《办法》指出,行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,壮大数据安全产业,提升数据安全保障能力,促进数据的创新应用。
《办法》提出,工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当采取配备技术手段、签署安全协议等措施加强对数据收集人员、设备的管理,并对数据收集的时间、类型、数量、频度、流向等进行记录。通过间接途径获取数据的,应当要求数据提供方做出数据源合法性的书面承诺,并承担相应的法律责任。
《办法》指出,工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
《办法》提出,工业和电信数据处理者未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。工业和电信数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
工业和信息化领域数据安全管理办法(试行)(征求意见稿)
第一章 总则
第一条【目的依据】为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条【适用范围】在中华人民共和国境内开展的工业和电信数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。
第三条【数据定义】工业数据是指原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等行业领域,在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中收集和产生的数据。
电信数据是指在电信业务经营活动中收集和产生的数据。工业和电信数据处理者是指对工业、电信数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业和取得电信业务经营许可证的电信业务经营者等工业和信息化领域各类主体。
第四条【监管机构】工业和信息化部负责对工业和电信数据处理者的数据处理活动和安全保护进行监督管理。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门(以下统称地方工业和信息化主管部门)负责对本地区工业数据处理者的数据处理活动和安全保护进行监督管理。各省、自治区、直辖市通信管理局(以下统称地方通信管理局)负责对本地区电信数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方工业和信息化主管部门、通信管理局统称为行业监管部门。
第五条【产业发展】行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,壮大数据安全产业,提升数据安全保障能力,促进数据的创新应用。
工业和电信数据处理者研发提供数据开发利用新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。
第六条【标准制定】行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展行业标准制修订工作。鼓励支持企业、研究机构、高等院校、行业组织等不同主体,开展国际标准、国家标准、团体标准、企业标准制定。引导工业和电信数据处理者开展数据管理、数据安全贯标达标工作。
第二章 数据分类分级管理
第七条【分类分级方法】工业和电信数据处理者应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单。数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。
工业和信息化部按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
第八条【一般数据】危害程度符合下列条件之一的数据为一般数据:
(一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
(三)恢复数据或消除负面影响所需付出的代价小;
(四)其他未纳入重要数据、核心数据目录的数据。
第九条【重要数据】危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业发展、生产、运行和经济利益等造成影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)恢复数据或消除负面影响所需付出的代价大;
(六)经行业监管部门评估确定的其他重要数据。
第十条【核心数据】危害程度符合下列条件之一的数据为核心数据:
(一)对政治、国土、军事、经济、文化、社会、科技、 网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业及其重要骨干企业、关键信息 基础设施、重要资源等造成严重影响;
(三)对工业生产运营、电信和互联网运行和服务等造成重大损害,导致大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
第十一条【分类分级工作要求】工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定及数据分级防护等制度规范,形成行业重要数据和核心数据具体目录并实施动态管理,指导开展数据分类分级防护工作。
地方工业和信息化主管部门、通信管理局组织开展本地区工业、电信行业数据分类分级防护及重要数据和核心数据识别认定工作,形成本地区行业重要数据和核心数据具体目录并上报工业和信息化部。
工业和电信数据处理者应当建立健全数据分类分级管理制度,将重要数据和核心数据目录报送地方工业和信息化主管部门或通信管理局,并采取措施开展数据分级防护,对重要数据进行重点保护,对核心数据在重要数据保护基础上实施更严格的管理和保护。不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护。
第十二条【重要数据和核心数据备案管理】工业和信息化部建立工业和信息化领域重要数据和核心数据备案管理制度,统筹建设备案管理平台。备案内容包括数据的数量、类别、处理目的和方式、使用范围、主体责任、安全保护措施等基本情况,数据提供、公开、出境、承接,以及数据安全风险、事件处置等情况。
地方工业和信息化主管部门、通信管理局应当分别对本地区工业、电信行业重要数据和核心数据备案内容进行审核,对不符合有关备案要求的,应当督促企业及时完善并重新进行备案。
工业和电信数据处理者应当按照有关要求进行备案,备案内容发生变化的,应在三个月内报备变更情况,同时对整体备案情况进行更新。
第三章 数据全生命周期安全管理
第十三条【主体责任】工业和电信数据处理者应当对数据处理活动负安全主体责任,根据数据的类型、数量、安全级别、处理方式以及对国家安全、公共利益或者个人、组织合法权益带来的影响和安全风险等,采取必要措施确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)明确数据安全管理的主要负责人和责任部门,统筹负责数据处理活动的安全监督管理;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)制定数据安全事件应急预案,并定期进行演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规规定的其他措施。
第十四条【工作体系】涉及重要数据和核心数据的,工业和电信数据处理者应当建立覆盖本单位相关部门的数据安全工作体系,设置专门的数据安全管理责任部门,本单位党委(党组)或领导班子对数据安全负主体责任,主要负责人是数据安全第一责任人,分管数据安全的负责人是直接责任人,明确各部门数据安全职责及人员,建立常态化沟通与协作机制。
第十五条【关键岗位管理】工业和电信数据处理者应当确认数据处理关键岗位及人员,签署数据安全责任书,记录数据处理活动。
第十六