标题：工业和信息化部关于印发《工业和信息化领域数据安全管理办法（试行）》的通知发文字号：工信部网安〔2022〕166号主题分类：工业、交通其他成文日期：2022年12月08日工业和信息化部关于印发《工业和信息化领域数据安全管理办法（试行）》的通知工信部网安〔2022〕166号各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，青海、宁夏无线电管理机构，部属各单位，部属各高校，各有关企业：现将《工业和信息化领域数据安全管理办法（试行）》印发给你们，请认真遵照执行。工业和信息化部2022年12月8日工业和信息化领域数据安全管理办法（试行）第一章总则第一条为了规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规，制定本办法。第二条在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管，应当遵守相关法律、行政法规和本办法的要求。第三条工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据。工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台（站）使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。第四条在国家数据安全工作协调机制统筹协调下，工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构（以下统称地方行业监管部门）开展数据安全监管，对工业和信息化领域的数据处理活动和安全保护进行监督管理。地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方行业监管部门统称为行业监管部门。行业监管部门按照有关法律、行政法规，依法配合有关部门开展的数据安全监管相关工作。第五条行业监管部门鼓励数据开发利用和数据安全技术研究，支持推广数据安全产品和服务，培育数据安全企业、研究和服务机构，发展数据安全产业，提升数据安全保障能力，促进数据的创新应用。工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务，应当有利于促进经济社会和行业发展，符合社会公德和伦理。第六条行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设，组织开展相关标准制修订及推广应用工作。第二章数据分类分级管理第七条工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，指导开展数据分类分级管理工作，制定行业重要数据和核心数据具体目录并实施动态管理。地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作，确定本地区重要数据和核心数据具体目录并上报工业和信息化部，目录发生变化的，应当及时上报更新。工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。第八条根据行业要求、特点、业务需求、数据来源和用途等因素，工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。第九条危害程度符合下列条件之一的数据为一般数据：（一）对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；（二）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；（三）其他未纳入重要数据、核心数据目录的数据。第十条危害程度符合下列条件之一的数据为重要数据：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；（五）经工业和信息化部评估确定的其他重要数据。第十一条危害程度符合下列条件之一的数据为核心数据：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；（三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；（四）经工业和信息化部评估确定的其他核心数据。第十二条工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作，备案内容符合要求的，予以备案，同时将备案情况报工业和信息化部；不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。备案内容发生重大变化的，工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，或者其它备案内容发生变化。第三章数据全生命周期安全管理第十三条工业和信息化领域数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。（一）建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程；（二）根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业监管部门开展工作；（三）合理确定数据处理活动的操作权限，严格实施人员权限管理；（四）根据应对数据安全事件的需要，制定应急预案，并开展应急演练；（五）定期对从业人员开展数据安全教育和培训；（六）法律、行政法规等规定的其他措施。工业和信息化领域重要数据和核心数据处理者，还应当：