信息化觀察網(wǎng)

本文來自工信部官網(wǎng)。

2023年11月23日，為貫徹落實(shí)《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》，推動(dòng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰工作制度化、規(guī)范化開展，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引(試行)》?，F(xiàn)向社會(huì)公開征求意見，如有意見或建議，請(qǐng)于2023年12月23日前反饋。

工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引(試行)

(征求意見稿)

第一章 總則

第一條 為規(guī)范工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全監(jiān)督管理部門合法、適當(dāng)?shù)匦惺剐姓幜P自由裁量權(quán)，細(xì)化行政處罰裁量基準(zhǔn)，統(tǒng)一裁量尺度，根據(jù)《中華人民共和國(guó)行政處罰法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《工業(yè)和信息化行政處罰程序規(guī)定》等法律、行政法規(guī)、部門規(guī)章等有關(guān)規(guī)定，制定本指引。

第二條 在中華人民共和國(guó)境內(nèi)開展的工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為行政處罰裁量工作，適用本指引。

本指引所稱的行政處罰裁量權(quán)，是指工業(yè)、電信、無線電行業(yè)監(jiān)管部門在職責(zé)范圍內(nèi)對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)管處罰時(shí)，根據(jù)行政處罰原則，在法律、行政法規(guī)等規(guī)定的行政處罰種類和幅度內(nèi)，綜合考量違法的事實(shí)、性質(zhì)、手段、后果、情節(jié)和合規(guī)措施等因素，正確、適當(dāng)?shù)卮_定行政處罰的種類、幅度或者作出不予行政處罰決定的選擇適用權(quán)限。

第三條 工業(yè)和信息化部負(fù)責(zé)組織制定修訂工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量制度規(guī)范，指導(dǎo)、監(jiān)督行業(yè)數(shù)據(jù)安全行政處罰工作。

各省(自治區(qū)、直轄市)、市(自治州、地區(qū))及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門，各省(自治區(qū)、直轄市)、市(自治州、地區(qū))通信管理局和無線電管理機(jī)構(gòu)(以下統(tǒng)稱地方行政處罰機(jī)關(guān))按職責(zé)分工分別負(fù)責(zé)本行政區(qū)域內(nèi)工業(yè)、電信、無線電領(lǐng)域數(shù)據(jù)安全行政處罰工作。

工業(yè)和信息化部及地方行政處罰機(jī)關(guān)統(tǒng)稱為行政處罰機(jī)關(guān)。

第四條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量工作應(yīng)當(dāng)遵循以下原則:

(一)依法行政原則。依據(jù)法定權(quán)限，符合法律、行政法規(guī)等規(guī)定的裁量條件、處罰種類和幅度，遵守法定程序。

(二)責(zé)罰相當(dāng)原則。以事實(shí)為依據(jù)，處罰的種類和幅度與違法行為的事實(shí)、性質(zhì)、情節(jié)、社會(huì)危害程度等相當(dāng)。

(三)處罰與教育相結(jié)合原則。兼顧糾正違法行為和教育當(dāng)事人，引導(dǎo)當(dāng)事人自覺守法。

第二章 管轄

第五條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰由違法行為發(fā)生地的行政處罰機(jī)關(guān)管轄。

數(shù)據(jù)安全違法行為發(fā)生地包括實(shí)施違法行為的住所地、實(shí)際經(jīng)營(yíng)地、工商注冊(cè)地(工商注冊(cè)地與實(shí)際經(jīng)營(yíng)地不一致的，應(yīng)按實(shí)際經(jīng)營(yíng)地)，網(wǎng)絡(luò)接入地，取得電信和互聯(lián)網(wǎng)信息服務(wù)相關(guān)許可(備案)所在地，網(wǎng)站建立者、管理者、使用者所在地，計(jì)算機(jī)等終端設(shè)備所在地，數(shù)據(jù)集中存儲(chǔ)地、交易地、出境活動(dòng)所在地等。

第六條 兩個(gè)及以上行政處罰機(jī)關(guān)對(duì)同一違法行為均有管轄權(quán)的，應(yīng)當(dāng)由最先立案的行政處罰機(jī)關(guān)管轄。

兩個(gè)及以上的行政處罰機(jī)關(guān)對(duì)管轄權(quán)有爭(zhēng)議的，應(yīng)當(dāng)在發(fā)生爭(zhēng)議之日起7日內(nèi)協(xié)商解決，協(xié)商不成的，應(yīng)當(dāng)在7日內(nèi)報(bào)請(qǐng)共同的上一級(jí)行政處罰機(jī)關(guān)指定管轄;也可以直接由共同的上一級(jí)行政處罰機(jī)關(guān)指定管轄。

第七條 工業(yè)和信息化部依職權(quán)指導(dǎo)監(jiān)督工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全違法行為管轄工作。

存在下列情況之一的，可以由工業(yè)和信息化部指定管轄：

(一)數(shù)據(jù)安全違法行為情節(jié)嚴(yán)重的;

(二)省級(jí)地方行政處罰機(jī)關(guān)對(duì)管轄發(fā)生爭(zhēng)議，協(xié)商不成的;

(三)數(shù)據(jù)安全違法行為或主體涉及不同省級(jí)地區(qū)、不同行業(yè)主管部門的;

(四)法律、行政法規(guī)、部門規(guī)章等規(guī)定應(yīng)當(dāng)由工業(yè)和信息化部指定管轄的其他情形。

第八條 行政處罰機(jī)關(guān)發(fā)現(xiàn)案件不屬于其管轄的，應(yīng)當(dāng)依法依規(guī)及時(shí)向有管轄權(quán)的行政處罰機(jī)關(guān)移送。

行政處罰機(jī)關(guān)發(fā)現(xiàn)違法行為涉嫌犯罪的，應(yīng)當(dāng)依法及時(shí)將案件移送司法機(jī)關(guān)，不得以行政處罰代替刑事處罰。

第九條 對(duì)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者的同一個(gè)數(shù)據(jù)安全違法行為，不得給予兩次以上罰款的行政處罰。

第三章 數(shù)據(jù)安全行政處罰情形

第十條 有以下情形之一的，屬于不履行數(shù)據(jù)安全保護(hù)義務(wù)：

(一)未定期梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)規(guī)范識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位具體目錄;

(二)未建立數(shù)據(jù)全生命周期安全管理制度，未針對(duì)不同級(jí)別數(shù)據(jù)明確數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、銷毀、轉(zhuǎn)移、委托處理等環(huán)節(jié)的具體分級(jí)防護(hù)要求和操作規(guī)程;

(三)未根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理，協(xié)助行業(yè)(領(lǐng)域)監(jiān)管部門開展工作;

(四)未合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限，嚴(yán)格實(shí)施人員權(quán)限管理;

(五)未根據(jù)應(yīng)對(duì)數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案，并開展應(yīng)急演練;

(六)未定期對(duì)從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn);

(七)未開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn);

(八)發(fā)現(xiàn)可能造成較大及以上數(shù)據(jù)安全事件的風(fēng)險(xiǎn)后，未按照風(fēng)險(xiǎn)信息報(bào)送與共享工作機(jī)制向所在地行業(yè)監(jiān)管部門報(bào)告并及時(shí)處置;

(九)數(shù)據(jù)安全事件發(fā)生后，未按照應(yīng)急預(yù)案開展應(yīng)急處置;

(十)數(shù)據(jù)安全事件發(fā)生后，未按照規(guī)定向所在地行業(yè)監(jiān)管部門報(bào)告;

(十一)數(shù)據(jù)安全事件發(fā)生后，未按照規(guī)定及時(shí)告知用戶，并提供減輕危害措施;

(十二)未在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間少于六個(gè)月;

(十三)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，未明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，未建立常態(tài)化溝通與協(xié)作機(jī)制;

(十四)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，未要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書;

(十五)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立數(shù)據(jù)內(nèi)部登記、審批等工作機(jī)制，未對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄;

(十六)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照有關(guān)規(guī)定做好重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案管理;

(十七)涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，未第一時(shí)間向所在地行業(yè)監(jiān)管部門報(bào)告，事件處置完成后未在規(guī)定期限內(nèi)形成總結(jié)報(bào)告，每年未向本地區(qū)行業(yè)監(jiān)管部門報(bào)告數(shù)據(jù)安全事件處置情況;

(十八)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)每年至少開展一次風(fēng)險(xiǎn)評(píng)估，及時(shí)整改風(fēng)險(xiǎn)問題，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告;

(十九)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者報(bào)送的風(fēng)險(xiǎn)評(píng)估報(bào)告未包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等;

(二十)對(duì)于核心數(shù)據(jù)跨主體提供、轉(zhuǎn)移、委托處理，未按照有關(guān)規(guī)定進(jìn)行評(píng)估、保護(hù)、報(bào)批等;

(二十一)其他不履行數(shù)據(jù)安全保護(hù)義務(wù)的。

第十一條 有以下情形之一的，屬于向境外非法提供數(shù)據(jù):

(一)工業(yè)和信息化領(lǐng)域中的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)未在境內(nèi)存儲(chǔ)，或者因業(yè)務(wù)需要，確需向境外提供的，未按照有關(guān)規(guī)定進(jìn)行數(shù)據(jù)出境安全評(píng)估;

(二)其他工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者，在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，未按照法律、行政法規(guī)等要求在境內(nèi)存儲(chǔ)，或者確需向境外提供的，未依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估;

(三)非經(jīng)工業(yè)和信息化部批準(zhǔn)，向外國(guó)工業(yè)、電信、無線電執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù);

(四)其他向境外非法提供數(shù)據(jù)的。

第十二條 在各級(jí)行政處罰機(jī)關(guān)依法開展監(jiān)督檢查的過程中，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者存在以下情形之一的，屬于不配合監(jiān)管:

(一)在有關(guān)行政處罰機(jī)關(guān)開展數(shù)據(jù)安全監(jiān)督檢查過程中，未對(duì)組織運(yùn)作、技術(shù)系統(tǒng)、算法原理、數(shù)據(jù)處理程序等進(jìn)行解釋說明，未開放安全相關(guān)數(shù)據(jù)訪問、提供必要技術(shù)支持的;

(二)拒絕提供有關(guān)材料、信息的，或提供虛假材料、信息的，或者隱匿、銷毀、轉(zhuǎn)移證據(jù)的;

(三)其他不履行配合數(shù)據(jù)安全監(jiān)管義務(wù)的。

第十三條 符合下列情況之一的，為后果較輕情節(jié):

(一)1000萬條以下一般數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用;

(二)對(duì)公民、法人和組織合法權(quán)益、社會(huì)公共利益造成損害的持續(xù)時(shí)間較短，或直接經(jīng)濟(jì)損失在1000萬元以內(nèi);

(三)影響范圍小，影響對(duì)象為單個(gè)或少數(shù)企業(yè)，且不涉及跨地區(qū)的;

(四)其他對(duì)行業(yè)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全造成較輕后果的。

第十四條 符合下列情況之一的，為后果較重情節(jié):

(一)超過1000萬條一般數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用，或者涉及重要數(shù)據(jù)、核心數(shù)據(jù)的;

(二)對(duì)公民、法人和組織合法權(quán)益、社會(huì)公共利益造成損害的持續(xù)時(shí)間較長(zhǎng)，或直接經(jīng)濟(jì)損失超過1000萬元且在5000萬元以內(nèi)的;

(三)影響范圍較大，涉及多個(gè)企業(yè)，或涉及跨地區(qū)的;

(四)其他對(duì)行業(yè)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全造成較重后果的。

第十五條 符合下列情況之一的，為后果嚴(yán)重情節(jié):

(一)超過1億條一般數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用，或者涉及2個(gè)以上數(shù)據(jù)處理者的重要數(shù)據(jù)、核心數(shù)據(jù)的;

(二)對(duì)公民、法人和組織合法權(quán)益、社會(huì)公共利益造成損害的持續(xù)時(shí)間長(zhǎng)，或直接經(jīng)濟(jì)損失超過5000萬元的;

(三)影響范圍涉及多個(gè)行業(yè)、地區(qū)的;

(四)其他對(duì)行業(yè)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全造成嚴(yán)重后果的。

第四章 數(shù)據(jù)安全行政處罰裁量權(quán)適用規(guī)則

第十六條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰實(shí)施流程按照《中華人民共和國(guó)行政處罰法》《工業(yè)和信息化行政處罰程序規(guī)定》等法律法規(guī)的有關(guān)規(guī)定執(zhí)行。

第十七條 本指引規(guī)定的數(shù)據(jù)安全行政處罰情形，各級(jí)行政處罰機(jī)關(guān)應(yīng)當(dāng)依據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量基準(zhǔn)》(附件)確定的行政處罰種類和幅度實(shí)施行政處罰。

第十八條 有下列情形之一的，依法不予行政處罰：

(一)違法行為輕微并及時(shí)改正，沒有造成危害后果的;初次違法且危害后果輕微并及時(shí)改正的可以不予處罰;

(二)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者有證據(jù)足以證明沒有主觀過錯(cuò)的;

(三)其他依法應(yīng)當(dāng)不予行政處罰的。

第十九條 有下列情形之一的，依法從輕或減輕行政處罰：

(一)主動(dòng)消除或者減輕數(shù)據(jù)安全違法行為危害后果的;

(二)受脅迫或者誘騙實(shí)施數(shù)據(jù)安全違法行為的;

(三)主動(dòng)供述行業(yè)監(jiān)管部門尚未掌握的數(shù)據(jù)安全違法行為的;

(四)積極配合行業(yè)監(jiān)管部門查處數(shù)據(jù)安全違法行為的;

(五)法律、行政法規(guī)、部門規(guī)章等規(guī)定其他應(yīng)當(dāng)從輕或者減輕行政處罰的。

第二十條 有下列情形之一的，依法從重行政處罰：

(一)兩年內(nèi)因同類數(shù)據(jù)安全違法行為被處罰3次以上的;

(二)阻礙或者拒不配合行業(yè)監(jiān)管部門查處數(shù)據(jù)安全違法行為或者對(duì)行政執(zhí)法人員打擊報(bào)復(fù)的;

(三)教唆、脅迫、誘騙他人實(shí)施數(shù)據(jù)安全違法行為的;

(四)偽造、隱匿、毀滅證據(jù)的;

(五)數(shù)據(jù)安全違法行為引起不良社會(huì)反響的;

(六)其他具有從重情節(jié)的。

第二十一條 工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者既有從輕或者減輕行政處罰情節(jié)，又有從重行政處罰情節(jié)的，行業(yè)監(jiān)管部門應(yīng)當(dāng)結(jié)合實(shí)際情況綜合考慮后作出裁量決定。

第二十二條 不予行政處罰、減輕行政處罰、從輕行政處罰和從重行政處罰的含義。

不予行政處罰是指因法定原因?qū)μ囟ㄟ`法行為不給予行政處罰。

減輕行政處罰是指適用法定行政處罰最低限度以下的處罰種類或處罰幅度。

從輕行政處罰是指在依法可選擇的處罰種類和處罰幅度內(nèi)，適用較輕、較少的處罰種類或者較低的處罰幅度。其中，罰款的數(shù)額應(yīng)當(dāng)為從最低限到不超過最高限70%的這一部分，且從輕處罰后的罰款數(shù)額不得低于法定最低罰款數(shù)額。

從重行政處罰是指在依法可以選擇的處罰種類和處罰幅度內(nèi)，適用較重、較多的處罰種類或者較高的處罰幅度。其中，罰款數(shù)額應(yīng)當(dāng)從最低限的2倍到最高限這一部分。

第五章 附則

第二十三條 本指引所稱“以上”“以下”“以內(nèi)”均含本數(shù)。

第二十四條 國(guó)防科技工業(yè)、煙草領(lǐng)域數(shù)據(jù)安全行政處罰裁量規(guī)定，另行制定。

第二十五條 本指引由工業(yè)和信息化部負(fù)責(zé)解釋。

第二十六條本指引自印發(fā)之日起施行。