• <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>

    北京國舜科技股份有限公司

    Beijing UnisGuard Technology Co.,Ltd

    北京市海淀區高梁橋斜街42號融匯國際大廈東區三層

    安全產(chǎn)品

    開(kāi)發(fā)安全

    SOAR

    業(yè)務(wù)安全

    網(wǎng)頁(yè)防篡改

    安全服務(wù)

    安全培訓

    安全咨詢(xún)

    攻防演練

    安全評估

    解決方案

    開(kāi)發(fā)安全

    實(shí)戰攻防演練

    城市安全運營(yíng)

    銀行行業(yè)

    關(guān)于我們

    企業(yè)介紹

    榮譽(yù)認可

    加入我們

    聯(lián)系我們

    聯(lián)系我們

    熱線(xiàn):400-696-8096

    電話(huà):010-82838085

    郵編:100044

    郵箱:contact@unisguard.com

    關(guān)注我們

    Copyright ?

    unisguard.com All Rights Reserved.

    北京國舜科技股份有限公司

    版權所有

    京ICP備09050222號

    京公網(wǎng)安備110108000272號

    工信部《工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量指引(試行)》公開(kāi)征求意見(jiàn)

    分類(lèi): 安全資訊

    發(fā)布時(shí)間: 2023-11-24 16:45:03

    標簽:

    作者:

    閱讀量: 221

    新聞來(lái)源: 工信部官網(wǎng)

    工信部《工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量指引(試行)》公開(kāi)征求意見(jiàn)

    工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量指引(試行)

    (征求意見(jiàn)稿)

    第一章 總 則

    第一條 為規范工業(yè)和信息化領(lǐng)域數據安全監督管理部門(mén)合法、適當地行使行政處罰自由裁量權,細化行政處罰裁量基準,統一裁量尺度,根據《中華人民共和國行政處罰法》《中華人民共和國數據安全法》《中華人民共和國網(wǎng)絡(luò )安全法》《工業(yè)和信息化行政處罰程序規定》等法律、行政法規、部門(mén)規章等有關(guān)規定,制定本指引。

    第二條 在中華人民共和國境內開(kāi)展的工業(yè)和信息化領(lǐng)域數據安全違法行為行政處罰裁量工作,適用本指引。

    本指引所稱(chēng)的行政處罰裁量權,是指工業(yè)、電信、無(wú)線(xiàn)電行業(yè)監管部門(mén)在職責范圍內對數據處理活動(dòng)進(jìn)行監管處罰時(shí),根據行政處罰原則,在法律、行政法規等規定的行政處罰種類(lèi)和幅度內,綜合考量違法的事實(shí)、性質(zhì)、手段、后果、情節和合規措施等因素,正確、適當地確定行政處罰的種類(lèi)、幅度或者作出不予行政處罰決定的選擇適用權限。

    第三條 工業(yè)和信息化部負責組織制定修訂工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量制度規范,指導、監督行業(yè)數 據安全行政處罰工作。

    各?。ㄗ灾螀^、直轄市)、市(自治州、地區)及計劃單列市、新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén),各?。ㄗ灾螀^、直轄市)、市(自治州、地區)通信管理局和無(wú)線(xiàn)電管理機構(以下統稱(chēng)地方行政處罰機關(guān))按職責分工分別負責本行政區域內工業(yè)、電信、無(wú)線(xiàn)電領(lǐng)域數據安全行政處罰工作。

    工業(yè)和信息化部及地方行政處罰機關(guān)統稱(chēng)為行政處罰機關(guān)。

    第四條 工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量工作應當遵循以下原則:

    (一)依法行政原則。依據法定權限,符合法律、行政法規等規定的裁量條件、處罰種類(lèi)和幅度,遵守法定程序。

    (二)責罰相當原則。以事實(shí)為依據,處罰的種類(lèi)和幅度與違法行為的事實(shí)、性質(zhì)、情節、社會(huì )危害程度等相當。

    (三)處罰與教育相結合原則。兼顧糾正違法行為和教育當事人,引導當事人自覺(jué)守法。

    第二章 管 轄

    第五條 工業(yè)和信息化領(lǐng)域數據安全行政處罰由違法行為發(fā)生地的行政處罰機關(guān)管轄。

    數據安全違法行為發(fā)生地包括實(shí)施違法行為的住所地、實(shí)際經(jīng)營(yíng)地、工商注冊地(工商注冊地與實(shí)際經(jīng)營(yíng)地不一致的,應按實(shí)際經(jīng)營(yíng)地),網(wǎng)絡(luò )接入地,取得電信和互聯(lián)網(wǎng)信息服務(wù)相關(guān)許可(備案)所在地,網(wǎng)站建立者、管理者、使用者所在地,計算機等終端設備所在地,數據集中存儲地、交易地、出境活動(dòng)所在地等。

    第六條 兩個(gè)及以上行政處罰機關(guān)對同一違法行為均有管轄權的,應當由最先立案的行政處罰機關(guān)管轄。

    兩個(gè)及以上的行政處罰機關(guān)對管轄權有爭議的,應當在發(fā)生爭議之日起 7 日內協(xié)商解決,協(xié)商不成的,應當在 7 日內報請共同的上一級行政處罰機關(guān)指定管轄;也可以直接由共同的上一級行政處罰機關(guān)指定管轄。

    第七條 工業(yè)和信息化部依職權指導監督工業(yè)和信息化領(lǐng)域數據安全違法行為管轄工作。

    存在下列情況之一的,可以由工業(yè)和信息化部指定管轄:

    (一)數據安全違法行為情節嚴重的;

    (二)省級地方行政處罰機關(guān)對管轄發(fā)生爭議,協(xié)商不成的;

    (三)數據安全違法行為或主體涉及不同省級地區、不同行業(yè)主管部門(mén)的;

    (四)法律、行政法規、部門(mén)規章等規定應當由工業(yè)和信息化部指定管轄的其他情形。

    第八條 行政處罰機關(guān)發(fā)現案件不屬于其管轄的,應當依法依規及時(shí)向有管轄權的行政處罰機關(guān)移送。

    行政處罰機關(guān)發(fā)現違法行為涉嫌犯罪的,應當依法及時(shí)將案件移送司法機關(guān),不得以行政處罰代替刑事處罰。

    第九條 對工業(yè)和信息化領(lǐng)域數據處理者的同一個(gè)數據安全違法行為,不得給予兩次以上罰款的行政處罰。

    第三章 數據安全行政處罰情形

    第十條 有以下情形之一的,屬于不履行數據安全保護義務(wù):

    (一)未定期梳理數據,按照相關(guān)標準規范識別重要數據和核心數據并形成本單位具體目錄;

    (二)未建立數據全生命周期安全管理制度,未針對不同級別數據明確數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)、銷(xiāo)毀、轉移、委托處理等環(huán)節的具體分級防護要求和操作規程;

    (三)未根據需要配備數據安全管理人員,統籌負責數據處理活動(dòng)的安全監督管理,協(xié)助行業(yè)(領(lǐng)域)監管部門(mén)開(kāi)展工作;

    (四)未合理確定數據處理活動(dòng)的操作權限,嚴格實(shí)施人員權限管理;

    (五)未根據應對數據安全事件的需要,制定應急預案,并開(kāi)展應急演練;

    (六)未定期對從業(yè)人員開(kāi)展數據安全教育和培訓; 

    (七)未開(kāi)展數據安全風(fēng)險監測,及時(shí)排查安全隱患,采取必要的措施防范數據安全風(fēng)險;

    (八)發(fā)現可能造成較大及以上數據安全事件的風(fēng)險后,未按照風(fēng)險信息報送與共享工作機制向所在地行業(yè)監管部門(mén)報告并及時(shí)處置;

    (九)數據安全事件發(fā)生后,未按照應急預案開(kāi)展應急處置;

    (十) 數據安全事件發(fā)生后,未按照規定向所在地行業(yè)監管部門(mén)報告;

    (十一) 數據安全事件發(fā)生后,未按照規定及時(shí)告知用戶(hù),并提供減輕危害措施;

    (十二)未在數據全生命周期處理過(guò)程中,記錄數據處理、權限管理、人員操作等日志。日志留存時(shí)間少于六個(gè)月;

    (十三)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未建立覆蓋本單位相關(guān)部門(mén)的數據安全工作體系,未明確數據安全負責人和管理機構,未建立常態(tài)化溝通與協(xié)作機制;

    (十四)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未明確數據處理關(guān)鍵崗位和崗位職責,未要求關(guān)鍵崗位人員簽署數據安全責任書(shū);

    (十五)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未建立數據內部登記、審批等工作機制,未對重要數據和核心數據的處理活動(dòng)進(jìn)行嚴格管理并留存記錄;

    (十六)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未按照有關(guān)規定做好重要數據和核心數據目錄備案管理; 

    (十七)涉及重要數據和核心數據的安全事件,未第一時(shí)間向所在地行業(yè)監管部門(mén)報告,事件處置完成后未在規定期限內形成總結報告,每年未向本地區行業(yè)監管部門(mén)報告數據安全事件處置情況;

    (十八)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者未按照規定對其數據處理活動(dòng)每年至少開(kāi)展一次風(fēng)險評估,及時(shí)整改風(fēng)險問(wèn)題,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告;

    (十九)工業(yè)和信息化領(lǐng)域重要數據和核心數據處理者報送的風(fēng)險評估報告未包括處理的重要數據的種類(lèi)、數量,開(kāi)展數據處理活動(dòng)的情況,面臨的數據安全風(fēng)險及其應對措施等;

    (二十)對于核心數據跨主體提供、轉移、委托處理,未按照有關(guān)規定進(jìn)行評估、保護、報批等;

    (二十一)其他不履行數據安全保護義務(wù)的。

    第十一條 有以下情形之一的,屬于向境外非法提供數據:

    (一)工業(yè)和信息化領(lǐng)域中的關(guān)鍵信息基礎設施運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據和核心數據未在境內存儲,或者因業(yè)務(wù)需要,確需向境外提供的,未按照有關(guān)規定進(jìn)行數據出境安全評估;

    (二)其他工業(yè)和信息化領(lǐng)域數據處理者,在中華人民共和國境內收集和產(chǎn)生的重要數據和核心數據,未按照法律、行政法規等要求在境內存儲,或者確需向境外提供的,未依法依規進(jìn)行數據出境安全評估;

    (三)非經(jīng)工業(yè)和信息化部批準,向外國工業(yè)、電信、無(wú)線(xiàn)電執法機構提供存儲于中華人民共和國境內的工業(yè)和信息化領(lǐng)域數據;

    (四)其他向境外非法提供數據的。

    第十二條 在各級行政處罰機關(guān)依法開(kāi)展監督檢查的過(guò)程中,工業(yè)和信息化領(lǐng)域數據處理者存在以下情形之一的,屬于不配合監管:

    (一)在有關(guān)行政處罰機關(guān)開(kāi)展數據安全監督檢查過(guò)程中,未對組織運作、技術(shù)系統、算法原理、數據處理程序等進(jìn)行解釋說(shuō)明,未開(kāi)放安全相關(guān)數據訪(fǎng)問(wèn)、提供必要技術(shù)支持的;

    (二)拒絕提供有關(guān)材料、信息的,或提供虛假材料、信息的,或者隱匿、銷(xiāo)毀、轉移證據的;

    (三)其他不履行配合數據安全監管義務(wù)的。

    第十三條 符合下列情況之一的,為后果較輕情節:

    (一)1000 萬(wàn)條以下一般數據被篡改、破壞、泄露或者非法獲取、非法利用;

    (二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間較短,或直接經(jīng)濟損失在 1000 萬(wàn)元以?xún)龋?/span>

    (三)影響范圍小,影響對象為單個(gè)或少數企業(yè),且不涉及跨地區的;

    (四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成較輕后果的。

    第十四條 符合下列情況之一的,為后果較重情節:

    (一)超過(guò) 1000 萬(wàn)條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及重要數據、核心數據的; 

    (二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間較長(cháng),或直接經(jīng)濟損失超過(guò) 1000 萬(wàn)元且在 5000 萬(wàn)元以?xún)鹊? 

    (三)影響范圍較大,涉及多個(gè)企業(yè),或涉及跨地區的; 

    (四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成較重后果的。

    第十五條 符合下列情況之一的,為后果嚴重情節: 

    (一)超過(guò) 1 億條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及 2 個(gè)以上數據處理者的重要數據、核心數據的;

    (二)對公民、法人和組織合法權益、社會(huì )公共利益造成損害的持續時(shí)間長(cháng),或直接經(jīng)濟損失超過(guò) 5000 萬(wàn)元的;

    (三)影響范圍涉及多個(gè)行業(yè)、地區的;

    (四)其他對行業(yè)發(fā)展、社會(huì )穩定和國家安全造成嚴重后果的。

    第四章 數據安全行政處罰裁量權適用規則 

    第十六條 工業(yè)和信息化領(lǐng)域數據安全行政處罰實(shí)施流 程按照《中華人民共和國行政處罰法》《工業(yè)和信息化行政處罰程序規定》等法律法規的有關(guān)規定執行。

    第十七條 本指引規定的數據安全行政處罰情形,各級行政處罰機關(guān)應當依據《工業(yè)和信息化領(lǐng)域數據安全行政處罰裁量基準》(附件)確定的行政處罰種類(lèi)和幅度實(shí)施行政處罰。

    第十八條 有下列情形之一的,依法不予行政處罰:

    (一)違法行為輕微并及時(shí)改正,沒(méi)有造成危害后果的;初次違法且危害后果輕微并及時(shí)改正的可以不予處罰;

    (二)工業(yè)和信息化領(lǐng)域數據處理者有證據足以證明沒(méi)有主觀(guān)過(guò)錯的;

    (三)其他依法應當不予行政處罰的。

    第十九條 有下列情形之一的,依法從輕或減輕行政處罰:

    (一)主動(dòng)消除或者減輕數據安全違法行為危害后果的;

    (二)受脅迫或者誘騙實(shí)施數據安全違法行為的;

    (三)主動(dòng)供述行業(yè)監管部門(mén)尚未掌握的數據安全違法行為的;

    (四)積極配合行業(yè)監管部門(mén)查處數據安全違法行為的;

    (五)法律、行政法規、部門(mén)規章等規定其他應當從輕或者減輕行政處罰的。

    第二十條 有下列情形之一的,依法從重行政處罰:

     (一)兩年內因同類(lèi)數據安全違法行為被處罰 3 次以上的;

    (二)阻礙或者拒不配合行業(yè)監管部門(mén)查處數據安全違法行為或者對行政執法人員打擊報復的;

    (三)教唆、脅迫、誘騙他人實(shí)施數據安全違法行為的;

    (四)偽造、隱匿、毀滅證據的;

    (五)數據安全違法行為引起不良社會(huì )反響的;

    (六)其他具有從重情節的。

    第二十一條 工業(yè)和信息化領(lǐng)域數據處理者既有從輕或者減輕行政處罰情節,又有從重行政處罰情節的,行業(yè)監管部門(mén)應當結合實(shí)際情況綜合考慮后作出裁量決定。

    第二十二條 不予行政處罰、減輕行政處罰、從輕行政處罰和從重行政處罰的含義。

    不予行政處罰是指因法定原因對特定違法行為不給予行政處罰。

    減輕行政處罰是指適用法定行政處罰最低限度以下的處罰種類(lèi)或處罰幅度。

    從輕行政處罰是指在依法可選擇的處罰種類(lèi)和處罰幅度內,適用較輕、較少的處罰種類(lèi)或者較低的處罰幅度。其中,罰款的數額應當為從最低限到不超過(guò)最高限 70%的這一部分,且從輕處罰后的罰款數額不得低于法定最低罰款數額。

    從重行政處罰是指在依法可以選擇的處罰種類(lèi)和處罰幅度內,適用較重、較多的處罰種類(lèi)或者較高的處罰幅度。其中,罰款數額應當從最低限的 2 倍到最高限這一部分。

    第五章 附則

    第二十三條 本指引所稱(chēng)“以上”“以下”“以?xún)?rdquo;均含本數。

    第二十四條 國防科技工業(yè)、煙草領(lǐng)域數據安全行政處 罰裁量規定,另行制定。

    第二十五條 本指引由工業(yè)和信息化部負責解釋。

    第二十六條 本指引自印發(fā)之日起施行。

    日本公与熄乱理在线播放_国内精品久久人妻无码妲己_久久精品国产精品亚洲艾草_亚洲色偷拍另类无码专区
  • <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>