工信部網(wǎng)安〔2022〕166號

各省、自治區、直轄市、計劃單列市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)，各省、自治區、直轄市通信管理局，青海、寧夏無(wú)線(xiàn)電管理機構，部屬各單位，部屬各高校，各有關(guān)企業(yè)： 

現將《工業(yè)和信息化領(lǐng)域數據安全管理辦法（試行）》印發(fā)給你們，請認真遵照執行。

工業(yè)和信息化部

2022年12月8日

 

 

 

 

 

 

 

 

工業(yè)和信息化領(lǐng)域數據安全管理辦法（試行）

第一章 總則

第一條 為了規范工業(yè)和信息化領(lǐng)域數據處理活動(dòng)，加強數據安全管理，保障數據安全，促進(jìn)數據開(kāi)發(fā)利用，保護個(gè)人、組織的合法權益，維護國家安全和發(fā)展利益，根據《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國個(gè)人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規，制定本辦法。

第二條 在中華人民共和國境內開(kāi)展的工業(yè)和信息化領(lǐng)域數據處理活動(dòng)及其安全監管，應當遵守相關(guān)法律、行政法規和本辦法的要求。

第三條 工業(yè)和信息化領(lǐng)域數據包括工業(yè)數據、電信數據和無(wú)線(xiàn)電數據等。

工業(yè)數據是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設計、生產(chǎn)制造、經(jīng)營(yíng)管理、運行維護、平臺運營(yíng)等過(guò)程中產(chǎn)生和收集的數據。

電信數據是指在電信業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數據。

無(wú)線(xiàn)電數據是指在開(kāi)展無(wú)線(xiàn)電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無(wú)線(xiàn)電頻率、臺（站）等電波參數數據。

工業(yè)和信息化領(lǐng)域數據處理者是指數據處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的電信業(yè)務(wù)經(jīng)營(yíng)者和無(wú)線(xiàn)電頻率、臺（站）使用單位等工業(yè)和信息化領(lǐng)域各類(lèi)主體。工業(yè)和信息化領(lǐng)域數據處理者按照所屬行業(yè)領(lǐng)域可分為工業(yè)數據處理者、電信數據處理者、無(wú)線(xiàn)電數據處理者等。數據處理活動(dòng)包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)。

第四條 在國家數據安全工作協(xié)調機制統籌協(xié)調下，工業(yè)和信息化部負責督促指導各省、自治區、直轄市及計劃單列市、新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)，各省、自治區、直轄市通信管理局和無(wú)線(xiàn)電管理機構（以下統稱(chēng)地方行業(yè)監管部門(mén)）開(kāi)展數據安全監管，對工業(yè)和信息化領(lǐng)域的數據處理活動(dòng)和安全保護進(jìn)行監督管理。

地方行業(yè)監管部門(mén)分別負責對本地區工業(yè)、電信、無(wú)線(xiàn)電數據處理者的數據處理活動(dòng)和安全保護進(jìn)行監督管理。

工業(yè)和信息化部及地方行業(yè)監管部門(mén)統稱(chēng)為行業(yè)監管部門(mén)。

行業(yè)監管部門(mén)按照有關(guān)法律、行政法規，依法配合有關(guān)部門(mén)開(kāi)展的數據安全監管相關(guān)工作。

第五條 行業(yè)監管部門(mén)鼓勵數據開(kāi)發(fā)利用和數據安全技術(shù)研究，支持推廣數據安全產(chǎn)品和服務(wù)，培育數據安全企業(yè)、研究和服務(wù)機構，發(fā)展數據安全產(chǎn)業(yè)，提升數據安全保障能力，促進(jìn)數據的創(chuàng )新應用。

工業(yè)和信息化領(lǐng)域數據處理者研究、開(kāi)發(fā)、使用數據新技術(shù)、新產(chǎn)品、新服務(wù)，應當有利于促進(jìn)經(jīng)濟社會(huì )和行業(yè)發(fā)展，符合社會(huì )公德和倫理。

第六條 行業(yè)監管部門(mén)推進(jìn)工業(yè)和信息化領(lǐng)域數據開(kāi)發(fā)利用和數據安全標準體系建設，組織開(kāi)展相關(guān)標準制修訂及推廣應用工作。

第二章 數據分類(lèi)分級管理

第七條 工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數據分類(lèi)分級、重要數據和核心數據識別認定、數據分級防護等標準規范，指導開(kāi)展數據分類(lèi)分級管理工作，制定行業(yè)重要數據和核心數據具體目錄并實(shí)施動(dòng)態(tài)管理。

地方行業(yè)監管部門(mén)分別組織開(kāi)展本地區工業(yè)和信息化領(lǐng)域數據分類(lèi)分級管理及重要數據和核心數據識別工作，確定本地區重要數據和核心數據具體目錄并上報工業(yè)和信息化部，目錄發(fā)生變化的，應當及時(shí)上報更新。

工業(yè)和信息化領(lǐng)域數據處理者應當定期梳理數據，按照相關(guān)標準規范識別重要數據和核心數據并形成本單位的具體目錄。

第八條 根據行業(yè)要求、特點(diǎn)、業(yè)務(wù)需求、數據來(lái)源和用途等因素，工業(yè)和信息化領(lǐng)域數據分類(lèi)類(lèi)別包括但不限于研發(fā)數據、生產(chǎn)運行數據、管理數據、運維數據、業(yè)務(wù)服務(wù)數據等。

根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(gè)人、組織合法權益等造成的危害程度，工業(yè)和信息化領(lǐng)域數據分為一般數據、重要數據和核心數據三級。

工業(yè)和信息化領(lǐng)域數據處理者可在此基礎上細分數據的類(lèi)別和級別。

第九條 危害程度符合下列條件之一的數據為一般數據：

（一）對公共利益或者個(gè)人、組織合法權益造成較小影響，社會(huì )負面影響??；

（二）受影響的用戶(hù)和企業(yè)數量較少、生產(chǎn)生活區域范圍較小、持續時(shí)間較短，對企業(yè)經(jīng)營(yíng)、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較??；

（三）其他未納入重要數據、核心數據目錄的數據。

第十條 危害程度符合下列條件之一的數據為重要數據：

（一）對政治、國土、軍事、經(jīng)濟、文化、社會(huì )、科技、電磁、網(wǎng)絡(luò )、生態(tài)、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域；

（二）對工業(yè)和信息化領(lǐng)域發(fā)展、生產(chǎn)、運行和經(jīng)濟利益等造成嚴重影響；

（三）造成重大數據安全事件或生產(chǎn)安全事故，對公共利益或者個(gè)人、組織合法權益造成嚴重影響，社會(huì )負面影響大；

（四）引發(fā)的級聯(lián)效應明顯，影響范圍涉及多個(gè)行業(yè)、區域或者行業(yè)內多個(gè)企業(yè)，或者影響持續時(shí)間長(cháng)，對行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴重影響；

（五）經(jīng)工業(yè)和信息化部評估確定的其他重要數據。

第十一條 危害程度符合下列條件之一的數據為核心數據：

（一）對政治、國土、軍事、經(jīng)濟、文化、社會(huì )、科技、電磁、網(wǎng)絡(luò )、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域；

（二）對工業(yè)和信息化領(lǐng)域及其重要骨干企業(yè)、關(guān)鍵信息基礎設施、重要資源等造成重大影響；

（三）對工業(yè)生產(chǎn)運營(yíng)、電信網(wǎng)絡(luò )和互聯(lián)網(wǎng)運行服務(wù)、無(wú)線(xiàn)電業(yè)務(wù)開(kāi)展等造成重大損害，導致大范圍停工停產(chǎn)、大面積無(wú)線(xiàn)電業(yè)務(wù)中斷、大規模網(wǎng)絡(luò )與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等；

（四）經(jīng)工業(yè)和信息化部評估確定的其他核心數據。

第十二條 工業(yè)和信息化領(lǐng)域數據處理者應當將本單位重要數據和核心數據目錄向本地區行業(yè)監管部門(mén)備案。備案內容包括但不限于數據來(lái)源、類(lèi)別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數據內容本身。

地方行業(yè)監管部門(mén)應當在工業(yè)和信息化領(lǐng)域數據處理者提交備案申請的二十個(gè)工作日內完成審核工作，備案內容符合要求的，予以備案，同時(shí)將備案情況報工業(yè)和信息化部；不予備案的應當及時(shí)反饋備案申請人并說(shuō)明理由。備案申請人應當在收到反饋情況后的十五個(gè)工作日內再次提交備案申請。

備案內容發(fā)生重大變化的，工業(yè)和信息化領(lǐng)域數據處理者應當在發(fā)生變化的三個(gè)月內履行備案變更手續。重大變化是指某類(lèi)重要數據和核心數據規模（數據條目數量或者存儲總量等）變化30％以上，或者其它備案內容發(fā)生變化。

第三章 數據全生命周期安全管理

第十三條 工業(yè)和信息化領(lǐng)域數據處理者應當對數據處理活動(dòng)負安全主體責任，對各類(lèi)數據實(shí)行分級防護，不同級別數據同時(shí)被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實(shí)施保護，確保數據持續處于有效保護和合法利用的狀態(tài)。

（一）建立數據全生命周期安全管理制度，針對不同級別數據，制定數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等環(huán)節的具體分級防護要求和操作規程；

（二）根據需要配備數據安全管理人員，統籌負責數據處理活動(dòng)的安全監督管理，協(xié)助行業(yè)監管部門(mén)開(kāi)展工作；

（三）合理確定數據處理活動(dòng)的操作權限，嚴格實(shí)施人員權限管理；

（四）根據應對數據安全事件的需要，制定應急預案，并開(kāi)展應急演練；

（五）定期對從業(yè)人員開(kāi)展數據安全教育和培訓；

（六）法律、行政法規等規定的其他措施。

工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者，還應當：

（一）建立覆蓋本單位相關(guān)部門(mén)的數據安全工作體系，明確數據安全負責人和管理機構，建立常態(tài)化溝通與協(xié)作機制。本單位法定代表人或者主要負責人是數據安全第一責任人，領(lǐng)導團隊中分管數據安全的成員是直接責任人；

（二）明確數據處理關(guān)鍵崗位和崗位職責，并要求關(guān)鍵崗位人員簽署數據安全責任書(shū)，責任書(shū)內容包括但不限于數據安全崗位職責、義務(wù)、處罰措施、注意事項等內容；

（三）建立內部登記、審批等工作機制，對重要數據和核心數據的處理活動(dòng)進(jìn)行嚴格管理并留存記錄。

第十四條 工業(yè)和信息化領(lǐng)域數據處理者收集數據應當遵循合法、正當的原則，不得竊取或者以其他非法方式收集數據。

數據收集過(guò)程中，應當根據數據安全級別采取相應的安全措施，加強重要數據和核心數據收集人員、設備的管理，并對收集來(lái)源、時(shí)間、類(lèi)型、數量、頻度、流向等進(jìn)行記錄。

通過(guò)間接途徑獲取重要數據和核心數據的，工業(yè)和信息化領(lǐng)域數據處理者應當與數據提供方通過(guò)簽署相關(guān)協(xié)議、承諾書(shū)等方式，明確雙方法律責任。

第十五條 工業(yè)和信息化領(lǐng)域數據處理者應當按照法律、行政法規規定和用戶(hù)約定的方式、期限進(jìn)行數據存儲。存儲重要數據和核心數據的，應當采用校驗技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲，并實(shí)施數據容災備份和存儲介質(zhì)安全管理，定期開(kāi)展數據恢復測試。

第十六條 工業(yè)和信息化領(lǐng)域數據處理者利用數據進(jìn)行自動(dòng)化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪(fǎng)問(wèn)控制。

工業(yè)和信息化領(lǐng)域數據處理者提供數據處理服務(wù)，涉及經(jīng)營(yíng)電信業(yè)務(wù)的，應當按照相關(guān)法律、行政法規規定取得電信業(yè)務(wù)經(jīng)營(yíng)許可。

第十七條 工業(yè)和信息化領(lǐng)域數據處理者應當根據傳輸的數據類(lèi)型、級別和應用場(chǎng)景，制定安全策略并采取保護措施。傳輸重要數據和核心數據的，應當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。   

第十八條 工業(yè)和信息化領(lǐng)域數據處理者對外提供數據，應當明確提供的范圍、類(lèi)別、條件、程序等。提供重要數據和核心數據的，應當與數據獲取方簽訂數據安全協(xié)議，對數據獲取方數據安全保護能力進(jìn)行核驗，采取必要的安全保護措施。

第十九條 工業(yè)和信息化領(lǐng)域數據處理者應當在數據公開(kāi)前分析研判可能對國家安全、公共利益產(chǎn)生的影響，存在重大影響的不得公開(kāi)。

第二十條 工業(yè)和信息化領(lǐng)域數據處理者應當建立數據銷(xiāo)毀制度，明確銷(xiāo)毀對象、規則、流程和技術(shù)等要求，對銷(xiāo)毀活動(dòng)進(jìn)行記錄和留存。個(gè)人、組織按照法律規定、合同約定等請求銷(xiāo)毀的，工業(yè)和信息化領(lǐng)域數據處理者應當銷(xiāo)毀相應數據。

工業(yè)和信息化領(lǐng)域數據處理者銷(xiāo)毀重要數據和核心數據后，不得以任何理由、任何方式對銷(xiāo)毀數據進(jìn)行恢復，引起備案內容發(fā)生變化的，應當履行備案變更手續。

第二十一條 工業(yè)和信息化領(lǐng)域數據處理者在中華人民共和國境內收集和產(chǎn)生的重要數據和核心數據，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規進(jìn)行數據出境安全評估。

工業(yè)和信息化部根據有關(guān)法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國工業(yè)、電信、無(wú)線(xiàn)電執法機構關(guān)于提供工業(yè)和信息化領(lǐng)域數據的請求。非經(jīng)工業(yè)和信息化部批準，工業(yè)和信息化領(lǐng)域數據處理者不得向外國工業(yè)、電信、無(wú)線(xiàn)電執法機構提供存儲于中華人民共和國境內的工業(yè)和信息化領(lǐng)域數據。

第二十二條 工業(yè)和信息化領(lǐng)域數據處理者因兼并、重組、破產(chǎn)等原因需要轉移數據的，應當明確數據轉移方案，并通過(guò)電話(huà)、短信、郵件、公告等方式通知受影響用戶(hù)。涉及重要數據和核心數據備案內容發(fā)生變化的，應當履行備案變更手續。

第二十三條 工業(yè)和信息化領(lǐng)域數據處理者委托他人開(kāi)展數據處理活動(dòng)的，應當通過(guò)簽訂合同協(xié)議等方式，明確委托方與受托方的數據安全責任和義務(wù)。委托處理重要數據和核心數據的，應當對受托方的數據安全保護能力、資質(zhì)進(jìn)行核驗。

除法律、行政法規等另有規定外，未經(jīng)委托方同意，受托方不得將數據提供給第三方。

第二十四條 跨主體提供、轉移、委托處理核心數據的，工業(yè)和信息化領(lǐng)域數據處理者應當評估安全風(fēng)險，采取必要的安全保護措施，并由本地區行業(yè)監管部門(mén)審查后報工業(yè)和信息化部。工業(yè)和信息化部按照有關(guān)規定進(jìn)行審查。

第二十五條 工業(yè)和信息化領(lǐng)域數據處理者應當在數據全生命周期處理過(guò)程中，記錄數據處理、權限管理、人員操作等日志。日志留存時(shí)間不少于六個(gè)月。

第四章 數據安全監測預警與應急管理

第二十六條 工業(yè)和信息化部建立數據安全風(fēng)險監測機制，組織制定數據安全監測預警接口和標準，統籌建設數據安全監測預警技術(shù)手段，形成監測、預警、處置、溯源等能力，與相關(guān)部門(mén)加強信息共享。

地方行業(yè)監管部門(mén)分別建設本地區數據安全風(fēng)險監測預警機制，組織開(kāi)展數據安全風(fēng)險監測，按照有關(guān)規定及時(shí)發(fā)布預警信息，通知本地區工業(yè)和信息化領(lǐng)域數據處理者及時(shí)采取應對措施。

工業(yè)和信息化領(lǐng)域數據處理者應當開(kāi)展數據安全風(fēng)險監測，及時(shí)排查安全隱患，采取必要的措施防范數據安全風(fēng)險。

第二十七條 工業(yè)和信息化部建立數據安全風(fēng)險信息上報和共享機制，統一匯集、分析、研判、通報數據安全風(fēng)險信息，鼓勵安全服務(wù)機構、行業(yè)組織、科研機構等開(kāi)展數據安全風(fēng)險信息上報和共享。

地方行業(yè)監管部門(mén)分別匯總分析本地區數據安全風(fēng)險，及時(shí)將可能造成重大及以上安全事件的風(fēng)險上報工業(yè)和信息化部。

工業(yè)和信息化領(lǐng)域數據處理者應當及時(shí)將可能造成較大及以上安全事件的風(fēng)險向本地區行業(yè)監管部門(mén)報告。

第二十八條 工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數據安全事件應急預案，組織協(xié)調重要數據和核心數據安全事件應急處置工作。

地方行業(yè)監管部門(mén)分別組織開(kāi)展本地區數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即上報工業(yè)和信息化部，并及時(shí)報告事件發(fā)展和處置情況。

工業(yè)和信息化領(lǐng)域數據處理者在數據安全事件發(fā)生后，應當按照應急預案，及時(shí)開(kāi)展應急處置，涉及重要數據和核心數據的安全事件，第一時(shí)間向本地區行業(yè)監管部門(mén)報告，事件處置完成后在規定期限內形成總結報告，每年向本地區行業(yè)監管部門(mén)報告數據安全事件處置情況。

工業(yè)和信息化領(lǐng)域數據處理者對發(fā)生的可能損害用戶(hù)合法權益的數據安全事件，應當及時(shí)告知用戶(hù)，并提供減輕危害措施。

第二十九條 工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數據安全違法行為投訴舉報渠道，地方行業(yè)監管部門(mén)分別建立本地區數據安全違法行為投訴舉報機制或渠道，依法接收、處理投訴舉報，根據工作需要開(kāi)展執法調查。鼓勵工業(yè)和信息化領(lǐng)域數據處理者建立用戶(hù)投訴處理機制。

第五章 數據安全檢測、認證、評估管理

第三十條 工業(yè)和信息化部指導、鼓勵具備相應資質(zhì)的機構，依據相關(guān)標準開(kāi)展行業(yè)數據安全檢測、認證工作。

第三十一條 工業(yè)和信息化部制定行業(yè)數據安全評估管理制度，開(kāi)展評估機構管理工作。制定行業(yè)數據安全評估規范，指導評估機構開(kāi)展數據安全風(fēng)險評估、出境安全評估等工作。

地方行業(yè)監管部門(mén)分別負責組織開(kāi)展本地區數據安全評估工作。

工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者應當自行或委托第三方評估機構，每年對其數據處理活動(dòng)至少開(kāi)展一次風(fēng)險評估，及時(shí)整改風(fēng)險問(wèn)題，并向本地區行業(yè)監管部門(mén)報送風(fēng)險評估報告。

第六章 監督檢查

第三十二條 行業(yè)監管部門(mén)對工業(yè)和信息化領(lǐng)域數據處理者落實(shí)本辦法要求的情況進(jìn)行監督檢查。

工業(yè)和信息化領(lǐng)域數據處理者應當對行業(yè)監管部門(mén)監督檢查予以配合。

第三十三條 工業(yè)和信息化部在國家數據安全工作協(xié)調機制指導下，開(kāi)展工業(yè)和信息化領(lǐng)域數據安全審查相關(guān)工作。

第三十四條 行業(yè)監管部門(mén)及其委托的數據安全評估機構工作人員對在履行職責中知悉的個(gè)人信息和商業(yè)秘密等，應當嚴格保密，不得泄露或者非法向他人提供。

第七章 法律責任

第三十五條 行業(yè)監管部門(mén)在履行數據安全監督管理職責中，發(fā)現數據處理活動(dòng)存在較大安全風(fēng)險的，可以按照規定權限和程序對工業(yè)和信息化領(lǐng)域數據處理者進(jìn)行約談，并要求采取措施進(jìn)行整改，消除隱患。

第三十六條 有違反本辦法規定行為的，由行業(yè)監管部門(mén)按照相關(guān)法律法規，根據情節嚴重程度給予沒(méi)收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)業(yè)務(wù)許可證等行政處罰；構成犯罪的，依法追究刑事責任。

第八章 附則

第三十七條 中央企業(yè)應當督促指導所屬企業(yè)，在重要數據和核心數據目錄備案、核心數據跨主體處理風(fēng)險評估、風(fēng)險信息上報、年度數據安全事件處置報告、重要數據和核心數據風(fēng)險評估等工作中履行屬地管理要求，還應當全面梳理匯總企業(yè)集團本部、所屬公司的數據安全相關(guān)情況，并及時(shí)報送工業(yè)和信息化部。

第三十八條 開(kāi)展涉及個(gè)人信息的數據處理活動(dòng)，還應當遵守有關(guān)法律、行政法規的規定。

第三十九條 涉及軍事、國家秘密信息等數據處理活動(dòng)，按照國家有關(guān)規定執行。

第四十條 工業(yè)和信息化領(lǐng)域政務(wù)數據處理活動(dòng)的具體辦法，由工業(yè)和信息化部另行規定。

第四十一條 國防科技工業(yè)、煙草領(lǐng)域數據安全管理由國家國防科技工業(yè)局、國家煙草專(zhuān)賣(mài)局負責，具體制度參照本辦法另行制定。

第四十二條 本辦法自2023年1月1日起施行。