工信部：工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù)

智通財(cái)經(jīng)APP獲悉，工信部再次公開(kāi)征求對(duì)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》的意見(jiàn)，意見(jiàn)稿提出，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任，對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù)，不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的，應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)；工信部還提出，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。

以下為全文：

工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）

（公開(kāi)征求意見(jiàn)稿）

第一章 總則

第一條【目的依據(jù)】為規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)，加強(qiáng)數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家安全和發(fā)展利益， 根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)民法典》等法律法規(guī)， 制定本辦法。

第二條【適用范圍】在中華人民共和國(guó)境內(nèi)開(kāi)展的工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管，應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)和本辦法的要求。

第三條【數(shù)據(jù)定義】工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無(wú)線電數(shù)據(jù)。工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)行維護(hù)、平臺(tái)運(yùn)營(yíng)等過(guò)程中產(chǎn)生和收集的數(shù)據(jù)。

電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)。

無(wú)線電數(shù)據(jù)是指在開(kāi)展無(wú)線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無(wú)線電頻率、臺(tái)（站）等電波參數(shù)數(shù)據(jù)。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)處理活動(dòng)的工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者和無(wú)線電頻率、臺(tái)（站）使用單位等工業(yè)和信息化領(lǐng)域各類(lèi)主體。

第四條【監(jiān)管機(jī)構(gòu)】在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，工業(yè)和信息化部負(fù)責(zé)督促指導(dǎo)各省、自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén)（以下統(tǒng)稱(chēng)地方工業(yè)和信息化主管部門(mén)），各省、自治區(qū)、直轄市通信管理局（以下統(tǒng)稱(chēng)地方通信管理局）和各省、自治區(qū)、直轄市無(wú)線電管理機(jī)構(gòu)（以下統(tǒng)稱(chēng)地方無(wú)線電管理機(jī)構(gòu)）開(kāi)展數(shù)據(jù)安全監(jiān)管，對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。

地方工業(yè)和信息化主管部門(mén)負(fù)責(zé)對(duì)本地區(qū)工業(yè)數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。地方通信管理局負(fù)責(zé)對(duì)本地區(qū)電信數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。地方無(wú)線電管理機(jī)構(gòu)負(fù)責(zé)對(duì)本地區(qū)無(wú)線電數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。

工業(yè)和信息化部及地方工業(yè)和信息化主管部門(mén)、通信管理局、無(wú)線電管理機(jī)構(gòu)統(tǒng)稱(chēng)為行業(yè)（領(lǐng)域）監(jiān)管部門(mén)。

行業(yè)（領(lǐng)域）監(jiān)管部門(mén)依照有關(guān)法律、行政法規(guī)的規(guī)定， 依法配合有關(guān)部門(mén)開(kāi)展的數(shù)據(jù)安全監(jiān)管相關(guān)工作。

第五條【產(chǎn)業(yè)發(fā)展】行業(yè)（領(lǐng)域）監(jiān)管部門(mén)鼓勵(lì)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全技術(shù)研究，支持推廣數(shù)據(jù)安全產(chǎn)品和服務(wù)，培育數(shù)據(jù)安全企業(yè)、研究和服務(wù)機(jī)構(gòu)，發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)，提升數(shù)據(jù)安全保障能力，促進(jìn)數(shù)據(jù)的創(chuàng)新應(yīng)用。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者研究、開(kāi)發(fā)、使用數(shù)據(jù)新技術(shù)、新產(chǎn)品、新服務(wù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)和行業(yè)發(fā)展，符合社會(huì)公德和倫理。

第六條【標(biāo)準(zhǔn)制定】行業(yè)（領(lǐng)域）監(jiān)管部門(mén)推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)，組織開(kāi)展行業(yè)相關(guān)標(biāo)準(zhǔn)制修訂工作。鼓勵(lì)支持企業(yè)、研究機(jī)構(gòu)、高等院校、行業(yè)組織等不同主體，合作開(kāi)展國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)制定。引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)管理、數(shù)據(jù)安全貫標(biāo)達(dá)標(biāo)工作。

第二章 數(shù)據(jù)分類(lèi)分級(jí)管理

第七條【分類(lèi)分級(jí)工作要求】工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定、數(shù)據(jù)分級(jí)防護(hù)等標(biāo)準(zhǔn)規(guī)范，指導(dǎo)開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)管理工作，制定行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實(shí)施動(dòng)態(tài)管理。

地方工業(yè)和信息化主管部門(mén)、通信管理局、無(wú)線電管理機(jī)構(gòu)組織開(kāi)展本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類(lèi)分級(jí)管理及重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別工作，確定本地區(qū)行業(yè)（領(lǐng)域） 重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報(bào)工業(yè)和信息化部，目錄發(fā)生變化的，應(yīng)當(dāng)及時(shí)上報(bào)更新。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄。

第八條【分類(lèi)分級(jí)方法】根據(jù)行業(yè)要求、特點(diǎn)、業(yè)務(wù)需求、數(shù)據(jù)來(lái)源和用途等因素，工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類(lèi)類(lèi)別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)等。

根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度，工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級(jí)。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可在此基礎(chǔ)上細(xì)分?jǐn)?shù)據(jù)的類(lèi)別和級(jí)別。

第九條【一般數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù)：

（一）對(duì)公共利益或者個(gè)人、組織合法權(quán)益造成較小影響，社會(huì)負(fù)面影響??；

（二）受影響的用戶(hù)和企業(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時(shí)間較短，對(duì)企業(yè)經(jīng)營(yíng)、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較小；

（三）其他未納入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。

第十條【重要數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù)：

（一）對(duì)政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國(guó)家安全相關(guān)的重點(diǎn)領(lǐng)域；

（二）對(duì)工業(yè)和信息化領(lǐng)域發(fā)展、生產(chǎn)、運(yùn)行和經(jīng)濟(jì)利益等造成嚴(yán)重影響；

（三）造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故，對(duì)公共利益或者個(gè)人、組織合法權(quán)益造成嚴(yán)重影響，社會(huì)負(fù)面影響大；

（四）引發(fā)的級(jí)聯(lián)效應(yīng)明顯，影響范圍涉及多個(gè)行業(yè)、區(qū)域或者行業(yè)內(nèi)多個(gè)企業(yè)，或者影響持續(xù)時(shí)間長(zhǎng)，對(duì)行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響；

（五）經(jīng)工業(yè)和信息化部評(píng)估確定的其他重要數(shù)據(jù)。

第十一條【核心數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為 核心數(shù)據(jù)：

（一）對(duì)政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、

電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成嚴(yán)重威脅，嚴(yán)重影響海外利益、生物、太空、極地、深海、人工智能等與國(guó)家安全相關(guān)的重點(diǎn)領(lǐng)域；

（二）對(duì)工業(yè)和信息化領(lǐng)域及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、重要資源等造成重大影響；

（三）對(duì)工業(yè)生產(chǎn)運(yùn)營(yíng)、電信網(wǎng)絡(luò)（含互聯(lián)網(wǎng)）運(yùn)行和服務(wù)、無(wú)線電業(yè)務(wù)開(kāi)展等造成重大損害，導(dǎo)致大范圍停工停產(chǎn)、大面積無(wú)線電業(yè)務(wù)中斷、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等；

（四）經(jīng)工業(yè)和信息化部評(píng)估確定的其他核心數(shù)據(jù)。

第十二條【重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）備案。備案內(nèi)容包括但不限于數(shù)據(jù)類(lèi)別、級(jí)別、規(guī)模、處理目的和方式、使用范圍、責(zé)任主體、對(duì)外共享、跨境傳輸、安全保護(hù)措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。

地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）應(yīng)當(dāng)在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提交備案申請(qǐng)的二十個(gè)工作日內(nèi)完成審核工作，備案內(nèi)容符合要求的，予以備案并發(fā)放備案憑證，同時(shí)將備案情況報(bào)工業(yè)和信息化部；不予備案的應(yīng)當(dāng)及時(shí)反饋備案申請(qǐng)人并說(shuō)明理由。

重要數(shù)據(jù)和核心數(shù)據(jù)的類(lèi)別或規(guī)模變化 30％以上的，或者其它備案內(nèi)容發(fā)生重大變化的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)生變化的三個(gè)月內(nèi)履行備案變更手續(xù)。

第三章 數(shù)據(jù)全生命周期安全管理

第十三條【主體責(zé)任】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任，對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù)，不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的， 應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。

（一）建立數(shù)據(jù)全生命周期安全管理制度，針對(duì)不同級(jí)別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等環(huán)節(jié)的具體分級(jí)防護(hù)要求和操作規(guī)程；

（二）根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理，協(xié)助行業(yè)（領(lǐng)域）監(jiān)管部門(mén)開(kāi)展工作；

（三）合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限，嚴(yán)格實(shí)施人員權(quán)限管理；

（四）根據(jù)應(yīng)對(duì)數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案， 并定期進(jìn)行演練；

（五）定期對(duì)從業(yè)人員開(kāi)展數(shù)據(jù)安全教育和培訓(xùn)；

（六）法律、行政法規(guī)等規(guī)定的其他措施。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者，還應(yīng)當(dāng)：

（一）建立覆蓋本單位相關(guān)部門(mén)的數(shù)據(jù)安全工作體系， 明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，建立常態(tài)化溝通與協(xié)作機(jī)制。本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人，領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人；

（二）明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書(shū)；

（三）建立內(nèi)部登記、審批機(jī)制，對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄。

第十四條【數(shù)據(jù)收集】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)?shù)脑瓌t，不得竊取或者以其他非法方式收集數(shù)據(jù)。

數(shù)據(jù)收集過(guò)程中，應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級(jí)別采取相應(yīng)的安全措施，加強(qiáng)重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理， 并對(duì)收集時(shí)間、類(lèi)型、數(shù)量、頻度、流向等進(jìn)行記錄。

通過(guò)間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過(guò)簽署相關(guān)協(xié)議、承諾書(shū)等方式，明確雙方法律責(zé)任。

第十五條【數(shù)據(jù)存儲(chǔ)】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)依據(jù)法律規(guī)定或者與用戶(hù)約定的方式和期限存儲(chǔ)數(shù)據(jù)。存儲(chǔ)重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲(chǔ)，不得直接提供存儲(chǔ)系統(tǒng)的公共信息網(wǎng)絡(luò)訪問(wèn)，并實(shí)施數(shù)據(jù)容災(zāi)備份和存儲(chǔ)介質(zhì)安全管理，定期開(kāi)展數(shù)據(jù)恢復(fù)測(cè)試。存儲(chǔ)核心數(shù)據(jù)的，還應(yīng)當(dāng)實(shí)施異地容災(zāi)備份。

第十六條【數(shù)據(jù)使用加工】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者利用數(shù)據(jù)進(jìn)行自動(dòng)化決策分析的，應(yīng)當(dāng)保證決策分析的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的， 還應(yīng)當(dāng)加強(qiáng)訪問(wèn)控制。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)處理服務(wù)，涉及經(jīng)營(yíng)電信業(yè)務(wù)的，應(yīng)當(dāng)按照相關(guān)法律、行政法規(guī)規(guī)定取得電信業(yè)務(wù)經(jīng)營(yíng)許可。

第十七條【數(shù)據(jù)傳輸】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類(lèi)型、級(jí)別和應(yīng)用場(chǎng)景，制定安全策略并采取保護(hù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。第十八條【數(shù)據(jù)提供】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)，應(yīng)當(dāng)明確提供的范圍、類(lèi)別、條件、程序等，并與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議。提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對(duì)數(shù)據(jù)獲取方數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估或核實(shí)， 采取必要的安全保護(hù)措施。

第十九條【數(shù)據(jù)公開(kāi)】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開(kāi)前分析研判可能對(duì)公共利益、國(guó)家安全產(chǎn)生的影響，存在重大影響的不得公開(kāi)。

第二十條【數(shù)據(jù)銷(xiāo)毀】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷(xiāo)毀制度，明確銷(xiāo)毀對(duì)象、規(guī)則、流程和技術(shù)等要求，對(duì)銷(xiāo)毀活動(dòng)進(jìn)行記錄和留存。個(gè)人、組織依據(jù)法律規(guī)定、合同約定等請(qǐng)求銷(xiāo)毀的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)銷(xiāo)毀相應(yīng)數(shù)據(jù)。

銷(xiāo)毀重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)及時(shí)向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）更新備案，不得以任何理由、任何方式對(duì)銷(xiāo)毀數(shù)據(jù)進(jìn)行恢復(fù)。

第二十一條【數(shù)據(jù)出境】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)， 法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。

工業(yè)和信息化部根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)工業(yè)、電信、無(wú)線電執(zhí)法機(jī)構(gòu)關(guān)于提供工業(yè)和信息化領(lǐng)域數(shù)據(jù)的請(qǐng)求。非經(jīng)工業(yè)和信息化部批準(zhǔn)，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國(guó)工業(yè)、電信、無(wú)線電執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)。

第二十二條【數(shù)據(jù)轉(zhuǎn)移】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移方案，并通過(guò)電話、短信、郵件、公告等方式通知受影響用戶(hù)。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)及時(shí)向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）

或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）更新備案。

第二十三條【委托處理】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者委托他人開(kāi)展數(shù)據(jù)處理活動(dòng)的，應(yīng)當(dāng)通過(guò)簽訂合同協(xié)議等方式，明確委托方與被委托方的數(shù)據(jù)安全責(zé)任和義務(wù)。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對(duì)被委托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行評(píng)估或核實(shí)。

除法律、行政法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，被委托方不得將數(shù)據(jù)提供給第三方。

第二十四條【核心數(shù)據(jù)跨主體處理】跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的，應(yīng)當(dāng)評(píng)估安全風(fēng)險(xiǎn)，采取必要的安全保護(hù)措施，并經(jīng)由地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域） 或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域） 報(bào)工業(yè)和信息化部。工業(yè)和信息化部按照有關(guān)規(guī)定進(jìn)行審  查。

第二十五條【日志留存】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過(guò)程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間不少于六個(gè)月。

第四章 數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與應(yīng)急管理

第二十六條【監(jiān)測(cè)預(yù)警機(jī)制】工業(yè)和信息化部建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，組織制定數(shù)據(jù)安全監(jiān)測(cè)預(yù)警接口和標(biāo)準(zhǔn)，統(tǒng)籌建設(shè)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警技術(shù)手段，形成監(jiān)測(cè)、溯源、預(yù)警、處置等能力，與相關(guān)部門(mén)加強(qiáng)信息共享。

地方工業(yè)和信息化主管部門(mén)、通信管理局和無(wú)線電管理機(jī)構(gòu)建設(shè)本地區(qū)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警機(jī)制，組織開(kāi)展本地區(qū)工業(yè)、電信行業(yè)和無(wú)線電數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，按照有關(guān)規(guī)定及時(shí)發(fā)布預(yù)警信息，通知本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者及時(shí)采取應(yīng)對(duì)措施。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn)。

第二十七條【信息上報(bào)和共享】工業(yè)和信息化部建立數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享機(jī)制，統(tǒng)一匯集、分析、研判、通報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)信息，鼓勵(lì)安全服務(wù)機(jī)構(gòu)、行業(yè)組織、科研機(jī)構(gòu)等開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享。

地方工業(yè)和信息化主管部門(mén)、通信管理局和無(wú)線電管理機(jī)構(gòu)匯總分析本地區(qū)工業(yè)、電信行業(yè)和無(wú)線電數(shù)據(jù)安全風(fēng)險(xiǎn)，及時(shí)將可能造成重大及以上安全事件的風(fēng)險(xiǎn)上報(bào)工業(yè)和信息化部。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)將可能造成較大及以上安全事件的風(fēng)險(xiǎn)向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）報(bào)告。

第二十八條【應(yīng)急處置】工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。

地方工業(yè)和信息化主管部門(mén)、通信管理局和無(wú)線電管理機(jī)構(gòu)組織開(kāi)展本地區(qū)工業(yè)、電信行業(yè)和無(wú)線電數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當(dāng)立即上報(bào)工業(yè)和信息化部，并及時(shí)報(bào)告事件發(fā)展和處置情況。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后， 應(yīng)當(dāng)按照應(yīng)急預(yù)案，及時(shí)開(kāi)展應(yīng)急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當(dāng)?shù)谝粫r(shí)間向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）報(bào)告。事件處置完成后應(yīng)當(dāng)在規(guī)定期限內(nèi)形成總結(jié)報(bào)告，每年向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）報(bào)告數(shù)據(jù)安全事件處置情況。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對(duì)可能損害用戶(hù)合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶(hù)，并提供減輕危害措施。

第二十九條【舉報(bào)投訴處理】工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報(bào)渠道，地方工業(yè)和信息化主管部門(mén)、通信管理局、無(wú)線電管理機(jī)構(gòu)建立本地區(qū)工業(yè)、電信行業(yè)和無(wú)線電數(shù)據(jù)安全違法行為投訴舉報(bào)機(jī)制或渠道，依法接收、處理投訴舉報(bào)，根據(jù)

工作需要開(kāi)展執(zhí)法調(diào)查。鼓勵(lì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者建立用戶(hù)投訴處理機(jī)制。

第五章 數(shù)據(jù)安全檢測(cè)、認(rèn)證、評(píng)估管理

第三十條【安全檢測(cè)與認(rèn)證】工業(yè)和信息化部鼓勵(lì)、引導(dǎo)具備相應(yīng)資質(zhì)的機(jī)構(gòu)，依據(jù)相關(guān)標(biāo)準(zhǔn)開(kāi)展行業(yè)數(shù)據(jù)安全檢測(cè)、認(rèn)證工作。

第三十一條【安全評(píng)估】工業(yè)和信息化部制定行業(yè)數(shù)據(jù)安全評(píng)估機(jī)構(gòu)管理制度，開(kāi)展評(píng)估機(jī)構(gòu)管理工作。制定行業(yè)數(shù)據(jù)安全評(píng)估規(guī)范，指導(dǎo)評(píng)估機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、合規(guī)評(píng)估、能力評(píng)估、出境評(píng)估等工作。

地方工業(yè)和信息化主管部門(mén)、通信管理局和無(wú)線電管理機(jī)構(gòu)負(fù)責(zé)組織開(kāi)展本地區(qū)工業(yè)、電信行業(yè)和無(wú)線電數(shù)據(jù)安全評(píng)估工作。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評(píng)估機(jī)構(gòu)，每年至少開(kāi)展一次安全評(píng)估，及時(shí)整改風(fēng)險(xiǎn)問(wèn)題，并向地方工業(yè)和信息化主管部門(mén)（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）報(bào)送評(píng)估報(bào)告。

第六章 監(jiān)督檢查

第三十二條【監(jiān)督檢查和協(xié)助義務(wù)】行業(yè)（領(lǐng)域）監(jiān)管部門(mén)對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實(shí)本辦法要求的情況進(jìn)行監(jiān)督檢查。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)行業(yè)（領(lǐng)域）監(jiān)管部門(mén)監(jiān)督檢查予以配合。

第三十三條【數(shù)據(jù)安全審查】工業(yè)和信息化部在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制指導(dǎo)下，開(kāi)展數(shù)據(jù)安全審查相關(guān)工作。第三十四條【保密要求】行業(yè)（領(lǐng)域）監(jiān)管部門(mén)及其委托的數(shù)據(jù)安全評(píng)估機(jī)構(gòu)工作人員對(duì)在履行職責(zé)中知悉的個(gè)人信息和商業(yè)秘密等，應(yīng)當(dāng)嚴(yán)格保密，不得泄露或者非法向他人提供。

第七章 法律責(zé)任

第三十五條【約談?wù)摹啃袠I(yè)（領(lǐng)域）監(jiān)管部門(mén)在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中，發(fā)現(xiàn)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的，可以按照規(guī)定權(quán)限和程序?qū)I(yè)和信息化領(lǐng)域數(shù)據(jù)處理者進(jìn)行約談，并要求采取措施進(jìn)行整改，消除隱患。

第三十六條【法律責(zé)任】有違反本辦法規(guī)定行為的，由行業(yè)（領(lǐng)域）監(jiān)管部門(mén)依照相關(guān)法律法規(guī)，根據(jù)情節(jié)嚴(yán)重程度給予沒(méi)收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)業(yè)務(wù)許可證等行政處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第八章 附則

第三十七條【個(gè)人信息保護(hù)】開(kāi)展涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。

第三十八條【其他規(guī)定參照】涉及軍事、國(guó)家秘密信息、密碼使用等數(shù)據(jù)處理活動(dòng)，按照國(guó)家有關(guān)規(guī)定執(zhí)行。

第三十九條【政務(wù)數(shù)據(jù)排除】工業(yè)和信息化領(lǐng)域政務(wù)數(shù)據(jù)處理活動(dòng)的具體辦法，由工業(yè)和信息化部另行規(guī)定。

第四十條【國(guó)防科工、煙草領(lǐng)域】國(guó)防科技工業(yè)、煙草領(lǐng)域數(shù)據(jù)安全管理由國(guó)防科工局、國(guó)家煙草專(zhuān)賣(mài)局負(fù)責(zé)，具體制度參照本辦法另行制定。

第四十一條【施行日期】本辦法自 2022 年 月 日起施行。

本文選編自“工信部官網(wǎng)”，智通財(cái)經(jīng)編輯：秦志洲