智通財經APP獲悉,9月30日,爲貫徹落實《數據安全法》等法律法規,加快推動工業和信息化領域數據安全管理工作制度化、規範化,提升工業、電信行業數據安全保護能力,防範數據安全風險,工業和信息化部研究起草了《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》,擬以規範性文件形式印發,現面向社會公開征求意見。
《征求意見稿》提出,工業和電信數據處理者收集數據應當遵循合法、正當、必要的原則,不得竊取或者以其他非法方式收集數據。工業和電信數據處理者未經個人、單位等同意,不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精准畫像、數據複原等加工處理活動。原文如下:
工業和信息化領域數據安全管理辦法(試行)
(征求意見稿)
第一章 總則
第一條【目的依據】爲了規範工業和信息化領域數據處理活動,加強數據安全管理,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家安全和發展利益,根據《中華人民共和國民法典》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規,制定本辦法。
第二條【適用範圍】在中華人民共和國境內開展的工業和電信數據處理活動及其安全監管,應當遵守相關法律、行政法規和本辦法的要求。
第叁條【數據定義】工業數據是指原材料工業、裝備工業、消費品工業、電子信息制造業、軟件和信息技術服務業、民爆等行業領域,在研發設計、生産制造、經營管理、運維服務、平台運營、應用服務等過程中收集和産生的數據。電信數據是指在電信業務經營活動中收集和産生的數據。工業和電信數據處理者是指對工業、電信數據進行收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動的工業企業、軟件和信息技術服務企業和取得電信業務經營許可證的電信業務經營者等工業和信息化領域各類主體。
第四條【監管機構】工業和信息化部負責對工業和電信數據處理者的數據處理活動和安全保護進行監督管理。各省、自治區、直轄市及計劃單列市、新疆生産建設兵團工業和信息化主管部門(以下統稱地方工業和信息化主管部門)負責對本地區工業數據處理者的數據處理活動和安全保護進行監督管理。各省、自治區、直轄市通信管理局(以下統稱地方通信管理局)負責對本地區電信數據處理者的數據處理活動和安全保護進行監督管理。工業和信息化部及地方工業和信息化主管部門、通信管理局統稱爲行業監管部門。
第五條【産業發展】行業監管部門鼓勵數據開發利用和數據安全技術研究,支持推廣數據安全産品和服務,培育數據安全企業、研究和服務機構,壯大數據安全産業,提升數據安全保障能力,促進數據的創新應用。工業和電信數據處理者研發提供數據開發利用新技術、新産品、新服務,應當有利于促進經濟社會和行業發展,符合社會公德和倫理。
第六條【標准制定】行業監管部門推進工業和信息化領域數據開發利用和數據安全標准體系建設,組織開展行業標准制修訂工作。鼓勵支持企業、研究機構、高等院校、行業組織等不同主體,開展國際標准、國家標准、團體標准、企業標准制定。引導工業和電信數據處理者開展數據管理、數據安全貫標達標工作。
第二章 數據分類分級管理
第七條【分類分級方法】工業和電信數據處理者應當堅持先分類後分級,定期梳理,根據行業要求、業務需求、數據來源和用途等因素對數據進行分類和標識,形成數據分類清單。數據分類類別包括但不限于研發數據、生産運行數據、管理數據、運維數據、業務服務數據、個人信息等。
工業和信息化部按照國家有關規定,根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,將工業和電信數據分爲一般數據、重要數據和核心數據叁級。
第八條【一般數據】危害程度符合下列條件之一的數據爲一般數據:
(一)對公共利益或者個人、組織合法權益造成較小影響,社會負面影響小;
(二)受影響的用戶和企業數量較少、生産生活區域範圍較小、持續時間較短,對企業經營、行業發展、技術進步和産業生態等影響較小;
(叁)恢複數據或消除負面影響所需付出的代價小;
(四)其他未納入重要數據、核心數據目錄的數據。
第九條【重要數據】危害程度符合下列條件之一的數據爲重要數據:
(一)對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態、資源、核安全等構成威脅,影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全;
(二)對工業、電信行業發展、生産、運行和經濟利益等造成影響;
(叁)造成重大數據安全事件或生産安全事故,對公共利益或者個人、組織合法權益造成嚴重影響,社會負面影響大;
(四)引發的級聯效應明顯,影響範圍涉及多個行業、區域或者行業內多個企業,或者影響持續時間長,對行業發展、技術進步和産業生態等造成嚴重影響;
(五)恢複數據或消除負面影響所需付出的代價大;
(六)經行業監管部門評估確定的其他重要數據。
第十條【核心數據】危害程度符合下列條件之一的數據爲核心數據:
(一)對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態、資源、核安全等構成嚴重威脅,嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全;
(二)對工業、電信行業及其重要骨幹企業、關鍵信息基礎設施、重要資源等造成嚴重影響;
(叁)對工業生産運營、電信和互聯網運行和服務等造成重大損害,導致大範圍停工停産、大面積網絡與服務癱瘓、大量業務處理能力喪失等;
(四)經工業和信息化部評估確定的其他核心數據。
第十一條【分類分級工作要求】工業和信息化部組織制定工業和信息化領域數據分類分級、重要數據和核心數據識別認定及數據分級防護等制度規範,形成行業重要數據和核心數據具體目錄並實施動態管理,指導開展數據分類分級防護工作。
地方工業和信息化主管部門、通信管理局組織開展本地區工業、電信行業數據分類分級防護及重要數據和核心數據識別認定工作,形成本地區行業重要數據和核心數據具體目錄並上報工業和信息化部。
工業和電信數據處理者應當建立健全數據分類分級管理制度,將重要數據和核心數據目錄報送地方工業和信息化主管部門或通信管理局,並采取措施開展數據分級防護,對重要數據進行重點保護,對核心數據在重要數據保護基礎上實施更嚴格的管理和保護。不同級別數據同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護。
第十二條【重要數據和核心數據備案管理】工業和信息化部建立工業和信息化領域重要數據和核心數據備案管理制度,統籌建設備案管理平台。備案內容包括數據的數量、類別、處理目的和方式、使用範圍、主體責任、安全保護措施等基本情況,數據提供、公開、出境、承接,以及數據安全風險、事件處置等情況。
地方工業和信息化主管部門、通信管理局應當分別對本地區工業、電信行業重要數據和核心數據備案內容進行審核,對不符合有關備案要求的,應當督促企業及時完善並重新進行備案。
工業和電信數據處理者應當按照有關要求進行備案,備案內容發生變化的,應在叁個月內報備變更情況,同時對整體備案情況進行更新。
第叁章 數據全生命周期安全管理
第十叁條【主體責任】工業和電信數據處理者應當對數據處理活動負安全主體責任,根據數據的類型、數量、安全級別、處理方式以及對國家安全、公共利益或者個人、組織合法權益帶來的影響和安全風險等,采取必要措施確保數據持續處于有效保護和合法利用的狀態。
(一)建立數據全生命周期安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、—7—公開等環節的具體分級防護要求和操作規程;
(二)明確數據安全管理的主要負責人和責任部門,統籌負責數據處理活動的安全監督管理;
(叁)合理確定數據處理活動的操作權限,嚴格實施人員權限管理;
(四)制定數據安全事件應急預案,並定期進行演練;
(五)定期對從業人員開展數據安全教育和培訓;
(六)法律、行政法規規定的其他措施。
第十四條【工作體系】涉及重要數據和核心數據的,工業和電信數據處理者應當建立覆蓋本單位相關部門的數據安全工作體系,設置專門的數據安全管理責任部門,本單位黨委(黨組)或領導班子對數據安全負主體責任,主要負責人是數據安全第一責任人,分管數據安全的負責人是直接責任人,明確各部門數據安全職責及人員,建立常態化溝通與協作機制。
第十五條【關鍵崗位管理】工業和電信數據處理者應當確認數據處理關鍵崗位及人員,簽署數據安全責任書,記錄數據處理活動。
第十六條【安全同步】工業和電信數據處理者應當確保數據安全管理和技術保護手段與生産運營、業務發展同步規劃、同步建設、同步運行。
第十七條【數據收集】工業和電信數據處理者收集數據應當遵循合法、正當、必要的原則,不得竊取或者以其他非法方式收集數據。數據收集過程中,應當采取配備技術手段、簽署安全協議等措施加強對數據收集人員、設備的管理,並對數據收集的時間、類型、數量、頻度、流向等進行記錄。通過間接途徑獲取數據的,應當要求數據提供方做出數據源合法性的書面承諾,並承擔相應的法律責任。
第十八條【數據存儲】工業和電信數據處理者應當依據法律規定或者與用戶約定的方式和期限存儲數據。存儲重要數據的,還應當采用校驗技術、密碼技術等措施進行安全存儲,不得直接提供存儲系統的公共信息網絡訪問,並實施數據容災備份和存儲介質安全管理。存儲核心數據的,還應當實施異地容災備份。
第十九條【數據使用加工】工業和電信數據處理者未經個人、單位等同意,不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精准畫像、數據複原等加工處理活動。利用數據進行自動化決策的,應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的,還應當加強訪問控制,建立登記、審批機制並留存記錄。工業和電信數據處理者提供數據處理服務,涉及經營電信業務的,應當按照相關法律、行政法規規定取得電信業務經營許可。
第二十條【數據傳輸】工業和電信數據處理者應當根據傳輸的數據類型、級別和應用場景,制定安全策略並采取保護措施。傳輸重要數據的,還應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施,涉及跨組織機構或者使用公共信息網絡進行數據傳輸的,應當建立登記、審批機制。跨不同數據處理主體傳輸核心數據的,還應當通過國家數據安全工作協調機制審批。
第二十一條【數據提供】工業和電信數據處理者應當依據行業數據分類分級管理要求,明確數據提供的範圍、數量、條件、程序等。提供重要數據的,還應當采取數據脫敏等措施,建立審批機制。提供核心數據的,還應當通過國家數據安全工作協調機制審批。工業和電信數據處理者應當事先對數據接收方的數據安全保護能力進行核實,並與數據接收方簽訂數據安全協議,明確數據提供的範圍、使用方式、時限、用途以及相應的安全保護措施、違約責任,並督促數據接收方予以落實。
第二十二條【數據公開】工業和電信數據處理者公開數據應當真實、准確,並在公開前開展安全評估,對涉及個人隱私、個人信息、商業秘密、保密商務信息以及可能對公共利益及國家安全産生重大影響的,不得公開。
第二十叁條【數據銷毀】工業和電信數據處理者應當建立數據銷毀策略和管理制度,明確銷毀對象、流程和技術等要求,對銷毀活動進行記錄和留存。銷毀重要數據和核心數據的,不得以任何理由、任何方式對銷毀數據進行恢複。符合以下情況之一的,工業和電信數據處理者應當銷毀相應數據:
(一)因業務約定,需要銷毀的;
(二)個人依據其合法權益請求銷毀的;
(叁)組織基于保護國家安全、社會公共利益目的,且有第叁方機構提供證明,請求銷毀的。
第二十四條【數據出境】工業和電信數據處理者在中華人民共和國境內收集和産生的重要數據,應當依照法律、行政法規要求在境內存儲,確需向境外提供的,應當依法依規進行數據出境安全評估,在確保安全的前提下進行數據出境,並加強對數據出境後的跟蹤掌握。核心數據不得出境。
第二十五條【數據承接】工業和電信數據處理者因兼並、重組、破産等原因需要轉移數據的,應當明確數據承接方案,並通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數據和核心數據的,應當及時向所在地工業和信息化主管部門或通信管理局備案。作爲數據承接方的工業和電信數據處理者,應當及時向所在地工業和信息化主管部門或通信管理局備案,承擔數據安全責任和保護義務,不得違反國家有關規定及原數據處理者與用戶的約定。重要數據和核心數據沒有承接方且符合銷毀條件的,工業和電信數據處理者應當依法進行數據銷毀。重要數據和核心數據沒有數據承接方且不符合銷毀條件的,工業和電信數據處理者應當及時上報所在地工業和信息化主管部門或通信管理局,將數據移交至行業監管部門指定的機構進行保存。
第二十六條【委托處理】工業和電信數據處理者委托他人開展數據處理活動的,應當對被委托方的數據安全保護能力、資質進行核實,確保符合國家、行業主管部門的相關要求,並通過合同約束、現場核查等方式對被委托方落實數據安全保護措施的情況進行監督管理。委托處理重要數據和核心數據的,還應當委托取得相應認證資質的檢測評估機構對被委托方進行安全評估。除法律、行政法規另有規定外,未經委托方同意,被委托方不得將數據提供給第叁方。
第二十七條【安全審計】工業和電信數據處理者應當在數據全生命周期處理過程中,記錄數據處理、權限管理、人員操作等日志。日志留存時間不少于六個月,定期進行安全審計,並形成審計報告,涉及重要數據和核心數據的,應當至少每半年進行一次。
第四章 數據安全監測預警與應急管理
第二十八條【監測預警機制】工業和信息化部統籌建立工業和信息化領域數據安全風險監測機制,建設數據安全監測預警平台,對數據泄露、違規傳輸、流量異常等安全風險進行監測和預警,及時組織研判重要數據和核心數據安全風險並進行預警。
地方工業和信息化主管部門、通信管理局建設數據安全監測預警平台,組織開展本地區工業、電信行業數據安全風險監測,按照有關規定及時發布預警信息,通知本地區工業和電信數據處理者及時采取應對措施。工業和電信數據處理者應當開展數據安全風險監測,及時排查安全隱患,采取必要的措施防範數據安全風險。
第二十九條【信息上報和共享】工業和信息化部統一彙集、分析、通報工業和信息化領域數據安全風險信息,鼓勵安全服務機構、行業組織、科研機構等開展數據安全風險和事件等相關信息上報和共享。
地方工業和信息化主管部門、通信管理局彙總分析本地區工業、電信行業數據安全風險和事件信息,及時將涉及重要數據和核心數據的安全風險上報工業和信息化部。工業和電信數據處理者應當及時將自身數據安全風險情況向所在地工業和信息化主管部門或通信管理局報告。
第叁十條【應急處置】工業和信息化部制定工業和信息化領域數據安全事件應急預案,組織協調重要數據和核心數據安全事件應急處置工作。地方工業和信息化主管部門、通信管理局組織開展本地區工業、電信行業數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件,應當立即上報工業和信息化部,並及時報告事件發展和處置情況。
工業和電信數據處理者在數據安全事件發生後,應當按照應急預案,及時開展應急處置,涉及重要數據和核心數據的安全事件,應當第一時間向所在地工業和信息化主管部門或通信管理局報告。事件處置完成後應當在規定期限內形成總結報告,每年向所在地工業和信息化主管部門或通信管理局報告數據安全事件處置情況。工業和電信數據處理者對可能損害用戶合法權益的數據安全事件,應當及時告知用戶,並提供減輕危害措施。
第叁十一條【舉報投訴處理】工業和信息化部委托相關行業組織建立工業和信息化領域數據安全違法行爲投訴舉報渠道,及時向地方工業和信息化主管部門、通信管理局、工業和電信數據處理者下發相關投訴舉報信息。
地方工業和信息化主管部門、通信管理局組織工業和電信數據處理者對舉報信息進行核實和依法處理,對涉及重要數據和核心數據安全問題的,開展執法調查。
工業和電信數據處理者應當建立用戶投訴處理機制,公布電子郵件、電話、傳真、在線客服等便捷有效的聯系方式,配備受理用戶投訴的人員接收數據安全相關投訴,並自接到投訴之日起15個工作日內答複投訴人。
第五章 數據安全檢測、評估與認證管理
第叁十二條【安全能力認證】工業和信息化部建立數據安全檢測、評估與認證機構管理制度,制定機構認定標准,開展機構選拔認定、資質授權、日常管理和推薦目錄發布等工作。地方工業和信息化主管部門、通信管理局依據管理制度和認定標准,開展本地區工業、電信行業數據安全檢測、評估與認證機構選拔認定、資質授權和管理等工作。
第叁十叁條【安全評估】工業和信息化部制定工業和信息化領域數據安全評估規範,指導檢測評估機構開展數據安全風險評估、合規評估等工作。地方工業和信息化主管部門、通信管理局負責組織開展本地區工業、電信行業數據安全評估。工業和電信數據處理者應當依據數據安全評估規範,開展數據安全評估及整改。
(一)對于一般數據,鼓勵開展數據安全自評估,對發現的數據安全風險問題進行及時整改;
(二)對于重要數據和核心數據,應當至少每年自行或者委托推薦目錄中的檢測評估機構開展一次安全評估,並向所在地工業和信息化主管部門或通信管理局報告。
第六章 監督檢查
第叁十四條【監督檢查和協助義務】工業和信息化部組—15—織制定數據安全監測接口標准。行業監管部門對工業和電信數據處理者落實本規定要求的情況進行監督檢查。工業和電信數據處理者應當配合行業監管部門依法開展監督檢查,並預留檢查接口。
第叁十五條【數據安全審查】工業和信息化部在國家數據安全工作協調機制指導下,對影響或可能影響國家安全的工業和電信數據處理活動開展數據安全審查。
第叁十六條【保密要求】行業監管部門及其委托的數據安全檢測評估機構工作人員對在履行職責中知悉的個人信息和商業秘密等,應當嚴格保密,不得泄露、出售或者非法向他人提供。
第叁十七條【約談整改】行業監管部門在履行數據安全監督管理職責中,對未按要求進行重要數據和核心數據備案,或者發現數據處理活動存在重大安全風險或發生安全事件的,可以按照規定權限和程序對工業和電信數據處理者的法定代表人或者主要負責人進行約談,並要求采取措施進行整改,消除隱患。
第七章 法律責任
第叁十八條【信用機制】行業監管部門應當將工業和電信數據處理者落實數據安全管理責任情況納入信用管理。對存在數據安全違法違規行爲受到行政處罰的數據處理者,按照有關規定將其列入業務經營不良名單或失信名單。
第叁十九條【法律責任】對于違反本辦法的,由行業監管部門依照《數據安全法》《網絡安全法》等法律和相關行政法規,根據情節嚴重程度給予公開曝光、沒收違法所得、罰款、暫停業務、停業整頓、關閉網站、吊銷業務許可證或吊銷營業執照等行政處罰;構成犯罪的,依法追究刑事責任。
第八章 附則
第四十條【涉密排除】涉及國家秘密信息、密碼使用等數據處理活動,按照國家有關規定執行。
第四十一條【軍事數據排除】涉及軍事的數據處理活動,按照國家有關規定執行。
第四十二條【政務數據排除】工業和信息化領域政務數據處理活動的具體辦法,由工業和信息化部另行規定。
第四十叁條【國防科工、煙草領域】國防科技工業、煙草領域數據安全管理由國防科工局、國家煙草專賣局負責,具體制度參照本辦法另行制定。
第四十四條【施行日期】本規定自年月日起施行。
本文選編自“工信部”,智通財經編輯:熊虓。