第四章 數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理

第二十六條 工業(yè)和信息化部建立數(shù)據(jù)安全風險監(jiān)測機制，組織制定數(shù)據(jù)安全監(jiān)測預(yù)警接口和標準，統(tǒng)籌建設(shè)數(shù)據(jù)安全監(jiān)測預(yù)警技術(shù)手段，形成監(jiān)測、預(yù)警、處置、溯源等能力，與相關(guān)部門加強信息共享。

地方行業(yè)監(jiān)管部門分別建設(shè)本地區(qū)數(shù)據(jù)安全風險監(jiān)測預(yù)警機制，組織開展數(shù)據(jù)安全風險監(jiān)測，按照有關(guān)規(guī)定及時發(fā)布預(yù)警信息，通知本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者及時采取應(yīng)對措施。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當開展數(shù)據(jù)安全風險監(jiān)測，及時排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風險。

第二十七條 工業(yè)和信息化部建立數(shù)據(jù)安全風險信息上報和共享機制，統(tǒng)一匯集、分析、研判、通報數(shù)據(jù)安全風險信息，鼓勵安全服務(wù)機構(gòu)、行業(yè)組織、科研機構(gòu)等開展數(shù)據(jù)安全風險信息上報和共享。

地方行業(yè)監(jiān)管部門分別匯總分析本地區(qū)數(shù)據(jù)安全風險，及時將可能造成重大及以上安全事件的風險上報工業(yè)和信息化部。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當及時將可能造成較大及以上安全事件的風險向本地區(qū)行業(yè)監(jiān)管部門報告。

第二十八條 工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。

地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當立即上報工業(yè)和信息化部，并及時報告事件發(fā)展和處置情況。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后，應(yīng)當按照應(yīng)急預(yù)案，及時開展應(yīng)急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時間向本地區(qū)行業(yè)監(jiān)管部門報告，事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報告，每年向本地區(qū)行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當及時告知用戶，并提供減輕危害措施。

第二十九條 工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報渠道，地方行業(yè)監(jiān)管部門分別建立本地區(qū)數(shù)據(jù)安全違法行為投訴舉報機制或渠道，依法接收、處理投訴舉報，根據(jù)工作需要開展執(zhí)法調(diào)查。鼓勵工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者建立用戶投訴處理機制。

第五章 數(shù)據(jù)安全檢測、認證、評估管理

第三十條 工業(yè)和信息化部指導(dǎo)、鼓勵具備相應(yīng)資質(zhì)的機構(gòu)，依據(jù)相關(guān)標準開展行業(yè)數(shù)據(jù)安全檢測、認證工作。

第三十一條 工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評估管理制度，開展評估機構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評估規(guī)范，指導(dǎo)評估機構(gòu)開展數(shù)據(jù)安全風險評估、出境安全評估等工作。

地方行業(yè)監(jiān)管部門分別負責組織開展本地區(qū)數(shù)據(jù)安全評估工作。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當自行或委托第三方評估機構(gòu)，每年對其數(shù)據(jù)處理活動至少開展一次風險評估，及時整改風險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告。

第六章 監(jiān)督檢查

第三十二條 行業(yè)監(jiān)管部門對工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實本辦法要求的情況進行監(jiān)督檢查。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當對行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。

第三十三條 工業(yè)和信息化部在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導(dǎo)下，開展工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全審查相關(guān)工作。

第三十四條 行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評估機構(gòu)工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等，應(yīng)當嚴格保密，不得泄露或者非法向他人提供。

第七章 法律責任

第三十五條 行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中，發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風險的，可以按照規(guī)定權(quán)限和程序?qū)I(yè)和信息化領(lǐng)域數(shù)據(jù)處理者進行約談，并要求采取措施進行整改，消除隱患。

第三十六條 有違反本辦法規(guī)定行為的，由行業(yè)監(jiān)管部門按照相關(guān)法律法規(guī)，根據(jù)情節(jié)嚴重程度給予沒收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可證等行政處罰；構(gòu)成犯罪的，依法追究刑事責任。

第八章 附則

第三十七條 中央企業(yè)應(yīng)當督促指導(dǎo)所屬企業(yè)，在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案、核心數(shù)據(jù)跨主體處理風險評估、風險信息上報、年度數(shù)據(jù)安全事件處置報告、重要數(shù)據(jù)和核心數(shù)據(jù)風險評估等工作中履行屬地管理要求，還應(yīng)當全面梳理匯總企業(yè)集團本部、所屬公司的數(shù)據(jù)安全相關(guān)情況，并及時報送工業(yè)和信息化部。

第三十八條 開展涉及個人信息的數(shù)據(jù)處理活動，還應(yīng)當遵守有關(guān)法律、行政法規(guī)的規(guī)定。

第三十九條 涉及軍事、國家秘密信息等數(shù)據(jù)處理活動，按照國家有關(guān)規(guī)定執(zhí)行。

第四十條 工業(yè)和信息化領(lǐng)域政務(wù)數(shù)據(jù)處理活動的具體辦法，由工業(yè)和信息化部另行規(guī)定。

第四十一條 國防科技工業(yè)、煙草領(lǐng)域數(shù)據(jù)安全管理由國家國防科技工業(yè)局、國家煙草專賣局負責，具體制度參照本辦法另行制定。

第四十二條 本辦法自2023年1月1日起施行。