山东出台全国首个省级工信领域数据安全管理实施细则
- 来源:山东通信管理局
- 2023/8/4 8:43:3437835
【智慧城市网 政策法规】为规范全省工业和信息化领域数据处理活动,维护国家安全和发展利益,根据《中华人民共和国数据安全法》及《工业和信息化领域数据安全管理办法(试行)》等要求,7月20日,山东管局联合省工信厅出台《山东省工业和信息化领域数据安全管理实施细则(试行)》,这是全国首个省级针对工信领域数据安全管理的实施细则。
《实施细则》共九章41条,围绕指导督促全省工信领域数据处理者落实数据安全主体责任,健全数据安全管理工作机制,建立数据分类分级及全生命周期安全管理制度,开展省市企三级网络数据监测预警和应急处置,完善重要数据和核心数据备案工作机制并推动数据安全产业高质量发展等方面作出具体规范。此外,《实施细则》还规定了行业监管部门监督检查等工作要求,明确了相关违法违规行为的法律责任和惩罚措施。
工业和信息化领域是山东数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。《实施细则》的出台,将加快推动全省工信领域数据安全管理工作的制度化、规范化进程,为提升工业和通信业数据安全防护保障能力、有效防范数据安全风险提供重要保障,为山东数字经济高质量发展提供坚实支撑。
山东省工业和信息化领域数据安全管理
实施细则
第一章 总则
第一条 为了规范本省工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国国家安全法》等法律法规和 《工业和信息化领域数据安全管理办法(试行)》,结合本省实际,制定本实施细则。
第二条 在本省行政区域内开展的工业和信息化领域数据处理活动及其安全监管,应当遵守相关法律、行政法规和本实施细则的要求。
第三条 工业和信息化领域数据包括工业数据、 电信数据和无线电数据等。
工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、 台(站)使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数 据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。
第四条 在省数据安全工作协调机制统筹与工业和信息化部指导下,省工业和信息化厅、省通信管理局(以下统称省级行业监管部门)负责督促指导各市工业和信息化主管部门和通信管理主管部门(以下统称市级行业监管部门)开展数据安全监管。
省、市工业和信息化主管部门负责对本地区工业数据、无线电数据处理者的数据处理活动和安全保护进行监督管理,省、市通信管理主管部门负责对本地区电信数据处理者的数据处理活动和安全保护进行监督管理。
省、市级行业监管部门按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。
第五条省、市级行业监管部门的党委(党组)对本地区本部门数据安全工作负主体责任,领导班子主要负责人是第一责任人,主管数据安全的领导班子成员是直接责任人。
省、市级行业监管部门建立工业和信息化领域数据安全工作机制,指导本地区工业和信息化领域数据处理者落实数据安全主体责任,完善数据安全防护体系,提升数据安全管理能力。
工业和信息化领域数据处理者实行企业 “一把手”负责制, 落实数据安全主体责任,明确数据安全分管领导和责任部门,健全数据安全规章制度,提高数据安全防护能力,构建数据安全治理体系。
第二章 数据分类分级管理
第六条省级行业监管部门按照工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定省级重要数据和核心数据具体目录并实施动态管理。
市级行业监管部门组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定市级重要数据和核心数据具体目录并上报省级行业监管部门,目录发生变化的,应当及时上报更新。
工业和信息化领域数据处理者应当每年梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。
第七条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
工业和信息化领域数据处理者可在此基础上,结合实际细分数据的类别和级别。
第八条危害程度符合下列条件之一的数据为一般数据:
( 一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
( 二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
(三)其他未纳入重要数据、核心数据目录的数据。
第九条危害程度符合下列条件之一的数据为重要数据:
( 一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
( 二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)经工业和信息化部评估确定的其他重要数据。
第十条危害程度符合下列条件之一的数据为核心数据:
( 一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
( 二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;
(三)对工业生产运营、电信网络和互联网运行服务、无线 电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
第十一条工业和信息化领域数据处理者应于每年五月底前将本单位重要数据和核心数据目录报送至市级行业监管部门,市级行业监管部门审核汇总后于每年六月底前向省级行业监管部门备案。
备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
市级行业监管部门应当在工业和信息化领域数据处理者提交备案申请的五个工作日内完成初审工作并提报省级行业监管部门,省级行业监管部门应在十五个工作内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况上报工业和信息化部;不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。
备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。
第三章 数据全生命周期安全管理
第十二条 工业和信息化领域数据处理者应当对数据处理活动承担安全主体责任,对各类数据实行分级防护。不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
( 一)建立数据全生命周期安全管理制度,针对不同级别的数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
( 二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助省、市级行业监管部门开展工作;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规等规定的其他措施。
工业和信息化领域数据处理者需处理重要数据和核心数据的,还应当:
( 一)建立覆盖本单位相关部门的数据安全工作体系,明确本单位法定代表人或者主要负责人是数据安全第一责任人,明确领导团队中分管数据安全的成员是直接责任人,明确数据安全负责人和管理机构,建立常态化沟通与协作机制;
( 二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
第十三条工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强对重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十四条工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数 据和核心数据的,应当采用校验技术、密码技术等措施进行安全 存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
第十五条工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。
工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
第十六条工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十七条工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。
第十八条工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。
第十九条工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。
工业和信息化领域数据处理者销毁重要数据和核心数据后, 不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。
第二十条工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部是工业和信息化领域数据出境有关工作的行业主管部门,非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
第二十一条 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电 话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。
第二十二条 工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。
除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。
第二十三条 跨主体提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区市级行业监管部门初审后报省级行业监管部门,省级行业监管部门审查后报工业和信息化部最终审查确定。
第二十四条 工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,日志留存时间不少于六个月。
第四章 数据安全监测预警与应急管理
第二十五条 省、市级行业监管部门建立本地区数据安全风 险监测机制,按照数据安全风险监测接口和标准等规范,搭建本领域工业和信息化领域数据安全监管平台,充分依托工业和信息化部、第三方平台等监测技术手段,形成“省—市—企业”多方 联动工作机制,构建监测预警、处置溯源、信息通报等能力。按照有关规定及时发布预警信息,通知本地区工业和信息化领域数据处理者及时采取应对措施,与相关部门加强信息共享。
工业和信息化领域数据处理者应当采用数据安全监测技术开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十六条省、市级行业监管部门建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,及时将可能造成重大及以上安全事件的风险由市级行业监管部门经省级行业监管部门上报至工业和信息化部,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。
工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向市级行业监管部门报告。
第二十七条 省级行业监管部门负责制定本省工业和信息化 领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
市级行业监管部门负责组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即经由省级行业监管部门报工业和信息化部,并及时报告事件发展和处置情况。
工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间经市级行业监管部门报告至省级行业监管部门,事件处置完成后在三个月内形成总结报告,每年将数据安全事件处置情况经市级行业监管部门报告至省级行业监管部门。
工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第二十八条 省级行业监管部门委托相关行业组织建立本省工业和信息化领域数据安全违法行为投诉举报渠道,市级行业监管部门建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。
第五章 数据安全检测、认证、评估管理
第二十九条省级行业监管部门鼓励、引导具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。
第三十条 省级行业监管部门督促评估机构在工业和信息化部的管理下,依据行业数据安全评估规范,开展数据安全风险评估、出境安全评估等工作。
工业和信息化领域重要数据和核心数据处理者应在每年六月底前完成自评估或委托第三方评估,及时整改风险问题,并将评估报告报送市级行业监管部门,市级行业监管部门汇总后,形成本地区数据安全总体报告一并报至省级行业监管部门。
省、市级行业监管部门应在每年七月至十月针对工业和信息化领域重要数据和核心数据处理者评估情况开展督导检查。
第六章 数据安全产业发展
第三十一条 省、市级行业监管部门鼓励数据开发利用和数据安全技术研究,支持数据安全成果转化、推广数据安全产品和服务,加快数据分类分级、敏感数据挖掘、轻量级加密、数据动态脱敏等数据安全技术和产品攻关,增强产学研用深度合作力度。工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。
第三十二条 省、市级行业监管部门鼓励建立工业和信息化领域数据安全产业园,整合相关行业资源,支持专业机构、高校、 企业等联合建设数据安全创新平台,培育或引进一批核心技术突出、市场竞争能力强的数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。
第三十三条 省、市级行业监管部门组建数据安全支撑队伍, 开展政策研究、态势研判、安全检查、应急处置等工作,协助企业建立应急管理机制,提升企业安全保障能力。
深入推进产教融合、校企合作,建立数据安全人才联合培养机制,每年开展数据安全宣传教育、安全演练和安全竞赛等,培养复合型、创新型高技能人才,选拔优秀团队纳入山东省工业和信息化领域数据安全支撑队伍,提升省内数据安全人员支撑能力。
第三十四条 省、市级行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用工作。
遴选数据安全优秀产品、服务和应用解决方案,打造一批标杆示范企业,并在省内重点行业进行推广应用。
第七章 监督检查
第三十五条 省、市级行业监管部门对本地区工业和信息化领域数据处理者落实本实施细则要求的情况进行监督检查。工业和信息化领域数据处理者应当对省、市级行业监管部门监督检查予以配合。
第三十六条省级行业监管部门在省数据安全工作协调机制统筹与工业和信息化部指导下,开展工业和信息化领域数据安全审查相关工作。
第三十七条省、市级行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
第八章 法律责任
第三十八条省级行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对本地区工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。
第三十九条有违反本实施细则规定行为的,由省级行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、 罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成*的,依法追究刑事责任。
第九章 附则
第四十条中央驻鲁企业在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,按照本实施细则执行,还应当按照集团总部相关规定执行。
第四十一条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第四十二条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
第四十三条 本实施细则自公布之日起施行。