山東出臺(tái)全國首個(gè)省級(jí)工信領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則

發(fā)布時(shí)間：2025-02-05

為規(guī)范全省工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)，維護(hù)國家安全和發(fā)展利益，根據(jù)《中華人民共和國數(shù)據(jù)安全法》及《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等要求，7月20日，山東管局聯(lián)合省工信廳出臺(tái)《山東省工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則(試行)》，這是全國首個(gè)省級(jí)針對工信領(lǐng)域數(shù)據(jù)安全管理的實(shí)施細(xì)則。
《實(shí)施細(xì)則》共九章41條，圍繞指導(dǎo)督促全省工信領(lǐng)域數(shù)據(jù)處理者落實(shí)數(shù)據(jù)安全主體責(zé)任，健全數(shù)據(jù)安全管理工作機(jī)制，建立數(shù)據(jù)分類分級(jí)及全生命周期安全管理制度，開展省市企三級(jí)網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測預(yù)警和應(yīng)急處置，完善重要數(shù)據(jù)和核心數(shù)據(jù)備案工作機(jī)制并推動(dòng)數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展等方面作出具體規(guī)范。此外，《實(shí)施細(xì)則》還規(guī)定了行業(yè)監(jiān)管部門監(jiān)督檢查等工作要求，明確了相關(guān)違法違規(guī)行為的法律責(zé)任和懲罰措施。
工業(yè)和信息化領(lǐng)域是山東數(shù)字經(jīng)濟(jì)發(fā)展的主陣地和先導(dǎo)區(qū)，是推進(jìn)數(shù)字經(jīng)濟(jì)做強(qiáng)做優(yōu)做大的主力軍?！秾?shí)施細(xì)則》的出臺(tái)，將加快推動(dòng)全省工信領(lǐng)域數(shù)據(jù)安全管理工作的制度化、規(guī)范化進(jìn)程，為提升工業(yè)和通信業(yè)數(shù)據(jù)安全防護(hù)保障能力、有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)提供重要保障,為山東數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展提供堅(jiān)實(shí)支撐。
山東省工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理
實(shí)施細(xì)則
第一章總則
第一條為了規(guī)范本省工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)，加強(qiáng)數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國家安全和發(fā)展利益，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國國家安全法》等法律法規(guī)和《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》，結(jié)合本省實(shí)際，制定本實(shí)施細(xì)則。
第二條在本省行政區(qū)域內(nèi)開展的工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管，應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)和本實(shí)施細(xì)則的要求。
第三條工業(yè)和信息化領(lǐng)域數(shù)據(jù)包括工業(yè)數(shù)據(jù)、電信數(shù)據(jù)和無線電數(shù)據(jù)等。
工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營管理、運(yùn)行維護(hù)、平臺(tái)運(yùn)營等過程中產(chǎn)生和收集的數(shù)據(jù)。電信數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)。無線電數(shù)據(jù)是指在開展無線電業(yè)務(wù)活動(dòng)中產(chǎn)生和收集的無線電頻率、臺(tái)(站)等電波參數(shù)數(shù)據(jù)。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者是指數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的工業(yè)企業(yè)、軟件和信息技術(shù)服務(wù)企業(yè)、取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者和無線電頻率、臺(tái)(站)使用單位等工業(yè)和信息化領(lǐng)域各類主體。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者按照所屬行業(yè)領(lǐng)域可分為工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者、無線電數(shù)據(jù)處理者等。數(shù)據(jù)處理活動(dòng)包括但不限于數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。
第四條在省數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌與工業(yè)和信息化部指導(dǎo)下，省工業(yè)和信息化廳、省通信管理局(以下統(tǒng)稱省級(jí)行業(yè)監(jiān)管部門)負(fù)責(zé)督促指導(dǎo)各市工業(yè)和信息化主管部門和通信管理主管部門(以下統(tǒng)稱市級(jí)行業(yè)監(jiān)管部門)開展數(shù)據(jù)安全監(jiān)管。
省、市工業(yè)和信息化主管部門負(fù)責(zé)對本地區(qū)工業(yè)數(shù)據(jù)、無線電數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理，省、市通信管理主管部門負(fù)責(zé)對本地區(qū)電信數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)和安全保護(hù)進(jìn)行監(jiān)督管理。
省、市級(jí)行業(yè)監(jiān)管部門按照有關(guān)法律、行政法規(guī)，依法配合有關(guān)部門開展的數(shù)據(jù)安全監(jiān)管相關(guān)工作。
第五條省、市級(jí)行業(yè)監(jiān)管部門的黨委(黨組)對本地區(qū)本部門數(shù)據(jù)安全工作負(fù)主體責(zé)任，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，主管數(shù)據(jù)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。
省、市級(jí)行業(yè)監(jiān)管部門建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全工作機(jī)制，指導(dǎo)本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實(shí)數(shù)據(jù)安全主體責(zé)任，完善數(shù)據(jù)安全防護(hù)體系，提升數(shù)據(jù)安全管理能力。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者實(shí)行企業(yè)“一把手”負(fù)責(zé)制，落實(shí)數(shù)據(jù)安全主體責(zé)任，明確數(shù)據(jù)安全分管領(lǐng)導(dǎo)和責(zé)任部門，健全數(shù)據(jù)安全規(guī)章制度，提高數(shù)據(jù)安全防護(hù)能力，構(gòu)建數(shù)據(jù)安全治理體系。
第二章 數(shù)據(jù)分類分級(jí)管理
第六條省級(jí)行業(yè)監(jiān)管部門按照工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定、數(shù)據(jù)分級(jí)防護(hù)等標(biāo)準(zhǔn)規(guī)范，指導(dǎo)開展數(shù)據(jù)分類分級(jí)管理工作，制定省級(jí)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并實(shí)施動(dòng)態(tài)管理。
市級(jí)行業(yè)監(jiān)管部門組織開展本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類分級(jí)管理及重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別工作，確定市級(jí)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報(bào)省級(jí)行業(yè)監(jiān)管部門，目錄發(fā)生變化的，應(yīng)當(dāng)及時(shí)上報(bào)更新。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)每年梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位的具體目錄。
第七條根據(jù)行業(yè)要求、特點(diǎn)、業(yè)務(wù)需求、數(shù)據(jù)來源和用途等因素，工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類類別包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)等。
根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(gè)人、組織合法權(quán)益等造成的危害程度，工業(yè)和信息化領(lǐng)域數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級(jí)。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者可在此基礎(chǔ)上，結(jié)合實(shí)際細(xì)分?jǐn)?shù)據(jù)的類別和級(jí)別。
第八條危害程度符合下列條件之一的數(shù)據(jù)為一般數(shù)據(jù)：
(一)對公共利益或者個(gè)人、組織合法權(quán)益造成較小影響，社會(huì)負(fù)面影響小；
(二)受影響的用戶和企業(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時(shí)間較短，對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等影響較小；
(三)其他未納入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。
第九條危害程度符合下列條件之一的數(shù)據(jù)為重要數(shù)據(jù)：
(一)對政治、國土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域；
(二)對工業(yè)和信息化領(lǐng)域發(fā)展、生產(chǎn)、運(yùn)行和經(jīng)濟(jì)利益等造成嚴(yán)重影響；
(三)造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故，對公共利益或者個(gè)人、組織合法權(quán)益造成嚴(yán)重影響，社會(huì)負(fù)面影響大；
(四)引發(fā)的級(jí)聯(lián)效應(yīng)明顯，影響范圍涉及多個(gè)行業(yè)、區(qū)域或者行業(yè)內(nèi)多個(gè)企業(yè)，或者影響持續(xù)時(shí)間長，對行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響；
(五)經(jīng)工業(yè)和信息化部評估確定的其他重要數(shù)據(jù)。
第十條危害程度符合下列條件之一的數(shù)據(jù)為核心數(shù)據(jù)：
(一)對政治、國土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成嚴(yán)重威脅，嚴(yán)重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點(diǎn)領(lǐng)域；
(二)對工業(yè)和信息化領(lǐng)域及其重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、重要資源等造成重大影響；
(三)對工業(yè)生產(chǎn)運(yùn)營、電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)運(yùn)行服務(wù)、無線電業(yè)務(wù)開展等造成重大損害，導(dǎo)致大范圍停工停產(chǎn)、大面積無線電業(yè)務(wù)中斷、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等；
(四)經(jīng)工業(yè)和信息化部評估確定的其他核心數(shù)據(jù)。
第十一條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)于每年五月底前將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄報(bào)送至市級(jí)行業(yè)監(jiān)管部門，市級(jí)行業(yè)監(jiān)管部門審核匯總后于每年六月底前向省級(jí)行業(yè)監(jiān)管部門備案。
備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級(jí)別、規(guī)模、載體、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護(hù)措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。
市級(jí)行業(yè)監(jiān)管部門應(yīng)當(dāng)在工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提交備案申請的五個(gè)工作日內(nèi)完成初審工作并提報(bào)省級(jí)行業(yè)監(jiān)管部門，省級(jí)行業(yè)監(jiān)管部門應(yīng)在十五個(gè)工作內(nèi)完成審核工作，備案內(nèi)容符合要求的，予以備案，同時(shí)將備案情況上報(bào)工業(yè)和信息化部；不予備案的應(yīng)當(dāng)及時(shí)反饋備案申請人并說明理由。備案申請人應(yīng)當(dāng)在收到反饋情況后的十五個(gè)工作日內(nèi)再次提交備案申請。
備案內(nèi)容發(fā)生重大變化的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)生變化的三個(gè)月內(nèi)履行備案變更手續(xù)。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲(chǔ)總量等)變化30%以上，或者其它備案內(nèi)容發(fā)生變化。
第三章 數(shù)據(jù)全生命周期安全管理
第十二條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)處理活動(dòng)承擔(dān)安全主體責(zé)任，對各類數(shù)據(jù)實(shí)行分級(jí)防護(hù)。不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的，應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。
(一)建立數(shù)據(jù)全生命周期安全管理制度，針對不同級(jí)別的數(shù)據(jù)，制定數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級(jí)防護(hù)要求和操作規(guī)程；
(二)根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理，協(xié)助省、市級(jí)行業(yè)監(jiān)管部門開展工作；
(三)合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限，嚴(yán)格實(shí)施人員權(quán)限管理；
(四)根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案，并開展應(yīng)急演練；
(五)定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn)；
(六)法律、行政法規(guī)等規(guī)定的其他措施。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者需處理重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當(dāng)：
(一)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，明確本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人，明確領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，建立常態(tài)化溝通與協(xié)作機(jī)制；
(二)明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書，責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項(xiàng)等內(nèi)容；
(三)建立內(nèi)部登記、審批等工作機(jī)制，對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄。
第十三條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)?shù)脑瓌t，不得竊取或者以其他非法方式收集數(shù)據(jù)。
數(shù)據(jù)收集過程中，應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級(jí)別采取相應(yīng)的安全措施，加強(qiáng)對重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理，并對收集來源、時(shí)間、類型、數(shù)量、頻度、流向等進(jìn)行記錄。
通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)任。
第十四條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進(jìn)行數(shù)據(jù)存儲(chǔ)。存儲(chǔ)重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲(chǔ)，并實(shí)施數(shù)據(jù)容災(zāi)備份和存儲(chǔ)介質(zhì)安全管理，定期開展數(shù)據(jù)恢復(fù)測試。
第十五條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者利用數(shù)據(jù)進(jìn)行自動(dòng)化決策的，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當(dāng)加強(qiáng)訪問控制。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)處理服務(wù)，涉及經(jīng)營電信業(yè)務(wù)的，應(yīng)當(dāng)按照相關(guān)法律、行政法規(guī)規(guī)定取得電信業(yè)務(wù)經(jīng)營許可。
第十六條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級(jí)別和應(yīng)用場景，制定安全策略并采取保護(hù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。
第十七條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對外提供數(shù)據(jù)，應(yīng)當(dāng)明確提供的范圍、類別、條件、程序等。提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議，對數(shù)據(jù)獲取方數(shù)據(jù)安全保護(hù)能力進(jìn)行核驗(yàn)，采取必要的安全保護(hù)措施。
第十八條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響，存在重大影響的不得公開。
第十九條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求，對銷毀活動(dòng)進(jìn)行記錄和留存。個(gè)人、組織按照法律規(guī)定、合同約定等請求銷毀的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)銷毀相應(yīng)數(shù)據(jù)。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者銷毀重要數(shù)據(jù)和核心數(shù)據(jù)后， 不得以任何理由、任何方式對銷毀數(shù)據(jù)進(jìn)行恢復(fù)，引起備案內(nèi)容發(fā)生變化的，應(yīng)當(dāng)履行備案變更手續(xù)。
第二十條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評估。
工業(yè)和信息化部是工業(yè)和信息化領(lǐng)域數(shù)據(jù)出境有關(guān)工作的行業(yè)主管部門，非經(jīng)工業(yè)和信息化部批準(zhǔn)，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國工業(yè)、電信、無線電執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)。
第二十一條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移方案，并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數(shù)據(jù)和核心數(shù)據(jù)備案內(nèi)容發(fā)生變化的，應(yīng)當(dāng)履行備案變更手續(xù)。
第二十二條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者委托他人開展數(shù)據(jù)處理活動(dòng)的，應(yīng)當(dāng)通過簽訂合同協(xié)議等方式，明確委托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對受托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行核驗(yàn)。
除法律、行政法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，受托方不得將數(shù)據(jù)提供給第三方。
第二十三條跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)評估安全風(fēng)險(xiǎn)，采取必要的安全保護(hù)措施，并由本地區(qū)市級(jí)行業(yè)監(jiān)管部門初審后報(bào)省級(jí)行業(yè)監(jiān)管部門，省級(jí)行業(yè)監(jiān)管部門審查后報(bào)工業(yè)和信息化部最終審查確定。
第二十四條工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志，日志留存時(shí)間不少于六個(gè)月。
第四章 數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理
第二十五條省、市級(jí)行業(yè)監(jiān)管部門建立本地區(qū)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測機(jī)制，按照數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測接口和標(biāo)準(zhǔn)等規(guī)范，搭建本領(lǐng)域工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全監(jiān)管平臺(tái)，充分依托工業(yè)和信息化部、第三方平臺(tái)等監(jiān)測技術(shù)手段，形成“省—市—企業(yè)”多方聯(lián)動(dòng)工作機(jī)制，構(gòu)建監(jiān)測預(yù)警、處置溯源、信息通報(bào)等能力。按照有關(guān)規(guī)定及時(shí)發(fā)布預(yù)警信息，通知本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者及時(shí)采取應(yīng)對措施，與相關(guān)部門加強(qiáng)信息共享。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)采用數(shù)據(jù)安全監(jiān)測技術(shù)開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測，及時(shí)排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn)。
第二十六條省、市級(jí)行業(yè)監(jiān)管部門建立數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享機(jī)制，統(tǒng)一匯集、分析、研判、通報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)信息，及時(shí)將可能造成重大及以上安全事件的風(fēng)險(xiǎn)由市級(jí)行業(yè)監(jiān)管部門經(jīng)省級(jí)行業(yè)監(jiān)管部門上報(bào)至工業(yè)和信息化部，鼓勵(lì)安全服務(wù)機(jī)構(gòu)、行業(yè)組織、科研機(jī)構(gòu)等開展數(shù)據(jù)安全風(fēng)險(xiǎn)信息上報(bào)和共享。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)將可能造成較大及以上安全事件的風(fēng)險(xiǎn)向市級(jí)行業(yè)監(jiān)管部門報(bào)告。
第二十七條省級(jí)行業(yè)監(jiān)管部門負(fù)責(zé)制定本省工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。
市級(jí)行業(yè)監(jiān)管部門負(fù)責(zé)組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當(dāng)立即經(jīng)由省級(jí)行業(yè)監(jiān)管部門報(bào)工業(yè)和信息化部，并及時(shí)報(bào)告事件發(fā)展和處置情況。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后，應(yīng)當(dāng)按照應(yīng)急預(yù)案，及時(shí)開展應(yīng)急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時(shí)間經(jīng)市級(jí)行業(yè)監(jiān)管部門報(bào)告至省級(jí)行業(yè)監(jiān)管部門，事件處置完成后在三個(gè)月內(nèi)形成總結(jié)報(bào)告，每年將數(shù)據(jù)安全事件處置情況經(jīng)市級(jí)行業(yè)監(jiān)管部門報(bào)告至省級(jí)行業(yè)監(jiān)管部門。
工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶，并提供減輕危害措施。
第二十八條省級(jí)行業(yè)監(jiān)管部門委托相關(guān)行業(yè)組織建立本省工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為投訴舉報(bào)渠道，市級(jí)行業(yè)監(jiān)管部門建立本地區(qū)數(shù)據(jù)安全違法行為投訴舉報(bào)機(jī)制或渠道，依法接收、處理投訴舉報(bào)，根據(jù)工作需要開展執(zhí)法調(diào)查。鼓勵(lì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者建立用戶投訴處理機(jī)制。
第五章 數(shù)據(jù)安全檢測、認(rèn)證、評估管理
第二十九條省級(jí)行業(yè)監(jiān)管部門鼓勵(lì)、引導(dǎo)具備相應(yīng)資質(zhì)的機(jī)構(gòu)，依據(jù)相關(guān)標(biāo)準(zhǔn)開展行業(yè)數(shù)據(jù)安全檢測、認(rèn)證工作。
第三十條省級(jí)行業(yè)監(jiān)管部門督促評估機(jī)構(gòu)在工業(yè)和信息化部的管理下，依據(jù)行業(yè)數(shù)據(jù)安全評估規(guī)范，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估、出境安全評估等工作。
工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)在每年六月底前完成自評估或委托第三方評估，及時(shí)整改風(fēng)險(xiǎn)問題，并將評估報(bào)告報(bào)送市級(jí)行業(yè)監(jiān)管部門，市級(jí)行業(yè)監(jiān)管部門匯總后，形成本地區(qū)數(shù)據(jù)安全總體報(bào)告一并報(bào)至省級(jí)行業(yè)監(jiān)管部門。
省、市級(jí)行業(yè)監(jiān)管部門應(yīng)在每年七月至十月針對工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者評估情況開展督導(dǎo)檢查。
第六章 數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展
第三十一條省、市級(jí)行業(yè)監(jiān)管部門鼓勵(lì)數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，支持?jǐn)?shù)據(jù)安全成果轉(zhuǎn)化、推廣數(shù)據(jù)安全產(chǎn)品和服務(wù)，加快數(shù)據(jù)分類分級(jí)、敏感數(shù)據(jù)挖掘、輕量級(jí)加密、數(shù)據(jù)動(dòng)態(tài)脫敏等數(shù)據(jù)安全技術(shù)和產(chǎn)品攻關(guān)，增強(qiáng)產(chǎn)學(xué)研用深度合作力度。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者研究、開發(fā)、使用數(shù)據(jù)新技術(shù)、新產(chǎn)品、新服務(wù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)和行業(yè)發(fā)展，符合社會(huì)公德和倫理。
第三十二條省、市級(jí)行業(yè)監(jiān)管部門鼓勵(lì)建立工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全產(chǎn)業(yè)園，整合相關(guān)行業(yè)資源，支持專業(yè)機(jī)構(gòu)、高校、企業(yè)等聯(lián)合建設(shè)數(shù)據(jù)安全創(chuàng)新平臺(tái)，培育或引進(jìn)一批核心技術(shù)突出、市場競爭能力強(qiáng)的數(shù)據(jù)安全企業(yè)、研究和服務(wù)機(jī)構(gòu)，發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)，提升數(shù)據(jù)安全保障能力，促進(jìn)數(shù)據(jù)的創(chuàng)新應(yīng)用。
第三十三條省、市級(jí)行業(yè)監(jiān)管部門組建數(shù)據(jù)安全支撐隊(duì)伍， 開展政策研究、態(tài)勢研判、安全檢查、應(yīng)急處置等工作，協(xié)助企業(yè)建立應(yīng)急管理機(jī)制，提升企業(yè)安全保障能力。
深入推進(jìn)產(chǎn)教融合、校企合作，建立數(shù)據(jù)安全人才聯(lián)合培養(yǎng)機(jī)制，每年開展數(shù)據(jù)安全宣傳教育、安全演練和安全競賽等，培養(yǎng)復(fù)合型、創(chuàng)新型高技能人才，選拔優(yōu)秀團(tuán)隊(duì)納入山東省工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全支撐隊(duì)伍，提升省內(nèi)數(shù)據(jù)安全人員支撐能力。
第三十四條省、市級(jí)行業(yè)監(jiān)管部門推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)，組織開展相關(guān)標(biāo)準(zhǔn)制修訂及推廣應(yīng)用工作。
遴選數(shù)據(jù)安全優(yōu)秀產(chǎn)品、服務(wù)和應(yīng)用解決方案，打造一批標(biāo)桿示范企業(yè)，并在省內(nèi)重點(diǎn)行業(yè)進(jìn)行推廣應(yīng)用。
第七章 監(jiān)督檢查
第三十五條省、市級(jí)行業(yè)監(jiān)管部門對本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者落實(shí)本實(shí)施細(xì)則要求的情況進(jìn)行監(jiān)督檢查。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對省、市級(jí)行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。
第三十六條省級(jí)行業(yè)監(jiān)管部門在省數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌與工業(yè)和信息化部指導(dǎo)下，開展工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全審查相關(guān)工作。
第三十七條省、市級(jí)行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評估機(jī)構(gòu)工作人員對在履行職責(zé)中知悉的個(gè)人信息和商業(yè)秘密等，應(yīng)當(dāng)嚴(yán)格保密，不得泄露或者非法向他人提供。
第八章法律責(zé)任
第三十八條省級(jí)行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中，發(fā)現(xiàn)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的，可以按照規(guī)定權(quán)限和程序?qū)Ρ镜貐^(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者進(jìn)行約談，并要求采取措施進(jìn)行整改，消除隱患。
第三十九條有違反本實(shí)施細(xì)則規(guī)定行為的，由省級(jí)行業(yè)監(jiān)管部門按照相關(guān)法律法規(guī)，根據(jù)情節(jié)嚴(yán)重程度給予沒收違法所得、罰款、暫停業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可證等行政處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。
第九章附則
第四十條中央駐魯企業(yè)在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案、核心數(shù)據(jù)跨主體處理風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)信息上報(bào)、年度數(shù)據(jù)安全事件處置報(bào)告、重要數(shù)據(jù)和核心數(shù)據(jù)風(fēng)險(xiǎn)評估等工作中履行屬地管理要求，按照本實(shí)施細(xì)則執(zhí)行，還應(yīng)當(dāng)按照集團(tuán)總部相關(guān)規(guī)定執(zhí)行。
第四十一條開展涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。
第四十二條涉及軍事、國家秘密信息等數(shù)據(jù)處理活動(dòng)，按照國家有關(guān)規(guī)定執(zhí)行。
第四十三條本實(shí)施細(xì)則自公布之日起施行。