工信(xin)部網安〔2022〕166號

各(ge)省(sheng)、自治區(qu)(qu)、直(zhi)轄(xia)市(shi)、計劃單列市(shi)及新疆生產(chan)建設兵團工業(ye)和信(xin)息(xi)化主管(guan)部門，各(ge)省(sheng)、自治區(qu)(qu)、直(zhi)轄(xia)市(shi)通信(xin)管(guan)理局，青海、寧夏無線電管(guan)理機構(gou)，部屬各(ge)單位，部屬各(ge)高校，各(ge)有(you)關企業(ye)： 

現將《工業(ye)和信息化領(ling)域數據(ju)安(an)全(quan)管理辦法（試行）》印(yin)發給你們，請認真遵照執(zhi)行。

工(gong)業和信(xin)息化(hua)部

2022年12月8日

 

 

 

 

 

 

 

 

工(gong)業和信息化領域數據安全管理(li)辦法（試行）

第一章 總則

第一條 為了(le)規(gui)范工業和(he)信息(xi)化領域數(shu)(shu)(shu)據(ju)(ju)(ju)處理活動，加強數(shu)(shu)(shu)據(ju)(ju)(ju)安全管理，保障數(shu)(shu)(shu)據(ju)(ju)(ju)安全，促進數(shu)(shu)(shu)據(ju)(ju)(ju)開(kai)發利用，保護(hu)個人、組織的合(he)法(fa)權益，維護(hu)國(guo)(guo)家安全和(he)發展(zhan)利益，根據(ju)(ju)(ju)《中(zhong)華人民(min)共和(he)國(guo)(guo)數(shu)(shu)(shu)據(ju)(ju)(ju)安全法(fa)》《中(zhong)華人民(min)共和(he)國(guo)(guo)網絡安全法(fa)》《中(zhong)華人民(min)共和(he)國(guo)(guo)個人信息(xi)保護(hu)法(fa)》《中(zhong)華人民(min)共和(he)國(guo)(guo)國(guo)(guo)家安全法(fa)》《中(zhong)華人民(min)共和(he)國(guo)(guo)民(min)法(fa)典》等法(fa)律(lv)法(fa)規(gui)，制定本辦法(fa)。

第二條 在中華人(ren)民共和國境內(nei)開展的(de)工業和信(xin)息化領域數(shu)據處理活動及其安(an)全監管，應(ying)當遵守相(xiang)關法律、行政法規和本辦法的(de)要求。

第三條 工(gong)業和(he)信息(xi)化(hua)領域(yu)數(shu)據包括(kuo)工(gong)業數(shu)據、電(dian)信數(shu)據和(he)無(wu)線電(dian)數(shu)據等。

工(gong)業(ye)數據是(shi)指工(gong)業(ye)各(ge)行業(ye)各(ge)領域(yu)在研發設(she)計、生(sheng)產制造、經營管理、運(yun)(yun)行維護、平(ping)臺運(yun)(yun)營等過程中產生(sheng)和收(shou)集的數據。

電信數據(ju)是指在電信業務(wu)經(jing)營(ying)活動中產生和收集(ji)的(de)數據(ju)。

無(wu)線(xian)電(dian)數(shu)據是指在開展(zhan)無(wu)線(xian)電(dian)業務(wu)活(huo)動中產生和收集的無(wu)線(xian)電(dian)頻率、臺(tai)（站）等電(dian)波參數(shu)數(shu)據。

工(gong)(gong)業和信(xin)(xin)(xin)息(xi)化(hua)領(ling)域(yu)數(shu)據處(chu)(chu)(chu)理(li)者(zhe)是指數(shu)據處(chu)(chu)(chu)理(li)活動(dong)中自主(zhu)決定(ding)處(chu)(chu)(chu)理(li)目的(de)、處(chu)(chu)(chu)理(li)方式的(de)工(gong)(gong)業企(qi)業、軟件(jian)和信(xin)(xin)(xin)息(xi)技術(shu)服務企(qi)業、取得電信(xin)(xin)(xin)業務經(jing)營(ying)許可證的(de)電信(xin)(xin)(xin)業務經(jing)營(ying)者(zhe)和無(wu)線電頻率、臺(tai)（站）使(shi)用單(dan)位等(deng)工(gong)(gong)業和信(xin)(xin)(xin)息(xi)化(hua)領(ling)域(yu)各類(lei)主(zhu)體(ti)。工(gong)(gong)業和信(xin)(xin)(xin)息(xi)化(hua)領(ling)域(yu)數(shu)據處(chu)(chu)(chu)理(li)者(zhe)按(an)照(zhao)所(suo)屬行業領(ling)域(yu)可分(fen)為工(gong)(gong)業數(shu)據處(chu)(chu)(chu)理(li)者(zhe)、電信(xin)(xin)(xin)數(shu)據處(chu)(chu)(chu)理(li)者(zhe)、無(wu)線電數(shu)據處(chu)(chu)(chu)理(li)者(zhe)等(deng)。數(shu)據處(chu)(chu)(chu)理(li)活動(dong)包括但不限(xian)于數(shu)據收集、存(cun)儲、使(shi)用、加工(gong)(gong)、傳輸、提(ti)供、公開等(deng)活動(dong)。

第四條 在國家數(shu)據(ju)(ju)安全(quan)工(gong)作協(xie)調機(ji)制統籌協(xie)調下(xia)，工(gong)業(ye)和(he)信息化(hua)部負責(ze)督促指導各省、自治區(qu)、直(zhi)轄市及計(ji)劃單列市、新(xin)疆生產建設兵(bing)團(tuan)工(gong)業(ye)和(he)信息化(hua)主(zhu)管(guan)部門，各省、自治區(qu)、直(zhi)轄市通信管(guan)理(li)局和(he)無(wu)線電管(guan)理(li)機(ji)構（以(yi)下(xia)統稱地(di)方行(xing)業(ye)監管(guan)部門）開(kai)展數(shu)據(ju)(ju)安全(quan)監管(guan)，對工(gong)業(ye)和(he)信息化(hua)領域的數(shu)據(ju)(ju)處理(li)活動和(he)安全(quan)保護進行(xing)監督管(guan)理(li)。

地(di)方行(xing)業監管部門分別負責對(dui)本地(di)區工業、電(dian)信(xin)、無線電(dian)數據處理者的數據處理活動和安(an)全保護進行(xing)監督管理。

工業(ye)和信息化部(bu)及地方行(xing)業(ye)監管部(bu)門統稱為(wei)行(xing)業(ye)監管部(bu)門。

行業監管部門按照有關(guan)法(fa)律(lv)、行政法(fa)規(gui)，依(yi)法(fa)配合有關(guan)部門開展的數據(ju)安全監管相關(guan)工作。

第五條 行業監管部(bu)門鼓(gu)勵(li)數據(ju)(ju)(ju)開發(fa)利用(yong)和數據(ju)(ju)(ju)安(an)(an)全技(ji)術研究，支持推(tui)廣數據(ju)(ju)(ju)安(an)(an)全產品和服(fu)務(wu)，培育數據(ju)(ju)(ju)安(an)(an)全企(qi)業、研究和服(fu)務(wu)機構，發(fa)展數據(ju)(ju)(ju)安(an)(an)全產業，提升數據(ju)(ju)(ju)安(an)(an)全保障能(neng)力(li)，促進數據(ju)(ju)(ju)的創新應(ying)用(yong)。

工業和(he)信息(xi)化領域數(shu)據處理(li)者研(yan)究、開發、使用(yong)數(shu)據新(xin)技術(shu)、新(xin)產品、新(xin)服務，應(ying)當有(you)利于促(cu)進經濟(ji)社會和(he)行(xing)業發展，符合(he)社會公德和(he)倫理(li)。

第六條 行業(ye)監管部門(men)推進(jin)工(gong)業(ye)和信息化領域(yu)數據開發利用(yong)和數據安全標準(zhun)體系建設(she)，組織開展相關標準(zhun)制(zhi)修訂(ding)及(ji)推廣(guang)應(ying)用(yong)工(gong)作。

第(di)二章 數據分類分級管理

第七條 工業(ye)和(he)信(xin)息化部組織(zhi)制(zhi)定(ding)工業(ye)和(he)信(xin)息化領域數據(ju)分類(lei)分級(ji)、重要數據(ju)和(he)核心數據(ju)識(shi)別認(ren)定(ding)、數據(ju)分級(ji)防護等標(biao)準(zhun)規范，指(zhi)導開(kai)展數據(ju)分類(lei)分級(ji)管理(li)工作，制(zhi)定(ding)行業(ye)重要數據(ju)和(he)核心數據(ju)具體目錄并實施動態管理(li)。

地方行業(ye)監管(guan)部(bu)門分別組織開展本地區(qu)工(gong)業(ye)和(he)信息化領域數(shu)據(ju)分類分級(ji)管(guan)理及(ji)重(zhong)要(yao)數(shu)據(ju)和(he)核心數(shu)據(ju)識別工(gong)作，確(que)定本地區(qu)重(zhong)要(yao)數(shu)據(ju)和(he)核心數(shu)據(ju)具體目(mu)錄并上(shang)報(bao)工(gong)業(ye)和(he)信息化部(bu)，目(mu)錄發(fa)生變化的，應當及(ji)時(shi)上(shang)報(bao)更新。

工業和信息(xi)化(hua)領域數(shu)據處理者(zhe)應當(dang)定(ding)期梳理數(shu)據，按照(zhao)相(xiang)關標準規范識(shi)別重要數(shu)據和核心數(shu)據并(bing)形成本單位(wei)的具(ju)體目錄。

第八條 根(gen)據(ju)(ju)行(xing)業(ye)(ye)要求、特點、業(ye)(ye)務需求、數據(ju)(ju)來源和(he)用途(tu)等因素，工業(ye)(ye)和(he)信息化領域數據(ju)(ju)分類類別包括但(dan)不限于研發數據(ju)(ju)、生產運行(xing)數據(ju)(ju)、管理數據(ju)(ju)、運維數據(ju)(ju)、業(ye)(ye)務服務數據(ju)(ju)等。

根據(ju)(ju)(ju)數(shu)(shu)據(ju)(ju)(ju)遭(zao)到篡改、破壞、泄露(lu)或(huo)(huo)者非(fei)法獲取、非(fei)法利用，對國(guo)家(jia)安(an)全、公(gong)共利益或(huo)(huo)者個人、組(zu)織(zhi)合法權益等造成的危害程度，工(gong)業和信息化領(ling)域數(shu)(shu)據(ju)(ju)(ju)分為(wei)一般數(shu)(shu)據(ju)(ju)(ju)、重要數(shu)(shu)據(ju)(ju)(ju)和核(he)心數(shu)(shu)據(ju)(ju)(ju)三級。

工業和信息化領域數(shu)據處理者(zhe)可在此基礎(chu)上(shang)細(xi)分數(shu)據的類別和級別。

第九條 危害程度符合下列條件之一的數據為(wei)一般數據：

（一）對公共利益(yi)或(huo)者(zhe)個人、組織合法(fa)權益(yi)造(zao)成較小影響，社會負面影響小；

（二）受影響的(de)用戶和(he)企(qi)業(ye)數量較(jiao)少、生(sheng)產生(sheng)活區域范圍較(jiao)小(xiao)、持(chi)續時間(jian)較(jiao)短，對企(qi)業(ye)經(jing)營、行業(ye)發展(zhan)、技術進步和(he)產業(ye)生(sheng)態等(deng)影響較(jiao)小(xiao)；

（三）其他未納入重要數(shu)(shu)據、核心數(shu)(shu)據目錄的數(shu)(shu)據。

第十條 危害程度符合下列條件之一(yi)的(de)數據(ju)為(wei)重要數據(ju)：

（一）對政(zheng)治、國(guo)土、軍事(shi)、經濟(ji)、文化(hua)、社會、科技、電磁、網絡、生態、資(zi)源、核(he)安(an)全等構(gou)成威脅(xie)，影響海外(wai)利益、生物(wu)、太空、極地、深(shen)海、人工(gong)智能等與國(guo)家安(an)全相關(guan)的重點領域；

（二）對工業和(he)信息化領域(yu)發展(zhan)、生產(chan)、運行和(he)經濟(ji)利益等(deng)造成嚴重影響；

（三）造成(cheng)重(zhong)大數據(ju)安全(quan)事件或(huo)生產(chan)安全(quan)事故，對公共利益或(huo)者個人、組(zu)織合法(fa)權益造成(cheng)嚴(yan)重(zhong)影響，社會負面(mian)影響大；

（四(si)）引(yin)發的級聯效應(ying)明顯(xian)，影響(xiang)范圍涉及多(duo)個(ge)行業、區域或(huo)者(zhe)行業內(nei)多(duo)個(ge)企業，或(huo)者(zhe)影響(xiang)持續(xu)時間長，對行業發展、技術進步(bu)和產業生態等造(zao)成嚴(yan)重影響(xiang)；

（五）經工業和信息化部(bu)評估確定(ding)的其(qi)他重(zhong)要數(shu)據。

第十一條 危害程度符合(he)下列條件之一的(de)數(shu)據為核心數(shu)據：

（一）對政治、國(guo)土、軍(jun)事、經濟(ji)、文(wen)化、社(she)會、科技(ji)、電(dian)磁、網絡、生態、資源、核安(an)全等(deng)構成嚴重威脅，嚴重影響(xiang)海外利益、生物、太(tai)空、極(ji)地、深(shen)海、人工智能等(deng)與國(guo)家(jia)安(an)全相關的重點領域；

（二）對工(gong)業(ye)和信(xin)息化領域(yu)及其重(zhong)要骨干企業(ye)、關(guan)鍵信(xin)息基(ji)礎設施(shi)、重(zhong)要資源(yuan)等造(zao)成重(zhong)大(da)影響；

（三）對工(gong)業生產運營、電信(xin)網(wang)絡(luo)和互聯網(wang)運行服(fu)務(wu)、無(wu)線電業務(wu)開展等造成重大損(sun)害，導(dao)致大范(fan)圍停工(gong)停產、大面(mian)積無(wu)線電業務(wu)中斷(duan)、大規(gui)模(mo)網(wang)絡(luo)與服(fu)務(wu)癱(tan)瘓、大量業務(wu)處理能力(li)喪失等；

（四）經工業(ye)和信息化部評估確定的(de)其他核心數據(ju)。

第十二條 工業(ye)和(he)信(xin)息化(hua)領域(yu)數(shu)(shu)據(ju)(ju)處理(li)者應當將(jiang)本(ben)單(dan)位重要(yao)數(shu)(shu)據(ju)(ju)和(he)核心數(shu)(shu)據(ju)(ju)目錄(lu)向本(ben)地(di)區行業(ye)監管部門備案。備案內(nei)容(rong)包括但不(bu)限(xian)于數(shu)(shu)據(ju)(ju)來源、類別(bie)、級別(bie)、規(gui)模(mo)、載體(ti)、處理(li)目的和(he)方式、使用范圍(wei)、責任主體(ti)、對外(wai)共享、跨境傳輸、安(an)全保護措施等(deng)基本(ben)情況，不(bu)包括數(shu)(shu)據(ju)(ju)內(nei)容(rong)本(ben)身。

地方(fang)行業監管部門(men)應(ying)(ying)當(dang)在(zai)工(gong)(gong)業和信息(xi)化領域數據處理(li)者(zhe)提(ti)交備(bei)(bei)案申請(qing)(qing)的(de)二十(shi)個工(gong)(gong)作日內(nei)(nei)完成審核工(gong)(gong)作，備(bei)(bei)案內(nei)(nei)容(rong)符合要求的(de)，予以備(bei)(bei)案，同(tong)時將(jiang)備(bei)(bei)案情況(kuang)報工(gong)(gong)業和信息(xi)化部；不予備(bei)(bei)案的(de)應(ying)(ying)當(dang)及(ji)時反(fan)(fan)饋(kui)備(bei)(bei)案申請(qing)(qing)人并說(shuo)明(ming)理(li)由。備(bei)(bei)案申請(qing)(qing)人應(ying)(ying)當(dang)在(zai)收到反(fan)(fan)饋(kui)情況(kuang)后的(de)十(shi)五個工(gong)(gong)作日內(nei)(nei)再次提(ti)交備(bei)(bei)案申請(qing)(qing)。

備案內(nei)容發生重(zhong)大變(bian)化(hua)(hua)(hua)的(de)，工業和信息化(hua)(hua)(hua)領(ling)域數(shu)據處理者應當在發生變(bian)化(hua)(hua)(hua)的(de)三(san)個月內(nei)履行備案變(bian)更手續。重(zhong)大變(bian)化(hua)(hua)(hua)是指(zhi)某類重(zhong)要數(shu)據和核心數(shu)據規模(mo)（數(shu)據條目數(shu)量或者存儲總量等）變(bian)化(hua)(hua)(hua)30％以上，或者其它備案內(nei)容發生變(bian)化(hua)(hua)(hua)。

第(di)三(san)章 數(shu)據全生命周期安全管理

第十三條 工(gong)業和(he)信息化領(ling)域數據(ju)(ju)(ju)處(chu)理者(zhe)應當(dang)對數據(ju)(ju)(ju)處(chu)理活動負(fu)安全主體責任，對各類數據(ju)(ju)(ju)實行(xing)分級(ji)防護(hu)(hu)，不(bu)同級(ji)別數據(ju)(ju)(ju)同時被處(chu)理且難以(yi)分別采(cai)取(qu)保護(hu)(hu)措(cuo)施的(de)，應當(dang)按(an)照其中級(ji)別最高的(de)要求實施保護(hu)(hu)，確(que)保數據(ju)(ju)(ju)持續(xu)處(chu)于(yu)有(you)效保護(hu)(hu)和(he)合(he)法利用的(de)狀態。

（一）建立數(shu)(shu)據全生命周期安全管理(li)制度，針對不同(tong)級別數(shu)(shu)據，制定(ding)數(shu)(shu)據收集(ji)、存儲、使用、加工(gong)、傳輸、提供、公開等(deng)環節的具體分(fen)級防護要求(qiu)和操(cao)作規程；

（二）根據需(xu)要配(pei)備數(shu)據安(an)全管(guan)理(li)人員，統籌負責(ze)數(shu)據處理(li)活動(dong)的(de)安(an)全監(jian)督管(guan)理(li)，協助行業監(jian)管(guan)部門(men)開展工作；

（三）合理確定數(shu)據處理活動的操(cao)作權限(xian)，嚴格(ge)實施人員權限(xian)管理；

（四）根據(ju)應對數據(ju)安(an)全事件的需要，制定應急預(yu)案(an)，并開展應急演(yan)練(lian)；

（五）定期對從業人(ren)員開(kai)展數(shu)據安全教(jiao)育(yu)和培訓；

（六）法(fa)律、行政法(fa)規(gui)等規(gui)定的其他(ta)措施。

工業和(he)信息化領域重要數(shu)據和(he)核心數(shu)據處理(li)者(zhe)，還應(ying)當：

（一）建(jian)立(li)覆蓋本(ben)單位相關部門的數據安(an)全(quan)(quan)工作體系，明確數據安(an)全(quan)(quan)負責(ze)人(ren)和管理機構，建(jian)立(li)常(chang)態化溝通與協作機制(zhi)。本(ben)單位法定代表人(ren)或者主要負責(ze)人(ren)是數據安(an)全(quan)(quan)第一責(ze)任(ren)人(ren)，領導團隊中分管數據安(an)全(quan)(quan)的成員是直接責(ze)任(ren)人(ren)；

（二）明確數據(ju)處理關鍵(jian)崗(gang)位(wei)和崗(gang)位(wei)職(zhi)責，并要求關鍵(jian)崗(gang)位(wei)人員簽署數據(ju)安(an)全責任書，責任書內容包括(kuo)但不(bu)限于(yu)數據(ju)安(an)全崗(gang)位(wei)職(zhi)責、義務(wu)、處罰(fa)措施(shi)、注意事項等內容；

（三）建立(li)內部(bu)登記、審批等工作機(ji)制(zhi)，對重(zhong)要數據和核心數據的(de)處理(li)活動進行(xing)嚴(yan)格管理(li)并留存記錄(lu)。

第十四條 工業和信息化領(ling)域數據(ju)(ju)處理者收(shou)集數據(ju)(ju)應當遵循合(he)法、正當的(de)原則，不得(de)竊取或者以(yi)其他非法方式(shi)收(shou)集數據(ju)(ju)。

數(shu)據(ju)(ju)收(shou)集過程中，應當根據(ju)(ju)數(shu)據(ju)(ju)安全(quan)級別采取相應的安全(quan)措施，加強重要數(shu)據(ju)(ju)和核(he)心數(shu)據(ju)(ju)收(shou)集人員、設(she)備的管理，并對收(shou)集來源(yuan)、時(shi)間、類型、數(shu)量、頻(pin)度(du)、流向等進行記錄。

通過(guo)間接途(tu)徑(jing)獲取重要數據(ju)和核心數據(ju)的，工業和信息(xi)化領域數據(ju)處理者應當與數據(ju)提供方通過(guo)簽署相關協議、承諾書(shu)等方式，明確(que)雙方法律責(ze)任。

第十五條 工業(ye)和信息化領域數(shu)(shu)據(ju)處理者應(ying)當按照法(fa)律(lv)、行(xing)政(zheng)法(fa)規(gui)規(gui)定(ding)(ding)和用(yong)戶(hu)約定(ding)(ding)的(de)方式、期(qi)限進行(xing)數(shu)(shu)據(ju)存(cun)儲(chu)(chu)。存(cun)儲(chu)(chu)重要數(shu)(shu)據(ju)和核(he)心(xin)數(shu)(shu)據(ju)的(de)，應(ying)當采(cai)用(yong)校驗技術、密(mi)碼技術等(deng)措施進行(xing)安(an)全存(cun)儲(chu)(chu)，并實施數(shu)(shu)據(ju)容(rong)災備份和存(cun)儲(chu)(chu)介質(zhi)安(an)全管理，定(ding)(ding)期(qi)開(kai)展(zhan)數(shu)(shu)據(ju)恢復測(ce)試(shi)。

第十六條 工業和(he)信息(xi)化(hua)領(ling)域數(shu)據(ju)(ju)處(chu)理者(zhe)利用數(shu)據(ju)(ju)進行自動(dong)化(hua)決策(ce)的，應(ying)當(dang)保證決策(ce)的透明度和(he)結果公平合理。使(shi)用、加工重要數(shu)據(ju)(ju)和(he)核心數(shu)據(ju)(ju)的，還應(ying)當(dang)加強訪問控(kong)制。

工(gong)業和信息化領域數(shu)據處理(li)者提供數(shu)據處理(li)服務，涉(she)及經營電信業務的，應當(dang)按照(zhao)相關法律、行政法規規定取得(de)電信業務經營許可。

第十七條 工業和信息化領域(yu)數(shu)據(ju)處理(li)者應(ying)當(dang)(dang)根據(ju)傳輸(shu)的(de)數(shu)據(ju)類(lei)型、級別和應(ying)用場景，制定安(an)全(quan)(quan)策略并采取保(bao)護(hu)措施(shi)。傳輸(shu)重要數(shu)據(ju)和核心數(shu)據(ju)的(de)，應(ying)當(dang)(dang)采取校驗技(ji)術(shu)、密碼技(ji)術(shu)、安(an)全(quan)(quan)傳輸(shu)通道或者安(an)全(quan)(quan)傳輸(shu)協議等措施(shi)。   

第十八條 工業和信息化領域數(shu)據(ju)(ju)處理(li)者對(dui)外(wai)提(ti)供數(shu)據(ju)(ju)，應當明確提(ti)供的(de)(de)范圍、類(lei)別、條件、程序等。提(ti)供重(zhong)要(yao)數(shu)據(ju)(ju)和核(he)(he)心(xin)數(shu)據(ju)(ju)的(de)(de)，應當與數(shu)據(ju)(ju)獲(huo)取方簽(qian)訂數(shu)據(ju)(ju)安(an)全協議，對(dui)數(shu)據(ju)(ju)獲(huo)取方數(shu)據(ju)(ju)安(an)全保護能力進行核(he)(he)驗，采取必要(yao)的(de)(de)安(an)全保護措施(shi)。

第十九條 工業和信息化領域數據(ju)處理者應當在數據(ju)公(gong)開(kai)前(qian)分析(xi)研判可能對國家(jia)安全、公(gong)共利益產(chan)生的影(ying)(ying)響，存(cun)在重大(da)影(ying)(ying)響的不得公(gong)開(kai)。

第二十條 工(gong)業和(he)(he)信(xin)息化領域數(shu)(shu)據(ju)處理者應(ying)當(dang)建(jian)立數(shu)(shu)據(ju)銷(xiao)毀(hui)(hui)(hui)制度，明確(que)銷(xiao)毀(hui)(hui)(hui)對象(xiang)、規則、流程和(he)(he)技術等要求，對銷(xiao)毀(hui)(hui)(hui)活動進(jin)行記錄和(he)(he)留(liu)存。個(ge)人(ren)、組織按(an)照法律規定(ding)、合同約定(ding)等請求銷(xiao)毀(hui)(hui)(hui)的，工(gong)業和(he)(he)信(xin)息化領域數(shu)(shu)據(ju)處理者應(ying)當(dang)銷(xiao)毀(hui)(hui)(hui)相(xiang)應(ying)數(shu)(shu)據(ju)。

工業和(he)信(xin)息化領域數(shu)據處理者銷毀重要數(shu)據和(he)核心數(shu)據后，不(bu)得以任何(he)理由、任何(he)方式(shi)對銷毀數(shu)據進行恢復，引起備案內容發(fa)生變化的，應當履行備案變更(geng)手續。

第二十一條 工業和(he)信息化領域數(shu)據(ju)處(chu)理者在中華人民共和(he)國(guo)境(jing)內收(shou)集和(he)產(chan)生的重要數(shu)據(ju)和(he)核(he)心數(shu)據(ju)，法律、行政法規有境(jing)內存儲要求的，應(ying)當(dang)在境(jing)內存儲，確需向境(jing)外(wai)提供的，應(ying)當(dang)依(yi)法依(yi)規進行數(shu)據(ju)出境(jing)安全評估(gu)。

工(gong)(gong)(gong)業(ye)和(he)(he)(he)信息(xi)(xi)化(hua)部(bu)根據(ju)有關法(fa)(fa)律和(he)(he)(he)中華人(ren)民共和(he)(he)(he)國締結或(huo)者參加的國際條約、協定，或(huo)者按照平等(deng)互惠原(yuan)則，處理外(wai)國工(gong)(gong)(gong)業(ye)、電(dian)(dian)信、無線電(dian)(dian)執(zhi)法(fa)(fa)機構關于提供(gong)工(gong)(gong)(gong)業(ye)和(he)(he)(he)信息(xi)(xi)化(hua)領(ling)域數(shu)(shu)據(ju)的請求。非經(jing)工(gong)(gong)(gong)業(ye)和(he)(he)(he)信息(xi)(xi)化(hua)部(bu)批準(zhun)，工(gong)(gong)(gong)業(ye)和(he)(he)(he)信息(xi)(xi)化(hua)領(ling)域數(shu)(shu)據(ju)處理者不(bu)得(de)向外(wai)國工(gong)(gong)(gong)業(ye)、電(dian)(dian)信、無線電(dian)(dian)執(zhi)法(fa)(fa)機構提供(gong)存(cun)儲于中華人(ren)民共和(he)(he)(he)國境(jing)內的工(gong)(gong)(gong)業(ye)和(he)(he)(he)信息(xi)(xi)化(hua)領(ling)域數(shu)(shu)據(ju)。

第二十二條 工業和信息化領(ling)域數據處理(li)者因(yin)兼并(bing)、重組、破產(chan)等(deng)原因(yin)需要(yao)轉移數據的，應當明確數據轉移方(fang)案(an)，并(bing)通(tong)過電話、短信、郵件、公告等(deng)方(fang)式通(tong)知受影響用戶。涉及重要(yao)數據和核(he)心數據備案(an)內容發生變化的，應當履(lv)行備案(an)變更(geng)手(shou)續。

第二十三條 工業和信息化領域(yu)數(shu)(shu)(shu)據(ju)(ju)處(chu)理(li)者(zhe)委(wei)托他(ta)人開展數(shu)(shu)(shu)據(ju)(ju)處(chu)理(li)活動的，應當通過簽訂合同(tong)協議(yi)等方式，明確委(wei)托方與(yu)受(shou)托方的數(shu)(shu)(shu)據(ju)(ju)安(an)全(quan)責任和義(yi)務(wu)。委(wei)托處(chu)理(li)重(zhong)要數(shu)(shu)(shu)據(ju)(ju)和核(he)心數(shu)(shu)(shu)據(ju)(ju)的，應當對受(shou)托方的數(shu)(shu)(shu)據(ju)(ju)安(an)全(quan)保(bao)護能力、資質(zhi)進行(xing)核(he)驗。

除(chu)法(fa)律、行政法(fa)規(gui)等另有規(gui)定外(wai)，未經委(wei)托(tuo)方(fang)同意(yi)，受(shou)托(tuo)方(fang)不得(de)將數(shu)據(ju)提供給第三方(fang)。

第二十四條 跨主體提供、轉移、委托(tuo)處理核心數據的(de)，工業(ye)(ye)和(he)(he)信(xin)息化(hua)領域數據處理者應當評估安全(quan)風(feng)險，采取(qu)必要的(de)安全(quan)保(bao)護(hu)措施，并(bing)由本地區行(xing)(xing)業(ye)(ye)監管部(bu)門審查后(hou)報工業(ye)(ye)和(he)(he)信(xin)息化(hua)部(bu)。工業(ye)(ye)和(he)(he)信(xin)息化(hua)部(bu)按照有關規定進行(xing)(xing)審查。

第二十五條 工業和信(xin)息化領域數(shu)據處理者應當在數(shu)據全生命周(zhou)期處理過程中，記錄(lu)數(shu)據處理、權限管理、人員操(cao)作等(deng)日志。日志留存時間不(bu)少于六個(ge)月(yue)。

第四章 數(shu)據安全監測預警與應急(ji)管(guan)理

第二十六條 工業和(he)信息化部(bu)建立數據(ju)安(an)全風險監(jian)測機制(zhi)，組(zu)織制(zhi)定數據(ju)安(an)全監(jian)測預(yu)警(jing)(jing)接口和(he)標準，統籌建設數據(ju)安(an)全監(jian)測預(yu)警(jing)(jing)技術手(shou)段，形成監(jian)測、預(yu)警(jing)(jing)、處(chu)置、溯源等能力(li)，與相關部(bu)門加強信息共(gong)享。

地(di)方行業監管部門分別(bie)建(jian)設本地(di)區數(shu)據安全(quan)風(feng)(feng)險監測預警(jing)機制，組織(zhi)開展數(shu)據安全(quan)風(feng)(feng)險監測，按照有關規定及時發布預警(jing)信息，通知本地(di)區工業和信息化領域數(shu)據處理者及時采取應對(dui)措施。

工業和(he)信息化領域數據處理者應當開(kai)展數據安(an)全風(feng)險監測，及時(shi)排(pai)查安(an)全隱患，采(cai)取必要的措施防范(fan)數據安(an)全風(feng)險。

第二十七條 工業和信(xin)息化部建立數據(ju)安全(quan)風(feng)險信(xin)息上報(bao)和共享機(ji)制，統一(yi)匯集、分析、研(yan)判(pan)、通報(bao)數據(ju)安全(quan)風(feng)險信(xin)息，鼓勵安全(quan)服務(wu)機(ji)構(gou)、行業組織、科研(yan)機(ji)構(gou)等開展數據(ju)安全(quan)風(feng)險信(xin)息上報(bao)和共享。

地方行(xing)業(ye)監管部(bu)門分別匯總分析本地區數據安(an)全風險，及時將可能造成重大及以(yi)上(shang)安(an)全事件的風險上(shang)報(bao)工(gong)業(ye)和信(xin)息化部(bu)。

工業和信息化領域數(shu)據處理者應當及(ji)時(shi)將可能(neng)造(zao)成(cheng)較大及(ji)以上安全事件的風險向本地區(qu)行業監管部門報(bao)告。

第二十八條 工(gong)業和(he)信(xin)息化部制定工(gong)業和(he)信(xin)息化領(ling)域數(shu)(shu)據安(an)全事件應急預(yu)案，組織協調重要數(shu)(shu)據和(he)核心數(shu)(shu)據安(an)全事件應急處置工(gong)作。

地(di)方行業(ye)監管部門分別組織開展本地(di)區數據(ju)安全事件(jian)應(ying)急處置(zhi)工作。涉(she)及重要數據(ju)和核心數據(ju)的(de)安全事件(jian)，應(ying)當立即上報(bao)工業(ye)和信(xin)息化部，并及時報(bao)告(gao)事件(jian)發展和處置(zhi)情況(kuang)。

工(gong)業和信息(xi)化領域數(shu)據(ju)(ju)處(chu)理者在(zai)數(shu)據(ju)(ju)安(an)全事(shi)件(jian)發(fa)生(sheng)后(hou)，應當按照應急預案(an)，及(ji)時(shi)開展(zhan)應急處(chu)置(zhi)，涉及(ji)重(zhong)要(yao)數(shu)據(ju)(ju)和核心數(shu)據(ju)(ju)的安(an)全事(shi)件(jian)，第一時(shi)間向(xiang)本(ben)地(di)區(qu)(qu)行業監(jian)管(guan)部門報(bao)(bao)告，事(shi)件(jian)處(chu)置(zhi)完成后(hou)在(zai)規定期限(xian)內形(xing)成總結報(bao)(bao)告，每年向(xiang)本(ben)地(di)區(qu)(qu)行業監(jian)管(guan)部門報(bao)(bao)告數(shu)據(ju)(ju)安(an)全事(shi)件(jian)處(chu)置(zhi)情況(kuang)。

工業和信息化領域數據處(chu)理者對發生的可能損(sun)害用戶合法權(quan)益的數據安全事(shi)件(jian)，應當(dang)及時告(gao)知用戶，并提供減輕危害措施。

第二十九條 工(gong)業和信(xin)息化部(bu)委托相關行(xing)業組織建立工(gong)業和信(xin)息化領(ling)域(yu)數(shu)據(ju)安全違(wei)法(fa)(fa)行(xing)為投(tou)訴(su)(su)舉(ju)報渠道(dao)，地方行(xing)業監(jian)管(guan)部(bu)門(men)分別建立本地區(qu)數(shu)據(ju)安全違(wei)法(fa)(fa)行(xing)為投(tou)訴(su)(su)舉(ju)報機(ji)制(zhi)或(huo)渠道(dao)，依法(fa)(fa)接收、處理投(tou)訴(su)(su)舉(ju)報，根(gen)據(ju)工(gong)作需要開展(zhan)執法(fa)(fa)調查。鼓勵工(gong)業和信(xin)息化領(ling)域(yu)數(shu)據(ju)處理者建立用戶投(tou)訴(su)(su)處理機(ji)制(zhi)。

第五章 數據安全檢測(ce)、認(ren)證、評估管理

第三十條 工業和信息化部指(zhi)導、鼓勵具(ju)備相應(ying)資(zi)質的機構，依據相關(guan)標準開展行業數(shu)據安全(quan)檢測、認證(zheng)工作。

第三十一條 工(gong)業(ye)和信息化(hua)部制(zhi)定行業(ye)數據安全(quan)評(ping)估管(guan)(guan)理制(zhi)度，開(kai)展(zhan)評(ping)估機構(gou)管(guan)(guan)理工(gong)作(zuo)。制(zhi)定行業(ye)數據安全(quan)評(ping)估規(gui)范，指導(dao)評(ping)估機構(gou)開(kai)展(zhan)數據安全(quan)風險評(ping)估、出境安全(quan)評(ping)估等工(gong)作(zuo)。

地(di)方行業監管(guan)部門(men)分別(bie)負責(ze)組織開展本地(di)區(qu)數據安全評估工作。

工業和(he)信息化領域重要數據和(he)核心(xin)數據處理者(zhe)應當自行(xing)或委(wei)托第三方評估機構，每年對(dui)其數據處理活動(dong)至少開展一次(ci)風(feng)險(xian)(xian)評估，及時(shi)整(zheng)改風(feng)險(xian)(xian)問(wen)題，并向本(ben)地(di)區行(xing)業監管部(bu)門報送風(feng)險(xian)(xian)評估報告(gao)。

第六章 監督檢(jian)查

第三十二條 行業監管部門對工業和信息化領域數據處理者落實本辦法(fa)要求的(de)情(qing)況進行監督檢查(cha)。

工業和信(xin)息化領域數據(ju)處理者應當(dang)對行(xing)業監管部門監督檢查(cha)予以配合。

第三十三條 工(gong)業和信息(xi)化部在國家數(shu)據安(an)全(quan)工(gong)作(zuo)協(xie)調機制指導下(xia)，開展工(gong)業和信息(xi)化領域數(shu)據安(an)全(quan)審(shen)查相關(guan)工(gong)作(zuo)。

第三十四條 行(xing)業(ye)(ye)監管部(bu)門及其(qi)委(wei)托的數據安全評估機構(gou)工作人員對在履行(xing)職責(ze)中知悉的個人信(xin)息和商業(ye)(ye)秘密等，應(ying)當嚴格保密，不得(de)泄露或者非法(fa)向(xiang)他(ta)人提(ti)供(gong)。

第七章 法律責(ze)任

第三十五條 行(xing)業(ye)監管(guan)部(bu)門(men)在履行(xing)數據安全(quan)監督管(guan)理職責中，發現數據處理活動存在較大安全(quan)風險(xian)的，可以按照規定權限和程序對(dui)工業(ye)和信息化領(ling)域數據處理者(zhe)進行(xing)約談，并要求采取措施進行(xing)整改，消(xiao)除隱患。

第三十六條 有(you)違(wei)(wei)反本(ben)辦(ban)法(fa)規定行為(wei)的(de)，由行業監管部門(men)按照相關法(fa)律法(fa)規，根據情節(jie)嚴重程度(du)給予沒收違(wei)(wei)法(fa)所得、罰款、暫停(ting)(ting)業務、停(ting)(ting)業整頓、吊(diao)銷業務許可證(zheng)等行政處罰；構成(cheng)犯罪(zui)的(de)，依法(fa)追究刑事(shi)責(ze)任。

第八章(zhang) 附(fu)則

第三十七條 中(zhong)(zhong)央(yang)企(qi)業應(ying)(ying)當督促(cu)指(zhi)導所(suo)屬(shu)企(qi)業，在重要數據(ju)和核(he)心(xin)數據(ju)目錄備案、核(he)心(xin)數據(ju)跨主(zhu)體處理風(feng)險評(ping)估、風(feng)險信息(xi)上(shang)報、年度數據(ju)安全事件處置報告(gao)、重要數據(ju)和核(he)心(xin)數據(ju)風(feng)險評(ping)估等工(gong)作中(zhong)(zhong)履行屬(shu)地管理要求，還應(ying)(ying)當全面梳理匯總企(qi)業集團(tuan)本部、所(suo)屬(shu)公司的數據(ju)安全相關(guan)情況，并及(ji)時報送工(gong)業和信息(xi)化部。

第三十八條 開展涉及個人信息的數據(ju)處理活動，還應(ying)當遵守有(you)關法(fa)律、行(xing)政法(fa)規的規定(ding)。

第三十九條 涉及(ji)軍(jun)事(shi)、國家秘密信息(xi)等數據處理(li)活動(dong)，按照國家有關(guan)規(gui)定執(zhi)行。

第四十條 工業和信息化領域政務數據處(chu)理活動的具體辦法，由工業和信息化部另(ling)行規定(ding)。

第四十一條 國(guo)防科技(ji)(ji)工(gong)業(ye)、煙草領域數據安全管理由國(guo)家國(guo)防科技(ji)(ji)工(gong)業(ye)局、國(guo)家煙草專賣局負責，具體(ti)制(zhi)(zhi)度參照本辦法另(ling)行(xing)制(zhi)(zhi)定。

第四十二條 本(ben)辦法自(zi)2023年1月1日起(qi)施行。