《东莞市重要数据识别和安全管理制度(试行)》

《东莞市重要数据识别和安全管理制度(试行)》第一章总则第一条为规范东莞市行政区域内重要数据识别与安全管理工作，落实数据安全主体责任，防范数据安全风险，保障数据安全，促进数据合法有序开发利用，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《重要数据识别指南》（GB/T41479-2022）《广东省数据安全管理办法》等法律法规和国家标准，结合东莞市实际，制定本制度。第二条本制度适用于东莞市行政区域内开展数据处理活动的各类主体，包括各级党政机关、人民团体、国有企业、事业单位、外商投资企业、民营企业、其他法人和非法人组织，以及从事数据处理活动的自然人。重点适用于工业制造、外贸跨境、政务服务、金融、能源交通、医疗卫生、教育科研、数字经济平台等东莞市重点领域的数据处理活动。第三条本制度所称重要数据，是指以电子或者其他方式记录的，一旦遭到篡改、破坏、泄露或者被非法获取、非法利用，会直接或者间接危害国家安全、公共利益，或者对公民、法人或者其他组织合法权益造成严重损害的数据，符合国家及行业重要数据识别标准，纳入本制度管理范畴。第四条东莞市重要数据识别和安全管理遵循以下基本原则：（一）谁处理谁负责。数据处理者是重要数据识别和安全保护的责任主体，对本单位重要数据识别的准确性、完整性和安全管理承担主体责任。（二）分类分级管控。根据重要数据的属性、危害程度实施分类分级管理，落实差异化防护要求，提升安全管理精准性。（三）全生命周期保护。覆盖重要数据收集、存储、加工、传输、提供、公开、销毁全处理流程，落实各环节安全防护要求。（四）动态更新调整。结合业务变化、法规更新、风险演变，定期开展重要数据重新识别和目录更新，实行动态管理。（五）安全与发展平衡。在保障数据安全的前提下，促进数据要素合法有序流动，支撑东莞市数字经济高质量发展。第二章重要数据识别规则与流程第五条重要数据识别主体。数据处理者应当自行组织开展本单位重要数据识别工作，不具备识别能力的，可以委托具备相应资质的第三方数据安全服务机构开展识别，识别责任仍由数据处理者承担。各级党政机关、重点领域国有企业的重要数据识别，由本单位数据安全管理机构牵头组织实施。第六条重要数据识别依据。数据处理者开展重要数据识别，应当同时符合以下依据：（一）国家《重要数据识别指南》（GB/T41479-2022）规定的识别框架和判定标准；（二）国家各行业主管部门发布的本行业重要数据识别目录及标准；（三）广东省及东莞市发布的地方行业数据安全管理规范和识别要求；（四）结合本单位业务实际，判定数据处理活动可能带来的危害程度。第七条东莞市重点领域重要数据具体识别范围：（一）政务领域：1.东莞市各级党政机关履行法定职责形成的国民经济和社会发展统计汇总敏感数据、全市经济运行监测核心数据；2.全市人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、电子证照库中的核心敏感数据；3.全市重大基础设施建设项目、重大民生工程、重大改革事项的核心敏感数据；4.应急管理领域全市重大风险隐患分布数据、应急救援力量部署数据、重大突发事件处置核心数据；5.市域社会治理、公共安全领域的核心敏感监测数据、防控部署数据；6.党政机关工作秘密范围内的各类公文数据、内部管理敏感信息。（二）工业制造领域：1.东莞市省级以上专精特新企业、高新技术企业、重点产业链“链主”企业、核心配套企业的核心产品设计数据、核心生产工艺参数、关键控制算法、核心零部件供应链数据；2.工业互联网平台企业汇聚的全市工业企业生产运行核心数据、产业链上下游供需交易敏感数据；3.新能源、集成电路、工业机器人、高端装备制造、新材料、生物医药等东莞市战略性新兴产业领域的核心研发数据、技术试验数据、中试核心数据；4.全市重点工业企业工业控制系统的运行监测数据、控制指令数据、设备状态核心数据；5.汽车制造、消费电子等东莞优势产业的整车核心设计数据、核心芯片验证数据等。（三）外贸与跨境电商领域：1.东莞市年度进出口贸易汇总敏感数据、各口岸运行核心监测数据；2.跨境电商平台、外贸综合服务企业存储的境内外贸企业核心客户信息、订单数据、交易结算敏感数据；3.东莞港船舶调度核心数据、集装箱吞吐敏感数据、口岸监管核心数据；4.跨境物流企业存储的进出境货物、运输工具核心敏感数据。（四）公共服务领域：1.医疗卫生领域：全市重点传染病监测数据、大规模人群核酸检测汇总敏感数据、孕产妇、未成年人等重点群体健康核心数据、血液采集供应核心数据；2.教育科研领域：东莞市高校、科研院所承担的国家级、省级重大科技攻关项目的核心研发数据、涉密科研项目数据；3.能源交通领域：全市电网骨干网络运行核心数据、油气管道干线运行监测数据、城市轨道交通调度核心数据、高速公路收费核心数据；4.金融领域：东莞地方金融组织的核心交易数据、中小微企业信贷敏感数据、反洗钱监测核心数据。第八条重要数据识别流程：（一）数据资产梳理。数据处理者全面梳理本单位所有数据资产，形成完整的数据资产清单，明确每一项数据的来源、处理目的、存储位置、流转范围、授权情况，做到底数清、情况明。（二）初步筛选判定。对照国家、行业、地方的重要数据识别标准，结合数据危害程度，从数据资产清单中筛选出疑似重要数据，形成初步清单。（三）专家评审判定。数据处理者组织数据安全、行业领域专家对初步清单进行评审，结合专家意见确定最终的重要数据清单，对是否属于重要数据存在争议的，由行业主管部门初审后报东莞市网信部门组织专家最终判定。（四）备案上报。重要数据识别完成后30个工作日内，由数据处理者通过东莞市政务服务数据安全管理平台，向行业主管部门和市网信部门履行备案手续。（五）目录公布。数据处理者应当在本单位内部公布重要数据目录，明确管理责任部门和管控要求。第九条重要数据识别更新。数据处理者应当每年至少开展一次全面的重要数据重新识别；发生下列情形之一的，应当即时开展重新识别：（一）本单位业务范围、处理数据的规模发生重大变化的；（二）相关法律法规、国家行业识别标准发生调整的；（三）发生重大数据安全事件后，需要调整重要数据范围的；（四）行业主管部门要求重新识别的。第三章重要数据分类分级与目录管理第十条重要数据分类。东莞市重要数据按照所属领域分为七大类：政务类重要数据、工业制造类重要数据、外贸服务类重要数据、金融类重要数据、能源交通类重要数据、公共服务类重要数据、其他类重要数据，数据处理者可以根据本单位业务实际细化二级分类。第十一条重要数据分级。根据重要数据遭到破坏后可能造成的危害程度，东莞市重要数据分为两级：（一）一级重要数据：指一旦遭到篡改、泄露、非法利用，会危害国家安全，或者对全省、全市公共利益造成重大损失，或者对大量公民、法人合法权益造成特别严重损害的数据。主要包括：全市经济运行核心敏感汇总数据、重点产业链核心企业的核心工艺研发数据、关键信息基础设施核心运行数据、全市性重大公共服务敏感数据等。（二）二级重要数据：指一旦遭到篡改、泄露、非法利用，会危害东莞市或者区域公共利益，或者对较多公民、法人合法权益造成严重损害的数据。主要包括：单个镇街（园区）经济社会运行敏感数据、一般企业核心经营数据、非核心的公共服务敏感数据等。第十二条重要数据目录管理。所有纳入管理的重要数据必须建立统一规范的重要数据目录，目录应当包含以下要素：数据名称、数据类别、级别、数据来源、数据规模、存储位置、处理方式、流转范围、责任部门、责任人、更新时间、安全防护要求。第十三条目录备案与更新。数据处理者应当将重要数据目录报行业主管部门审核后，由行业主管部门统一报送市网信部门备案，市网信部门建立全市重要数据总目录，统筹管理。重要数据目录发生调整变化的，数据处理者应当在30个工作日内完成目录更新，并重新上报备案。第十四条分级管控要求。一级重要数据落实最高等级防护要求，二级重要数据落实常规强化防护要求。一级重要数据访问需要双人多级审批，操作日志留存时间不低于180天；二级重要数据访问需要权限审批，操作日志留存时间不低于90天。第四章重要数据全生命周期安全管理第十五条收集环节安全管理。收集重要数据应当遵循合法、正当、必要原则，明确收集目的、范围、方式，取得合法授权：（一）党政机关收集重要数据不得超出法定职责范围，不得强制要求数据处理者提供无关重要数据；（二）收集重要数据涉及个人信息的，应当依法取得个人同意，法律法规另有规定的除外；（三）不得通过欺诈、误导、胁迫等方式非法收集重要数据，不得超出约定范围使用收集的重要数据。第十六条存储环节安全管理。（一）东莞市重要数据应当依法存储在中华人民共和国境内，确需向境外提供的，应当依法申报数据出境安全评估，经评估批准后方可出境，未经批准不得擅自向境外提供或者存储在境外；（二）一级重要数据应当存储在境内安全可靠的云计算设施或者本地专用存储设施，不得存储在境外服务器，不得委托境外机构存储、管理重要数据；（三）存储重要数据应当采用加密存储、访问控制、多活备份等安全措施，一级重要数据应当采用国密算法加密，定期开展存储安全检测，每年至少开展一次数据恢复演练。第十七条加工环节安全管理。（一）加工处理重要数据应当对数据进行脱敏脱密处理，保留可用数据去除敏感信息，防止敏感信息泄露；（二）加工过程中应当建立数据校验机制，防止重要数据被篡改、丢失，保障数据完整性；（三）利用人工智能、大数据技术对重要数据进行挖掘分析的，应当开展安全风险评估，落实算法安全管控要求，防止生成违法有害内容或者敏感信息泄露。第十八条传输环节安全管理。（一）传输重要数据应当采用加密传输、身份认证、完整性校验等安全措施，防止传输过程中泄露、篡改；（二）通过公共互联网传输一级重要数据，应当采用国密算法进行加密保护，建立传输链路安全防护机制；（三）不得通过不安全的即时通讯工具、公共存储平台传输一级重要数据。第十九条提供环节安全管理。（一）向境内第三方提供重要数据的，应当对第三方的数据安全能力进行审核评估，签订数据安全协议，明确双方安全保护责任，对第三方的处理活动进行全程监督；（二）向境外提供重要数据的，应当严格按照《数据出境安全评估办法》等规定，申报数据出境安全评估，评估通过后方可提供，未经批准不得擅自提供；（三）重要数据交易应当在依法设立的数据交易场所进行，交易前应当开展安全风险评估，报行业主管部门备案，禁止非法交易重要数据。第二十条公开与销毁环节安全管理。（一）公开重要数据应当开展安全风险评估，对涉及国家秘密、工作秘密、敏感个人信息的内容进行脱密脱敏处理，一级重要数据原则上不得公开，确需公开的应当经省级以上行业主管部门批准；（二）销毁不再需要保留的重要数据，应当采用物理销毁、不可恢复擦除等方式，确保数据无法复原，建立销毁登记台账，记录销毁时间、销毁方式、责任人，留存台账不少于3年，不得随意丢弃含有重要数据的存储介质。第二十一条风险监测与应急处置。（一）数据处理者应当建立重要数据安全风险监测机制，对重要数据处理活动进行实时监测，及时发现异常访问、数据窃取、篡改等异常活动；（二）发生重要数据安全事件，数据处理者应当立即启动应急预案，采取处置措施控制事态，按照规定在48小时内上报行业主管部门和市网信部门，及时告知受到影响的单位和个人，配合相关部门开展调查处置；（三）数据处理者每年至少开展一次重要数据安全应急演练，提升应急处置能力。第五章数据处理者主体责任第二十二条数据处理者主要负责人是本单位重要数据安全管理的第一责任人，对本单位重要数据识别、安全保护工作负总责。第二十三条一般数据处理者应当履行以下责任：（一）建立本单位重要数据识别和安全管理制度，明确管理流程和管控要求；（二）设立专职或者兼职的数据安全管理岗位，明确岗位职责，配备相应的管理人员；（三）定期开展从业人员数据安全培训，提升数据安全意识和防护能力；（四）每年至少开展一次重要数据安全风险自评估，自评估报告报行业主管部门备案；（五）落实本制度规定的重要数据识别、备案、全生命周期防护要求。第二十四条东莞市重点领域数据处理者（包括各级党政机关、关键信息基础设施运营者、规模以上工业企业、年进出口额亿元以上外贸企业、平台型数字经济企业、三级以上医疗机构、普通高等院校等），除履行一般数据处理者责任外，还应当履行以下责任：（一）设立专门的数据安全管理机构，配备专职数据安全管理人员，建立首席数据安全官制度，由首席数据安全官负责本单位数据安全管理工作；（二）每半年开展一次重要数据安全风险监测，每年委托第三方专业机构开展一次重要数据安全评估，评估报告报送市网信部门和行业主管部门；（三）每年至少组织一次重要数据安全应急演练，对应急预案进行修订完善；（四）建立重要数据安全审计制度，定期对重要数据处理活动进行审计。第二十五条委托第三方机构开展重要数据处理活动的，委托方应当对受托方的数据安全能力进行审核，签订数据安全协议，明确安全责任，对受托方的处理活动进行全程监督，受托方应当按照委托要求落实安全保护责任，接受委托方监督。第六章监督管理第二十六条东莞市建立统筹协调、分工负责的重要数据监督管理体制：（一）市互联网信息办公室负责统筹协调全市重要数据识别和安全管理工作，推动建立全市重要数据管理体系，组织开展全市重要数据安全风险评估和监督检查；（二）市工业和信息化局负责工业和信息化领域、数字经济领域、工业互