附件1 工业和信息化领域数据安全管理办法（试行） （征求意见稿） 第一章 总则 第一条【目的依据】为了规范工业和信息化领域数据处 理活动，加强数据安全管理，保障数据安全，促进数据开发 利用，保护个人、组织的合法权益，维护国家安全和发展利 益，根据《中华人民共和国民法典》《中华人民共和国数据 安全法》《中华人民共和国网络安全法》等法律法规，制定 本办法。 第二条【适用范围】在中华人民共和国境内开展的工业 和电信数据处理活动及其安全监管，应当遵守相关法律、行 政法规和本办法的要求。 第三条【数据定义】工业数据是指原材料工业、装备工 业、消费品工业、电子信息制造业、软件和信息技术服务业、 民爆等行业领域，在研发设计、生产制造、经营管理、运维 服务、平台运营、应用服务等过程中收集和产生的数据。 电信数据是指在电信业务经营活动中收集和产生的数 据。 工业和电信数据处理者是指对工业、电信数据进行收 — 1 — 集、存储、使用、加工、传输、提供、公开等数据处理活动 的工业企业、软件和信息技术服务企业和取得电信业务经营 许可证的电信业务经营者等工业和信息化领域各类主体。 第四条【监管机构】工业和信息化部负责对工业和电信 数据处理者的数据处理活动和安全保护进行监督管理。各 省、自治区、直辖市及计划单列市、新疆生产建设兵团工业 和信息化主管部门（以下统称地方工业和信息化主管部门） 负责对本地区工业数据处理者的数据处理活动和安全保护 进行监督管理。各省、自治区、直辖市通信管理局（以下统 称地方通信管理局）负责对本地区电信数据处理者的数据处 理活动和安全保护进行监督管理。 工业和信息化部及地方工业和信息化主管部门、通信管 理局统称为行业监管部门。 第五条【产业发展】行业监管部门鼓励数据开发利用和 数据安全技术研究，支持推广数据安全产品和服务，培育数 据安全企业、研究和服务机构，壮大数据安全产业，提升数 据安全保障能力，促进数据的创新应用。 工业和电信数据处理者研发提供数据开发利用新技术、 新产品、新服务，应当有利于促进经济社会和行业发展，符 合社会公德和伦理。 第六条【标准制定】行业监管部门推进工业和信息化领 域数据开发利用和数据安全标准体系建设，组织开展行业标 — 2 — 准制修订工作。鼓励支持企业、研究机构、高等院校、行业 组织等不同主体，开展国际标准、国家标准、团体标准、企 业标准制定。引导工业和电信数据处理者开展数据管理、数 据安全贯标达标工作。 第二章 数据分类分级管理 第七条【分类分级方法】工业和电信数据处理者应当坚 持先分类后分级，定期梳理，根据行业要求、业务需求、数 据来源和用途等因素对数据进行分类和标识，形成数据分类 清单。数据分类类别包括但不限于研发数据、生产运行数据、 管理数据、运维数据、业务服务数据、个人信息等。 工业和信息化部按照国家有关规定，根据数据遭到篡 改、破坏、泄露或者非法获取、非法利用，对国家安全、公 共利益或者个人、组织合法权益等造成的危害程度，将工业 和电信数据分为一般数据、重要数据和核心数据三级。 第八条【一般数据】危害程度符合下列条件之一的数据 为一般数据： （一）对公共利益或者个人、组织合法权益造成较小影 响，社会负面影响小； （二）受影响的用户和企业数量较少、生产生活区域范 围较小、持续时间较短，对企业经营、行业发展、技术进步 和产业生态等影响较小； （三）恢复数据或消除负面影响所需付出的代价小； — 3 — （四）其他未纳入重要数据、核心数据目录的数据。 第九条【重要数据】危害程度符合下列条件之一的数据 为重要数据： （一）对政治、国土、军事、经济、文化、社会、科技、 网络、生态、资源、核安全等构成威胁，影响海外利益、生 物、太空、极地、深海、人工智能等重点领域国家安全相关 数据的安全； （二）对工业、电信行业发展、生产、运行和经济利益 等造成影响； （三）造成重大数据安全事件或生产安全事故，对公共 利益或者个人、组织合法权益造成严重影响，社会负面影响 大； （四）引发的级联效应明显，影响范围涉及多个行业、 区域或者行业内多个企业，或者影响持续时间长，对行业发 展、技术进步和产业生态等造成严重影响； （五）恢复数据或消除负面影响所需付出的代价大； （六）经行业监管部门评估确定的其他重要数据。 第十条【核心数据】危害程度符合下列条件之一的数据为核 心数据： （一）对政治、国土、军事、经济、文化、社会、科技、 网络、生态、资源、核安全等构成严重威胁，严重影响海外 利益、生物、太空、极地、深海、人工智能等重点领域国家 — 4 — 安全相关数据的安全； （二）对工业、电信行业及其重要骨干企业、关键信息 基础设施、重要资源等造成严重影响； （三）对工业生产运营、电信和互联网运行和服务等造 成重大损害，导致大范围停工停产、大面积网络与服务瘫痪、 大量业务处理能力丧失等； （四）经工业和信息化部评估确定的其他核心数据。 第十一条【分类分级工作要求】工业和信息化部组织制 定工业和信息化领域数据分类分级、重要数据和核心数据识 别认定及数据分级防护等制度规范，形成行业重要数据和核 心数据具体目录并实施动态管理，指导开展数据分类分级防 护工作。 地方工业和信息化主管部门、通信管理局组织开展本地 区工业、电信行业数据分类分级防护及重要数据和核心数据 识别认定工作，形成本地区行业重要数据和核心数据具体目 录并上报工业和信息化部。 工业和电信数据处理者应当建立健全数据分类分级管 理制度，将重要数据和核心数据目录报送地方工业和信息化 主管部门或通信管理局，并采取措施开展数据分级防护，对 重要数据进行重点保护，对核心数据在重要数据保护基础上 实施更严格的管理和保护。不同级别数据同时被处理且难以 分别采取保护措施的，应当按照其中级别最高的要求实施保 — 5 — 护。 第十二条【重要数据和核心数据备案管理】工业和信息 化部建立工业和信息化领域重要数据和核心数据备案管理 制度，统筹建设备案管理平台。备案内容包括数据的数量、 类别、处理目的和方式、使用范围、主体责任、安全保护措 施等基本情况，数据提供、公开、出境、承接，以及数据安 全风险、事件处置等情况。 地方工业和信息化主管部门、通信管理局应当分别对本 地区工业、电信行业重要数据和核心数据备案内容进行审 核，对不符合有关备案要求的，应当督促企业及时完善并重 新进行备案。 工业和电信数据处理者应当按照有关要求进行备案，备 案内容发生变化的，应在三个月内报备变更情况，同时对整 体备案情况进行更新。 第三章 数据全生命周期安全管理 第十三条【主体责任】工业和电信数据处理者应当对数 据处理活动负安全主体责任，根据数据的类型、数量、安全 级别、处理方式以及对国家安全、公共利益或者个人、组织 合法权益带来的影响和安全风险等，采取必要措施确保数据 持续处于有效保护和合法利用的状态。 （一）建立数据全生命周期安全管理制度，针对不同级 别数据，制定数据收集、存储、使用、加工、传输、提供、 — 6 — 公开等环节的具体分级防护要求和操作规程； （二）明确数据安全管理的主要负责人和责任部门，统 筹负责数据处理活动的安全监督管理； （三）合理确定数据处理活动的操作权限，严格实施人 员权限管理； （四）制定数据安全事件应急预案，并定期进行演练； （五）定期对从业人员开展数据安全教育和培训； （六）法律、行政法规规定的其他措施。 第十四条【工作体系】涉及重要数据和核心数据的，工 业和电信数据处理者应当建立覆盖本单位相关部门的数据 安全工作体系，设置专门的数据安全管理责任部门，本单位 党委（党组）或领导班子对数据安全负主体责任，主要负责 人是数据安全第一责任人，分管数据安全的负责人是直接责 任人，明确各部门数据安全职责及人员，建立常态化沟通与 协作机制。 第十五条【关键岗位管理】工业和电信数据处理者应当 确认数据处理关键岗位及人员，签署数据安全责任书，记录 数据处理活动。 第十六条【安全同步】工业和电信数据处理者应当确保 数据安全管理和技术保护手段与生产运营、业务发展同步规 划、同步建设、同步运行。 第十七条【数据收集】工业和电信数据处理者收集数据 — 7 — 应当遵循合法、正当、必要的原则，不得窃取或者以其他非 法方式收集数据。 数据收集过程中，应当采取配备技术手段、签署安全协 议等措施加强对数据收集人员、设备的管理，并对数据收集 的时间、类型、数量、频度、流向等进行记录。 通过间接途径获取数据的，应当要求数据提供方做出数 据源合法性的书面承诺，并承担相应的法律责任。 第十八条【数据存储】工业和电信数据处理者应当依据 法律规定或者与用户约定的方式和期限存储数据。存储重要 数据的，还应当采用校验技术、密码技术等措施进行安全存 储，不得直接提供存储系统的公共信息网络访问，并实施数 据容灾备份和存储介质安全管理。存储核心数据的，还应当 实施异地容灾备份。 第十九条【数据使用加工】工业和电信数据处理者未经 个人、单位等同意，不得使用数据挖掘、关联分析等技术手 段针对特定主体进行精准画像、数据复原等加工处理活动。 利用数据进行自动化决策的，应当保证决策的透明度和结果 公平合理。使用、加工重要数据和核心数据的，还应当加强 访问控制，建立登记、审批机制并留存记录。 工业和电信数据处理者提供数据处理服务，涉及经营电 信业务的，应当按照相关法律、行政法规规定取得电信业务 经营许可。 — 8 — 第二十条【数据传输】工业和电信数据处理者应当根据 传输的数据类型、级别和应用场景，制定安全策略并采取保 护措施。传输重要数据的，还应当采取校验技术、密码技术、 安全传输通道或者安全传输协议等措施，涉及跨组织机构或 者使用公共信息网络进行数据传输的，应当建立登记、审批 机制。跨不同数据处理主体传输核心数据的，还应当通过国 家数据安全工作协调机制审批。 第二十一条【数据提供】工业和电信数据处理者应当依 据行业数据分类分级管理要求，明确数据提供的范围、数量、 条件、程序等。提供重要数据的，还应当采取数据脱敏等措 施，建立审批机制。提供核心数据的，还应当通过国家数据 安全工作协调机制审批。 工业和电信数据处理者应当事先对数据接收方的数据 安全保护能力进行核实，并与数据接收方签订数据安全协 议，明确数据提供的范围、使用方式、时限、用途以及相应 的安全保护措施、违约责任，并督促数据接收方予以落实。 第二十二条【数据公开】工业和电信数据处理者公开数 据应当真实、准确，并在公开前开展安全评估，对涉及个人 隐私、个人信息、商业秘密、保密商务信息以及可能对公共 利益及国家安全产生重大影响的，不得公开。 第二十三条【数据销毁】工业和电信数据处理者应当建 立数据销毁策略和管理制度，明确销毁对象、流程和技术等 — 9 — 要求，