第三章 數(shù)據(jù)全生命周期安全管理

時(shí)間：2022-03-25 00:36:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-25 00:36:01 來(lái)源：行業(yè)動(dòng)態(tài)

第十三條【主體責(zé)任】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任，對(duì)各類數(shù)據(jù)實(shí)行分級(jí)防護(hù)，不同級(jí)別數(shù)據(jù)同時(shí)被處理且難以分別采取保護(hù)措施的， 應(yīng)當(dāng)按照其中級(jí)別最高的要求實(shí)施保護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)。

（一）建立數(shù)據(jù)全生命周期安全管理制度，針對(duì)不同級(jí)別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等環(huán)節(jié)的具體分級(jí)防護(hù)要求和操作規(guī)程；

（二）根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理，協(xié)助行業(yè)（領(lǐng)域）監(jiān)管部門開(kāi)展工作；

（三）合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限，嚴(yán)格實(shí)施人員權(quán)限管理；

（四）根據(jù)應(yīng)對(duì)數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案， 并定期進(jìn)行演練；

（五）定期對(duì)從業(yè)人員開(kāi)展數(shù)據(jù)安全教育和培訓(xùn)；

（六）法律、行政法規(guī)等規(guī)定的其他措施。

工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者，還應(yīng)當(dāng)：

（一）建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系， 明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，建立常態(tài)化溝通與協(xié)作機(jī)制。本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人，領(lǐng)導(dǎo)團(tuán)隊(duì)中分管數(shù)據(jù)安全的成員是直接責(zé)任人；

（二）明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書(shū)；

（三）建立內(nèi)部登記、審批機(jī)制，對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄。

第十四條【數(shù)據(jù)收集】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)?shù)脑瓌t，不得竊取或者以其他非法方式收集數(shù)據(jù)。

數(shù)據(jù)收集過(guò)程中，應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全級(jí)別采取相應(yīng)的安全措施，加強(qiáng)重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理， 并對(duì)收集時(shí)間、類型、數(shù)量、頻度、流向等進(jìn)行記錄。

通過(guò)間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過(guò)簽署相關(guān)協(xié)議、承諾書(shū)等方式，明確雙方法律責(zé)任。

第十五條【數(shù)據(jù)存儲(chǔ)】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)依據(jù)法律規(guī)定或者與用戶約定的方式和期限存儲(chǔ)數(shù)據(jù)。存儲(chǔ)重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲(chǔ)，不得直接提供存儲(chǔ)系統(tǒng)的公共信息網(wǎng)絡(luò)訪問(wèn)，并實(shí)施數(shù)據(jù)容災(zāi)備份和存儲(chǔ)介質(zhì)安全管理，定期開(kāi)展數(shù)據(jù)恢復(fù)測(cè)試。存儲(chǔ)核心數(shù)據(jù)的，還應(yīng)當(dāng)實(shí)施異地容災(zāi)備份。

第十六條【數(shù)據(jù)使用加工】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者利用數(shù)據(jù)進(jìn)行自動(dòng)化決策分析的，應(yīng)當(dāng)保證決策分析的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的， 還應(yīng)當(dāng)加強(qiáng)訪問(wèn)控制。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)處理服務(wù)，涉及經(jīng)營(yíng)電信業(yè)務(wù)的，應(yīng)當(dāng)按照相關(guān)法律、行政法規(guī)規(guī)定取得電信業(yè)務(wù)經(jīng)營(yíng)許可。

第十七條【數(shù)據(jù)傳輸】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級(jí)別和應(yīng)用場(chǎng)景，制定安全策略并采取保護(hù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。第十八條【數(shù)據(jù)提供】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者提供數(shù)據(jù)，應(yīng)當(dāng)明確提供的范圍、類別、條件、程序等，并與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議。提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對(duì)數(shù)據(jù)獲取方數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估或核實(shí)， 采取必要的安全保護(hù)措施。

第十九條【數(shù)據(jù)公開(kāi)】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開(kāi)前分析研判可能對(duì)公共利益、國(guó)家安全產(chǎn)生的影響，存在重大影響的不得公開(kāi)。

第二十條【數(shù)據(jù)銷毀】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷毀制度，明確銷毀對(duì)象、規(guī)則、流程和技術(shù)等要求，對(duì)銷毀活動(dòng)進(jìn)行記錄和留存。個(gè)人、組織依據(jù)法律規(guī)定、合同約定等請(qǐng)求銷毀的，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)銷毀相應(yīng)數(shù)據(jù)。

銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)及時(shí)向地方工業(yè)和信息化主管部門（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）更新備案，不得以任何理由、任何方式對(duì)銷毀數(shù)據(jù)進(jìn)行恢復(fù)。

第二十一條【數(shù)據(jù)出境】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)， 法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。

工業(yè)和信息化部根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)工業(yè)、電信、無(wú)線電執(zhí)法機(jī)構(gòu)關(guān)于提供工業(yè)和信息化領(lǐng)域數(shù)據(jù)的請(qǐng)求。非經(jīng)工業(yè)和信息化部批準(zhǔn)，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國(guó)工業(yè)、電信、無(wú)線電執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)。

第二十二條【數(shù)據(jù)轉(zhuǎn)移】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)當(dāng)明確數(shù)據(jù)轉(zhuǎn)移方案，并通過(guò)電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)及時(shí)向地方工業(yè)和信息化主管部門（工業(yè)領(lǐng)域）或通信管理局（電信領(lǐng)域）

或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域）更新備案。

第二十三條【委托處理】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者委托他人開(kāi)展數(shù)據(jù)處理活動(dòng)的，應(yīng)當(dāng)通過(guò)簽訂合同協(xié)議等方式，明確委托方與被委托方的數(shù)據(jù)安全責(zé)任和義務(wù)。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對(duì)被委托方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行評(píng)估或核實(shí)。

除法律、行政法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，被委托方不得將數(shù)據(jù)提供給第三方。

第二十四條【核心數(shù)據(jù)跨主體處理】跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的，應(yīng)當(dāng)評(píng)估安全風(fēng)險(xiǎn)，采取必要的安全保護(hù)措施，并經(jīng)由地方工業(yè)和信息化主管部門（工業(yè)領(lǐng)域） 或通信管理局（電信領(lǐng)域）或無(wú)線電管理機(jī)構(gòu)（無(wú)線電領(lǐng)域） 報(bào)工業(yè)和信息化部。工業(yè)和信息化部按照有關(guān)規(guī)定進(jìn)行審 查。

第二十五條【日志留存】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過(guò)程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間不少于六個(gè)月。