附件 1 工业和信息化领域数据安全行政处罚裁量指引（试行） （征求意见稿） 第一章 总 则 第一条 为规范工业和信息化领域数据安全监督管理部 门合法、适当地行使行政处罚自由裁量权，细化行政处罚裁 量基准，统一裁量尺度，根据《中华人民共和国行政处罚法》 《中华人民共和国数据安全法》《中华人民共和国网络安全 法》 《工业和信息化行政处罚程序规定》等法律、行政法规、 部门规章等有关规定，制定本指引。 第二条 在中华人民共和国境内开展的工业和信息化领 域数据安全违法行为行政处罚裁量工作，适用本指引。 本指引所称的行政处罚裁量权，是指工业、电信、无线 电行业监管部门在职责范围内对数据处理活动进行监管处 罚时，根据行政处罚原则，在法律、行政法规等规定的行政 处罚种类和幅度内，综合考量违法的事实、性质、手段、后 果、情节和合规措施等因素，正确、适当地确定行政处罚的 种类、幅度或者作出不予行政处罚决定的选择适用权限。 第三条 工业和信息化部负责组织制定修订工业和信息 化领域数据安全行政处罚裁量制度规范，指导、监督行业数 据安全行政处罚工作。 — 1 — 各省（自治区、直辖市）、市（自治州、地区）及计划 单列市、新疆生产建设兵团工业和信息化主管部门，各省（自 治区、直辖市）、市（自治州、地区）通信管理局和无线电 管理机构（以下统称地方行政处罚机关）按职责分工分别负 责本行政区域内工业、电信、无线电领域数据安全行政处罚 工作。 工业和信息化部及地方行政处罚机关统称为行政处罚 机关。 第四条 工业和信息化领域数据安全行政处罚裁量工作 应当遵循以下原则： （一）依法行政原则。依据法定权限，符合法律、行政 法规等规定的裁量条件、处罚种类和幅度，遵守法定程序。 （二）责罚相当原则。以事实为依据，处罚的种类和幅 度与违法行为的事实、性质、情节、社会危害程度等相当。 （三）处罚与教育相结合原则。兼顾纠正违法行为和教 育当事人，引导当事人自觉守法。 第二章 管 辖 第五条 工业和信息化领域数据安全行政处罚由违法行 为发生地的行政处罚机关管辖。 数据安全违法行为发生地包括实施违法行为的住所地、 实际经营地、工商注册地（工商注册地与实际经营地不一致 的，应按实际经营地），网络接入地，取得电信和互联网信 — 2 — 息服务相关许可（备案）所在地，网站建立者、管理者、使 用者所在地，计算机等终端设备所在地，数据集中存储地、 交易地、出境活动所在地等。 第六条 两个及以上行政处罚机关对同一违法行为均有 管辖权的，应当由最先立案的行政处罚机关管辖。 两个及以上的行政处罚机关对管辖权有争议的，应当在 发生争议之日起 7 日内协商解决，协商不成的，应当在 7 日 内报请共同的上一级行政处罚机关指定管辖；也可以直接由 共同的上一级行政处罚机关指定管辖。 第七条 工业和信息化部依职权指导监督工业和信息化 领域数据安全违法行为管辖工作。 存在下列情况之一的，可以由工业和信息化部指定管 辖： （一）数据安全违法行为情节严重的； （二）省级地方行政处罚机关对管辖发生争议，协商不 成的； （三）数据安全违法行为或主体涉及不同省级地区、不 同行业主管部门的； （四）法律、行政法规、部门规章等规定应当由工业和 信息化部指定管辖的其他情形。 第八条 行政处罚机关发现案件不属于其管辖的，应当 依法依规及时向有管辖权的行政处罚机关移送。 — 3 — 行政处罚机关发现违法行为涉嫌犯罪的，应当依法及时 将案件移送司法机关，不得以行政处罚代替刑事处罚。 第九条 对工业和信息化领域数据处理者的同一个数据 安全违法行为，不得给予两次以上罚款的行政处罚。 第三章 数据安全行政处罚情形 第十条 有以下情形之一的，属于不履行数据安全保护 义务： （一） 未定期梳理数据，按照相关标准规范识别重要数 据和核心数据并形成本单位具体目录； （二） 未建立数据全生命周期安全管理制度，未针对不 同级别数据明确数据收集、存储、使用、加工、传输、提供、 公开、销毁、转移、委托处理等环节的具体分级防护要求和 操作规程； （三） 未根据需要配备数据安全管理人员，统筹负责数 据处理活动的安全监督管理，协助行业（领域）监管部门开 展工作； （四） 未合理确定数据处理活动的操作权限，严格实施 人员权限管理； （五） 未根据应对数据安全事件的需要，制定应急预 案，并开展应急演练； （六） 未定期对从业人员开展数据安全教育和培训； （七） 未开展数据安全风险监测，及时排查安全隐患， — 4 — 采取必要的措施防范数据安全风险； （八） 发现可能造成较大及以上数据安全事件的风险 后，未按照风险信息报送与共享工作机制向所在地行业监管 部门报告并及时处置； （九） 数据安全事件发生后，未按照应急预案开展应急 处置； （十） 数据安全事件发生后，未按照规定向所在地行业 监管部门报告； （十一） 数据安全事件发生后，未按照规定及时告知 用户，并提供减轻危害措施； （十二） 未在数据全生命周期处理过程中，记录数据 处理、权限管理、人员操作等日志。日志留存时间少于六个 月； （十三） 工业和信息化领域重要数据和核心数据处理 者未建立覆盖本单位相关部门的数据安全工作体系，未明确 数据安全负责人和管理机构，未建立常态化沟通与协作机 制； （十四） 工业和信息化领域重要数据和核心数据处理 者未明确数据处理关键岗位和岗位职责，未要求关键岗位人 员签署数据安全责任书； （十五） 工业和信息化领域重要数据和核心数据处理 者未建立数据内部登记、审批等工作机制，未对重要数据和 — 5 — 核心数据的处理活动进行严格管理并留存记录； （十六） 工业和信息化领域重要数据和核心数据处理 者未按照有关规定做好重要数据和核心数据目录备案管理； （十七） 涉及重要数据和核心数据的安全事件，未第 一时间向所在地行业监管部门报告，事件处置完成后未在规 定期限内形成总结报告，每年未向本地区行业监管部门报告 数据安全事件处置情况； （十八） 工业和信息化领域重要数据和核心数据处理 者未按照规定对其数据处理活动每年至少开展一次风险评 估，及时整改风险问题，并向有关主管部门报送风险评估报 告； （十九） 工业和信息化领域重要数据和核心数据处理 者报送的风险评估报告未包括处理的重要数据的种类、数 量，开展数据处理活动的情况，面临的数据安全风险及其应 对措施等； （二十） 对于核心数据跨主体提供、转移、委托处理， 未按照有关规定进行评估、保护、报批等； （二十一） 其他不履行数据安全保护义务的。 第十一条 有以下情形之一的，属于向境外非法提供数 据： （一）工业和信息化领域中的关键信息基础设施运营 者在中华人民共和国境内运营中收集和产生的重要数据和 — 6 — 核心数据未在境内存储，或者因业务需要，确需向境外提供 的，未按照有关规定进行数据出境安全评估； （二）其他工业和信息化领域数据处理者，在中华人民 共和国境内收集和产生的重要数据和核心数据，未按照法 律、行政法规等要求在境内存储，或者确需向境外提供的， 未依法依规进行数据出境安全评估； （三）非经工业和信息化部批准，向外国工业、电信、 无线电执法机构提供存储于中华人民共和国境内的工业和 信息化领域数据； （四）其他向境外非法提供数据的。 第十二条 在各级行政处罚机关依法开展监督检查的过 程中，工业和信息化领域数据处理者存在以下情形之一的， 属于不配合监管： （一） 在有关行政处罚机关开展数据安全监督检查过 程中，未对组织运作、技术系统、算法原理、数据处理程序 等进行解释说明，未开放安全相关数据访问、提供必要技术 支持的； （二） 拒绝提供有关材料、信息的，或提供虚假材料、 信息的，或者隐匿、销毁、转移证据的； （三） 其他不履行配合数据安全监管义务的。 第十三条 符合下列情况之一的，为后果较轻情节： — 7 — （一）1000 万条以下一般数据被篡改、破坏、泄露或者 非法获取、非法利用； （二）对公民、法人和组织合法权益、社会公共利益造 成损害的持续时间较短，或直接经济损失在 1000 万元以内； （三）影响范围小，影响对象为单个或少数企业，且不 涉及跨地区的； （四）其他对行业发展、社会稳定和国家安全造成较轻 后果的。 第十四条 符合下列情况之一的，为后果较重情节： （一）超过 1000 万条一般数据被篡改、破坏、泄露或 者非法获取、非法利用，或者涉及重要数据、核心数据的； （二）对公民、法人和组织合法权益、社会公共利益造 成损害的持续时间较长，或直接经济损失超过 1000 万元且 在 5000 万元以内的； （三）影响范围较大，涉及多个企业，或涉及跨地区的； （四）其他对行业发展、社会稳定和国家安全造成较重 后果的。 第十五条 符合下列情况之一的，为后果严重情节： （一）超过 1 亿条一般数据被篡改、破坏、泄露或者非 法获取、非法利用，或者涉及 2 个以上数据处理者的重要数 据、核心数据的； — 8 — （二）对公民、法人和组织合法权益、社会公共利益造 成损害的持续时间长，或直接经济损失超过 5000 万元的； （三）影响范围涉及多个行业、地区的； （四）其他对行业发展、社会稳定和国家安全造成严重 后果的。 第四章 数据安全行政处罚裁量权适用规则 第十六条 工业和信息化领域数据安全行政处罚实施流 程按照《中华人民共和国行政处罚法》《工业和信息化行政 处罚程序规定》等法律法规的有关规定执行。 第十七条 本指引规定的数据安全行政处罚情形，各级 行政处罚机关应当依据《工业和信息化领域数据安全行政处 罚裁量基准》（附件）确定的行政处罚种类和幅度实施行政 处罚。 第十八条 有下列情形之一的，依法不予行政处罚： （一）违法行为轻微并及时改正，没有造成危害后果的； 初次违法且危害后果轻微并及时改正的可以不予处罚； （二）工业和信息化领域数据处理者有证据足以证明没 有主观过错的； （三）其他依法应当不予行政处罚的。 第十九条 有下列情形之一的，依法从轻或减轻行政处 罚： （一）主动消除或者减轻数据安全违法行为危害后果 — 9 — 的； （二）受胁迫或者诱骗实施数据安全违法行为的； （三）主动供述行业监管部门尚未掌握的数据安全违法 行为的； （四）积极配合行业监管部门查处数据安全违法行为 的； （五）法律、行政法规、部门规章等规定其他应当从轻 或者减轻行政处罚的。 第二十条 有下列情形之一的，依法从重行政处罚： （一）两年内因同类数据安全违法行为被处罚 3 次以上 的； （二）阻碍或者拒不配合行业监管部门查处数据安全违 法行为或者对行政执法人员打击报复的； （三）教唆、胁迫、诱骗他人实施数据安全违法行为的； （四）伪造、隐匿、毁灭证据的； （五）数据安全违法行为引起不良社会反响的； （六）其他具有从重情节的。 第二