導航
安全產(chǎn)品
安全服務(wù)與運營(yíng)
解決方案
企業(yè)動(dòng)態(tài)
安全研究
關(guān)于國舜
◆ 網(wǎng)絡(luò )安全防護
▼
◆ 網(wǎng)絡(luò )安全檢測
▼
▼
◆ 開(kāi)發(fā)安全
▼
◆ 數據安全
▼
◆ 業(yè)務(wù)安全
▼
◆ 物聯(lián)網(wǎng)安全
▼
◆ 工控安全
▼
◆ 移動(dòng)安全
▼
◆ 安全管理
? 攻防演練服務(wù)
攻防演練服務(wù)
▼
◆ 安全技術(shù)服務(wù)
▼
◆ 安全培訓服務(wù)
▼
◆ 安全咨詢(xún)服務(wù)
▼
◆ 攻防演練服務(wù)
▼
◆ 安全運營(yíng)服務(wù)
▼
◆ 專(zhuān)項安全評估
▼
◆ 行業(yè)解決方案
▼
◆ 技術(shù)解決方案
400-696-8096
北京國舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯(lián)系我們
熱線(xiàn):400-696-8096
電話(huà):010-82838085
郵編:100044
郵箱:contact@unisguard.com
關(guān)注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網(wǎng)安備110108000272號
分類(lèi): 安全資訊
發(fā)布時(shí)間: 2023-11-24 16:45:03
標簽:
作者:
閱讀量: 221
新聞來(lái)源: 工信部官網(wǎng)
工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量指引(試行) (征求意見(jiàn)稿) 第一章 總 則 第一條 為規范工業(yè)和信息化領(lǐng)域數據安全監督管理部門(mén)合法、適當地行使行政處罰自由裁量權,細化行政處罰裁量基準,統一裁量尺度,根據《中華人民共和國行政處罰法》《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《工業(yè)和信息化行政處罰程序規定》等法律、行政法規、部門(mén)規章等有關(guān)規定,制定本指引。 第二條 在中華人民共和國境內開(kāi)展的工業(yè)和信息化領(lǐng)域數據安全違法行為行政處罰裁量工作,適用本指引。 本指引所稱(chēng)的行政處罰裁量權,是指工業(yè)、電信、無(wú)線(xiàn)電行業(yè)監管部門(mén)在職責范圍內對數據處理活動(dòng)進(jìn)行監管處罰時(shí),根據行政處罰原則,在法律、行政法規等規定的行政處罰種類(lèi)和幅度內,綜合考量違法的事實(shí)、性質(zhì)、手段、后果、情節和合規措施等因素,正確、適當地確定行政處罰的種類(lèi)、幅度或者作出不予行政處罰決定的選擇適用權限。 第三條 工業(yè)和信息化部負責組織制定修訂工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量制度規范,指導、監督行業(yè)數 據安全行政處罰工作。 各?。ㄗ灾螀^、直轄市)、市(自治州、地區)及計劃單列市、新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén),各?。ㄗ灾螀^、直轄市)、市(自治州、地區)通信管理局和無(wú)線(xiàn)電管理機構(以下統稱(chēng)地方行政處罰機關(guān))按職責分工分別負責本行政區域內工業(yè)、電信、無(wú)線(xiàn)電領(lǐng)域數據安全行政處罰工作。 工業(yè)和信息化部及地方行政處罰機關(guān)統稱(chēng)為行政處罰機關(guān)。 第四條 工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量工作應當遵循以下原則: (一)依法行政原則。依據法定權限,符合法律、行政法規等規定的裁量條件、處罰種類(lèi)和幅度,遵守法定程序。 (二)責罰相當原則。以事實(shí)為依據,處罰的種類(lèi)和幅度與違法行為的事實(shí)、性質(zhì)、情節、社會(huì )危害程度等相當。 (三)處罰與教育相結合原則。兼顧糾正違法行為和教育當事人,引導當事人自覺(jué)守法。 第二章 管 轄 第五條 工業(yè)和信息化領(lǐng)域數據安全行政處罰由違法行為發(fā)生地的行政處罰機關(guān)管轄。 數據安全違法行為發(fā)生地包括實(shí)施違法行為的住所地、實(shí)際經(jīng)營(yíng)地、工商注冊地(工商注冊地與實(shí)際經(jīng)營(yíng)地不一致的,應按實(shí)際經(jīng)營(yíng)地),網(wǎng)絡(luò )接入地,取得電信和互聯(lián)網(wǎng)信息服務(wù)相關(guān)許可(備案)所在地,網(wǎng)站建立者、管理者、使用者所在地,計算機等終端設備所在地,數據集中存儲地、交易地、出境活動(dòng)所在地等。 第六條 兩個(gè)及以上行政處罰機關(guān)對同一違法行為均有管轄權的,應當由最先立案的行政處罰機關(guān)管轄。 兩個(gè)及以上的行政處罰機關(guān)對管轄權有爭議的,應當在發(fā)生爭議之日起 7 日內協(xié)商解決,協(xié)商不成的,應當在 7 日內報請共同的上一級行政處罰機關(guān)指定管轄;也可以直接由共同的上一級行政處罰機關(guān)指定管轄。 第七條 工業(yè)和信息化部依職權指導監督工業(yè)和信息化領(lǐng)域數據安全違法行為管轄工作。 存在下列情況之一的,可以由工業(yè)和信息化部指定管轄: (一)數據安全違法行為情節嚴重的; (二)省級地方行政處罰機關(guān)對管轄發(fā)生爭議,協(xié)商不成的; (三)數據安全違法行為或主體涉及不同省級地區、不同行業(yè)主管部門(mén)的; (四)法律、行政法規、部門(mén)規章等規定應當由工業(yè)和信息化部指定管轄的其他情形。
第八條 行政處罰機關(guān)發(fā)現案件不屬于其管轄的,應當依法依規及時(shí)向有管轄權的行政處罰機關(guān)移送。
行政處罰機關(guān)發(fā)現違法行為涉嫌犯罪的,應當依法及時(shí)將案件移送司法機關(guān),不得以行政處罰代替刑事處罰。
第九條 對工業(yè)和信息化領(lǐng)域數據處理者的同一個(gè)數據安全違法行為,不得給予兩次以上罰款的行政處罰。
第三章 數據安全行政處罰情形
第十條 有以下情形之一的,屬于不履行數據安全保護義務(wù):
(一)未定期梳理數據,按照相關(guān)標準規范識別重要數據和核心數據并形成本單位具體目錄;
(二)未建立數據全生命周期安全管理制度,未針對不同級別數據明確數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)、銷(xiāo)毀、轉移、委托處理等環(huán)節的具體分級防護要求和操作規程;
(三)未根據需要配備數據安全管理人員,統籌負責數據處理活動(dòng)的安全監督管理,協(xié)助行業(yè)(領(lǐng)域)監管部門(mén)開(kāi)展工作;
(四)未合理確定數據處理活動(dòng)的操作權限,嚴格實(shí)施人員權限管理;
(五)未根據應對數據安全事件的需要,制定應急預案,并開(kāi)展應急演練;
(六)未定期對從業(yè)人員開(kāi)展數據安全教育和培訓;
(七)未開(kāi)展數據安全風(fēng)險監測,及時(shí)排查安全隱患,采取必要的措施防范數據安全風(fēng)險;
(八)發(fā)現可能造成較大及以上數據安全事件的風(fēng)險后,未按照風(fēng)險信息報送與共享工作機制向所在地行業(yè)監管部門(mén)報告并及時(shí)處置;
(九)數據安全事件發(fā)生后,未按照應急預案開(kāi)展應急處置;
(十) 數據安全事件發(fā)生后,未按照規定向所在地行業(yè)監管部門(mén)報告;
(十一) 數據安全事件發(fā)生后,未按照規定及時(shí)告知用戶(hù),并提供減輕危害措施;
(十二)未在數據全生命周期處理過(guò)程中,記錄數據處理、權限管理、人員操作等日志。日志留存時(shí)間少于六個(gè)月;
(十三)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未建立覆蓋本單位相關(guān)部門(mén)的數據安全工作體系,未明確數據安全負責人和管理機構,未建立常態(tài)化溝通與協(xié)作機制;
(十四)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未明確數據處理關(guān)鍵崗位和崗位職責,未要求關(guān)鍵崗位人員簽署數據安全責任書(shū);
(十五)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未建立數據內部登記、審批等工作機制,未對重要數據和核心數據的處理活動(dòng)進(jìn)行嚴格管理并留存記錄;
(十六)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未按照有關(guān)規定做好重要數據和核心數據目錄備案管理;
(十七)涉及重要數據和核心數據的安全事件,未第一時(shí)間向所在地行業(yè)監管部門(mén)報告,事件處置完成后未在規定期限內形成總結報告,每年未向本地區行業(yè)監管部門(mén)報告數據安全事件處置情況;
(十八)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未按照規定對其數據處理活動(dòng)每年至少開(kāi)展一次風(fēng)險評估,及時(shí)整改風(fēng)險問(wèn)題,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告;
(十九)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者報送的風(fēng)險評估報告未包括處理的重要數據的種類(lèi)、數量,開(kāi)展數據處理活動(dòng)的情況,面臨的數據安全風(fēng)險及其應對措施等;
(二十)對于核心數據跨主體提供、轉移、委托處理,未按照有關(guān)規定進(jìn)行評估、保護、報批等;
(二十一)其他不履行數據安全保護義務(wù)的。
第十一條 有以下情形之一的,屬于向境外非法提供數據:
(一)工業(yè)和信息化領(lǐng)域中的關(guān)鍵信息基礎設施運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據和核心數據未在境內存儲,或者因業(yè)務(wù)需要,確需向境外提供的,未按照有關(guān)規定進(jìn)行數據出境安全評估;
(二)其他工業(yè)和信息化領(lǐng)域數據處理者,在中華人民共和國境內收集和產(chǎn)生的重要數據和核心數據,未按照法律、行政法規等要求在境內存儲,或者確需向境外提供的,未依法依規進(jìn)行數據出境安全評估;
(三)非經(jīng)工業(yè)和信息化部批準,向外國工業(yè)、電信、無(wú)線(xiàn)電執法機構提供存儲于中華人民共和國境內的工業(yè)和信息化領(lǐng)域數據;
(四)其他向境外非法提供數據的。
第十二條 在各級行政處罰機關(guān)依法開(kāi)展監督檢查的過(guò)程中,工業(yè)和信息化領(lǐng)域數據處理者存在以下情形之一的,屬于不配合監管:
(一)在有關(guān)行政處罰機關(guān)開(kāi)展數據安全監督檢查過(guò)程中,未對組織運作、技術(shù)系統、算法原理、數據處理程序等進(jìn)行解釋說(shuō)明,未開(kāi)放安全相關(guān)數據訪(fǎng)問(wèn)、提供必要技術(shù)支持的;
(二)拒絕提供有關(guān)材料、信息的,或提供虛假材料、信息的,或者隱匿、銷(xiāo)毀、轉移證據的;
(三)其他不履行配合數據安全監管義務(wù)的。
第十三條 符合下列情況之一的,為后果較輕情節:
(一)1000 萬(wàn)條以下一般數據被篡改、破壞、泄露或者非法獲取、非法利用;
(二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間較短,或直接經(jīng)濟損失在 1000 萬(wàn)元以?xún)龋?/span>
(三)影響范圍小,影響對象為單個(gè)或少數企業(yè),且不涉及跨地區的;
(四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成較輕后果的。
第十四條 符合下列情況之一的,為后果較重情節:
(一)超過(guò) 1000 萬(wàn)條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及重要數據、核心數據的;
(二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間較長(cháng),或直接經(jīng)濟損失超過(guò) 1000 萬(wàn)元且在 5000 萬(wàn)元以?xún)鹊?
(三)影響范圍較大,涉及多個(gè)企業(yè),或涉及跨地區的;
(四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成較重后果的。
第十五條 符合下列情況之一的,為后果嚴重情節:
(一)超過(guò) 1 億條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及 2 個(gè)以上數據處理者的重要數據、核心數據的;
(二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間長(cháng),或直接經(jīng)濟損失超過(guò) 5000 萬(wàn)元的;
(三)影響范圍涉及多個(gè)行業(yè)、地區的;
(四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成嚴重后果的。
第四章 數據安全行政處罰裁量權適用規則
第十六條 工業(yè)和信息化領(lǐng)域數據安全行政處罰實(shí)施流 程按照《中華人民共和國行政處罰法》《工業(yè)和信息化行政處罰程序規定》等法律法規的有關(guān)規定執行。
第十七條 本指引規定的數據安全行政處罰情形,各級行政處罰機關(guān)應當依據《工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量基準》(附件)確定的行政處罰種類(lèi)和幅度實(shí)施行政處罰。
第十八條 有下列情形之一的,依法不予行政處罰:
(一)違法行為輕微并及時(shí)改正,沒(méi)有造成危害后果的;初次違法且危害后果輕微并及時(shí)改正的可以不予處罰;
(二)工業(yè)和信息化領(lǐng)域數據處理者有證據足以證明沒(méi)有主觀(guān)過(guò)錯的;
(三)其他依法應當不予行政處罰的。
第十九條 有下列情形之一的,依法從輕或減輕行政處罰:
(一)主動(dòng)消除或者減輕數據安全違法行為危害后果的;
(二)受脅迫或者誘騙實(shí)施數據安全違法行為的;
(三)主動(dòng)供述行業(yè)監管部門(mén)尚未掌握的數據安全違法行為的;
(四)積極配合行業(yè)監管部門(mén)查處數據安全違法行為的;
(五)法律、行政法規、部門(mén)規章等規定其他應當從輕或者減輕行政處罰的。
第二十條 有下列情形之一的,依法從重行政處罰:
(一)兩年內因同類(lèi)數據安全違法行為被處罰 3 次以上的;
(二)阻礙或者拒不配合行業(yè)監管部門(mén)查處數據安全違法行為或者對行政執法人員打擊報復的;
(三)教唆、脅迫、誘騙他人實(shí)施數據安全違法行為的;
(四)偽造、隱匿、毀滅證據的;
(五)數據安全違法行為引起不良社會(huì )反響的;
(六)其他具有從重情節的。
第二十一條 工業(yè)和信息化領(lǐng)域數據處理者既有從輕或者減輕行政處罰情節,又有從重行政處罰情節的,行業(yè)監管部門(mén)應當結合實(shí)際情況綜合考慮后作出裁量決定。
第二十二條 不予行政處罰、減輕行政處罰、從輕行政處罰和從重行政處罰的含義。
不予行政處罰是指因法定原因對特定違法行為不給予行政處罰。
減輕行政處罰是指適用法定行政處罰最低限度以下的處罰種類(lèi)或處罰幅度。
從輕行政處罰是指在依法可選擇的處罰種類(lèi)和處罰幅度內,適用較輕、較少的處罰種類(lèi)或者較低的處罰幅度。其中,罰款的數額應當為從最低限到不超過(guò)最高限 70%的這一部分,且從輕處罰后的罰款數額不得低于法定最低罰款數額。
從重行政處罰是指在依法可以選擇的處罰種類(lèi)和處罰幅度內,適用較重、較多的處罰種類(lèi)或者較高的處罰幅度。其中,罰款數額應當從最低限的 2 倍到最高限這一部分。
第五章 附則
第二十三條 本指引所稱(chēng)“以上”“以下”“以?xún)?rdquo;均含本數。
第二十四條 國防科技工業(yè)、煙草領(lǐng)域數據安全行政處 罰裁量規定,另行制定。
第二十五條 本指引由工業(yè)和信息化部負責解釋。
第二十六條 本指引自印發(fā)之日起施行。