激情综合色播五月,国产成人精品三级麻豆,伊人久久大香线蕉av超碰

主頁 > 知識庫 > 工信部擬規(guī)定：核心數據不得出境，向境外提供的數據應安全評估

工信部擬規(guī)定：核心數據不得出境，向境外提供的數據應安全評估

為貫徹落實《數據安全法》等法律法規(guī)，加快推動工業(yè)和信息化領域數據安全管理工作制度化、規(guī)范化，提升工業(yè)、電信行業(yè)數據安全保護能力，防范數據安全風險，工業(yè)和信息化部研究起草了《工業(yè)和信息化領域數據安全管理辦法（試行）（征求意見稿）》，并面向社會公開征求意見。

征求意見稿提出，工業(yè)和電信數據處理者在中華人民共和國境內收集和產生的重要數據，應當依照法律、行政法規(guī)要求在境內存儲，確需向境外提供的，應當依法依規(guī)進行數據出境安全評估，在確保安全的前提下進行數據出境，并加強對數據出境后的跟蹤掌握。核心數據不得出境。

根據意見稿規(guī)定，危害程度符合下列條件之一的數據為核心數據：

（一）對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全；

（二）對工業(yè)、電信行業(yè)及其重要骨干企業(yè)、關鍵信息基礎設施、重要資源等造成嚴重影響；

（三）對工業(yè)生產運營、電信和互聯(lián)網運行和服務等造成重大損害，導致大范圍停工停產、大面積網絡與服務癱瘓、大量業(yè)務處理能力喪失等；

（四）經工業(yè)和信息化部評估確定的其他核心數據。

以下為意見稿全文：

工業(yè)和信息化領域數據安全管理辦法（試行）

（征求意見稿）

第一章總則

第一條【目的依據】為了規(guī)范工業(yè)和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家安全和發(fā)展利益，根據《中華人民共和國民法典》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規(guī)，制定本辦法。

第二條【適用范圍】在中華人民共和國境內開展的工業(yè)和電信數據處理活動及其安全監(jiān)管，應當遵守相關法律、行政法規(guī)和本辦法的要求。

第三條【數據定義】工業(yè)數據是指原材料工業(yè)、裝備工業(yè)、消費品工業(yè)、電子信息制造業(yè)、軟件和信息技術服務業(yè)、民爆等行業(yè)領域，在研發(fā)設計、生產制造、經營管理、運維服務、平臺運營、應用服務等過程中收集和產生的數據。

電信數據是指在電信業(yè)務經營活動中收集和產生的數據。

工業(yè)和電信數據處理者是指對工業(yè)、電信數據進行收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動的工業(yè)企業(yè)、軟件和信息技術服務企業(yè)和取得電信業(yè)務經營許可證的電信業(yè)務經營者等工業(yè)和信息化領域各類主體。

第四條【監(jiān)管機構】工業(yè)和信息化部負責對工業(yè)和電信數據處理者的數據處理活動和安全保護進行監(jiān)督管理。各省、自治區(qū)、直轄市及計劃單列市、新疆生產建設兵團工業(yè)和信息化主管部門（以下統(tǒng)稱地方工業(yè)和信息化主管部門）負責對本地區(qū)工業(yè)數據處理者的數據處理活動和安全保護進行監(jiān)督管理。各省、自治區(qū)、直轄市通信管理局（以下統(tǒng)稱地方通信管理局）負責對本地區(qū)電信數據處理者的數據處理活動和安全保護進行監(jiān)督管理。工業(yè)和信息化部及地方工業(yè)和信息化主管部門、通信管理局統(tǒng)稱為行業(yè)監(jiān)管部門。

第五條【產業(yè)發(fā)展】行業(yè)監(jiān)管部門鼓勵數據開發(fā)利用和數據安全技術研究，支持推廣數據安全產品和服務，培育數據安全企業(yè)、研究和服務機構，壯大數據安全產業(yè)，提升數據安全保障能力，促進數據的創(chuàng)新應用。

工業(yè)和電信數據處理者研發(fā)提供數據開發(fā)利用新技術、新產品、新服務，應當有利于促進經濟社會和行業(yè)發(fā)展，符合社會公德和倫理。

第六條【標準制定】行業(yè)監(jiān)管部門推進工業(yè)和信息化領域數據開發(fā)利用和數據安全標準體系建設，組織開展行業(yè)標準制修訂工作。鼓勵支持企業(yè)、研究機構、高等院校、行業(yè)組織等不同主體，開展國際標準、國家標準、團體標準、企業(yè)標準制定。引導工業(yè)和電信數據處理者開展數據管理、數據安全貫標達標工作。

第二章數據分類分級管理

第七條【分類分級方法】工業(yè)和電信數據處理者應當堅持先分類后分級，定期梳理，根據行業(yè)要求、業(yè)務需求、數據來源和用途等因素對數據進行分類和標識，形成數據分類清單。數據分類類別包括但不限于研發(fā)數據、生產運行數據、管理數據、運維數據、業(yè)務服務數據、個人信息等。

工業(yè)和信息化部按照國家有關規(guī)定，根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，將工業(yè)和電信數據分為一般數據、重要數據和核心數據三級。

第八條【一般數據】危害程度符合下列條件之一的數據為一般數據：

（一）對公共利益或者個人、組織合法權益造成較小影響，社會負面影響小；

（二）受影響的用戶和企業(yè)數量較少、生產生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經營、行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等影響較小；

（三）恢復數據或消除負面影響所需付出的代價小；

（四）其他未納入重要數據、核心數據目錄的數據。

第九條【重要數據】危害程度符合下列條件之一的數據為重要數據：

（一）對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態(tài)、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全；

（二）對工業(yè)、電信行業(yè)發(fā)展、生產、運行和經濟利益等造成影響；

（三）造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；

（四）引發(fā)的級聯(lián)效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等造成嚴重影響；

（五）恢復數據或消除負面影響所需付出的代價大；

（六）經行業(yè)監(jiān)管部門評估確定的其他重要數據。

第十條【核心數據】危害程度符合下列條件之一的數據為核心數據：

（一）對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領域國家安全相關數據的安全；

（二）對工業(yè)、電信行業(yè)及其重要骨干企業(yè)、關鍵信息基礎設施、重要資源等造成嚴重影響；

（三）對工業(yè)生產運營、電信和互聯(lián)網運行和服務等造成重大損害，導致大范圍停工停產、大面積網絡與服務癱瘓、大量業(yè)務處理能力喪失等；

（四）經工業(yè)和信息化部評估確定的其他核心數據。

第十一條【分類分級工作要求】工業(yè)和信息化部組織制定工業(yè)和信息化領域數據分類分級、重要數據和核心數據識別認定及數據分級防護等制度規(guī)范，形成行業(yè)重要數據和核心數據具體目錄并實施動態(tài)管理，指導開展數據分類分級防護工作。

地方工業(yè)和信息化主管部門、通信管理局組織開展本地區(qū)工業(yè)、電信行業(yè)數據分類分級防護及重要數據和核心數據識別認定工作，形成本地區(qū)行業(yè)重要數據和核心數據具體目錄并上報工業(yè)和信息化部。

工業(yè)和電信數據處理者應當建立健全數據分類分級管理制度，將重要數據和核心數據目錄報送地方工業(yè)和信息化主管部門或通信管理局，并采取措施開展數據分級防護，對重要數據進行重點保護，對核心數據在重要數據保護基礎上實施更嚴格的管理和保護。不同級別數據同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護。

第十二條【重要數據和核心數據備案管理】工業(yè)和信息化部建立工業(yè)和信息化領域重要數據和核心數據備案管理制度，統(tǒng)籌建設備案管理平臺。備案內容包括數據的數量、類別、處理目的和方式、使用范圍、主體責任、安全保護措施等基本情況，數據提供、公開、出境、承接，以及數據安全風險、事件處置等情況。

地方工業(yè)和信息化主管部門、通信管理局應當分別對本地區(qū)工業(yè)、電信行業(yè)重要數據和核心數據備案內容進行審核，對不符合有關備案要求的，應當督促企業(yè)及時完善并重新進行備案。

工業(yè)和電信數據處理者應當按照有關要求進行備案，備案內容發(fā)生變化的，應在三個月內報備變更情況，同時對整體備案情況進行更新。

第三章數據全生命周期安全管理

第十三條【主體責任】工業(yè)和電信數據處理者應當對數據處理活動負安全主體責任，根據數據的類型、數量、安全級別、處理方式以及對國家安全、公共利益或者個人、組織合法權益帶來的影響和安全風險等，采取必要措施確保數據持續(xù)處于有效保護和合法利用的狀態(tài)。

（一）建立數據全生命周期安全管理制度，針對不同級別數據，制定數據收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程；

（二）明確數據安全管理的主要負責人和責任部門，統(tǒng)籌負責數據處理活動的安全監(jiān)督管理；

（三）合理確定數據處理活動的操作權限，嚴格實施人員權限管理；

（四）制定數據安全事件應急預案，并定期進行演練；

（五）定期對從業(yè)人員開展數據安全教育和培訓；

（六）法律、行政法規(guī)規(guī)定的其他措施。

第十四條【工作體系】涉及重要數據和核心數據的，工業(yè)和電信數據處理者應當建立覆蓋本單位相關部門的數據安全工作體系，設置專門的數據安全管理責任部門，本單位黨委（黨組）或領導班子對數據安全負主體責任，主要負責人是數據安全第一責任人，分管數據安全的負責人是直接責任人，明確各部門數據安全職責及人員，建立常態(tài)化溝通與協(xié)作機制。

第十五條【關鍵崗位管理】工業(yè)和電信數據處理者應當確認數據處理關鍵崗位及人員，簽署數據安全責任書，記錄數據處理活動。

第十六條【安全同步】工業(yè)和電信數據處理者應當確保數據安全管理和技術保護手段與生產運營、業(yè)務發(fā)展同步規(guī)劃、同步建設、同步運行。

第十七條【數據收集】工業(yè)和電信數據處理者收集數據應當遵循合法、正當、必要的原則，不得竊取或者以其他非法方式收集數據。

數據收集過程中，應當采取配備技術手段、簽署安全協(xié)議等措施加強對數據收集人員、設備的管理，并對數據收集的時間、類型、數量、頻度、流向等進行記錄。

通過間接途徑獲取數據的，應當要求數據提供方做出數據源合法性的書面承諾，并承擔相應的法律責任。

第十八條【數據存儲】工業(yè)和電信數據處理者應當依據法律規(guī)定或者與用戶約定的方式和期限存儲數據。存儲重要數據的，還應當采用校驗技術、密碼技術等措施進行安全存儲，不得直接提供存儲系統(tǒng)的公共信息網絡訪問，并實施數據容災備份和存儲介質安全管理。存儲核心數據的，還應當實施異地容災備份。

第十九條【數據使用加工】工業(yè)和電信數據處理者未經個人、單位等同意，不得使用數據挖掘、關聯(lián)分析等技術手段針對特定主體進行精準畫像、數據復原等加工處理活動。利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪問控制，建立登記、審批機制并留存記錄。

工業(yè)和電信數據處理者提供數據處理服務，涉及經營電信業(yè)務的，應當按照相關法律、行政法規(guī)規(guī)定取得電信業(yè)務經營許可。

第二十條【數據傳輸】工業(yè)和電信數據處理者應當根據傳輸的數據類型、級別和應用場景，制定安全策略并采取保護措施。傳輸重要數據的，還應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協(xié)議等措施，涉及跨組織機構或者使用公共信息網絡進行數據傳輸的，應當建立登記、審批機制。跨不同數據處理主體傳輸核心數據的，還應當通過國家數據安全工作協(xié)調機制審批。

第二十一條【數據提供】工業(yè)和電信數據處理者應當依據行業(yè)數據分類分級管理要求，明確數據提供的范圍、數量、條件、程序等。提供重要數據的，還應當采取數據脫敏等措施，建立審批機制。提供核心數據的，還應當通過國家數據安全工作協(xié)調機制審批。

工業(yè)和電信數據處理者應當事先對數據接收方的數據安全保護能力進行核實，并與數據接收方簽訂數據安全協(xié)議，明確數據提供的范圍、使用方式、時限、用途以及相應的安全保護措施、違約責任，并督促數據接收方予以落實。

第二十二條【數據公開】工業(yè)和電信數據處理者公開數據應當真實、準確，并在公開前開展安全評估，對涉及個人隱私、個人信息、商業(yè)秘密、保密商務信息以及可能對公共利益及國家安全產生重大影響的，不得公開。

第二十三條【數據銷毀】工業(yè)和電信數據處理者應當建立數據銷毀策略和管理制度，明確銷毀對象、流程和技術等要求，對銷毀活動進行記錄和留存。銷毀重要數據和核心數據的，不得以任何理由、任何方式對銷毀數據進行恢復。

符合以下情況之一的，工業(yè)和電信數據處理者應當銷毀相應數據：

（一）因業(yè)務約定，需要銷毀的；

（二）個人依據其合法權益請求銷毀的；

（三）組織基于保護國家安全、社會公共利益目的，且有第三方機構提供證明，請求銷毀的。

第二十四條【數據出境】工業(yè)和電信數據處理者在中華人民共和國境內收集和產生的重要數據，應當依照法律、行政法規(guī)要求在境內存儲，確需向境外提供的，應當依法依規(guī)進行數據出境安全評估，在確保安全的前提下進行數據出境，并加強對數據出境后的跟蹤掌握。核心數據不得出境。

第二十五條【數據承接】工業(yè)和電信數據處理者因兼并、重組、破產等原因需要轉移數據的，應當明確數據承接方案，并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數據和核心數據的，應當及時向所在地工業(yè)和信息化主管部門或通信管理局備案。

作為數據承接方的工業(yè)和電信數據處理者，應當及時向所在地工業(yè)和信息化主管部門或通信管理局備案，承擔數據安全責任和保護義務，不得違反國家有關規(guī)定及原數據處理者與用戶的約定。

重要數據和核心數據沒有承接方且符合銷毀條件的，工業(yè)和電信數據處理者應當依法進行數據銷毀。重要數據和核心數據沒有數據承接方且不符合銷毀條件的，工業(yè)和電信數據處理者應當及時上報所在地工業(yè)和信息化主管部門或通信管理局，將數據移交至行業(yè)監(jiān)管部門指定的機構進行保存。

第二十六條【委托處理】工業(yè)和電信數據處理者委托他人開展數據處理活動的，應當對被委托方的數據安全保護能力、資質進行核實，確保符合國家、行業(yè)主管部門的相關要求，并通過合同約束、現場核查等方式對被委托方落實數據安全保護措施的情況進行監(jiān)督管理。委托處理重要數據和核心數據的，還應當委托取得相應認證資質的檢測評估機構對被委托方進行安全評估。

除法律、行政法規(guī)另有規(guī)定外，未經委托方同意，被委托方不得將數據提供給第三方。

第二十七條【安全審計】工業(yè)和電信數據處理者應當在數據全生命周期處理過程中，記錄數據處理、權限管理、人員操作等日志。日志留存時間不少于六個月，定期進行安全審計，并形成審計報告，涉及重要數據和核心數據的，應當至少每半年進行一次。

第四章數據安全監(jiān)測預警與應急管理

第二十八條【監(jiān)測預警機制】工業(yè)和信息化部統(tǒng)籌建立工業(yè)和信息化領域數據安全風險監(jiān)測機制，建設數據安全監(jiān)測預警平臺，對數據泄露、違規(guī)傳輸、流量異常等安全風險進行監(jiān)測和預警，及時組織研判重要數據和核心數據安全風險并進行預警。

地方工業(yè)和信息化主管部門、通信管理局建設數據安全監(jiān)測預警平臺，組織開展本地區(qū)工業(yè)、電信行業(yè)數據安全風險監(jiān)測，按照有關規(guī)定及時發(fā)布預警信息，通知本地區(qū)工業(yè)和電信數據處理者及時采取應對措施。

工業(yè)和電信數據處理者應當開展數據安全風險監(jiān)測，及時排查安全隱患，采取必要的措施防范數據安全風險。

第二十九條【信息上報和共享】工業(yè)和信息化部統(tǒng)一匯集、分析、通報工業(yè)和信息化領域數據安全風險信息，鼓勵安全服務機構、行業(yè)組織、科研機構等開展數據安全風險和事件等相關信息上報和共享。

地方工業(yè)和信息化主管部門、通信管理局匯總分析本地區(qū)工業(yè)、電信行業(yè)數據安全風險和事件信息，及時將涉及重要數據和核心數據的安全風險上報工業(yè)和信息化部。

工業(yè)和電信數據處理者應當及時將自身數據安全風險情況向所在地工業(yè)和信息化主管部門或通信管理局報告。

第三十條【應急處置】工業(yè)和信息化部制定工業(yè)和信息化領域數據安全事件應急預案，組織協(xié)調重要數據和核心數據安全事件應急處置工作。

地方工業(yè)和信息化主管部門、通信管理局組織開展本地區(qū)工業(yè)、電信行業(yè)數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即上報工業(yè)和信息化部，并及時報告事件發(fā)展和處置情況。

工業(yè)和電信數據處理者在數據安全事件發(fā)生后，應當按照應急預案，及時開展應急處置，涉及重要數據和核心數據的安全事件，應當第一時間向所在地工業(yè)和信息化主管部門或通信管理局報告。事件處置完成后應當在規(guī)定期限內形成總結報告，每年向所在地工業(yè)和信息化主管部門或通信管理局報告數據安全事件處置情況。

工業(yè)和電信數據處理者對可能損害用戶合法權益的數據安全事件，應當及時告知用戶，并提供減輕危害措施。

第三十一條【舉報投訴處理】工業(yè)和信息化部委托相關行業(yè)組織建立工業(yè)和信息化領域數據安全違法行為投訴舉報渠道，及時向地方工業(yè)和信息化主管部門、通信管理局、工業(yè)和電信數據處理者下發(fā)相關投訴舉報信息。地方工業(yè)和信息化主管部門、通信管理局組織工業(yè)和電信數據處理者對舉報信息進行核實和依法處理，對涉及重要數據和核心數據安全問題的，開展執(zhí)法調查。

工業(yè)和電信數據處理者應當建立用戶投訴處理機制，公布電子郵件、電話、傳真、在線客服等便捷有效的聯(lián)系方式，配備受理用戶投訴的人員接收數據安全相關投訴，并自接到投訴之日起 15 個工作日內答復投訴人。

第五章數據安全檢測、評估與認證管理

第三十二條【安全能力認證】工業(yè)和信息化部建立數據安全檢測、評估與認證機構管理制度，制定機構認定標準，開展機構選拔認定、資質授權、日常管理和推薦目錄發(fā)布等工作。地方工業(yè)和信息化主管部門、通信管理局依據管理制度和認定標準，開展本地區(qū)工業(yè)、電信行業(yè)數據安全檢測、評估與認證機構選拔認定、資質授權和管理等工作。

第三十三條【安全評估】工業(yè)和信息化部制定工業(yè)和信息化領域數據安全評估規(guī)范，指導檢測評估機構開展數據安全風險評估、合規(guī)評估等工作。地方工業(yè)和信息化主管部門、通信管理局負責組織開展本地區(qū)工業(yè)、電信行業(yè)數據安全評估。

工業(yè)和電信數據處理者應當依據數據安全評估規(guī)范，開展數據安全評估及整改。

（一）對于一般數據，鼓勵開展數據安全自評估，對發(fā)現的數據安全風險問題進行及時整改；

（二）對于重要數據和核心數據，應當至少每年自行或者委托推薦目錄中的檢測評估機構開展一次安全評估，并向所在地工業(yè)和信息化主管部門或通信管理局報告。

第六章監(jiān)督檢查

第三十四條【監(jiān)督檢查和協(xié)助義務】工業(yè)和信息化部組織制定數據安全監(jiān)測接口標準。行業(yè)監(jiān)管部門對工業(yè)和電信數據處理者落實本規(guī)定要求的情況進行監(jiān)督檢查。工業(yè)和電信數據處理者應當配合行業(yè)監(jiān)管部門依法開展監(jiān)督檢查，并預留檢查接口。

第三十五條【數據安全審查】工業(yè)和信息化部在國家數據安全工作協(xié)調機制指導下，對影響或可能影響國家安全的工業(yè)和電信數據處理活動開展數據安全審查。

第三十六條【保密要求】行業(yè)監(jiān)管部門及其委托的數據安全檢測評估機構工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等，應當嚴格保密，不得泄露、出售或者非法向他人提供。

第三十七條【約談整改】行業(yè)監(jiān)管部門在履行數據安全監(jiān)督管理職責中，對未按要求進行重要數據和核心數據備案，或者發(fā)現數據處理活動存在重大安全風險或發(fā)生安全事件的，可以按照規(guī)定權限和程序對工業(yè)和電信數據處理者的法定代表人或者主要負責人進行約談，并要求采取措施進行整改，消除隱患。

第七章法律責任

第三十八條【信用機制】行業(yè)監(jiān)管部門應當將工業(yè)和電信數據處理者落實數據安全管理責任情況納入信用管理。對存在數據安全違法違規(guī)行為受到行政處罰的數據處理者，按照有關規(guī)定將其列入業(yè)務經營不良名單或失信名單。

第三十九條【法律責任】對于違反本辦法的，由行業(yè)監(jiān)管部門依照《數據安全法》《網絡安全法》等法律和相關行政法規(guī)，根據情節(jié)嚴重程度給予公開曝光、沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、關閉網站、吊銷業(yè)務許可證或吊銷營業(yè)執(zhí)照等行政處罰；構成犯罪的，依法追究刑事責任。

第八章附則

第四十條【涉密排除】涉及國家秘密信息、密碼使用等數據處理活動，按照國家有關規(guī)定執(zhí)行。

第四十一條【軍事數據排除】涉及軍事的數據處理活動，按照國家有關規(guī)定執(zhí)行。

第四十二條【政務數據排除】工業(yè)和信息化領域政務數據處理活動的具體辦法，由工業(yè)和信息化部另行規(guī)定。

第四十三條【國防科工、煙草領域】國防科技工業(yè)、煙草領域數據安全管理由國防科工局、國家煙草專賣局負責，具體制度參照本辦法另行制定。

第四十四條【施行日期】本規(guī)定自年月日起施行。

標簽：海西貴港無錫重慶錫林郭勒盟太原海口齊齊哈爾

巨人網絡通訊聲明：本文標題《工信部擬規(guī)定：核心數據不得出境，向境外提供的數據應安全評估》，本文關鍵詞工信部,擬,規(guī)定,核心,數據,；如發(fā)現本文內容存在版權問題，煩請?zhí)峁┫嚓P信息告之我們，我們將及時溝通與處理。本站內容系統(tǒng)采集于網絡，涉及言論、版權與本站無關。