）建立數據全生命周期安全管理制度，針對不同級別數據，制定數據收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程；

（二）根據需要配備數據安全管理人員，統(tǒng)籌負責數據處理活動的安全監(jiān)督管理，協(xié)助行業(yè)監(jiān)管部門開展工作；

（三）合理確定數據處理活動的操作權限，嚴格實施人員權限管理；

（四）根據應對數據安全事件的需要，制定應急預案，并開展應急演練；

（五）定期對從業(yè)人員開展數據安全教育和培訓；

（六）法律、行政法規(guī)等規(guī)定的其他措施。

工業(yè)和信息化領域重要數據和核心數據處理者，還應當：

（一）建立覆蓋本單位相關部門的數據安全工作體系，明確數據安全負責人和管理機構，建立常態(tài)化溝通與協(xié)作機制。本單位法定代表人或者主要負責人是數據安全第一責任人，領導團隊中分管數據安全的成員是直接責任人；

（二）明確數據處理關鍵崗位和崗位職責，并要求關鍵崗位人員簽署數據安全責任書，責任書內容包括但不限于數據安全崗位職責、義務、處罰措施、注意事項等內容；

（三）建立內部登記、審批等工作機制，對重要數據和核心數據的處理活動進行嚴格管理并留存記錄。

第十四條 工業(yè)和信息化領域數據處理者收集數據應當遵循合法、正當的原則，不得竊取或者以其他非法方式收集數據。

數據收集過程中，應當根據數據安全級別采取相應的安全措施，加強重要數據和核心數據收集人員、設備的管理，并對收集來源、時間、類型、數量、頻度、流向等進行記錄。

通過間接途徑獲取重要數據和核心數據的，工業(yè)和信息化領域數據處理者應當與數據提供方通過簽署相關協(xié)議、承諾書等方式，明確雙方法律責任。

第十五條 工業(yè)和信息化領域數據處理者應當按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數據存儲。存儲重要數據和核心數據的，應當采用校驗技術、密碼技術等措施進行安全存儲，并實施數據容災備份和存儲介質安全管理，定期開展數據恢復測試。

第十六條 工業(yè)和信息化領域數據處理者利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪問控制。

工業(yè)和信息化領域數據處理者提供數據處理服務，涉及經營電信業(yè)務的，應當按照相關法律、行政法規(guī)規(guī)定取得電信業(yè)務經營許可。

第十七條 工業(yè)和信息化領域數據處理者應當根據傳輸的數據類型、級別和應用場景，制定安全策略并采取保護措施。傳輸重要數據和核心數據的，應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協(xié)議等措施。

第十八條 工業(yè)和信息化領域數據處理者對外提供數據，應當明確提供的范圍、類別、條件、程序等。提供重要數據和核心數據的，應當與數據獲取方簽訂數據安全協(xié)議，對數據獲取方數據安全保護能力進行核驗，采取必要的安全保護措施。

第十九條 工業(yè)和信息化領域數據處理者應當在數據公開前分析研判可能對國家安全、公共利益產生的影響，存在重大影響的不得公開。

第二十條 工業(yè)和信息化領域數據處理者應當建立數據銷毀制度，明確銷毀對象、規(guī)則、流程和技術等要求，對銷毀活動進行記錄和留存。個人、組織按照法律規(guī)定、合同約定等請求銷毀的，工業(yè)和信息化領域數據處理者應當銷毀相應數據。

工業(yè)和信息化領域數據處理者銷毀重要數據和核心數據后，不得以任何理由、任何方式對銷毀數據進行恢復，引起備案內容發(fā)生變化的，應當履行備案變更手續(xù)。

第二十一條 工業(yè)和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規(guī)有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規(guī)進行數據出境安全評估。

工業(yè)和信息化部根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國工業(yè)、電信、無線電執(zhí)法機構關于提供工業(yè)和信息化領域數據的請求。非經工業(yè)和信息化部批準，工業(yè)和信息化領域數據處理者不得向外國工業(yè)、電信、無線電執(zhí)法機構提供存儲于中華人民共和國境內的工業(yè)和信息化領域數據。

第二十二條 工業(yè)和信息化領域數據處理者因兼并、重組、破產等原因需要轉移數據的，應當明確數據轉移方案，并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數據和核心數據備案內容發(fā)生變化的，應當履行備案變更手續(xù)。

第二十三條 工業(yè)和信息化領域數據處理者委托他人開展數據處理活動的，應當通過簽訂合同協(xié)議等方式，明確委托方與受托方的數據安全責任和義務。委托處理重要數據和核心數據的，應當對受托方的數據安全保護能力、資質進行核驗。

除法律、行政法規(guī)等另有規(guī)定外，未經委托方同意，受托方不得將數據提供給第三方。

第二十四條 跨主體提供、轉移、委托處理核心數據的，工業(yè)和信息化領域數據處理者應當評估安全風險，采取必要的安全保護措施，并由本地區(qū)行業(yè)監(jiān)管部門審查后報工業(yè)和信息化部。工業(yè)和信息化部按照有關規(guī)定進行審查。

第二十五條 工業(yè)和信息化領域數據處理者應當在數據全生命周期處理過程中，記錄數據處理、權限管理、人員操作等日志。日志留存時間不少于六個月。