附件 1 山东省工业和信息化领域数据安全管理 实施细则（试行） （征求意见稿） 第一章 总则 第一条 为了规范本省工业和信息化领域数据处理活动，加 强数据安全管理，保障数据安全，促进数据开发利用，保护个人、 组织的合法权益，维护国家安全和发展利益，根据《中华人民共 和国数据安全法》《中华人民共和国国家安全法》等法律法规和 《工业和信息化领域数据安全管理办法（试行） 》，结合本省实际， 制定本实施细则。 第二条 在本省行政区域内开展的工业和信息化领域数据处 理活动及其安全监管，应当遵守相关法律、行政法规和本实施细 则的要求。 第三条 工业和信息化领域数据包括工业数据、电信数据和 无线电数据等。 工业数据是指工业各行业各领域在研发设计、生产制造、经 营管理、运行维护、平台运营等过程中产生和收集的数据。电信 数据是指在电信业务经营活动中产生和收集的数据。无线电数据 是指在开展无线电业务活动中产生和收集的无线电频率、台（站） 等电波参数数据。 工业和信息化领域数据处理者是指数据处理活动中自主决 定处理目的、处理方式的工业企业、软件和信息技术服务企业、 取得电信业务经营许可证的电信业务经营者和无线电频率、台 （站）使用单位等工业和信息化领域各类主体。工业和信息化领 域数据处理者按照所属行业领域可分为工业数据处理者、电信数 据处理者、无线电数据处理者等。数据处理活动包括但不限于数 据收集、存储、使用、加工、传输、提供、公开等活动。 第四条 在省数据安全工作协调机制统筹与工业和信息化部 指导下，省工业和信息化厅、省通信管理局（以下统称省级行业 监管部门）负责督促指导各市工业和信息化主管部门和通信管理 主管部门（以下统称市级行业监管部门）开展数据安全监管。 省、市工业和信息化主管部门负责对本地区工业数据、无线 电数据处理者的数据处理活动和安全保护进行监督管理，省、市 通信管理主管部门负责对本地区电信数据处理者的数据处理活 动和安全保护进行监督管理。 省、市级行业监管部门按照有关法律、行政法规，依法配合 有关部门开展的数据安全监管相关工作。 第五条 省、市级行业监管部门的党委（党组）对本地区本 部门数据安全工作负主体责任，领导班子主要负责人是第一责任 人，主管数据安全的领导班子成员是直接责任人。 省、市级行业监管部门建立工业和信息化领域数据安全工作 机制，指导本地区工业和信息化领域数据处理者落实数据安全主 体责任，完善数据安全防护体系，提升数据安全管理能力。 工业和信息化领域数据处理者实行企业“一把手”负责制， 落实数据安全主体责任，明确数据安全分管领导和责任部门，健 全数据安全规章制度，提高数据安全防护能力，构建数据安全治 理体系。 第二章 数据分类分级管理 第六条 省级行业监管部门按照工业和信息化领域数据分类 分级、重要数据和核心数据识别认定、数据分级防护等标准规范， 指导开展数据分类分级管理工作，制定省级重要数据和核心数据 具体目录并实施动态管理。 市级行业监管部门组织开展本地区工业和信息化领域数据 分类分级管理及重要数据和核心数据识别工作，确定市级重要数 据和核心数据具体目录并上报省级行业监管部门，目录发生变化 的，应当及时上报更新。 工业和信息化领域数据处理者应当每年梳理数据，按照相关 标准规范识别重要数据和核心数据并形成本单位的具体目录。 第七条 根据行业要求、特点、业务需求、数据来源和用途 等因素，工业和信息化领域数据分类类别包括但不限于研发数据、 生产运行数据、管理数据、运维数据、业务服务数据等。 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用， 对国家安全、公共利益或者个人、组织合法权益等造成的危害程 度，工业和信息化领域数据分为一般数据、重要数据和核心数据 三级。 工业和信息化领域数据处理者可在此基础上，结合实际细分 数据的类别和级别。 第八条 危害程度符合下列条件之一的数据为一般数据： （一）对公共利益或者个人、组织合法权益造成较小影响， 社会负面影响小； （二）受影响的用户和企业数量较少、生产生活区域范围较 小、持续时间较短，对企业经营、行业发展、技术进步和产业生 态等影响较小； （三）其他未纳入重要数据、核心数据目录的数据。 第九条 危害程度符合下列条件之一的数据为重要数据： （一）对政治、国土、军事、经济、文化、社会、科技、电 磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生 物、太空、极地、深海、人工智能等与国家安全相关的重点领域； （二）对工业和信息化领域发展、生产、运行和经济利益等 造成严重影响； （三）造成重大数据安全事件或生产安全事故，对公共利益 或者个人、组织合法权益造成严重影响，社会负面影响大； （四）引发的级联效应明显，影响范围涉及多个行业、区域 或者行业内多个企业，或者影响持续时间长，对行业发展、技术 进步和产业生态等造成严重影响； （五）经工业和信息化部评估确定的其他重要数据。 第十条 危害程度符合下列条件之一的数据为核心数据： （一）对政治、国土、军事、经济、文化、社会、科技、电 磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外 利益、生物、太空、极地、深海、人工智能等与国家安全相关的 重点领域； （二）对工业和信息化领域及其重要骨干企业、关键信息基 础设施、重要资源等造成重大影响； （三）对工业生产运营、电信网络和互联网运行服务、无线 电业务开展等造成重大损害，导致大范围停工停产、大面积无线 电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等； （四）经工业和信息化部评估确定的其他核心数据。 第十一条 工业和信息化领域数据处理者应于每年五月底前 将本单位重要数据和核心数据目录报送至市级行业监管部门，市 级行业监管部门审核汇总后于每年六月底前向省级行业监管部 门备案。 备案内容包括但不限于数据来源、类别、级别、规模、载体、 处理目的和方式、使用范围、责任主体、对外共享、跨境传输、 安全保护措施等基本情况，不包括数据内容本身。 市级行业监管部门应当在工业和信息化领域数据处理者提 交备案申请的五个工作日内完成初审工作并提报省级行业监管 部门，省级行业监管部门应在十五个工作内完成审核工作，备案 内容符合要求的，予以备案，同时将备案情况上报工业和信息化 部；不予备案的应当及时反馈备案申请人并说明理由。备案申请 人应当在收到反馈情况后的十五个工作日内再次提交备案申请。 备案内容发生重大变化的，工业和信息化领域数据处理者应 当在发生变化的三个月内履行备案变更手续。重大变化是指某类 重要数据和核心数据规模（数据条目数量或者存储总量等）变化 30％以上，或者其它备案内容发生变化。 第三章 数据全生命周期安全管理 第十二条 工业和信息化领域数据处理者应当对数据处理活 动承担安全主体责任，对各类数据实行分级防护。不同级别数据 同时被处理且难以分别采取保护措施的，应当按照其中级别最高 的要求实施保护，确保数据持续处于有效保护和合法利用的状态。 （一）建立数据全生命周期安全管理制度，针对不同级别的 数据，制定数据收集、存储、使用、加工、传输、提供、公开等 环节的具体分级防护要求和操作规程； （二）根据需要配备数据安全管理人员，统筹负责数据处理 活动的安全监督管理，协助省、市级行业监管部门开展工作； （三）合理确定数据处理活动的操作权限，严格实施人员权 限管理； （四）根据应对数据安全事件的需要，制定应急预案，并开 展应急演练； （五）定期对从业人员开展数据安全教育和培训； （六）法律、行政法规等规定的其他措施。 工业和信息化领域数据处理者需处理重要数据和核心数据 的，还应当： （一）建立覆盖本单位相关部门的数据安全工作体系，明确 本单位法定代表人或者主要负责人是数据安全第一责任人，明确 领导团队中分管数据安全的成员是直接责任人，明确数据安全负 责人和管理机构，建立常态化沟通与协作机制； （二）明确数据处理关键岗位和岗位职责，并要求关键岗位 人员签署数据安全责任书，责任书内容包括但不限于数据安全岗 位职责、义务、处罚措施、注意事项等内容； （三）建立内部登记、审批等工作机制，对重要数据和核心 数据的处理活动进行严格管理并留存记录。 第十三条 工业和信息化领域数据处理者收集数据应当遵循 合法、正当的原则，不得窃取或者以其他非法方式收集数据。 数据收集过程中，应当根据数据安全级别采取相应的安全措 施，加强对重要数据和核心数据收集人员、设备的管理，并对收 集来源、时间、类型、数量、频度、流向等进行记录。 通过间接途径获取重要数据和核心数据的，工业和信息化领 域数据处理者应当与数据提供方通过签署相关协议、承诺书等方 式，明确双方法律责任。 第十四条 工业和信息化领域数据处理者应当按照法律、行 政法规规定和用户约定的方式、期限进行数据存储。存储重要数 据和核心数据的，应当采用校验技术、密码技术等措施进行安全 存储，并实施数据容灾备份和存储介质安全管理，定期开展数据 恢复测试。 第十五条 工业和信息化领域数据处理者利用数据进行自动 化决策的，应当保证决策的透明度和结果公平合理。使用、加工 重要数据和核心数据的，还应当加强访问控制。 工业和信息化领域数据处理者提供数据处理服务，涉及经营 电信业务的，应当按照相关法律、行政法规规定取得电信业务经 营许可。 第十六条 工业和信息化领域数据处理者应当根据传输的数 据类型、级别和应用场景，制定安全策略并采取保护措施。传输 重要数据和核心数据的，应当采取校验技术、密码技术、安全传 输通道或者安全传输协议等措施。 第十七条 工业和信息化领域数据处理者对外提供数据，应 当明确提供的范围、类别、条件、程序等。提供重要数据和核心 数据的，应当与数据获取方签订数据安全协议，对数据获取方数 据安全保护能力进行核验，采取必要的安全保护措施。 第十八条 工业和信息化领域数据处理者应当在数据公开前 分析研判可能对国家安全、公共利益产生的影响，存在重大影响 的不得公开。 第十九条 工业和信息化领域数据处理者应当建立数据销毁 制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进 行记录和留存。个人、组织按照法律规定、合同约定等请求销毁 的，工业和信息化领域数据处理者应当销毁相应数据。 工业和信息化领域数据处理者销毁重要数据和核心数据后， 不得以任何理由、任何方式对销毁数据进行恢复，引起备案内容 发生变化的，应当履行备案变更手续。 第二十条 工业和信息化领域数据处理者在中华人民共和国 境内收集和产生的重要数据和核心数据，法律、行政法规有境内 存储要求的，应当在境内存储，确需向境外提供的，应当依法依 规进行数据出境安全评估。 工业和信息化部是工业和信息化领域数据出境有关工作的 行业主管部门，非经工业和信息化部批准，工业和信息化领域数 据处理者不得向外国工业、电