1、工业和信息化领域数据安全管理办法(试行)学习解读工业和信息化部印发的工业和信息化领域数据安全管理办法(试行)(讲义)近日,工业和信息化部印发了工业和信息化领域数据安全管理办法(试行)(以下简称管理办法)。管理办法共八章四十二条,主要内容包括界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责;确定数据分类分级管理、重要数据识别与备案相关要求;针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求等七个方面,自2023年1月1日起施行。第一部分:管理办法的出台背景当前,数据已成为数字经济时代最为活跃的新型生产要素。
2、与此同时,数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。2021年9月1日,中华人民共和国数据安全法正式实施,为开展数据安全监管和保护工作提供了法律依据和根本遵循,其中明确工业和信息化部承担工业、电信行业数据安全监管职责,并对数据处理者的安全保护义务提出了相关要求。工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。为贯彻落实数据安全法,加快推动工业和信息化领域数据安全管理工作制度化、规范化,我部研究起草了管理办法,一是在工业和信息化领域对国家数据安全管理制度要求进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全
3、生命周期安全义务,为行业数据安全监管提供制度保障。二是构建工业和信息化领域数据安全监管体系,明确工业和信息化部、地方行业监管部门的职责范围,建立权责一致的工作机制。三是根据工业、电信、无线电领域的实际情况,明确数据全生命周期保护要求,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。第二部分:管理办法的要点解答1、管理办法的定位和主要内容是什么?管理办法作为工业和信息化领域数据安全管理顶层制度文件,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确
4、定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。2、管理办法明确的监管范围是什么?管理办法对工业和信息化领域数据处理活动进行安全监管,具体可以从处理对象、处理主体、处理活动三方面进行认识:从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中
5、自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。3、管理办法明确了怎样的监管职责分工?管理办法构建了“工业和信息化部、地方行业监管部门”两级监管机制。工业和信息化部统筹工业和电信领域数据安全监管工作,包括组织制定行业数据安全管理政策制度和标准规范,编制行业重要数据和核心数据目录,建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制,指导地方行业监管部门开展属地监管,督促全行
6、业数据处理者加强数据安全保护工作。地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理,包括审核重要数据目录备案,编制重要数据和核心数据具体目录,开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作,并可结合工作实际,建立更加细化完善的工作机制。4、管理办法对数据分级保护的要求是什么?管理办法以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上
7、实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。5、管理办法要求重要数据处理者履行哪些数据安全保护义务?管理办法依据国家数据分类分级保护制度要求,规定重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:一是开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;二是加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;三是组织常态化监测预警与应急处置,涉及重要数据和核心数据安全事件的
8、应第一时间进行上报;四是定期实施风险评估,及时发现整改风险问题,并按照要求上报风险评估报告。6、企业如何按照管理办法开展重要数据识别和目录备案工作?工业和信息化部结合国家数据安全保护要求和行业实际,组织制定工业和信息化领域重要数据和核心数据识别认定标准规范,明确识别规则和方法。数据处理者应当定期梳理本单位数据资源,按照所属行业标准规范识别重要数据后,向本地区行业监管部门备案重要数据目录。当备案内容发生重大变化后,数据处理者应当及时履行备案变更手续,保证目录备案的时效性、准确性与真实性。7、管理办法对保障数据全生命周期提了哪些要求?管理办法围绕数据收集、存储、使用、加工、传输、提供、公开等全生命
9、周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。8、管理办法要求在哪些情形下需要开展数据安全风险评估?管理办法明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。评估内容包括合规评估和风险研判:合规评估是指对标对表法律法规和政策文件,评估是否满足相关要求,风险研判是指通过分析数据处理者的安全保障能力、面临的威胁情况和发生安全事件后的影响程度等,评估数据处理活动的安全风险等级。
10、9、管理办法要求如何开展数据出境安全评估?管理办法明确工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依照数据安全法数据出境安全评估办法等法律法规进行安全评估。10、如何按照管理办法开展数据安全风险监测预警工作?监测预警是有效发现和防范数据安全突出风险的重要工作。管理办法明确了“部-省-企业”三级联动协同的数据安全风险监测预警工作机制:一是工业和信息化部统筹指导行业数据安全监测预警工作,建设行业数据安全风险监测预警技术手段,统一汇集、研判、通报数据安全风险信息。二是地方行业监管部门负责建立本地区
11、本领域数据安全监测预警机制,组织管辖范围内的数据处理者开展数据安全风险监测和信息报送。三是数据处理者做好本单位数据安全风险监测,按照行业监管部门要求开展风险监测排查,及时防范化解风险隐患。11、企业如何按照管理办法开展数据安全应急处置工作?管理办法明确建立工业和信息化领域数据安全应急处置工作机制,细化不同主体的责任与义务:一是工业和信息化部统筹行业数据安全应急处置管理工作,制定数据安全事件应急预案,组织协调行业重要数据和核心数据安全事件应急处置工作;二是地方行业监管部门负责组织开展本地区数据安全事件应急处置工作,及时上报涉及重要数据和核心数据的安全事件;三是数据处理者制定本单位数据安全事件应急
12、预案并定期开展应急演练,在发生数据安全事件后及时进行处置,并按要求及时向行业监管部门报告。12、管理办法对中央企业提出了哪些要求?中央企业是国民经济的重要支柱和骨干力量,产生、汇聚了大量关系国计民生的重要数据。中央企业所属公司业务既受地方行业监管部门管理,也受集团公司管理。因此,管理办法对中央企业提出两项工作要求:一是督促所属公司按照属地行业监管部门要求,履行重要数据目录备案、风险信息上报等要求。二是做好集团本部数据安全保护工作,全面梳理汇总集团本部、所属公司相关情况,及时向工业和信息化部报送。13、下一步如何推进相关工作?管理办法发布后,工业和信息化部将从政策宣贯、细则制定、正向引导、监督执
13、法等方面抓好落实:一是加强宣贯培训。对管理办法的主要内容进行全面、系统解读,指导行业数据处理者准确理解、全面把握、认真落实相关要求,提升数据安全保护意识和能力。二是制定配套规范标准。重点推进监测预警、应急处置、安全评估等制度机制的实施细则,为企业进一步提供深入细致、操作性强的工作指引。三是加强正向引导。通过行业自律、贯标达标,典型案例遴选等形式,加强示范引领,引导企业自动对标管理要求,自觉提升数据安全保护能力。四是加强监督执法。通过专项行动、监督检查等工作,及时发现违法违规行为,并依法进行处罚。第三部分:管理办法的全文学习工业和信息化领域数据安全管理办法(试行)第一章 总则第一条 为了规范工业
14、和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据中华人民共和国数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法中华人民共和国国家安全法中华人民共和国民法典等法律法规,制定本办法。第二条 在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。第三条 工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和
15、收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。第四条 在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业
16、和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方行业监管部门统称为行业监管部门。行业监管部门按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。第五条 行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。工业和信息化领域数据处理者
17、研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。第六条 行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用工作。第二章 数据分类分级管理第七条 工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应
18、当及时上报更新。工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。第八条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。第九条 危害程度符合下列条件之一的数据为一般数据:(一)对公共利益或者个人、组织合法权益
19、造成较小影响,社会负面影响小;(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;(三)其他未纳入重要数据、核心数据目录的数据。第十条 危害程度符合下列条件之一的数据为重要数据:(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;(四)引发的级联
20、效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;(五)经工业和信息化部评估确定的其他重要数据。第十一条 危害程度符合下列条件之一的数据为核心数据:(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;(二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;(三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大
21、规模网络与服务瘫痪、大量业务处理能力丧失等;(四)经工业和信息化部评估确定的其他核心数据。第十二条 工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况报工业和信息化部;不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。
22、备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30以上,或者其它备案内容发生变化。第三章 数据全生命周期安全管理第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;(二)根据
23、需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;(五)定期对从业人员开展数据安全教育和培训;(六)法律、行政法规等规定的其他措施。工业和信息化领域重要数据和核心数据处理者,还应当:(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签
24、署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。第十四条 工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。第十五条 工业和信息化领域数据
25、处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。第十六条 工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。第十七条 工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当
26、采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。第十八条 工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。第十九条 工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。第二十条 工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数
27、据。工业和信息化领域数据处理者销毁重要数据和核心数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。第二十一条 工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华
28、人民共和国境内的工业和信息化领域数据。第二十二条 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。第二十三条 工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。第二十四条 跨主体提供、转移、委托处理核心数据的,工业和信息化
29、领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。第二十五条 工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。第四章 数据安全监测预警与应急管理第二十六条 工业和信息化部建立数据安全风险监测机制,组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。地方行业监管部门分别建设本地区数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,
30、通知本地区工业和信息化领域数据处理者及时采取应对措施。工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。第二十七条 工业和信息化部建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。地方行业监管部门分别汇总分析本地区数据安全风险,及时将可能造成重大及以上安全事件的风险上报工业和信息化部。工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。第二十八条 工业和信息化部制定工业和信息化领域数据安全事件应急预案,
31、组织协调重要数据和核心数据安全事件应急处置工作。地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。第二十九条 工业和信息化部委托相关行业组织建立工业
32、和信息化领域数据安全违法行为投诉举报渠道,地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。第五章 数据安全检测、认证、评估管理第三十条 工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。地方行业监管部门分别负责组织开展本地区数据安全评估工作。工业和信息化领域重要数据和核心数据处理者应
33、当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。第六章 监督检查第三十二条 行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。第三十三条 工业和信息化部在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。第三十四条 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。第七章 法律责任第三十五条 行业监管部门在履行数据安全监督管理职
34、责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。第三十六条 有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。第八章 附则第三十七条 中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。第三十八条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。第三十九条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。第四十条 工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。第四十一条 国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本办法另行制定。第四十二条 本办法自2023年1月1日起施行。17