附件 1 工业和信息化领域数据安全管理办法（试行） （公开征求意见稿） 第一章 总则 第一条【目的依据】为规范工业和信息化领域数据处理 活动，加强数据安全管理，保障数据安全，促进数据开发利 用，保护个人、组织的合法权益，维护国家安全和发展利益， 根据《中华人民共和国数据安全法》《中华人民共和国网络 安全法》《中华人民共和国个人信息保护法》《中华人民共 和国国家安全法》《中华人民共和国民法典》等法律法规， 制定本办法。 第二条【适用范围】在中华人民共和国境内开展的工业 和信息化领域数据处理活动及其安全监管，应当遵守相关法 律、行政法规和本办法的要求。 第三条【数据定义】工业和信息化领域数据包括工业数 据、电信数据和无线电数据。工业数据是指工业各行业各领 域在研发设计、生产制造、经营管理、运行维护、平台运营 等过程中产生和收集的数据。 电信数据是指在电信业务经营活动中产生和收集的数 据。 1 无线电数据是指在开展无线电业务活动中产生和收集 的无线电频率、台（站）等电波参数数据。 工业和信息化领域数据处理者是指对工业和信息化领 域数据进行收集、存储、使用、加工、传输、提供、公开等 数据处理活动的工业企业、软件和信息技术服务企业、取得 电信业务经营许可证的电信业务经营者和无线电频率、台 （站）使用单位等工业和信息化领域各类主体。 第四条【监管机构】在国家数据安全工作协调机制统筹 协调下，工业和信息化部负责督促指导各省、自治区、直辖 市及计划单列市、新疆生产建设兵团工业和信息化主管部门 （以下统称地方工业和信息化主管部门），各省、自治区、 直辖市通信管理局（以下统称地方通信管理局）和各省、自 治区、直辖市无线电管理机构（以下统称地方无线电管理机 构）开展数据安全监管，对工业和信息化领域数据处理者的 数据处理活动和安全保护进行监督管理。 地方工业和信息化主管部门负责对本地区工业数据处 理者的数据处理活动和安全保护进行监督管理。地方通信管 理局负责对本地区电信数据处理者的数据处理活动和安全 保护进行监督管理。地方无线电管理机构负责对本地区无线 电数据处理者的数据处理活动和安全保护进行监督管理。 工业和信息化部及地方工业和信息化主管部门、通信管 理局、无线电管理机构统称为行业（领域）监管部门。 2 行业（领域）监管部门依照有关法律、行政法规的规定， 依法配合有关部门开展的数据安全监管相关工作。 第五条【产业发展】行业（领域）监管部门鼓励数据开 发利用和数据安全技术研究，支持推广数据安全产品和服 务，培育数据安全企业、研究和服务机构，发展数据安全产 业，提升数据安全保障能力，促进数据的创新应用。 工业和信息化领域数据处理者研究、开发、使用数据新 技术、新产品、新服务，应当有利于促进经济社会和行业发 展，符合社会公德和伦理。 第六条【标准制定】行业（领域）监管部门推进工业和 信息化领域数据开发利用和数据安全标准体系建设，组织开 展行业相关标准制修订工作。鼓励支持企业、研究机构、高 等院校、行业组织等不同主体，合作开展国际标准、国家标 准、行业标准、团体标准、企业标准制定。引导工业和信息 化领域数据处理者开展数据管理、数据安全贯标达标工作。 第二章 数据分类分级管理 第七条【分类分级工作要求】工业和信息化部组织制定 工业和信息化领域数据分类分级、重要数据和核心数据识别 认定、数据分级防护等标准规范，指导开展数据分类分级管 理工作，制定行业重要数据和核心数据具体目录并实施动态 管理。 地方工业和信息化主管部门、通信管理局、无线电管理 3 机构组织开展本地区工业和信息化领域数据分类分级管理 及重要数据和核心数据识别工作，确定本地区行业（领域） 重要数据和核心数据具体目录并上报工业和信息化部，目录 发生变化的，应当及时上报更新。 工业和信息化领域数据处理者应当定期梳理数据，按照 相关标准规范识别重要数据和核心数据并形成目录。 第八条【分类分级方法】根据行业要求、特点、业务需 求、数据来源和用途等因素，工业和信息化领域数据分类类 别包括但不限于研发数据、生产运行数据、管理数据、运维 数据、业务服务数据等。 根据数据遭到篡改、破坏、泄露或者非法获取、非法利 用，对国家安全、公共利益或者个人、组织合法权益等造成 的危害程度，工业和信息化领域数据分为一般数据、重要数 据和核心数据三级。 工业和信息化领域数据处理者可在此基础上细分数据 的类别和级别。 第九条【一般数据】危害程度符合下列条件之一的数据 为一般数据： （一）对公共利益或者个人、组织合法权益造成较小影 响，社会负面影响小； （二）受影响的用户和企业数量较少、生产生活区域范 围较小、持续时间较短，对企业经营、行业发展、技术进步 4 和产业生态等影响较小； （三）其他未纳入重要数据、核心数据目录的数据。 第十条【重要数据】危害程度符合下列条件之一的数据 为重要数据： （一）对政治、国土、军事、经济、文化、社会、科技、 电磁、网络、生态、资源、核安全等构成威胁，影响海外利 益、生物、太空、极地、深海、人工智能等与国家安全相关 的重点领域； （二）对工业和信息化领域发展、生产、运行和经济利 益等造成严重影响； （三）造成重大数据安全事件或生产安全事故，对公共 利益或者个人、组织合法权益造成严重影响，社会负面影响 大； （四）引发的级联效应明显，影响范围涉及多个行业、 区域或者行业内多个企业，或者影响持续时间长，对行业发 展、技术进步和产业生态等造成严重影响； （五）经工业和信息化部评估确定的其他重要数据。 第十一条【核心数据】危害程度符合下列条件之一的数据为 核心数据： （一）对政治、国土、军事、经济、文化、社会、科技、 电磁、网络、生态、资源、核安全等构成严重威胁，严重影 响海外利益、生物、太空、极地、深海、人工智能等与国家 5 安全相关的重点领域； （二）对工业和信息化领域及其重要骨干企业、关键信 息基础设施、重要资源等造成重大影响； （三）对工业生产运营、电信网络（含互联网）运行和 服务、无线电业务开展等造成重大损害，导致大范围停工停 产、大面积无线电业务中断、大规模网络与服务瘫痪、大量 业务处理能力丧失等； （四）经工业和信息化部评估确定的其他核心数据。 第十二条【重要数据和核心数据目录备案】工业和信息 化领域数据处理者应当将本单位重要数据和核心数据目录 向地方工业和信息化主管部门（工业领域）或通信管理局（电 信领域）或无线电管理机构（无线电领域）备案。备案内容 包括但不限于数据类别、级别、规模、处理目的和方式、使 用范围、责任主体、对外共享、跨境传输、安全保护措施等 基本情况，不包括数据内容本身。 地方工业和信息化主管部门（工业领域）或通信管理局 （电信领域）或无线电管理机构（无线电领域）应当在工业 和信息化领域数据处理者提交备案申请的二十个工作日内 完成审核工作，备案内容符合要求的，予以备案并发放备案 凭证，同时将备案情况报工业和信息化部；不予备案的应当 及时反馈备案申请人并说明理由。 重要数据和核心数据的类别或规模变化 30％以上的，或 6 者其它备案内容发生重大变化的，工业和信息化领域数据处 理者应当在发生变化的三个月内履行备案变更手续。 第三章 数据全生命周期安全管理 第十三条【主体责任】工业和信息化领域数据处理者应 当对数据处理活动负安全主体责任，对各类数据实行分级防 护，不同级别数据同时被处理且难以分别采取保护措施的， 应当按照其中级别最高的要求实施保护，确保数据持续处于 有效保护和合法利用的状态。 （一）建立数据全生命周期安全管理制度，针对不同级 别数据，制定数据收集、存储、使用、加工、传输、提供、 公开等环节的具体分级防护要求和操作规程； （二）根据需要配备数据安全管理人员，统筹负责数据 处理活动的安全监督管理，协助行业（领域）监管部门开展 工作； （三）合理确定数据处理活动的操作权限，严格实施人 员权限管理； （四）根据应对数据安全事件的需要，制定应急预案， 并定期进行演练； （五）定期对从业人员开展数据安全教育和培训； （六）法律、行政法规等规定的其他措施。 工业和信息化领域重要数据和核心数据处理者，还应 当： 7 （一）建立覆盖本单位相关部门的数据安全工作体系， 明确数据安全负责人和管理机构，建立常态化沟通与协作机 制。本单位法定代表人或者主要负责人是数据安全第一责任 人，领导团队中分管数据安全的成员是直接责任人； （二）明确数据处理关键岗位和岗位职责，并要求关键 岗位人员签署数据安全责任书； （三）建立内部登记、审批机制，对重要数据和核心数 据的处理活动进行严格管理并留存记录。 第十四条【数据收集】工业和信息化领域数据处理者收 集数据应当遵循合法、正当的原则，不得窃取或者以其他非 法方式收集数据。 数据收集过程中，应当根据数据安全级别采取相应的安 全措施，加强重要数据和核心数据收集人员、设备的管理， 并对收集时间、类型、数量、频度、流向等进行记录。 通过间接途径获取重要数据和核心数据的，工业和信息 化领域数据处理者应当与数据提供方通过签署相关协议、承 诺书等方式，明确双方法律责任。 第十五条【数据存储】工业和信息化领域数据处理者应 当依据法律规定或者与用户约定的方式和期限存储数据。存 储重要数据和核心数据的，应当采用校验技术、密码技术等 措施进行安全存储，不得直接提供存储系统的公共信息网络 访问，并实施数据容灾备份和存储介质安全管理，定期开展 8 数据恢复测试。存储核心数据的，还应当实施异地容灾备份。 第十六条【数据使用加工】工业和信息化领域数据处理 者利用数据进行自动化决策分析的，应当保证决策分析的透 明度和结果公平合理。使用、加工重要数据和核心数据的， 还应当加强访问控制。 工业和信息化领域数据处理者提供数据处理服务，涉及 经营电信业务的，应当按照相关法律、行政法规规定取得电 信业务经营许可。 第十七条【数据传输】工业和信息化领域数据处理者应 当根据传输的数据类型、级别和应用场景，制定安全策略并 采取保护措施。传输重要数据和核心数据的，应当采取校验 技术、密码技术、安全传输通道或者安全传输协议等措施。 第十八条【数据提供】工业和信息化领域数据处理者提 供数据，应当明确提供的范围、类别、条件、程序等，并与 数据获取方签订数据安全协议。提供重要数据和核心数据 的，应当对数据获取方数据安全保护能力进行评估或核实， 采取必要的安全保护措施。 第十九条【数据公开】工业和信息化领域数据处理者应 当在数据公开前分析研判可能对公共利益、国家安全产生的 影响，存在重大影响的不得公开。 第二十条【数据销毁】工业和信息化领域数据处理者应 当建立数据销毁制度，明确销毁对象、规则、流程和技术等 9 要求，对销毁活动进行记录和留存。个人、组织依据法律规 定、合同