為貫徹落實《數(shù)據(jù)安全法》等法律法規(guī),加快推動工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化、規(guī)范化,提升工業(yè)、電信行業(yè)數(shù)據(jù)安全保護能力,防范數(shù)據(jù)安全風險,工業(yè)和信息化部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》,并面向社會公開征求意見。
征求意見稿提出,工業(yè)和電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù),應當依照法律、行政法規(guī)要求在境內(nèi)存儲,確需向境外提供的,應當依法依規(guī)進行數(shù)據(jù)出境安全評估,在確保安全的前提下進行數(shù)據(jù)出境,并加強對數(shù)據(jù)出境后的跟蹤掌握。核心數(shù)據(jù)不得出境。
根據(jù)意見稿規(guī)定,危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
(一)對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構(gòu)成嚴重威脅,嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全;
(二)對工業(yè)、電信行業(yè)及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設施、重要資源等造成嚴重影響;
(三)對工業(yè)生產(chǎn)運營、電信和互聯(lián)網(wǎng)運行和服務等造成重大損害,導致大范圍停工停產(chǎn)、大面積網(wǎng)絡與服務癱瘓、大量業(yè)務處理能力喪失等;
(四)經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)。
以下為意見稿全文:
工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)
(征求意見稿)
第一章總則
第一條【目的依據(jù)】為了規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動,加強數(shù)據(jù)安全管理,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權(quán)益,維護國家安全和發(fā)展利益,根據(jù)《中華人民共和國民法典》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》等法律法規(guī),制定本辦法。
第二條【適用范圍】在中華人民共和國境內(nèi)開展的工業(yè)和電信數(shù)據(jù)處理活動及其安全監(jiān)管,應當遵守相關(guān)法律、行政法規(guī)和本辦法的要求。
第三條【數(shù)據(jù)定義】工業(yè)數(shù)據(jù)是指原材料工業(yè)、裝備工業(yè)、消費品工業(yè)、電子信息制造業(yè)、軟件和信息技術(shù)服務業(yè)、民爆等行業(yè)領(lǐng)域,在研發(fā)設計、生產(chǎn)制造、經(jīng)營管理、運維服務、平臺運營、應用服務等過程中收集和產(chǎn)生的數(shù)據(jù)。
電信數(shù)據(jù)是指在電信業(yè)務經(jīng)營活動中收集和產(chǎn)生的數(shù)據(jù)。
工業(yè)和電信數(shù)據(jù)處理者是指對工業(yè)、電信數(shù)據(jù)進行收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動的工業(yè)企業(yè)、軟件和信息技術(shù)服務企業(yè)和取得電信業(yè)務經(jīng)營許可證的電信業(yè)務經(jīng)營者等工業(yè)和信息化領(lǐng)域各類主體。
第四條【監(jiān)管機構(gòu)】工業(yè)和信息化部負責對工業(yè)和電信數(shù)據(jù)處理者的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(以下統(tǒng)稱地方工業(yè)和信息化主管部門)負責對本地區(qū)工業(yè)數(shù)據(jù)處理者的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。各省、自治區(qū)、直轄市通信管理局(以下統(tǒng)稱地方通信管理局)負責對本地區(qū)電信數(shù)據(jù)處理者的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。工業(yè)和信息化部及地方工業(yè)和信息化主管部門、通信管理局統(tǒng)稱為行業(yè)監(jiān)管部門。
第五條【產(chǎn)業(yè)發(fā)展】行業(yè)監(jiān)管部門鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究,支持推廣數(shù)據(jù)安全產(chǎn)品和服務,培育數(shù)據(jù)安全企業(yè)、研究和服務機構(gòu),壯大數(shù)據(jù)安全產(chǎn)業(yè),提升數(shù)據(jù)安全保障能力,促進數(shù)據(jù)的創(chuàng)新應用。
工業(yè)和電信數(shù)據(jù)處理者研發(fā)提供數(shù)據(jù)開發(fā)利用新技術(shù)、新產(chǎn)品、新服務,應當有利于促進經(jīng)濟社會和行業(yè)發(fā)展,符合社會公德和倫理。
第六條【標準制定】行業(yè)監(jiān)管部門推進工業(yè)和信息化領(lǐng)域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標準體系建設,組織開展行業(yè)標準制修訂工作。鼓勵支持企業(yè)、研究機構(gòu)、高等院校、行業(yè)組織等不同主體,開展國際標準、國家標準、團體標準、企業(yè)標準制定。引導工業(yè)和電信數(shù)據(jù)處理者開展數(shù)據(jù)管理、數(shù)據(jù)安全貫標達標工作。
第二章數(shù)據(jù)分類分級管理
第七條【分類分級方法】工業(yè)和電信數(shù)據(jù)處理者應當堅持先分類后分級,定期梳理,根據(jù)行業(yè)要求、業(yè)務需求、數(shù)據(jù)來源和用途等因素對數(shù)據(jù)進行分類和標識,形成數(shù)據(jù)分類清單。數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運行數(shù)據(jù)、管理數(shù)據(jù)、運維數(shù)據(jù)、業(yè)務服務數(shù)據(jù)、個人信息等。
工業(yè)和信息化部按照國家有關(guān)規(guī)定,根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益等造成的危害程度,將工業(yè)和電信數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。
第八條【一般數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù):
(一)對公共利益或者個人、組織合法權(quán)益造成較小影響,社會負面影響??;
(二)受影響的用戶和企業(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時間較短,對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等影響較??;
(三)恢復數(shù)據(jù)或消除負面影響所需付出的代價??;
(四)其他未納入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。
第九條【重要數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù):
(一)對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構(gòu)成威脅,影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全;
(二)對工業(yè)、電信行業(yè)發(fā)展、生產(chǎn)、運行和經(jīng)濟利益等造成影響;
(三)造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故,對公共利益或者個人、組織合法權(quán)益造成嚴重影響,社會負面影響大;
(四)引發(fā)的級聯(lián)效應明顯,影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè),或者影響持續(xù)時間長,對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響;
(五)恢復數(shù)據(jù)或消除負面影響所需付出的代價大;
(六)經(jīng)行業(yè)監(jiān)管部門評估確定的其他重要數(shù)據(jù)。
第十條【核心數(shù)據(jù)】危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù):
(一)對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構(gòu)成嚴重威脅,嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)域國家安全相關(guān)數(shù)據(jù)的安全;
(二)對工業(yè)、電信行業(yè)及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設施、重要資源等造成嚴重影響;
(三)對工業(yè)生產(chǎn)運營、電信和互聯(lián)網(wǎng)運行和服務等造成重大損害,導致大范圍停工停產(chǎn)、大面積網(wǎng)絡與服務癱瘓、大量業(yè)務處理能力喪失等;
(四)經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)。
第十一條【分類分級工作要求】工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定及數(shù)據(jù)分級防護等制度規(guī)范,形成行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實施動態(tài)管理,指導開展數(shù)據(jù)分類分級防護工作。
地方工業(yè)和信息化主管部門、通信管理局組織開展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)分類分級防護及重要數(shù)據(jù)和核心數(shù)據(jù)識別認定工作,形成本地區(qū)行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報工業(yè)和信息化部。
工業(yè)和電信數(shù)據(jù)處理者應當建立健全數(shù)據(jù)分類分級管理制度,將重要數(shù)據(jù)和核心數(shù)據(jù)目錄報送地方工業(yè)和信息化主管部門或通信管理局,并采取措施開展數(shù)據(jù)分級防護,對重要數(shù)據(jù)進行重點保護,對核心數(shù)據(jù)在重要數(shù)據(jù)保護基礎(chǔ)上實施更嚴格的管理和保護。不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護。
第十二條【重要數(shù)據(jù)和核心數(shù)據(jù)備案管理】工業(yè)和信息化部建立工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)備案管理制度,統(tǒng)籌建設備案管理平臺。備案內(nèi)容包括數(shù)據(jù)的數(shù)量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況,數(shù)據(jù)提供、公開、出境、承接,以及數(shù)據(jù)安全風險、事件處置等情況。
地方工業(yè)和信息化主管部門、通信管理局應當分別對本地區(qū)工業(yè)、電信行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)備案內(nèi)容進行審核,對不符合有關(guān)備案要求的,應當督促企業(yè)及時完善并重新進行備案。
工業(yè)和電信數(shù)據(jù)處理者應當按照有關(guān)要求進行備案,備案內(nèi)容發(fā)生變化的,應在三個月內(nèi)報備變更情況,同時對整體備案情況進行更新。
第三章數(shù)據(jù)全生命周期安全管理
第十三條【主體責任】工業(yè)和電信數(shù)據(jù)處理者應當對數(shù)據(jù)處理活動負安全主體責任,根據(jù)數(shù)據(jù)的類型、數(shù)量、安全級別、處理方式以及對國家安全、公共利益或者個人、組織合法權(quán)益帶來的影響和安全風險等,采取必要措施確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)。
(一)建立數(shù)據(jù)全生命周期安全管理制度,針對不同級別數(shù)據(jù),制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程;
(二)明確數(shù)據(jù)安全管理的主要負責人和責任部門,統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理;
(三)合理確定數(shù)據(jù)處理活動的操作權(quán)限,嚴格實施人員權(quán)限管理;
(四)制定數(shù)據(jù)安全事件應急預案,并定期進行演練;
(五)定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓;
(六)法律、行政法規(guī)規(guī)定的其他措施。
第十四條【工作體系】涉及重要數(shù)據(jù)和核心數(shù)據(jù)的,工業(yè)和電信數(shù)據(jù)處理者應當建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系,設置專門的數(shù)據(jù)安全管理責任部門,本單位黨委(黨組)或領(lǐng)導班子對數(shù)據(jù)安全負主體責任,主要負責人是數(shù)據(jù)安全第一責任人,分管數(shù)據(jù)安全的負責人是直接責任人,明確各部門數(shù)據(jù)安全職責及人員,建立常態(tài)化溝通與協(xié)作機制。
第十五條【關(guān)鍵崗位管理】工業(yè)和電信數(shù)據(jù)處理者應當確認數(shù)據(jù)處理關(guān)鍵崗位及人員,簽署數(shù)據(jù)安全責任書,記錄數(shù)據(jù)處理活動。
第十六條【安全同步】工業(yè)和電信數(shù)據(jù)處理者應當確保數(shù)據(jù)安全管理和技術(shù)保護手段與生產(chǎn)運營、業(yè)務發(fā)展同步規(guī)劃、同步建設、同步運行。
第十七條【數(shù)據(jù)收集】工業(yè)和電信數(shù)據(jù)處理者收集數(shù)據(jù)應當遵循合法、正當、必要的原則,不得竊取或者以其他非法方式收集數(shù)據(jù)。
數(shù)據(jù)收集過程中,應當采取配備技術(shù)手段、簽署安全協(xié)議等措施加強對數(shù)據(jù)收集人員、設備的管理,并對數(shù)據(jù)收集的時間、類型、數(shù)量、頻度、流向等進行記錄。
通過間接途徑獲取數(shù)據(jù)的,應當要求數(shù)據(jù)提供方做出數(shù)據(jù)源合法性的書面承諾,并承擔相應的法律責任。
第十八條【數(shù)據(jù)存儲】工業(yè)和電信數(shù)據(jù)處理者應當依據(jù)法律規(guī)定或者與用戶約定的方式和期限存儲數(shù)據(jù)。存儲重要數(shù)據(jù)的,還應當采用校驗技術(shù)、密碼技術(shù)等措施進行安全存儲,不得直接提供存儲系統(tǒng)的公共信息網(wǎng)絡訪問,并實施數(shù)據(jù)容災備份和存儲介質(zhì)安全管理。存儲核心數(shù)據(jù)的,還應當實施異地容災備份。
第十九條【數(shù)據(jù)使用加工】工業(yè)和電信數(shù)據(jù)處理者未經(jīng)個人、單位等同意,不得使用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段針對特定主體進行精準畫像、數(shù)據(jù)復原等加工處理活動。利用數(shù)據(jù)進行自動化決策的,應當保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的,還應當加強訪問控制,建立登記、審批機制并留存記錄。
工業(yè)和電信數(shù)據(jù)處理者提供數(shù)據(jù)處理服務,涉及經(jīng)營電信業(yè)務的,應當按照相關(guān)法律、行政法規(guī)規(guī)定取得電信業(yè)務經(jīng)營許可。
第二十條【數(shù)據(jù)傳輸】工業(yè)和電信數(shù)據(jù)處理者應當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應用場景,制定安全策略并采取保護措施。傳輸重要數(shù)據(jù)的,還應當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施,涉及跨組織機構(gòu)或者使用公共信息網(wǎng)絡進行數(shù)據(jù)傳輸?shù)?,應當建立登記、審批機制??绮煌瑪?shù)據(jù)處理主體傳輸核心數(shù)據(jù)的,還應當通過國家數(shù)據(jù)安全工作協(xié)調(diào)機制審批。
第二十一條【數(shù)據(jù)提供】工業(yè)和電信數(shù)據(jù)處理者應當依據(jù)行業(yè)數(shù)據(jù)分類分級管理要求,明確數(shù)據(jù)提供的范圍、數(shù)量、條件、程序等。提供重要數(shù)據(jù)的,還應當采取數(shù)據(jù)脫敏等措施,建立審批機制。提供核心數(shù)據(jù)的,還應當通過國家數(shù)據(jù)安全工作協(xié)調(diào)機制審批。
工業(yè)和電信數(shù)據(jù)處理者應當事先對數(shù)據(jù)接收方的數(shù)據(jù)安全保護能力進行核實,并與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全協(xié)議,明確數(shù)據(jù)提供的范圍、使用方式、時限、用途以及相應的安全保護措施、違約責任,并督促數(shù)據(jù)接收方予以落實。
第二十二條【數(shù)據(jù)公開】工業(yè)和電信數(shù)據(jù)處理者公開數(shù)據(jù)應當真實、準確,并在公開前開展安全評估,對涉及個人隱私、個人信息、商業(yè)秘密、保密商務信息以及可能對公共利益及國家安全產(chǎn)生重大影響的,不得公開。
第二十三條【數(shù)據(jù)銷毀】工業(yè)和電信數(shù)據(jù)處理者應當建立數(shù)據(jù)銷毀策略和管理制度,明確銷毀對象、流程和技術(shù)等要求,對銷毀活動進行記錄和留存。銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的,不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復。
符合以下情況之一的,工業(yè)和電信數(shù)據(jù)處理者應當銷毀相應數(shù)據(jù):
(一)因業(yè)務約定,需要銷毀的;
(二)個人依據(jù)其合法權(quán)益請求銷毀的;
(三)組織基于保護國家安全、社會公共利益目的,且有第三方機構(gòu)提供證明,請求銷毀的。
第二十四條【數(shù)據(jù)出境】工業(yè)和電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù),應當依照法律、行政法規(guī)要求在境內(nèi)存儲,確需向境外提供的,應當依法依規(guī)進行數(shù)據(jù)出境安全評估,在確保安全的前提下進行數(shù)據(jù)出境,并加強對數(shù)據(jù)出境后的跟蹤掌握。核心數(shù)據(jù)不得出境。
第二十五條【數(shù)據(jù)承接】工業(yè)和電信數(shù)據(jù)處理者因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的,應當明確數(shù)據(jù)承接方案,并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的,應當及時向所在地工業(yè)和信息化主管部門或通信管理局備案。
作為數(shù)據(jù)承接方的工業(yè)和電信數(shù)據(jù)處理者,應當及時向所在地工業(yè)和信息化主管部門或通信管理局備案,承擔數(shù)據(jù)安全責任和保護義務,不得違反國家有關(guān)規(guī)定及原數(shù)據(jù)處理者與用戶的約定。
重要數(shù)據(jù)和核心數(shù)據(jù)沒有承接方且符合銷毀條件的,工業(yè)和電信數(shù)據(jù)處理者應當依法進行數(shù)據(jù)銷毀。重要數(shù)據(jù)和核心數(shù)據(jù)沒有數(shù)據(jù)承接方且不符合銷毀條件的,工業(yè)和電信數(shù)據(jù)處理者應當及時上報所在地工業(yè)和信息化主管部門或通信管理局,將數(shù)據(jù)移交至行業(yè)監(jiān)管部門指定的機構(gòu)進行保存。
第二十六條【委托處理】工業(yè)和電信數(shù)據(jù)處理者委托他人開展數(shù)據(jù)處理活動的,應當對被委托方的數(shù)據(jù)安全保護能力、資質(zhì)進行核實,確保符合國家、行業(yè)主管部門的相關(guān)要求,并通過合同約束、現(xiàn)場核查等方式對被委托方落實數(shù)據(jù)安全保護措施的情況進行監(jiān)督管理。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的,還應當委托取得相應認證資質(zhì)的檢測評估機構(gòu)對被委托方進行安全評估。
除法律、行政法規(guī)另有規(guī)定外,未經(jīng)委托方同意,被委托方不得將數(shù)據(jù)提供給第三方。
第二十七條【安全審計】工業(yè)和電信數(shù)據(jù)處理者應當在數(shù)據(jù)全生命周期處理過程中,記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時間不少于六個月,定期進行安全審計,并形成審計報告,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的,應當至少每半年進行一次。
第四章數(shù)據(jù)安全監(jiān)測預警與應急管理
第二十八條【監(jiān)測預警機制】工業(yè)和信息化部統(tǒng)籌建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險監(jiān)測機制,建設數(shù)據(jù)安全監(jiān)測預警平臺,對數(shù)據(jù)泄露、違規(guī)傳輸、流量異常等安全風險進行監(jiān)測和預警,及時組織研判重要數(shù)據(jù)和核心數(shù)據(jù)安全風險并進行預警。
地方工業(yè)和信息化主管部門、通信管理局建設數(shù)據(jù)安全監(jiān)測預警平臺,組織開展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全風險監(jiān)測,按照有關(guān)規(guī)定及時發(fā)布預警信息,通知本地區(qū)工業(yè)和電信數(shù)據(jù)處理者及時采取應對措施。
工業(yè)和電信數(shù)據(jù)處理者應當開展數(shù)據(jù)安全風險監(jiān)測,及時排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風險。
第二十九條【信息上報和共享】工業(yè)和信息化部統(tǒng)一匯集、分析、通報工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風險信息,鼓勵安全服務機構(gòu)、行業(yè)組織、科研機構(gòu)等開展數(shù)據(jù)安全風險和事件等相關(guān)信息上報和共享。
地方工業(yè)和信息化主管部門、通信管理局匯總分析本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全風險和事件信息,及時將涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全風險上報工業(yè)和信息化部。
工業(yè)和電信數(shù)據(jù)處理者應當及時將自身數(shù)據(jù)安全風險情況向所在地工業(yè)和信息化主管部門或通信管理局報告。
第三十條【應急處置】工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案,組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應急處置工作。
地方工業(yè)和信息化主管部門、通信管理局組織開展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全事件應急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應當立即上報工業(yè)和信息化部,并及時報告事件發(fā)展和處置情況。
工業(yè)和電信數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后,應當按照應急預案,及時開展應急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應當?shù)谝粫r間向所在地工業(yè)和信息化主管部門或通信管理局報告。事件處置完成后應當在規(guī)定期限內(nèi)形成總結(jié)報告,每年向所在地工業(yè)和信息化主管部門或通信管理局報告數(shù)據(jù)安全事件處置情況。
工業(yè)和電信數(shù)據(jù)處理者對可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,應當及時告知用戶,并提供減輕危害措施。
第三十一條【舉報投訴處理】工業(yè)和信息化部委托相關(guān)行業(yè)組織建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報渠道,及時向地方工業(yè)和信息化主管部門、通信管理局、工業(yè)和電信數(shù)據(jù)處理者下發(fā)相關(guān)投訴舉報信息。地方工業(yè)和信息化主管部門、通信管理局組織工業(yè)和電信數(shù)據(jù)處理者對舉報信息進行核實和依法處理,對涉及重要數(shù)據(jù)和核心數(shù)據(jù)安全問題的,開展執(zhí)法調(diào)查。
工業(yè)和電信數(shù)據(jù)處理者應當建立用戶投訴處理機制,公布電子郵件、電話、傳真、在線客服等便捷有效的聯(lián)系方式,配備受理用戶投訴的人員接收數(shù)據(jù)安全相關(guān)投訴,并自接到投訴之日起15個工作日內(nèi)答復投訴人。
第五章數(shù)據(jù)安全檢測、評估與認證管理
第三十二條【安全能力認證】工業(yè)和信息化部建立數(shù)據(jù)安全檢測、評估與認證機構(gòu)管理制度,制定機構(gòu)認定標準,開展機構(gòu)選拔認定、資質(zhì)授權(quán)、日常管理和推薦目錄發(fā)布等工作。地方工業(yè)和信息化主管部門、通信管理局依據(jù)管理制度和認定標準,開展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全檢測、評估與認證機構(gòu)選拔認定、資質(zhì)授權(quán)和管理等工作。
第三十三條【安全評估】工業(yè)和信息化部制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全評估規(guī)范,指導檢測評估機構(gòu)開展數(shù)據(jù)安全風險評估、合規(guī)評估等工作。地方工業(yè)和信息化主管部門、通信管理局負責組織開展本地區(qū)工業(yè)、電信行業(yè)數(shù)據(jù)安全評估。
工業(yè)和電信數(shù)據(jù)處理者應當依據(jù)數(shù)據(jù)安全評估規(guī)范,開展數(shù)據(jù)安全評估及整改。
(一)對于一般數(shù)據(jù),鼓勵開展數(shù)據(jù)安全自評估,對發(fā)現(xiàn)的數(shù)據(jù)安全風險問題進行及時整改;
(二)對于重要數(shù)據(jù)和核心數(shù)據(jù),應當至少每年自行或者委托推薦目錄中的檢測評估機構(gòu)開展一次安全評估,并向所在地工業(yè)和信息化主管部門或通信管理局報告。
第六章監(jiān)督檢查
第三十四條【監(jiān)督檢查和協(xié)助義務】工業(yè)和信息化部組織制定數(shù)據(jù)安全監(jiān)測接口標準。行業(yè)監(jiān)管部門對工業(yè)和電信數(shù)據(jù)處理者落實本規(guī)定要求的情況進行監(jiān)督檢查。工業(yè)和電信數(shù)據(jù)處理者應當配合行業(yè)監(jiān)管部門依法開展監(jiān)督檢查,并預留檢查接口。
第三十五條【數(shù)據(jù)安全審查】工業(yè)和信息化部在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下,對影響或可能影響國家安全的工業(yè)和電信數(shù)據(jù)處理活動開展數(shù)據(jù)安全審查。
第三十六條【保密要求】行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全檢測評估機構(gòu)工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等,應當嚴格保密,不得泄露、出售或者非法向他人提供。
第三十七條【約談整改】行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中,對未按要求進行重要數(shù)據(jù)和核心數(shù)據(jù)備案,或者發(fā)現(xiàn)數(shù)據(jù)處理活動存在重大安全風險或發(fā)生安全事件的,可以按照規(guī)定權(quán)限和程序?qū)I(yè)和電信數(shù)據(jù)處理者的法定代表人或者主要負責人進行約談,并要求采取措施進行整改,消除隱患。
第七章法律責任
第三十八條【信用機制】行業(yè)監(jiān)管部門應當將工業(yè)和電信數(shù)據(jù)處理者落實數(shù)據(jù)安全管理責任情況納入信用管理。對存在數(shù)據(jù)安全違法違規(guī)行為受到行政處罰的數(shù)據(jù)處理者,按照有關(guān)規(guī)定將其列入業(yè)務經(jīng)營不良名單或失信名單。
第三十九條【法律責任】對于違反本辦法的,由行業(yè)監(jiān)管部門依照《數(shù)據(jù)安全法》《網(wǎng)絡安全法》等法律和相關(guān)行政法規(guī),根據(jù)情節(jié)嚴重程度給予公開曝光、沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷業(yè)務許可證或吊銷營業(yè)執(zhí)照等行政處罰;構(gòu)成犯罪的,依法追究刑事責任。
第八章附則
第四十條【涉密排除】涉及國家秘密信息、密碼使用等數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。
第四十一條【軍事數(shù)據(jù)排除】涉及軍事的數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。
第四十二條【政務數(shù)據(jù)排除】工業(yè)和信息化領(lǐng)域政務數(shù)據(jù)處理活動的具體辦法,由工業(yè)和信息化部另行規(guī)定。
第四十三條【國防科工、煙草領(lǐng)域】國防科技工業(yè)、煙草領(lǐng)域數(shù)據(jù)安全管理由國防科工局、國家煙草專賣局負責,具體制度參照本辦法另行制定。
第四十四條【施行日期】本規(guī)定自年月日起施行。