工业和信息化领域数据安全管理办法（试行）解读.pdf

工业和信息化领域数据安全管理办法（试行）解读办法意义：工业和信息化领域数据安全管理顶层设计2022年2月10日，工业和信息化部印发工业和信息化领域数据安全管理办法（试行）（征求意见稿），旨在：l 规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益制定本办法工业和信息化领域数据安全管理办法（试行）（征求意见稿）数据安全法国家安全法个人信息保护法网络安全法民法典26办法亮点：规范和细化在我国境内开展的工业和信息化领域数据处理活动全面对接数据安全法要求在工业和信息化领域对国家数据安全管理制度进行细化，明确开展数据分类分级保护、重要数据管理等工作的具体要求，为行业数据安全监管提供制度保障构建工业和信息化领域数据安全监管体系明确工业和信息化部、地方工业和信息化主管部门、地方通信管理局等管理部门的职责范围，构建“部-地方-企业”三级联动的防护机制，建立权责一致的工作机制明确数据保护要求根据工业、电信行业实际情况，明确了数据全生命周期安全保护要求，指导行业企业健全数据安全管理和技术保护措施，履行保护义务明确工业和信息化领域数据，构建“部-地方-企业”三级联动的防护机制1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则工业和信息化领域数据工业数据电信数据无线电数据 工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营 等过程中产生和收集的数据 在电信业务经营活动中产生和收集的数据 在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据工业和信息化领域数据处理者对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台（站）使用单位等工业和信息化领域各类主体行业(领域)监管部门工业和信息化部地方工业和信息化主管部门地方通信管理局地方无线电管理机构 促进产业发展 推动标准制定 督促指导下级单位 监督管理本地区工业数据处理者 监督管理本地区电信数据处理者 监督管理本地区无线电数据处理者定义明确“数据处理者”的外延范围个人信息不属于“工业和信息化领域数据”，建议完善28细化数据分类分级标准及其管理制度1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则分类分级工作要求工业和信息化部制定标准规范，制定行业重要、核心数据具体目录，动态管理，未来工信部组织制定的目录也将成为所管辖企业开展分类分级工作的重要参考标准地方工业和信息化主管部门、通信管理局、无线电管理机构开展本地区据分类分级管理和识别工作，确定具体目录上报工信部，及时更新工业和信息化领域数据处理者定期梳理数据，识别重要、核心数据形成目录分类分级方法根据行业要求、特点、业务需求、数据来源和用途等因素，工信领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工信领域数据分为一般数据、重要数据和核心数据三级29提出比数据安全法更细致的分级判定条件，增加数据级别和规模备案要求1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则一般数据重要数据核心数据-对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁-影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关 的重点领域严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域-对工业和信息化领域发展、生产、运行和经济利益等造成严重影响对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大对工业生产运营、电信网络（含互联网）运行和服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；其他未纳入重要数据、核心数据目录的数据经工业和信息化部评估确定的其他重要数据经工业和信息化部评估确定的其他核心数据工信领域数据处理者地方工信主管部门或通信管理局或无线电管理机构1.备案2-1.二十个工作日内完成审核，符合要求的，予以备案，发放凭证工信部3.报备案情况2-2.不予备案的，及时反馈备案申请人，说明理由4.重要数据和核心数据的类别或规模变化30以上的，或其它备案内容发生重大变化，工信领域数据处理者应在发生变化的三个月内履行备案变更手续重要数据和核心数据目录备案流程符合下列条件之一符合下列条件之一符合下列条件之一30工信领域数据处理者工信领域重要数据和核心数据处理者强调密码技术保障数据全生命周期安全，细化数据处理者职责1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则收集存储使用加工传输提供公开销毁根据数据安全级别采取相应的安全措施采用校验技术、密码技术等措施进行安全存储使用、加工重要数据和核心数据，应加强访问控制；电信业务应取得电信业务经营许可采取校验技术、密码技术、安全传输通道或者安全传输协议等措施对数据获取方数据安全保护能力进行评估或核实公开前应分析研判销毁重要数据和核心数据，应及时备案建立数据全生命周期安全管理制度分级防护采取保护措施配备数据安全管理人员确定操作权限制定应急预案教育和培训定期演练建立数据安全工作体系严格管理 留存记录明确主要责任人明确数据处理关键岗位和岗位职责建立内部登记、审批机制31中国境内收集和产生的重要数据和核心数据，应在境内存储，确需向境外提供的，进行数据出境安全评估非经工信部批准，数据处理者不得向外国提供存储于中国境内的工信领域数据核心数据出境保留了可能 因兼并、重组、破产等原因需要转移数据的，明确数据转移方案，、短信、邮件、公告等方式通知受影响用户 涉及重要数据和核心数据的，应及时向主管部门更新备案数据转移需通知用户进一步明确工信领域数据处理者在不同场景中的职责1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则 委托他人开展数据处理活动的，签订合同协议，明确双方责任和义务 委托处理重要数据和核心数据的，应对被委托方的数据安全保护能力、资质进行评估或核实需评估核实委托方资质 跨主体提供、转移、委托处理核心数据的，评估安全风险，采取必要的安全保护措施，并及时上报 工信部按照有关规定进行审查核心数据跨主体处理需评估风险 在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志 日志留存时间不少于六个月明确留存处理日志的最低期限32强化监测预警、上报共享、应急处置、举报投诉等机制1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则监测预警机制信息上报和共享机制应急处置机制制定数据安全事件应急预案涉及重要数据和核心数据的安全事件，立即上报工信部数据安全事件发生后，及时开展应急处置，立即上报处置情况告知用户，提供减轻危害措施举报投诉机制建立违法行为投诉举报渠道依法接收、处理投诉举报开展执法调查建立用户投诉处理机制建立数据安全风险监测机制制定监测预警接口和标准加强信息共享及 时发布预警信息，采取应对措施开展数据安全风险监测建 立 风险信息上报和共享机制汇总分析本地区风险，及时上报33细化数据安全法安全评估规则，强调特定主体每年至少开展一次安全评估1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则工业和信息化部：制定评估机构管理制度和规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境评估等工作地方工业和信息化主管部门、通信管理局和无线电管理机构：组织开展本地区数据安全评估工作工业和信息化领域重要数据和核心数据处理者：自行或委托第三方评估机构，每年至少开展一次安全评估，及时整改风险问题，并报送评估报告工业和信息化部：鼓励、引导具备相应资质的机构，依据相关标准开展行业数据安全检测、认证工作安全评估安全检测与认证评估机制34明确监督协助、安全审查、保密义务1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则行业（领域）监管部门监督检查工信领域数据处理者配合检查工业和信息化部在国家数据安全工作协调机制指导下，开展数据安全审查工作行业（领域）监管部门及其委托的数据安全评估机构工作人员严格保密履行职责中知悉的个人信息和商业秘密等，不得泄露或非法向他人提供01.监督检查和协助义务02.数据安全审查义务03.保密义务35明确责任主体违规行为和罚则1.总 则2.数据分类分级管理3.数据全生命周期安全管理4.数据安全监测预警与应急管理5.数据安全检测、认证、评估管理6.监督检查7.法律责任8.附 则序号责任主体违规行为监管部门罚则1工业和信息化领域数据处理者数据处理活动存在较大安全风险的行业（领域）监管部门约谈整改，消除隐患2有违反本办法规定行为的行业（领域）监管部门根据情节严重程度没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚构成犯罪的依法追究刑事责任36。