工業和信息化部關于印發《工業和信息化領域數據安全管理辦法（試行）》的通知

工信部(bu)網安〔2022〕166號

各(ge)省(sheng)(sheng)、自治(zhi)區(qu)(qu)、直轄市、計劃單列市及新疆生(sheng)產建設兵團工業和信(xin)(xin)息化(hua)主管部門，各(ge)省(sheng)(sheng)、自治(zhi)區(qu)(qu)、直轄市通信(xin)(xin)管理(li)局，青海(hai)、寧夏無線電管理(li)機構，部屬各(ge)單位，部屬各(ge)高校，各(ge)有關企業： 

現將《工業和信(xin)息化(hua)領域數(shu)據安(an)全(quan)管(guan)理辦法（試行(xing)(xing)）》印發給你們，請認真遵照執行(xing)(xing)。

                  ;                                                                                  工業(ye)和信(xin)息(xi)化(hua)部

2022年(nian)12月(yue)8日

工業和信息化領域數據安全管理辦法（試行）

第一章 總則

第一條 為了規(gui)范工(gong)業和(he)信(xin)息化領(ling)域數據(ju)處理活動(dong)，加強數據(ju)安全(quan)(quan)(quan)管(guan)理，保障數據(ju)安全(quan)(quan)(quan)，促(cu)進數據(ju)開(kai)發(fa)利用(yong)，保護個人、組(zu)織的(de)合法(fa)權益，維護國(guo)(guo)家安全(quan)(quan)(quan)和(he)發(fa)展利益，根(gen)據(ju)《中華人民(min)共(gong)(gong)和(he)國(guo)(guo)數據(ju)安全(quan)(quan)(quan)法(fa)》《中華人民(min)共(gong)(gong)和(he)國(guo)(guo)網絡(luo)安全(quan)(quan)(quan)法(fa)》《中華人民(min)共(gong)(gong)和(he)國(guo)(guo)個人信(xin)息保護法(fa)》《中華人民(min)共(gong)(gong)和(he)國(guo)(guo)國(guo)(guo)家安全(quan)(quan)(quan)法(fa)》《中華人民(min)共(gong)(gong)和(he)國(guo)(guo)民(min)法(fa)典(dian)》等法(fa)律(lv)法(fa)規(gui)，制(zhi)定本辦法(fa)。

第二條 在中華人民共和(he)(he)國境(jing)內開展的工業和(he)(he)信息(xi)化領(ling)域數據處理(li)活(huo)動及其安全監(jian)管，應當遵守相關法(fa)律、行政法(fa)規和(he)(he)本(ben)辦(ban)法(fa)的要求(qiu)。

第三條(tiao) 工(gong)業(ye)和(he)信(xin)息化領域數據包括工(gong)業(ye)數據、電信(xin)數據和(he)無(wu)線電數據等。工(gong)業(ye)數據是指工(gong)業(ye)各(ge)行業(ye)各(ge)領域在(zai)研(yan)發設(she)計、生(sheng)(sheng)產制造、經營(ying)管理、運行維護、平臺運營(ying)等過程中產生(sheng)(sheng)和(he)收(shou)集的數據。

電信數(shu)據是(shi)指在(zai)電信業務經營活動中(zhong)產生和(he)收集的數(shu)據。

無(wu)線電數據是指在開展無(wu)線電業(ye)務活動(dong)中產(chan)生和收(shou)集的無(wu)線電頻率(lv)、臺（站）等電波參數數據。

工(gong)(gong)(gong)業(ye)(ye)(ye)和信(xin)(xin)(xin)息(xi)(xi)化領(ling)(ling)域數(shu)據處(chu)理者是(shi)指數(shu)據處(chu)理活動(dong)中自(zi)主(zhu)決定(ding)處(chu)理目的、處(chu)理方式的工(gong)(gong)(gong)業(ye)(ye)(ye)企業(ye)(ye)(ye)、軟件(jian)和信(xin)(xin)(xin)息(xi)(xi)技術服務企業(ye)(ye)(ye)、取得電信(xin)(xin)(xin)業(ye)(ye)(ye)務經(jing)營(ying)許可證(zheng)的電信(xin)(xin)(xin)業(ye)(ye)(ye)務經(jing)營(ying)者和無線電頻率(lv)、臺(tai)（站）使(shi)用單位(wei)等(deng)工(gong)(gong)(gong)業(ye)(ye)(ye)和信(xin)(xin)(xin)息(xi)(xi)化領(ling)(ling)域各類主(zhu)體(ti)。工(gong)(gong)(gong)業(ye)(ye)(ye)和信(xin)(xin)(xin)息(xi)(xi)化領(ling)(ling)域數(shu)據處(chu)理者按照所屬行業(ye)(ye)(ye)領(ling)(ling)域可分為(wei)工(gong)(gong)(gong)業(ye)(ye)(ye)數(shu)據處(chu)理者、電信(xin)(xin)(xin)數(shu)據處(chu)理者、無線電數(shu)據處(chu)理者等(deng)。數(shu)據處(chu)理活動(dong)包括但不限于數(shu)據收集、存儲、使(shi)用、加工(gong)(gong)(gong)、傳輸、提供、公開(kai)等(deng)活動(dong)。

第四條 在國家數(shu)(shu)據安全工作(zuo)協調機制統籌協調下(xia)，工業和(he)信(xin)息(xi)(xi)化(hua)部負責(ze)督(du)促指導各(ge)省、自治(zhi)區(qu)、直(zhi)轄(xia)(xia)市(shi)及計劃單列市(shi)、新(xin)疆生產建設兵(bing)團工業和(he)信(xin)息(xi)(xi)化(hua)主管(guan)部門(men)(men)，各(ge)省、自治(zhi)區(qu)、直(zhi)轄(xia)(xia)市(shi)通信(xin)管(guan)理局和(he)無線電(dian)管(guan)理機構（以下(xia)統稱(cheng)地方行業監(jian)管(guan)部門(men)(men)）開展(zhan)數(shu)(shu)據安全監(jian)管(guan)，對工業和(he)信(xin)息(xi)(xi)化(hua)領(ling)域的數(shu)(shu)據處(chu)理活動(dong)和(he)安全保護(hu)進(jin)行監(jian)督(du)管(guan)理。

地方(fang)行業(ye)監管部門分(fen)別(bie)負責對本地區工業(ye)、電信、無(wu)線(xian)電數據處(chu)(chu)理者的數據處(chu)(chu)理活(huo)動和安全保護進行監督管理。

工(gong)業(ye)和(he)信息化部及地方(fang)行業(ye)監管部門(men)統稱為行業(ye)監管部門(men)。

行(xing)業監(jian)管部(bu)門按照有關(guan)法律、行(xing)政法規，依法配合有關(guan)部(bu)門開展的數(shu)據安(an)全監(jian)管相(xiang)關(guan)工作。

第(di)五條 行業(ye)監(jian)管部門鼓(gu)勵數據(ju)開發(fa)利用(yong)和(he)數據(ju)安(an)全(quan)技術研究(jiu)，支持(chi)推廣數據(ju)安(an)全(quan)產品和(he)服務，培育(yu)數據(ju)安(an)全(quan)企業(ye)、研究(jiu)和(he)服務機構，發(fa)展數據(ju)安(an)全(quan)產業(ye)，提升數據(ju)安(an)全(quan)保(bao)障能(neng)力，促進數據(ju)的創新應(ying)用(yong)。

工業和(he)(he)信息化(hua)領(ling)域數據(ju)處理者研究(jiu)、開發(fa)(fa)、使(shi)用數據(ju)新技術、新產品(pin)、新服(fu)務，應(ying)當有利于促進經(jing)濟社(she)會(hui)和(he)(he)行業發(fa)(fa)展，符合社(she)會(hui)公德和(he)(he)倫(lun)理。

第六(liu)條 行(xing)業監管部(bu)門推進工(gong)業和信息化領域數據開發利用(yong)和數據安全標(biao)準體系(xi)建設，組織開展相關標(biao)準制修訂及(ji)推廣應(ying)用(yong)工(gong)作。

第二章 數據(ju)分(fen)類(lei)分(fen)級管(guan)理

第七條 工(gong)業(ye)和(he)信(xin)息化部(bu)組(zu)織制定工(gong)業(ye)和(he)信(xin)息化領域數(shu)據(ju)分(fen)類(lei)分(fen)級、重要數(shu)據(ju)和(he)核心數(shu)據(ju)識別(bie)認定、數(shu)據(ju)分(fen)級防護等標準規(gui)范，指導開(kai)展(zhan)數(shu)據(ju)分(fen)類(lei)分(fen)級管(guan)(guan)理工(gong)作(zuo)，制定行(xing)業(ye)重要數(shu)據(ju)和(he)核心數(shu)據(ju)具體目錄(lu)并實(shi)施動(dong)態管(guan)(guan)理。

地方(fang)行業監(jian)管部(bu)門分別(bie)組織開展本地區(qu)工(gong)(gong)業和信(xin)息化領(ling)域數(shu)(shu)據(ju)(ju)(ju)分類分級管理及重(zhong)要數(shu)(shu)據(ju)(ju)(ju)和核心(xin)數(shu)(shu)據(ju)(ju)(ju)識(shi)別(bie)工(gong)(gong)作，確定本地區(qu)重(zhong)要數(shu)(shu)據(ju)(ju)(ju)和核心(xin)數(shu)(shu)據(ju)(ju)(ju)具體目錄并上(shang)報工(gong)(gong)業和信(xin)息化部(bu)，目錄發生(sheng)變化的(de)，應當及時上(shang)報更新。

工業和信息化(hua)領域數據處理者應當定期梳理數據，按照相關標準規范識別重要數據和核心數據并形成本單位的具體目錄。

第八(ba)條 根據(ju)行(xing)業(ye)要(yao)求、特點、業(ye)務需求、數(shu)(shu)據(ju)來源(yuan)和用途等因素，工業(ye)和信息化領域數(shu)(shu)據(ju)分類類別包(bao)括(kuo)但(dan)不限于研(yan)發(fa)數(shu)(shu)據(ju)、生產運(yun)行(xing)數(shu)(shu)據(ju)、管理(li)數(shu)(shu)據(ju)、運(yun)維數(shu)(shu)據(ju)、業(ye)務服(fu)務數(shu)(shu)據(ju)等。

根據(ju)數(shu)(shu)據(ju)遭到篡改(gai)、破壞、泄露或者(zhe)非(fei)法(fa)獲取、非(fei)法(fa)利用(yong)，對國家安全、公(gong)共利益(yi)或者(zhe)個人、組織合法(fa)權益(yi)等(deng)造成的危害程度，工(gong)業和(he)(he)信息化領域數(shu)(shu)據(ju)分為一般數(shu)(shu)據(ju)、重要數(shu)(shu)據(ju)和(he)(he)核(he)心數(shu)(shu)據(ju)三級(ji)。

工(gong)業和信息化領域(yu)數據(ju)處理者可在此(ci)基礎上細分(fen)數據(ju)的(de)類別和級(ji)別。

第(di)九條 危害程度符合下列條件(jian)之一的(de)數據為一般數據：

（一）對公(gong)共利益(yi)(yi)或(huo)者個人、組織合法權益(yi)(yi)造成較小影響(xiang)，社會負面影響(xiang)小；

（二）受影(ying)響的(de)用戶和企(qi)業(ye)數(shu)量較(jiao)少、生產生活區(qu)域范(fan)圍較(jiao)小、持(chi)續時間較(jiao)短，對企(qi)業(ye)經營(ying)、行業(ye)發展、技術(shu)進(jin)步和產業(ye)生態(tai)等影(ying)響較(jiao)小；

（三）其他(ta)未納入重要數(shu)據(ju)(ju)(ju)、核心(xin)數(shu)據(ju)(ju)(ju)目錄的數(shu)據(ju)(ju)(ju)。

第十條 危(wei)害程度符合下列(lie)條件之(zhi)一(yi)的數(shu)據為重(zhong)要(yao)數(shu)據：

（一）對(dui)政治、國(guo)土、軍事、經濟、文化、社會(hui)、科(ke)技(ji)、電磁、網絡、生(sheng)態、資源(yuan)、核(he)安(an)全等(deng)構成威脅(xie)，影響(xiang)海外利(li)益、生(sheng)物、太空、極地、深海、人工智能等(deng)與(yu)國(guo)家安(an)全相關的重點領域；

（二(er)）對(dui)工業和信息化領域發展、生產、運(yun)行和經濟利益(yi)等造成嚴重影(ying)響；

（三(san)）造成重大(da)數據安全(quan)事件或生產安全(quan)事故，對公共利益(yi)或者個人(ren)、組(zu)織合法權益(yi)造成嚴重影響，社會負(fu)面影響大(da)；

（四）引發的級聯效應(ying)明顯，影(ying)響范圍涉及多(duo)個行業、區域或者(zhe)行業內多(duo)個企業，或者(zhe)影(ying)響持續時間(jian)長，對行業發展、技術(shu)進步(bu)和(he)產(chan)業生態(tai)等造成嚴(yan)重影(ying)響；

（五）經工(gong)業和信息化(hua)部評估(gu)確定的其他重(zhong)要數據。

第十一條(tiao) 危害程度符合下列(lie)條(tiao)件(jian)之一的(de)數據(ju)為核心數據(ju)：

（一）對政治(zhi)、國(guo)土、軍事、經濟、文化、社會、科(ke)技、電(dian)磁、網絡、生態、資源、核安全等(deng)構成嚴重威脅，嚴重影響(xiang)海外利益、生物(wu)、太空(kong)、極地、深海、人(ren)工智能等(deng)與國(guo)家安全相關的(de)重點領域；

（二）對工業和信(xin)息化領域及其重要骨干(gan)企業、關鍵信(xin)息基礎設施、重要資源等造成重大影響；

（三）對工業(ye)(ye)生(sheng)產運營、電信網絡和互(hu)聯網運行服(fu)務(wu)、無線電業(ye)(ye)務(wu)開展等造成(cheng)重大損害，導致(zhi)大范圍停(ting)工停(ting)產、大面積無線電業(ye)(ye)務(wu)中(zhong)斷、大規模(mo)網絡與服(fu)務(wu)癱瘓、大量(liang)業(ye)(ye)務(wu)處理能力喪失等；

（四）經工(gong)業(ye)和(he)信息(xi)化部評(ping)估確定(ding)的(de)其他核心數據(ju)。

第十二(er)條(tiao) 工業和信息化領域數(shu)(shu)(shu)據處(chu)理(li)者(zhe)應當將(jiang)本單位重要(yao)數(shu)(shu)(shu)據和核(he)心數(shu)(shu)(shu)據目(mu)錄(lu)向本地區(qu)行業監管部(bu)門備(bei)(bei)案。備(bei)(bei)案內(nei)容(rong)包(bao)括但不限于(yu)數(shu)(shu)(shu)據來源(yuan)、類別(bie)、級別(bie)、規模、載體、處(chu)理(li)目(mu)的和方式、使用范圍(wei)、責任主體、對外共享、跨境傳(chuan)輸、安全保(bao)護措施等基本情況，不包(bao)括數(shu)(shu)(shu)據內(nei)容(rong)本身(shen)。

地方(fang)行業監(jian)管(guan)部門應當(dang)在(zai)工業和信(xin)息化(hua)領域數據處理者提交備(bei)案(an)申(shen)請(qing)的(de)二十(shi)個(ge)工作日內(nei)完成審核工作，備(bei)案(an)內(nei)容(rong)符合(he)要求的(de)，予(yu)以備(bei)案(an)，同時(shi)將備(bei)案(an)情(qing)況報工業和信(xin)息化(hua)部；不予(yu)備(bei)案(an)的(de)應當(dang)及(ji)時(shi)反饋備(bei)案(an)申(shen)請(qing)人并說(shuo)明理由。備(bei)案(an)申(shen)請(qing)人應當(dang)在(zai)收到反饋情(qing)況后的(de)十(shi)五個(ge)工作日內(nei)再次(ci)提交備(bei)案(an)申(shen)請(qing)。

備案(an)內容發(fa)(fa)生(sheng)重(zhong)大變(bian)化(hua)(hua)(hua)的，工業和信息化(hua)(hua)(hua)領域數(shu)(shu)據處理者(zhe)(zhe)應(ying)當在(zai)發(fa)(fa)生(sheng)變(bian)化(hua)(hua)(hua)的三個月內履行備案(an)變(bian)更(geng)手續。重(zhong)大變(bian)化(hua)(hua)(hua)是指某類重(zhong)要數(shu)(shu)據和核心數(shu)(shu)據規模（數(shu)(shu)據條目(mu)數(shu)(shu)量(liang)(liang)或(huo)者(zhe)(zhe)存儲總量(liang)(liang)等）變(bian)化(hua)(hua)(hua)30％以上，或(huo)者(zhe)(zhe)其(qi)它備案(an)內容發(fa)(fa)生(sheng)變(bian)化(hua)(hua)(hua)。

第三章(zhang) 數據全(quan)生(sheng)命周期安全(quan)管(guan)理

第十三條 工業和信息化領域(yu)數據(ju)處理(li)者應當對(dui)數據(ju)處理(li)活動負(fu)安全主體(ti)責任，對(dui)各類數據(ju)實行分級防護(hu)(hu)，不同(tong)級別數據(ju)同(tong)時被處理(li)且難(nan)以分別采取保(bao)護(hu)(hu)措施(shi)的，應當按照其中級別最高的要求實施(shi)保(bao)護(hu)(hu)，確保(bao)數據(ju)持續處于有效(xiao)保(bao)護(hu)(hu)和合法利(li)用(yong)的狀態(tai)。

（一(yi)）建立數(shu)據(ju)全生命(ming)周(zhou)期安全管理制度，針(zhen)對不同級(ji)別數(shu)據(ju)，制定(ding)數(shu)據(ju)收集、存儲、使用(yong)、加工、傳輸(shu)、提供、公開等環節的具體(ti)分級(ji)防護要求和操(cao)作規程；

（二）根據(ju)(ju)需(xu)要配備(bei)數據(ju)(ju)安全管理(li)人員，統籌負責數據(ju)(ju)處(chu)理(li)活動的安全監督管理(li)，協助行(xing)業監管部(bu)門開展工作；

（三）合(he)理(li)(li)確定(ding)數(shu)據處理(li)(li)活動的操(cao)作(zuo)權(quan)限，嚴格實施人員權(quan)限管理(li)(li)；

（四）根據應(ying)(ying)對數據安全事件的需要，制定應(ying)(ying)急預案，并開展應(ying)(ying)急演練；

（五）定期(qi)對從業人員(yuan)開展數據安(an)全教育和培訓；

（六）法律、行政(zheng)法規等規定的其他措施。

工業和信息化領域重要數據和核心數據處理者(zhe)，還應當：

（一）建立覆蓋(gai)本(ben)單位相關部(bu)門(men)的(de)數據安全工作(zuo)體系(xi)，明確數據安全負(fu)責人(ren)(ren)(ren)和管(guan)理機構(gou)，建立常態(tai)化溝(gou)通與協作(zuo)機制。本(ben)單位法定(ding)代表人(ren)(ren)(ren)或(huo)者主要負(fu)責人(ren)(ren)(ren)是數據安全第(di)一責任人(ren)(ren)(ren)，領導團隊中分管(guan)數據安全的(de)成(cheng)員是直(zhi)接責任人(ren)(ren)(ren)；

（二）明確數(shu)據(ju)(ju)處(chu)理關(guan)鍵崗(gang)位和崗(gang)位職責，并要求關(guan)鍵崗(gang)位人員(yuan)簽署(shu)數(shu)據(ju)(ju)安(an)全(quan)責任書(shu)，責任書(shu)內(nei)容包(bao)括但不限(xian)于數(shu)據(ju)(ju)安(an)全(quan)崗(gang)位職責、義務(wu)、處(chu)罰措施、注意事項(xiang)等內(nei)容；

（三）建立內(nei)部登(deng)記、審批等工作機制(zhi)，對(dui)重要數(shu)據和核心數(shu)據的處理活動進行嚴格管理并留存(cun)記錄。

第(di)十四(si)條(tiao) 工業和信息化領域數據處理者(zhe)收(shou)集數據應當遵循合法(fa)、正當的原則，不得竊取或(huo)者(zhe)以其他非法(fa)方式收(shou)集數據。

數(shu)(shu)據收(shou)集過(guo)程(cheng)中，應(ying)當根(gen)據數(shu)(shu)據安全(quan)級別采取相應(ying)的安全(quan)措施，加(jia)強(qiang)重要數(shu)(shu)據和(he)核(he)心數(shu)(shu)據收(shou)集人員、設備(bei)的管(guan)理(li)，并對收(shou)集來源(yuan)、時間(jian)、類型、數(shu)(shu)量、頻度、流向等進行記錄。

通(tong)過(guo)間接途(tu)徑(jing)獲取重(zhong)要數(shu)(shu)據(ju)和核心數(shu)(shu)據(ju)的，工業和信息化(hua)領域數(shu)(shu)據(ju)處(chu)理者應(ying)當與數(shu)(shu)據(ju)提供(gong)方(fang)通(tong)過(guo)簽署相關協議、承諾書等(deng)方(fang)式(shi)，明確雙方(fang)法律責任(ren)。

第十五條 工業和信息(xi)化(hua)領域(yu)數(shu)據(ju)處(chu)理者應(ying)當按照法(fa)律、行(xing)政法(fa)規(gui)規(gui)定和用戶約(yue)定的(de)方(fang)式、期限(xian)進(jin)行(xing)數(shu)據(ju)存(cun)儲(chu)。存(cun)儲(chu)重要(yao)數(shu)據(ju)和核心數(shu)據(ju)的(de)，應(ying)當采用校驗技術、密碼技術等措(cuo)施(shi)進(jin)行(xing)安全存(cun)儲(chu)，并實施(shi)數(shu)據(ju)容災備份和存(cun)儲(chu)介質安全管理，定期開展(zhan)數(shu)據(ju)恢復測試(shi)。

第(di)十六條 工(gong)業和信息化(hua)領域數(shu)據處理(li)者利用數(shu)據進行自動化(hua)決策(ce)的(de)，應當保證決策(ce)的(de)透明(ming)度和結(jie)果公平合理(li)。使用、加工(gong)重要數(shu)據和核心(xin)數(shu)據的(de)，還應當加強訪問控制。

工業(ye)和(he)信(xin)(xin)息化(hua)領域數據處理者提(ti)供數據處理服務(wu)，涉及(ji)經營電(dian)信(xin)(xin)業(ye)務(wu)的，應當按照(zhao)相關法律、行政法規規定取得電(dian)信(xin)(xin)業(ye)務(wu)經營許可。

第(di)十七(qi)條 工業(ye)和信息化領域(yu)數據(ju)處理者應(ying)(ying)(ying)當根據(ju)傳(chuan)輸(shu)的數據(ju)類型(xing)、級別(bie)和應(ying)(ying)(ying)用場景(jing)，制(zhi)定安(an)全(quan)策(ce)略并采取保護措施(shi)(shi)。傳(chuan)輸(shu)重要數據(ju)和核心(xin)數據(ju)的，應(ying)(ying)(ying)當采取校驗技(ji)術、密碼技(ji)術、安(an)全(quan)傳(chuan)輸(shu)通道(dao)或者安(an)全(quan)傳(chuan)輸(shu)協議等措施(shi)(shi)。   

第十八條(tiao) 工業和信息化領域數(shu)(shu)據(ju)處理(li)者對(dui)外提(ti)供數(shu)(shu)據(ju)，應(ying)當明確提(ti)供的范圍、類(lei)別、條(tiao)件、程序等。提(ti)供重要數(shu)(shu)據(ju)和核心數(shu)(shu)據(ju)的，應(ying)當與數(shu)(shu)據(ju)獲(huo)取(qu)方簽(qian)訂數(shu)(shu)據(ju)安全協議，對(dui)數(shu)(shu)據(ju)獲(huo)取(qu)方數(shu)(shu)據(ju)安全保護能力(li)進行核驗，采取(qu)必要的安全保護措(cuo)施。

第(di)十九條(tiao) 工業和(he)信息化(hua)領域(yu)數據(ju)處理(li)者應當在數據(ju)公(gong)(gong)開前分析(xi)研判可能對(dui)國家安全、公(gong)(gong)共(gong)利益產生的影(ying)響，存在重大(da)影(ying)響的不得公(gong)(gong)開。

第二十(shi)條 工業和(he)(he)信(xin)息(xi)化領(ling)域(yu)數據(ju)(ju)處(chu)理(li)者應當(dang)建立數據(ju)(ju)銷(xiao)毀(hui)制度，明(ming)確銷(xiao)毀(hui)對(dui)象、規(gui)則、流程和(he)(he)技術等要求，對(dui)銷(xiao)毀(hui)活(huo)動進行記錄(lu)和(he)(he)留存。個人、組織(zhi)按照法律規(gui)定、合同(tong)約定等請求銷(xiao)毀(hui)的，工業和(he)(he)信(xin)息(xi)化領(ling)域(yu)數據(ju)(ju)處(chu)理(li)者應當(dang)銷(xiao)毀(hui)相(xiang)應數據(ju)(ju)。

工業和(he)信息化領域數(shu)據處理者銷毀(hui)重要數(shu)據和(he)核心數(shu)據后(hou)，不得以任何理由、任何方式對銷毀(hui)數(shu)據進行恢復，引起備案內容發生變化的(de)，應(ying)當履行備案變更手(shou)續(xu)。

第(di)二十一條 工(gong)業和信息化領域數據(ju)(ju)處理者在中華(hua)人(ren)民共和國境內(nei)(nei)收集和產生的重(zhong)要數據(ju)(ju)和核(he)心數據(ju)(ju)，法律、行政法規有(you)境內(nei)(nei)存儲(chu)要求的，應當在境內(nei)(nei)存儲(chu)，確需向(xiang)境外提供的，應當依法依規進(jin)行數據(ju)(ju)出境安全評估。

工業(ye)(ye)和(he)(he)信(xin)(xin)息化部根據有關法(fa)(fa)律和(he)(he)中華(hua)人民(min)共和(he)(he)國(guo)締結或者(zhe)參加的國(guo)際條(tiao)約、協定，或者(zhe)按照平等(deng)互惠原則，處理外(wai)國(guo)工業(ye)(ye)、電信(xin)(xin)、無(wu)線電執(zhi)法(fa)(fa)機構關于提(ti)供(gong)工業(ye)(ye)和(he)(he)信(xin)(xin)息化領域數據的請求(qiu)。非經工業(ye)(ye)和(he)(he)信(xin)(xin)息化部批準，工業(ye)(ye)和(he)(he)信(xin)(xin)息化領域數據處理者(zhe)不得(de)向外(wai)國(guo)工業(ye)(ye)、電信(xin)(xin)、無(wu)線電執(zhi)法(fa)(fa)機構提(ti)供(gong)存儲(chu)于中華(hua)人民(min)共和(he)(he)國(guo)境內(nei)的工業(ye)(ye)和(he)(he)信(xin)(xin)息化領域數據。

第二(er)十二(er)條 工業和(he)(he)信息(xi)化領域數(shu)(shu)據處理者(zhe)因(yin)兼并、重組、破產等原因(yin)需要轉移(yi)數(shu)(shu)據的(de)，應(ying)當(dang)明(ming)確數(shu)(shu)據轉移(yi)方案(an)，并通(tong)(tong)過(guo)電(dian)話(hua)、短信、郵件(jian)、公告(gao)等方式通(tong)(tong)知受影響(xiang)用戶。涉及重要數(shu)(shu)據和(he)(he)核心數(shu)(shu)據備(bei)案(an)內容發生變化的(de)，應(ying)當(dang)履行備(bei)案(an)變更手續。

第(di)二十三條 工業和(he)信息(xi)化領域數據(ju)處(chu)(chu)理(li)者委(wei)(wei)托(tuo)(tuo)他人開(kai)展數據(ju)處(chu)(chu)理(li)活動的，應當通過簽訂合(he)同(tong)協議等方(fang)式，明確委(wei)(wei)托(tuo)(tuo)方(fang)與受托(tuo)(tuo)方(fang)的數據(ju)安全(quan)責任(ren)和(he)義務(wu)。委(wei)(wei)托(tuo)(tuo)處(chu)(chu)理(li)重要(yao)數據(ju)和(he)核心數據(ju)的，應當對受托(tuo)(tuo)方(fang)的數據(ju)安全(quan)保護能力、資質進行核驗。

除(chu)法(fa)律、行政法(fa)規等另有規定外，未經委托(tuo)方(fang)同意，受托(tuo)方(fang)不得將數據提供給(gei)第三方(fang)。

第二十四條(tiao) 跨主(zhu)體提供、轉移(yi)、委托處理核心數據(ju)的，工業(ye)(ye)和(he)信(xin)息(xi)(xi)化領(ling)域(yu)數據(ju)處理者(zhe)應(ying)當評估(gu)安全(quan)(quan)風險(xian)，采取必要(yao)的安全(quan)(quan)保護措(cuo)施(shi)，并由本地區行業(ye)(ye)監管部(bu)門審查后報工業(ye)(ye)和(he)信(xin)息(xi)(xi)化部(bu)。工業(ye)(ye)和(he)信(xin)息(xi)(xi)化部(bu)按照有關規定進行審查。

第二十五條 工業和信息化(hua)領域數(shu)據(ju)(ju)處理(li)者應(ying)當(dang)在數(shu)據(ju)(ju)全生(sheng)命周期(qi)處理(li)過(guo)程(cheng)中，記錄(lu)數(shu)據(ju)(ju)處理(li)、權限(xian)管(guan)理(li)、人員(yuan)操作等日志(zhi)。日志(zhi)留存時間不少于六個(ge)月(yue)。

第四章(zhang) 數據安全監測(ce)預警與應急管理

第二十六條(tiao) 工業和(he)信息化部建立(li)數(shu)(shu)據安全(quan)風險監測機制(zhi)，組織(zhi)制(zhi)定數(shu)(shu)據安全(quan)監測預警接口和(he)標準，統籌建設數(shu)(shu)據安全(quan)監測預警技術手段(duan)，形成監測、預警、處置、溯(su)源等能力，與相(xiang)關(guan)部門(men)加強(qiang)信息共享(xiang)。

地(di)(di)方行業監(jian)管部門分別建設本地(di)(di)區數(shu)據(ju)安(an)(an)全(quan)風(feng)險(xian)監(jian)測(ce)預警(jing)機(ji)制，組織開(kai)展數(shu)據(ju)安(an)(an)全(quan)風(feng)險(xian)監(jian)測(ce)，按照有關規定及時發布(bu)預警(jing)信息，通知本地(di)(di)區工(gong)業和信息化領域(yu)數(shu)據(ju)處理者及時采取應(ying)對措施(shi)。

工(gong)業(ye)和(he)信息化領(ling)域數(shu)(shu)據處理者(zhe)應當開展數(shu)(shu)據安全(quan)(quan)風險監測(ce)，及時排查安全(quan)(quan)隱患，采(cai)取必要的措施(shi)防范數(shu)(shu)據安全(quan)(quan)風險。

第(di)二(er)十七條(tiao) 工業(ye)和信(xin)息(xi)(xi)化部(bu)建(jian)立數據安(an)全(quan)風險(xian)信(xin)息(xi)(xi)上報(bao)和共享(xiang)機制，統一匯集、分析、研判、通報(bao)數據安(an)全(quan)風險(xian)信(xin)息(xi)(xi)，鼓勵安(an)全(quan)服務機構、行(xing)業(ye)組織、科研機構等開展數據安(an)全(quan)風險(xian)信(xin)息(xi)(xi)上報(bao)和共享(xiang)。

地(di)方行業監管部門分(fen)別匯總分(fen)析本地(di)區數(shu)據安全(quan)風險(xian)(xian)，及(ji)時將可能(neng)造成重大及(ji)以(yi)上(shang)(shang)安全(quan)事(shi)件的風險(xian)(xian)上(shang)(shang)報工(gong)業和信息化(hua)部。

工業和信息化領域數據處理者應當及時將可能造成較大(da)及以(yi)上安全事(shi)件(jian)的風(feng)險向本地(di)區行業監管(guan)部(bu)門報告。

第二十八條 工(gong)(gong)業和(he)(he)信(xin)息化部制(zhi)定工(gong)(gong)業和(he)(he)信(xin)息化領域數據(ju)安全(quan)事件(jian)應急(ji)(ji)預案，組織協調重要(yao)數據(ju)和(he)(he)核心(xin)數據(ju)安全(quan)事件(jian)應急(ji)(ji)處置工(gong)(gong)作。

地方行(xing)業(ye)監管部(bu)門分別(bie)組(zu)織開展(zhan)(zhan)本地區數(shu)據安全(quan)事件應急處(chu)置(zhi)(zhi)工作(zuo)。涉及重(zhong)要數(shu)據和(he)核心(xin)數(shu)據的安全(quan)事件，應當立(li)即上報工業(ye)和(he)信息(xi)化部(bu)，并(bing)及時報告事件發展(zhan)(zhan)和(he)處(chu)置(zhi)(zhi)情況。

工(gong)業和信(xin)息化(hua)領域數(shu)(shu)據(ju)(ju)處(chu)(chu)理者在數(shu)(shu)據(ju)(ju)安全(quan)事件(jian)發生后，應當(dang)按(an)照(zhao)應急預案，及時開展應急處(chu)(chu)置，涉及重要數(shu)(shu)據(ju)(ju)和核心數(shu)(shu)據(ju)(ju)的安全(quan)事件(jian)，第一時間向本(ben)地區行業監管部門報告，事件(jian)處(chu)(chu)置完成(cheng)(cheng)后在規定期限內形成(cheng)(cheng)總結報告，每年向本(ben)地區行業監管部門報告數(shu)(shu)據(ju)(ju)安全(quan)事件(jian)處(chu)(chu)置情況。

工業和信息化領域數據(ju)處理者對發(fa)生的(de)可能損害用(yong)戶(hu)合法權益的(de)數據(ju)安(an)全(quan)事件，應當及(ji)時告知用(yong)戶(hu)，并提供減輕危害措施。

第二十(shi)九條 工(gong)業(ye)和信(xin)息化部(bu)委托相關(guan)行業(ye)組織(zhi)建(jian)立工(gong)業(ye)和信(xin)息化領域(yu)數(shu)(shu)據(ju)安(an)全違法(fa)行為投訴舉報(bao)渠道，地方行業(ye)監管部(bu)門分別建(jian)立本(ben)地區(qu)數(shu)(shu)據(ju)安(an)全違法(fa)行為投訴舉報(bao)機制或渠道，依法(fa)接收、處(chu)理投訴舉報(bao)，根據(ju)工(gong)作需要開展執法(fa)調查(cha)。鼓勵工(gong)業(ye)和信(xin)息化領域(yu)數(shu)(shu)據(ju)處(chu)理者(zhe)建(jian)立用戶投訴處(chu)理機制。

第五章 數據安全檢測、認證(zheng)、評估管理

第三十條 工(gong)業和(he)信息化(hua)部指導(dao)、鼓勵具(ju)備相應(ying)資(zi)質的(de)機構，依據(ju)相關標準(zhun)開(kai)展行(xing)業數據(ju)安全檢測、認證工(gong)作。

第(di)三十一條 工業和信息化部(bu)制定行業數(shu)據安(an)(an)(an)全評(ping)(ping)估(gu)(gu)管理制度，開展評(ping)(ping)估(gu)(gu)機構管理工作。制定行業數(shu)據安(an)(an)(an)全評(ping)(ping)估(gu)(gu)規范，指導評(ping)(ping)估(gu)(gu)機構開展數(shu)據安(an)(an)(an)全風險評(ping)(ping)估(gu)(gu)、出境(jing)安(an)(an)(an)全評(ping)(ping)估(gu)(gu)等工作。

地方行業監管部門(men)分別負責組(zu)織開(kai)展本地區數據(ju)安全評估工作。

工業和信息化領域重(zhong)要數(shu)據(ju)和核心數(shu)據(ju)處理者應當自行或委托第三方評估(gu)機構，每年對其數(shu)據(ju)處理活(huo)動至(zhi)少開展一次風(feng)險評估(gu)，及時整改風(feng)險問題，并向(xiang)本地區行業監管部門報(bao)送風(feng)險評估(gu)報(bao)告。

第六(liu)章 監督檢(jian)查

第三十二條 行(xing)業監管部門對工業和(he)信息化領域數據處理者落實本辦(ban)法要(yao)求(qiu)的情(qing)況進行(xing)監督檢(jian)查。

工業和信息(xi)化(hua)領域數據處理者應當對行業監管部門監督檢查予以配合。

第三十三條 工業(ye)和信息(xi)化(hua)部(bu)在(zai)國家(jia)數據安(an)全工作協(xie)調機制指導下，開展工業(ye)和信息(xi)化(hua)領域數據安(an)全審查相關工作。

第三十(shi)四條 行業監管部門及其委托的數據安全評估機構工作人員對在履行職責中知悉的個人信息和商業秘密(mi)等(deng)，應當嚴格保密(mi)，不得(de)泄露或者非法向他(ta)人提(ti)供。

第(di)七章 法律責任

第三十(shi)五條 行(xing)(xing)業監管部門在履行(xing)(xing)數(shu)據(ju)(ju)安全監督(du)管理職責中(zhong)，發現數(shu)據(ju)(ju)處(chu)理活動(dong)存在較(jiao)大安全風險的，可以按照(zhao)規定權限和程序對工業和信息化領域數(shu)據(ju)(ju)處(chu)理者進(jin)行(xing)(xing)約談，并要求采取措施進(jin)行(xing)(xing)整改(gai)，消除隱(yin)患(huan)。

第(di)三(san)十(shi)六條 有違(wei)(wei)反本(ben)辦法規定行(xing)為的(de)，由行(xing)業監(jian)管部門按(an)照相(xiang)關(guan)法律法規，根據情節嚴重程度(du)給(gei)予沒(mei)收違(wei)(wei)法所得、罰款、暫停(ting)(ting)業務、停(ting)(ting)業整頓、吊銷(xiao)業務許可(ke)證等行(xing)政處罰；構成犯(fan)罪(zui)的(de)，依(yi)法追(zhui)究刑(xing)事責任(ren)。

第八章(zhang) 附則(ze)

第三十七條(tiao) 中央企(qi)業應當督促指導所(suo)(suo)屬(shu)企(qi)業，在重(zhong)要(yao)數據(ju)和(he)(he)核心(xin)數據(ju)目(mu)錄備案(an)、核心(xin)數據(ju)跨(kua)主體處(chu)理(li)風險(xian)評估、風險(xian)信息(xi)上報、年度數據(ju)安全事(shi)件處(chu)置(zhi)報告、重(zhong)要(yao)數據(ju)和(he)(he)核心(xin)數據(ju)風險(xian)評估等工作中履(lv)行屬(shu)地管理(li)要(yao)求，還應當全面梳理(li)匯(hui)總企(qi)業集團本部、所(suo)(suo)屬(shu)公司的數據(ju)安全相關(guan)情況(kuang)，并及時報送工業和(he)(he)信息(xi)化部。

第三十(shi)八(ba)條 開展涉及個人信(xin)息的數據處理活(huo)動，還(huan)應當遵守(shou)有關(guan)法(fa)律、行政(zheng)法(fa)規的規定。

第三十九條 涉及軍(jun)事、國家(jia)秘密信息等(deng)數據處理活動，按(an)照國家(jia)有關規定執行(xing)。

第四十條 工業和信息化(hua)領域政務數據處理活動的(de)具體辦法，由工業和信息化(hua)部另行規(gui)定。

第四十一條 國防(fang)科技(ji)工業(ye)、煙(yan)草領域數據安全(quan)管理由國家國防(fang)科技(ji)工業(ye)局、國家煙(yan)草專(zhuan)賣局負責，具(ju)體制度參照本辦法另(ling)行制定。

第四十(shi)二(er)條 本辦法自(zi)2023年1月(yue)1日起施行。