山東出臺全國首個省級工信領域數據安全管理實施細則

發(fā)布時間：2025-02-05

為規(guī)范全省工業(yè)和信息化領域數據處理活動，維護國家安全和發(fā)展利益，根據《中華人民共和國數據安全法》及《工業(yè)和信息化領域數據安全管理辦法(試行)》等要求，7月20日，山東管局聯(lián)合省工信廳出臺《山東省工業(yè)和信息化領域數據安全管理實施細則(試行)》，這是全國首個省級針對工信領域數據安全管理的實施細則。
《實施細則》共九章41條，圍繞指導督促全省工信領域數據處理者落實數據安全主體責任，健全數據安全管理工作機制，建立數據分類分級及全生命周期安全管理制度，開展省市企三級網絡數據監(jiān)測預警和應急處置，完善重要數據和核心數據備案工作機制并推動數據安全產業(yè)高質量發(fā)展等方面作出具體規(guī)范。此外，《實施細則》還規(guī)定了行業(yè)監(jiān)管部門監(jiān)督檢查等工作要求，明確了相關違法違規(guī)行為的法律責任和懲罰措施。
工業(yè)和信息化領域是山東數字經濟發(fā)展的主陣地和先導區(qū)，是推進數字經濟做強做優(yōu)做大的主力軍?！秾嵤┘殑t》的出臺，將加快推動全省工信領域數據安全管理工作的制度化、規(guī)范化進程，為提升工業(yè)和通信業(yè)數據安全防護保障能力、有效防范數據安全風險提供重要保障,為山東數字經濟高質量發(fā)展提供堅實支撐。
山東省工業(yè)和信息化領域數據安全管理
實施細則
第一章總則
第一條為了規(guī)范本省工業(yè)和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家安全和發(fā)展利益，根據《中華人民共和國數據安全法》《中華人民共和國國家安全法》等法律法規(guī)和《工業(yè)和信息化領域數據安全管理辦法(試行)》，結合本省實際，制定本實施細則。
第二條在本省行政區(qū)域內開展的工業(yè)和信息化領域數據處理活動及其安全監(jiān)管，應當遵守相關法律、行政法規(guī)和本實施細則的要求。
第三條工業(yè)和信息化領域數據包括工業(yè)數據、電信數據和無線電數據等。
工業(yè)數據是指工業(yè)各行業(yè)各領域在研發(fā)設計、生產制造、經營管理、運行維護、平臺運營等過程中產生和收集的數據。電信數據是指在電信業(yè)務經營活動中產生和收集的數據。無線電數據是指在開展無線電業(yè)務活動中產生和收集的無線電頻率、臺(站)等電波參數數據。
工業(yè)和信息化領域數據處理者是指數據處理活動中自主決定處理目的、處理方式的工業(yè)企業(yè)、軟件和信息技術服務企業(yè)、取得電信業(yè)務經營許可證的電信業(yè)務經營者和無線電頻率、臺(站)使用單位等工業(yè)和信息化領域各類主體。工業(yè)和信息化領域數據處理者按照所屬行業(yè)領域可分為工業(yè)數據處理者、電信數據處理者、無線電數據處理者等。數據處理活動包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開等活動。
第四條在省數據安全工作協(xié)調機制統(tǒng)籌與工業(yè)和信息化部指導下，省工業(yè)和信息化廳、省通信管理局(以下統(tǒng)稱省級行業(yè)監(jiān)管部門)負責督促指導各市工業(yè)和信息化主管部門和通信管理主管部門(以下統(tǒng)稱市級行業(yè)監(jiān)管部門)開展數據安全監(jiān)管。
省、市工業(yè)和信息化主管部門負責對本地區(qū)工業(yè)數據、無線電數據處理者的數據處理活動和安全保護進行監(jiān)督管理，省、市通信管理主管部門負責對本地區(qū)電信數據處理者的數據處理活動和安全保護進行監(jiān)督管理。
省、市級行業(yè)監(jiān)管部門按照有關法律、行政法規(guī)，依法配合有關部門開展的數據安全監(jiān)管相關工作。
第五條省、市級行業(yè)監(jiān)管部門的黨委(黨組)對本地區(qū)本部門數據安全工作負主體責任，領導班子主要負責人是第一責任人，主管數據安全的領導班子成員是直接責任人。
省、市級行業(yè)監(jiān)管部門建立工業(yè)和信息化領域數據安全工作機制，指導本地區(qū)工業(yè)和信息化領域數據處理者落實數據安全主體責任，完善數據安全防護體系，提升數據安全管理能力。
工業(yè)和信息化領域數據處理者實行企業(yè)“一把手”負責制，落實數據安全主體責任，明確數據安全分管領導和責任部門，健全數據安全規(guī)章制度，提高數據安全防護能力，構建數據安全治理體系。
第二章 數據分類分級管理
第六條省級行業(yè)監(jiān)管部門按照工業(yè)和信息化領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規(guī)范，指導開展數據分類分級管理工作，制定省級重要數據和核心數據具體目錄并實施動態(tài)管理。
市級行業(yè)監(jiān)管部門組織開展本地區(qū)工業(yè)和信息化領域數據分類分級管理及重要數據和核心數據識別工作，確定市級重要數據和核心數據具體目錄并上報省級行業(yè)監(jiān)管部門，目錄發(fā)生變化的，應當及時上報更新。
工業(yè)和信息化領域數據處理者應當每年梳理數據，按照相關標準規(guī)范識別重要數據和核心數據并形成本單位的具體目錄。
第七條根據行業(yè)要求、特點、業(yè)務需求、數據來源和用途等因素，工業(yè)和信息化領域數據分類類別包括但不限于研發(fā)數據、生產運行數據、管理數據、運維數據、業(yè)務服務數據等。
根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，工業(yè)和信息化領域數據分為一般數據、重要數據和核心數據三級。
工業(yè)和信息化領域數據處理者可在此基礎上，結合實際細分數據的類別和級別。
第八條危害程度符合下列條件之一的數據為一般數據：
(一)對公共利益或者個人、組織合法權益造成較小影響，社會負面影響?。?br>(二)受影響的用戶和企業(yè)數量較少、生產生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經營、行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等影響較小；
(三)其他未納入重要數據、核心數據目錄的數據。
第九條危害程度符合下列條件之一的數據為重要數據：
(一)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態(tài)、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；
(二)對工業(yè)和信息化領域發(fā)展、生產、運行和經濟利益等造成嚴重影響；
(三)造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；
(四)引發(fā)的級聯(lián)效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等造成嚴重影響；
(五)經工業(yè)和信息化部評估確定的其他重要數據。
第十條危害程度符合下列條件之一的數據為核心數據：
(一)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態(tài)、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；
(二)對工業(yè)和信息化領域及其重要骨干企業(yè)、關鍵信息基礎設施、重要資源等造成重大影響；
(三)對工業(yè)生產運營、電信網絡和互聯(lián)網運行服務、無線電業(yè)務開展等造成重大損害，導致大范圍停工停產、大面積無線電業(yè)務中斷、大規(guī)模網絡與服務癱瘓、大量業(yè)務處理能力喪失等；
(四)經工業(yè)和信息化部評估確定的其他核心數據。
第十一條工業(yè)和信息化領域數據處理者應于每年五月底前將本單位重要數據和核心數據目錄報送至市級行業(yè)監(jiān)管部門，市級行業(yè)監(jiān)管部門審核匯總后于每年六月底前向省級行業(yè)監(jiān)管部門備案。
備案內容包括但不限于數據來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數據內容本身。
市級行業(yè)監(jiān)管部門應當在工業(yè)和信息化領域數據處理者提交備案申請的五個工作日內完成初審工作并提報省級行業(yè)監(jiān)管部門，省級行業(yè)監(jiān)管部門應在十五個工作內完成審核工作，備案內容符合要求的，予以備案，同時將備案情況上報工業(yè)和信息化部；不予備案的應當及時反饋備案申請人并說明理由。備案申請人應當在收到反饋情況后的十五個工作日內再次提交備案申請。
備案內容發(fā)生重大變化的，工業(yè)和信息化領域數據處理者應當在發(fā)生變化的三個月內履行備案變更手續(xù)。重大變化是指某類重要數據和核心數據規(guī)模(數據條目數量或者存儲總量等)變化30%以上，或者其它備案內容發(fā)生變化。
第三章 數據全生命周期安全管理
第十二條工業(yè)和信息化領域數據處理者應當對數據處理活動承擔安全主體責任，對各類數據實行分級防護。不同級別數據同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數據持續(xù)處于有效保護和合法利用的狀態(tài)。
(一)建立數據全生命周期安全管理制度，針對不同級別的數據，制定數據收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程；
(二)根據需要配備數據安全管理人員，統(tǒng)籌負責數據處理活動的安全監(jiān)督管理，協(xié)助省、市級行業(yè)監(jiān)管部門開展工作；
(三)合理確定數據處理活動的操作權限，嚴格實施人員權限管理；
(四)根據應對數據安全事件的需要，制定應急預案，并開展應急演練；
(五)定期對從業(yè)人員開展數據安全教育和培訓；
(六)法律、行政法規(guī)等規(guī)定的其他措施。
工業(yè)和信息化領域數據處理者需處理重要數據和核心數據的，還應當：
(一)建立覆蓋本單位相關部門的數據安全工作體系，明確本單位法定代表人或者主要負責人是數據安全第一責任人，明確領導團隊中分管數據安全的成員是直接責任人，明確數據安全負責人和管理機構，建立常態(tài)化溝通與協(xié)作機制；
(二)明確數據處理關鍵崗位和崗位職責，并要求關鍵崗位人員簽署數據安全責任書，責任書內容包括但不限于數據安全崗位職責、義務、處罰措施、注意事項等內容；
(三)建立內部登記、審批等工作機制，對重要數據和核心數據的處理活動進行嚴格管理并留存記錄。
第十三條工業(yè)和信息化領域數據處理者收集數據應當遵循合法、正當的原則，不得竊取或者以其他非法方式收集數據。
數據收集過程中，應當根據數據安全級別采取相應的安全措施，加強對重要數據和核心數據收集人員、設備的管理，并對收集來源、時間、類型、數量、頻度、流向等進行記錄。
通過間接途徑獲取重要數據和核心數據的，工業(yè)和信息化領域數據處理者應當與數據提供方通過簽署相關協(xié)議、承諾書等方式，明確雙方法律責任。
第十四條工業(yè)和信息化領域數據處理者應當按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數據存儲。存儲重要數據和核心數據的，應當采用校驗技術、密碼技術等措施進行安全存儲，并實施數據容災備份和存儲介質安全管理，定期開展數據恢復測試。
第十五條工業(yè)和信息化領域數據處理者利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。使用、加工重要數據和核心數據的，還應當加強訪問控制。
工業(yè)和信息化領域數據處理者提供數據處理服務，涉及經營電信業(yè)務的，應當按照相關法律、行政法規(guī)規(guī)定取得電信業(yè)務經營許可。
第十六條工業(yè)和信息化領域數據處理者應當根據傳輸的數據類型、級別和應用場景，制定安全策略并采取保護措施。傳輸重要數據和核心數據的，應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協(xié)議等措施。
第十七條工業(yè)和信息化領域數據處理者對外提供數據，應當明確提供的范圍、類別、條件、程序等。提供重要數據和核心數據的，應當與數據獲取方簽訂數據安全協(xié)議，對數據獲取方數據安全保護能力進行核驗，采取必要的安全保護措施。
第十八條工業(yè)和信息化領域數據處理者應當在數據公開前分析研判可能對國家安全、公共利益產生的影響，存在重大影響的不得公開。
第十九條工業(yè)和信息化領域數據處理者應當建立數據銷毀制度，明確銷毀對象、規(guī)則、流程和技術等要求，對銷毀活動進行記錄和留存。個人、組織按照法律規(guī)定、合同約定等請求銷毀的，工業(yè)和信息化領域數據處理者應當銷毀相應數據。
工業(yè)和信息化領域數據處理者銷毀重要數據和核心數據后， 不得以任何理由、任何方式對銷毀數據進行恢復，引起備案內容發(fā)生變化的，應當履行備案變更手續(xù)。
第二十條工業(yè)和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規(guī)有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規(guī)進行數據出境安全評估。
工業(yè)和信息化部是工業(yè)和信息化領域數據出境有關工作的行業(yè)主管部門，非經工業(yè)和信息化部批準，工業(yè)和信息化領域數據處理者不得向外國工業(yè)、電信、無線電執(zhí)法機構提供存儲于中華人民共和國境內的工業(yè)和信息化領域數據。
第二十一條工業(yè)和信息化領域數據處理者因兼并、重組、破產等原因需要轉移數據的，應當明確數據轉移方案，并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數據和核心數據備案內容發(fā)生變化的，應當履行備案變更手續(xù)。
第二十二條工業(yè)和信息化領域數據處理者委托他人開展數據處理活動的，應當通過簽訂合同協(xié)議等方式，明確委托方與受托方的數據安全責任和義務。委托處理重要數據和核心數據的，應當對受托方的數據安全保護能力、資質進行核驗。
除法律、行政法規(guī)等另有規(guī)定外，未經委托方同意，受托方不得將數據提供給第三方。
第二十三條跨主體提供、轉移、委托處理核心數據的，工業(yè)和信息化領域數據處理者應當評估安全風險，采取必要的安全保護措施，并由本地區(qū)市級行業(yè)監(jiān)管部門初審后報省級行業(yè)監(jiān)管部門，省級行業(yè)監(jiān)管部門審查后報工業(yè)和信息化部最終審查確定。
第二十四條工業(yè)和信息化領域數據處理者應當在數據全生命周期處理過程中，記錄數據處理、權限管理、人員操作等日志，日志留存時間不少于六個月。
第四章 數據安全監(jiān)測預警與應急管理
第二十五條省、市級行業(yè)監(jiān)管部門建立本地區(qū)數據安全風險監(jiān)測機制，按照數據安全風險監(jiān)測接口和標準等規(guī)范，搭建本領域工業(yè)和信息化領域數據安全監(jiān)管平臺，充分依托工業(yè)和信息化部、第三方平臺等監(jiān)測技術手段，形成“省—市—企業(yè)”多方聯(lián)動工作機制，構建監(jiān)測預警、處置溯源、信息通報等能力。按照有關規(guī)定及時發(fā)布預警信息，通知本地區(qū)工業(yè)和信息化領域數據處理者及時采取應對措施，與相關部門加強信息共享。
工業(yè)和信息化領域數據處理者應當采用數據安全監(jiān)測技術開展數據安全風險監(jiān)測，及時排查安全隱患，采取必要的措施防范數據安全風險。
第二十六條省、市級行業(yè)監(jiān)管部門建立數據安全風險信息上報和共享機制，統(tǒng)一匯集、分析、研判、通報數據安全風險信息，及時將可能造成重大及以上安全事件的風險由市級行業(yè)監(jiān)管部門經省級行業(yè)監(jiān)管部門上報至工業(yè)和信息化部，鼓勵安全服務機構、行業(yè)組織、科研機構等開展數據安全風險信息上報和共享。
工業(yè)和信息化領域數據處理者應當及時將可能造成較大及以上安全事件的風險向市級行業(yè)監(jiān)管部門報告。
第二十七條省級行業(yè)監(jiān)管部門負責制定本省工業(yè)和信息化領域數據安全事件應急預案，組織協(xié)調重要數據和核心數據安全事件應急處置工作。
市級行業(yè)監(jiān)管部門負責組織開展本地區(qū)數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即經由省級行業(yè)監(jiān)管部門報工業(yè)和信息化部，并及時報告事件發(fā)展和處置情況。
工業(yè)和信息化領域數據處理者在數據安全事件發(fā)生后，應當按照應急預案，及時開展應急處置，涉及重要數據和核心數據的安全事件，第一時間經市級行業(yè)監(jiān)管部門報告至省級行業(yè)監(jiān)管部門，事件處置完成后在三個月內形成總結報告，每年將數據安全事件處置情況經市級行業(yè)監(jiān)管部門報告至省級行業(yè)監(jiān)管部門。
工業(yè)和信息化領域數據處理者對發(fā)生的可能損害用戶合法權益的數據安全事件，應當及時告知用戶，并提供減輕危害措施。
第二十八條省級行業(yè)監(jiān)管部門委托相關行業(yè)組織建立本省工業(yè)和信息化領域數據安全違法行為投訴舉報渠道，市級行業(yè)監(jiān)管部門建立本地區(qū)數據安全違法行為投訴舉報機制或渠道，依法接收、處理投訴舉報，根據工作需要開展執(zhí)法調查。鼓勵工業(yè)和信息化領域數據處理者建立用戶投訴處理機制。
第五章 數據安全檢測、認證、評估管理
第二十九條省級行業(yè)監(jiān)管部門鼓勵、引導具備相應資質的機構，依據相關標準開展行業(yè)數據安全檢測、認證工作。
第三十條省級行業(yè)監(jiān)管部門督促評估機構在工業(yè)和信息化部的管理下，依據行業(yè)數據安全評估規(guī)范，開展數據安全風險評估、出境安全評估等工作。
工業(yè)和信息化領域重要數據和核心數據處理者應在每年六月底前完成自評估或委托第三方評估，及時整改風險問題，并將評估報告報送市級行業(yè)監(jiān)管部門，市級行業(yè)監(jiān)管部門匯總后，形成本地區(qū)數據安全總體報告一并報至省級行業(yè)監(jiān)管部門。
省、市級行業(yè)監(jiān)管部門應在每年七月至十月針對工業(yè)和信息化領域重要數據和核心數據處理者評估情況開展督導檢查。
第六章 數據安全產業(yè)發(fā)展
第三十一條省、市級行業(yè)監(jiān)管部門鼓勵數據開發(fā)利用和數據安全技術研究，支持數據安全成果轉化、推廣數據安全產品和服務，加快數據分類分級、敏感數據挖掘、輕量級加密、數據動態(tài)脫敏等數據安全技術和產品攻關，增強產學研用深度合作力度。工業(yè)和信息化領域數據處理者研究、開發(fā)、使用數據新技術、新產品、新服務，應當有利于促進經濟社會和行業(yè)發(fā)展，符合社會公德和倫理。
第三十二條省、市級行業(yè)監(jiān)管部門鼓勵建立工業(yè)和信息化領域數據安全產業(yè)園，整合相關行業(yè)資源，支持專業(yè)機構、高校、企業(yè)等聯(lián)合建設數據安全創(chuàng)新平臺，培育或引進一批核心技術突出、市場競爭能力強的數據安全企業(yè)、研究和服務機構，發(fā)展數據安全產業(yè)，提升數據安全保障能力，促進數據的創(chuàng)新應用。
第三十三條省、市級行業(yè)監(jiān)管部門組建數據安全支撐隊伍， 開展政策研究、態(tài)勢研判、安全檢查、應急處置等工作，協(xié)助企業(yè)建立應急管理機制，提升企業(yè)安全保障能力。
深入推進產教融合、校企合作，建立數據安全人才聯(lián)合培養(yǎng)機制，每年開展數據安全宣傳教育、安全演練和安全競賽等，培養(yǎng)復合型、創(chuàng)新型高技能人才，選拔優(yōu)秀團隊納入山東省工業(yè)和信息化領域數據安全支撐隊伍，提升省內數據安全人員支撐能力。
第三十四條省、市級行業(yè)監(jiān)管部門推進工業(yè)和信息化領域數據開發(fā)利用和數據安全標準體系建設，組織開展相關標準制修訂及推廣應用工作。
遴選數據安全優(yōu)秀產品、服務和應用解決方案，打造一批標桿示范企業(yè)，并在省內重點行業(yè)進行推廣應用。
第七章 監(jiān)督檢查
第三十五條省、市級行業(yè)監(jiān)管部門對本地區(qū)工業(yè)和信息化領域數據處理者落實本實施細則要求的情況進行監(jiān)督檢查。工業(yè)和信息化領域數據處理者應當對省、市級行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。
第三十六條省級行業(yè)監(jiān)管部門在省數據安全工作協(xié)調機制統(tǒng)籌與工業(yè)和信息化部指導下，開展工業(yè)和信息化領域數據安全審查相關工作。
第三十七條省、市級行業(yè)監(jiān)管部門及其委托的數據安全評估機構工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等，應當嚴格保密，不得泄露或者非法向他人提供。
第八章法律責任
第三十八條省級行業(yè)監(jiān)管部門在履行數據安全監(jiān)督管理職責中，發(fā)現數據處理活動存在較大安全風險的，可以按照規(guī)定權限和程序對本地區(qū)工業(yè)和信息化領域數據處理者進行約談，并要求采取措施進行整改，消除隱患。
第三十九條有違反本實施細則規(guī)定行為的，由省級行業(yè)監(jiān)管部門按照相關法律法規(guī)，根據情節(jié)嚴重程度給予沒收違法所得、罰款、暫停業(yè)務、停業(yè)整頓、吊銷業(yè)務許可證等行政處罰；構成犯罪的，依法追究刑事責任。
第九章附則
第四十條中央駐魯企業(yè)在重要數據和核心數據目錄備案、核心數據跨主體處理風險評估、風險信息上報、年度數據安全事件處置報告、重要數據和核心數據風險評估等工作中履行屬地管理要求，按照本實施細則執(zhí)行，還應當按照集團總部相關規(guī)定執(zhí)行。
第四十一條開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規(guī)的規(guī)定。
第四十二條涉及軍事、國家秘密信息等數據處理活動，按照國家有關規(guī)定執(zhí)行。
第四十三條本實施細則自公布之日起施行。