数据安全法开始施行的时间是（网络数据安全法开始施行的时间是）

最近，许多读者对数据安全法的实施时间有疑问。有网友整理了相关内容，希望能回答你的疑惑。网络数据安全法实施的时间是，这个网站已经为你找到了问题的答案，希望对你有所帮助。

国家安全是民族复兴的基础。党的二十大报告指出，“加快建设制造强国、质量强国、航天强国、交通强国网络强国，数字中国”、“推进国家安全体系和能力现代化”、“加强经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全体系建设”。数据安全作为国家安全的重要组成部分，已成为响应国家顶级战略、完善安全体系建设、激活数据要素潜力、促进数据开发利用的核心工作。

多行业积极出台数据安全法规。在实施顶层规划时，各行业结合行业特点进行立法创新，先后出台了规范行业数据管理的要求，体现了政策的统一性、规则的一致性和执行的协调性，充分发挥了法治的引领、规范和保障作用，为加快建立全国统一的数据要素市场体系和规则，促进中国现代化提供了有力支持。2022年12月13日，工业和信息技术部发布了《工业和信息技术领域数据安全管理办法（试行）》，旨在规范工业和信息技术领域的数据处理活动，加强数据安全管理，确保数据安全，促进数据开发利用，保护个人和组织的合法权益，维护国家安全和发展利益。

对此，炼石重点解读《工业和信息化领域数据安全管理办法(试行)》以期为数据安全行业同事提供参考。《数据安全法》提出“各地区、各部门对本地区、本部门工作中收集和生成的数据和数据安全负责”，金融、交通、医疗、教育等行业除工业和信息化领域外，还颁布了相应的法律法规，以确保数据的开发利用，促进行业的数字化发展。同时整理炼石中国银行业保险监督管理委员会、交通运输部、国家医疗保障局、教育部等兄弟部门发布的数据法规作为比较，可以更深入地了解各行业数据安全法规的特点。

关注这个账号，私信小编就可以打包下载幻灯片PDF版，正式稿与征求意见稿对比版和5份政策文件。

本文70页幻灯片，预计阅读时间 15 分钟。

原声明:本文图片和对比图片均为原创，版权属于炼石网络。如需转载，请关注微信官方账号回复“转载”或在文章底部留言。

注：欢迎行业同事反馈改进、共同改进、沟通合作，请发邮件反馈：

support@ciphergateway.com。

01

《工业和信息化领域数据安全管理办法(试行)》

左右滑动查看更多

《管理办法》征求意见稿与正式稿件对比版

来源说明：

“正式稿”来源于工业和信息化部网站：

https://www.miit.gov.cn/jgsj/waj/gzdt/art/2022/art_b7d9d715d6ce428abe4606d7491f24.html

“征求意见稿”来源于工业和信息化部网站：

https://www.miit.gov.cn/gzcy/yjzj/art/2022/art_d9a3a5efd4f648b40c3af5d62e.html

数据安全管理办法(试行)工业和信息化领域

(公开征求意见稿)

第一章 总则

第一条[目的依据]为了在工业和信息化领域规范数据处理活动，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国国家安全法》、《中华人民共和国民法典》等法律法规，加强数据安全管理，确保数据安全，促进数据开发利用，保护个人和组织的合法权益，维护国家安全和发展利益。

第二条在中华人民共和国境内开展的工业和信息化数据处理活动及其安全监督，应当遵守有关法律、行政法规和本办法的要求。

第二条在中华人民共和国境内开展的工业和信息化数据处理活动及其安全监督，应当遵守有关法律、行政法规和本办法的要求。

第三条工业和信息化领域的数据包括工业数据、电信数据和无线电数据

等

。工业数据是指在R&D、设计、生产制造、运营管理、运营维护、平台运营等过程中产生和收集各行业各领域的数据。

电信数据是指在电信业务经营活动中生成和收集的数据。

无线电数据是指在无线电业务活动中生成和收集的无线电频率、台(站)等电波参数数据。工业和信息化领域的数据处理者是指收集、存储、使用、处理、传输、提供和披露工业和信息化领域的数据在指数据处理活动中独立决定处理目的，

处理活动

方式
工业和信息化领域的各类主体，如工业企业、软件和信息技术服务企业、电信业务经营者、无线电频率、台湾（站）用户等。

工业和信息化领域的数据处理器可分为工业数据处理器、电信数据处理器、无线电数据处理器等。

数据处理器可分为工业数据处理器、电信数据处理器、无线电数据处理器等。数据处理活动包括但不限于数据收集、存储、使用、处理、传输、提供、披露等活动。

第四条在国家数据安全工作协调机制的协调下，工业和信息化部负责督促和指导省、自治区、直辖市、计划单列市、新疆生产建设兵团工业和信息化主管部门（以下简称地方工业和信息化主管部门），省、自治区、直辖市通信管理局(以下简称地方通信管理局)和省、自治区、直辖市
和

无线电管理机构(以下简称地方无线电管理机构)

行业监管部门）开展数据安全监督，监督管理数据处理活动和工业和信息化领域的安全保护。地方工业和信息化主管部门

行业监管部门分别

负责监督管理本地区工业数据处理人员的数据处理活动和安全保护。

地方工业和信息化主管部门

行业监管部门分别

负责监督和管理本地区工业数据处理器的数据处理活动和安全保护。地方通信管理局负责本地区
、

监督管理电信数据处理器的数据处理活动和安全保护。地方无线电管理机构负责本地区

、监督管理无线电数据处理者的数据处理活动和安全保护。

工业和信息化部、地方工业和信息化部、通信管理局、无线电管理机构

行业监管部门统称为行业(领域)监管部门。

按照行业(领域)监管部门的规定

按照

有关法律、行政法规的规定，依法配合有关部门开展数据安全监督工作。

第五条[产业发展]行业（领域）监管部门鼓励数据开发利用和数据安全技术研究，支持数据安全产品和服务的推广，培育数据安全企业、研究和服务机构，发展数据安全产业，提高数据安全能力，促进数据的创新应用。

数据处理者在工业和信息领域的研究、开发和使用新的数据技术、新产品和新服务，应有利于促进经济、社会和行业的发展，符合社会道德和道德。

第六条【标准制定】

行业（领域）监管部门推进数据开发利用和数据安全标准体系建设，组织行业相关标准的制定和修订

及推广应用工作。鼓励和支持企业、研究机构、高等院校、行业组织等不同主体合作制定国际标准、国家标准、行业标准、团体标准和企业标准。引导工业和信息化领域的数据处理者开展数据管理和数据安全标准。

第二章 数据分类分级管理

第七条【分类分级要求】

工业和信息化部组织制定工业和信息化领域数据分类分类、重要数据和核心数据识别识别、数据分类保护等标准和规范，指导数据分类和分类管理，制定行业重要数据和核心数据的具体目录，实施动态管理。

地方工业和信息化主管部门、通信管理局、无线电管理机构

行业监管部门分别

组织开展区域工业和信息领域的数据分类分类管理和重要数据和核心数据识别，确定区域工业（领域）重要数据和核心数据的具体目录，并向工业和信息化部报告。如果目录发生变化，应及时报告和更新。

工业和信息化领域的数据处理者应定期梳理数据，识别重要数据和核心数据，并按照相关标准和规范形成

本单位具体
目录。

第八条工业和信息化领域的数据分类包括但不限于研发数据、生产经营数据、管理数据、运维数据、业务服务数据等。根据行业要求、特点、业务需求、数据源和用途。

根据篡改、破坏、泄露、非法获取、非法使用数据对国家安全、公共利益、个人和组织合法权益的危害，工业和信息领域的数据分为一般数据、重要数据和核心数据。

根据篡改、破坏、泄露、非法获取、非法使用数据对国家安全、公共利益、个人和组织合法权益的危害，工业和信息领域的数据分为一般数据、重要数据和核心数据。

在此基础上，工业和信息化领域的数据处理者可以细分数据的类别和级别。

第九条[一般数据]

符合下列条件之一的危害数据为一般数据：

(一)对公共利益或者个人、组织合法权益的影响较小，对社会的负面影响较小；

(二)受影响的用户和企业数量少，生产生活面积小，持续时间短，对企业经营、产业发展、技术进步和产业生态影响较小；

(三)未纳入重要数据和核心数据目录的其他数据。

第十条[重要数据]

符合下列条件之一的危害数据是重要数据：

(一)威胁政治、土地、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等。与国家安全相关的重点领域，如影响海外利益、生物、太空、极地、深海、人工智能等；

(二)严重影响工业和信息化领域的发展、生产、经营和经济利益；

(三)造成重大数据安全事故或生产安全事故，严重影响公共利益、个人和组织的合法权益。社会负面影响大；

（4）级联效应明显，影响范围涉及多个行业、地区或行业企业，或影响持续时间长，严重影响行业发展、技术进步和产业生态；

(五)工业和信息化部评估确定的其他重要数据。

第十一条【核心数据】符合下列条件之一的危害数据是核心数据：（1）严重威胁政治、土地、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全，严重影响海外利益、生物、太空、极地、深海、人工智能和国家安全全相关的重点领域；（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

（三）对工业生产运营、电信网络（含

和
互联网）运行和服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

（四）经工业和信息化部评估确定的其他核心数据。

第十二条【重要数据和核心数据目录备案】

工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、

载体、

处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。

地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作，备案内容符合要求的，予以备案并发放备案凭证，同时将备案情况报工业和信息化部；不予备案的应当及时反馈备案申请人并说明理由。

重要数据和核心数据的类别或规模变化30％以上的，或者其它备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案

申请。

备案

内容发生重大变化的，工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。
重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，或者其它备案内容发生变化。

第三章 数据全生命周期安全管理

第十三条【主体责任】

工业和信息化领域数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。

（一）建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程；

（二）根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业（领域）监管部门开展工作；

（三）合理确定数据处理活动的操作权限，严格实施人员权限管理；

（四）根据应对数据安全事件的需要，制定应急预案，并定期进行开展应急演练；

（五）定期对从业人员开展数据安全教育和培训；（六）法律、行政法规等规定的其他措施。

工业和信息化领域重要数据和核心数据处理者，还应当：

（一）建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人；

（二）明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书

，责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容
；

（三）建立内部登记、审批

等工作

机制，对重要数据和核心数据的处理活动进行严格管理并留存记录。

第十四条【数据收集】 工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据。数据收集过程中，应当根据数据安全级别采取相应的安全措施，加强重要数据和核心数据收集人员、设备的管理，并对收集来源、时间、类型、数量、频度、流向等进行记录。通过间接途径获取重要数据和核心数据的，工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式，明确双方法律责任。

第十五条【数据存储】

工业和信息化领域数据处理者应当依据按照

法律

、行政法规
规定或者与

和

用户约定的方式和

、

期限存储
进行

数据

存储。存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，不得直接提供存储系统的公共信息网络访问，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。存储核心数据的，还应当实施异地容灾备份。

第十六条【数据使用加工】

工业和信息化领域数据处理者利用数据进行自动化决策分析的，应当保证决策分析的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制。工业和信息化领域数据处理者提供数据处理服务，涉及经营电信业务的，应当按照相关法律、行政法规规定取得电信业务经营许可。

第十七条【数据传输】

工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。

第十八条【数据提供】

工业和信息化领域数据处理者

对外

提供数据，应当明确提供的范围、类别、条件、程序等，并与数据获取方签订数据安全协议。提供重要数据和核心数据的，应当与数据获取方签订数据安全协议，对数据获取方数据安全保护能力进行评估或核实核验，采取必要的安全保护措施。

第十九条【数据公开】 工业和信息化领域数据处理者应当在数据公开前分析研判可能对公共利益、国家安全、公共利益产生的影响，存在重大影响的不得公开。

第二十条【数据销毁】

工业和信息化领域数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存。个人、组织依据按照法律规定、合同约定等请求销毁的，工业和信息化领域数据处理者应当销毁相应数据。

工业和信息化领域数据处理者

销毁重要数据和核心数据的，应当及时向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）更新备案
后

，不得以任何理由、任何方式对销毁数据进行恢复

，引起备案内容发生变化的，应当履行备案变更手续。第二十一条【数据出境】 工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。第二十二条【数据转移】 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的，应当明确数据转移方案，并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化

的，应当及时向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）更新

履行
备案

变更手续

。

第二十三条【委托处理】

工业和信息化领域数据处理者委托他人开展数据处理活动的，应当通过签订合同协议等方式，明确委托方与被委托方受托方的数据安全责任和义务。委托处理重要数据和核心数据的，应当对被委托方受托方的数据安全保护能力、资质进行评估或核实核验。

除法律、行政法规等另有规定外，未经委托方同意，被委托方受托方不得将数据提供给第三方。

第二十四条【核心数据 跨主体处理】跨主体提供、转移、委托处理核心数据的，工业和信息化领域数据处理者应当评估安全风险，采取必要的安全保护措施，并经由地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）

由本地区行业监管部门审查后

报工业和信息化部。工业和信息化部按照有关规定进行审查。

第二十五条【日志留存】 工业和信息化领域数据处理者应当在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。

第四章 数据安全监测预警与应急管理

第二十六条【监测预警机制】

工业和信息化部建立数据安全风险监测机制，组织制定数据安全监测预警接口和标准，统筹建设数据安全监测预警技术手段，形成监测、溯源、预警、处置
、溯源

等能力，与相关部门加强信息共享。

地方工业和信息化主管部门、通信管理局和无线电管理机构
行业监管部门分别

建设本地区数据安全

风险监测预警机制，组织开展本地区工业、电信行业和无线电数据安全风险监测，按照有关规定及时发布预警信息，通知本地区工业和信息化领域数据处理者及时采取应对措施。

工业和信息化领域数据处理者应当开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险。

第二十七条【信息上报和共享】

工业和信息化部建立数据安全风险信息上报和共享机制，统一汇集、分析、研判、通报数据安全风险信息，鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。

地方工业和信息化主管部门、通信管理局和无线电管理机构
行业监管部门分别

汇总分析本地区工业、电信行业和无线电数据安全风险，及时将可能造成重大及以上安全事件的风险上报工业和信息化部。

工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）
本地区行业监管部门

报告。

第二十八条【应急处置】 工业和信息化部制定工业和信息化领域数据安全事件应急预案，组织协调重要数据和核心数据安全事件应急处置工作。

地方工业和信息化主管部门、通信管理局和无线电管理机构行业监管部门分别组织开展本地区工业、电信行业和无线电数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件，应当立即上报工业和信息化部，并及时报告事件发展和处置情况。

工业和信息化领域数据处理者在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和核心数据的安全事件，应当第一时间向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）本地区行业监管部门报告。，事件处置完成后应当在规定期限内形成总结报告，每年向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）

本地区行业监管部门

报告数据安全事件处置情况。

工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。

第二十九条【举报投诉处理】 工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道，地方工业和信息化主管部门、通信管理局、无线电管理机构行业监管部门分别建立本地区工业、电信行业和无线电数据安全违法行为投诉举报机制或渠道，依法接收、处理投诉举报，根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。

第五章 数据安全检测、认证、评估管理

第三十条【安全检测与认证】 工业和信息化部

指导、

鼓励、引导具备相应资质的机构，依据相关标准开展行业数据安全检测、认证工作。

第三十一条【安全评估】 工业和信息化部制定行业数据安全评估机构管理制度，开展评估机构管理工作。制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、合规评估、能力评估、出境安全评估等工作。

地方工业和信息化主管部门、通信管理局和无线电管理机构

行业监管部门分别

负责组织开展本地区工业、电信行业和无线电数据安全评估工作。

工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年

对其数据处理活动

至少开展一次安全风险评估，及时整改风险问题，并向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）

本地区行业监管部门

报送
风险

评估报告。

第六章 监督检查

第三十二条【监督检查和协助义务】

行业（领域）监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。

工业和信息化领域数据处理者应当对行业（领域）监管部门监督检查予以配合。

第三十三条【数据安全审查】

工业和信息化部在国家数据安全工作协调机制指导下，开展
工业和信息化领域

数据安全审查相关工作。

第三十四条【保密要求】

行业（领域）监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等，应当严格保密，不得泄露或者非法向他人提供。

第七章 法律责任

第三十五条【约谈整改】 行业（领域）监管部门在履行数据安全监督管理职责中，发现数据处理活动存在较大安全风险的，可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈，并要求采取措施进行整改，消除隐患。

第三十六条【法律责任】 有违反本办法规定行为的，由行业（领域）监管部门依照按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

第八章 附则

第三十七条【个人

中央企业应当督促指导所属企业，在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险

信息保护】
上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求，还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况，并及时报送工业和信息化部。

第三十八条

开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

第三十八条【其他规定参照】第三十九条 涉及军事、国家秘密信息、密码使用等数据处理活动，按照国家有关规定执行。

第三十九条【政务数据排除】第四十条 工业和信息化领域政务数据处理活动的具体办法，由工业和信息化部另行规定。

第四十条【国防科工、烟草领域】

第四十一条

国防科技工业、烟草领域数据安全管理由
国家

国防科工局

科技工业局、国家烟草专卖局负责，具体制度参照本办法另行制定。

第四十一条【施行日期】第四十二条 本办法自 2022 年 月 2023年1月1日起施行。

02

《交通运输政务数据共享管理办法》

《教育部机关及直属事业单位教育数据管理办法》

关注本账号，私信小编，即可打包下载幻灯片PDF版、正式稿与征求意见稿对比版，以及5项政策文件。