《工業和信息化領域數據安全行政處罰裁量指引》是為規範工業和信息化領域數據安全監督管理部門合法、適當地行使行政處罰自由裁量權,細化行政處罰裁量基準,統一裁量尺度,根據《中華人民共和國行政處罰法》《中華人民共和國數據安全法》《中華人民共和國網路安全法》《工業和信息化行政處罰程式規定》等法律、行政法規、部門規章等有關規定製定的指引。由工業和信息化部網路安全管理局於2023年11月23日發布徵求意見稿,意見徵詢期至2023年12月23日前。
意見徵詢,公開徵求意見稿,
意見徵詢
公開徵求對《工業和信息化領域數據安全行政處罰裁量指引(試行)(徵求意見稿)》的意見
為貫徹落實《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》,推動工業和信息化領域數據安全行政處罰工作制度化、規範化開展,我們研究起草了《工業和信息化領域數據安全行政處罰裁量指引(試行)》。現向社會公開徵求意見,如有意見或建議,請於2023年12月23日前反饋。
傳真:參考連結
信箱:參考連結
地址:北京市西城區西長安街13號工業和信息化部網路安全管理局(郵編:100804)。請在信封上註明“《工業和信息化領域數據安全行政處罰裁量指引(試行)》(公開徵求意見稿)意見反饋”。
工業和信息化部網路安全管理局
2023年11月23日
公開徵求意見稿
工業和信息化領域數據安全行政處罰裁量指引(試行)
(徵求意見稿)
第一章總則
第一條為規範工業和信息化領域數據安全監督管理部門合法、適當地行使行政處罰自由裁量權,細化行政處罰裁量基準,統一裁量尺度,根據《中華人民共和國行政處罰法》《中華人民共和國數據安全法》《中華人民共和國網路安全法》《工業和信息化行政處罰程式規定》等法律、行政法規、部門規章等有關規定,制定本指引。
第二條在中華人民共和國境內開展的工業和信息化領域數據安全違法行為行政處罰裁量工作,適用本指引。本指引所稱的行政處罰裁量權,是指工業、電信、無線電行業監管部門在職責範圍內對數據處理活動進行監管處罰時,根據行政處罰原則,在法律、行政法規等規定的行政處罰種類和幅度內,綜合考量違法的事實、性質、手段、後果、情節和合規措施等因素,正確、適當地確定行政處罰的種類、幅度或者作出不予行政處罰決定的選擇適用許可權。
第三條工業和信息化部負責組織制定修訂工業和信息化領域數據安全行政處罰裁量制度規範,指導、監督行業數據安全行政處罰工作。
各省(自治區、直轄市)、市(自治州、地區)及計畫單列市、新疆生產建設兵團工業和信息化主管部門,各省(自治區、直轄市)、市(自治州、地區)通信管理局和無線電管理機構(以下統稱地方行政處罰機關)按職責分工分別負責本行政區域內工業、電信、無線電領域數據安全行政處罰工作。工業和信息化部及地方行政處罰機關統稱為行政處罰機關。
第四條工業和信息化領域數據安全行政處罰裁量工作應當遵循以下原則:
(一)依法行政原則。依據法定許可權,符合法律、行政法規等規定的裁量條件、處罰種類和幅度,遵守法定程式。
(二)責罰相當原則。以事實為依據,處罰的種類和幅度與違法行為的事實、性質、情節、社會危害程度等相當。
(三)處罰與教育相結合原則。兼顧糾正違法行為和教育當事人,引導當事人自覺守法。
第二章管轄
第五條工業和信息化領域數據安全行政處罰由違法行為發生地的行政處罰機關管轄。數據安全違法行為發生地包括實施違法行為的住所地、實際經營地、工商註冊地(工商註冊地與實際經營地不一致的,應按實際經營地),網路接入地,取得電信和網際網路信息服務相關許可(備案)所在地,網站建立者、管理者、使用者所在地,計算機等終端設備所在地,數據集中存儲地、交易地、出境活動所在地等。
第六條兩個及以上行政處罰機關對同一違法行為均有管轄權的,應當由最先立案的行政處罰機關管轄。兩個及以上的行政處罰機關對管轄權有爭議的,應當在發生爭議之日起7日內協商解決,協商不成的,應當在7日內報請共同的上一級行政處罰機關指定管轄;也可以直接由共同的上一級行政處罰機關指定管轄。
第七條工業和信息化部依職權指導監督工業和信息化領域數據安全違法行為管轄工作。存在下列情況之一的,可以由工業和信息化部指定管轄:
(一)數據安全違法行為情節嚴重的;
(二)省級地方行政處罰機關對管轄發生爭議,協商不成的;
(三)數據安全違法行為或主體涉及不同省級地區、不同行業主管部門的;
(四)法律、行政法規、部門規章等規定應當由工業和信息化部指定管轄的其他情形。
第八條行政處罰機關發現案件不屬於其管轄的,應當依法依規及時向有管轄權的行政處罰機關移送息服務相關許可(備案)所在地,網站建立者、管理者、使用者所在地,計算機等終端設備所在地,數據集中存儲地、交易地、出境活動所在地等。第六條兩個及以上行政處罰機關對同一違法行為均有管轄權的,應當由最先立案的行政處罰機關管轄。兩個及以上的行政處罰機關對管轄權有爭議的,應當在發生爭議之日起7日內協商解決,協商不成的,應當在7日內報請共同的上一級行政處罰機關指定管轄;也可以直接由共同的上一級行政處罰機關指定管轄。第七條工業和信息化部依職權指導監督工業和信息化領域數據安全違法行為管轄工作。
存在下列情況之一的,可以由工業和信息化部指定管轄:
(一)數據安全違法行為情節嚴重的;
(二)省級地方行政處罰機關對管轄發生爭議,協商不成的;
(三)數據安全違法行為或主體涉及不同省級地區、不同行業主管部門的;
(四)法律、行政法規、部門規章等規定應當由工業和信息化部指定管轄的其他情形。
第八條行政處罰機關發現案件不屬於其管轄的,應當依法依規及時向有管轄權的行政處罰機關移送。行政處罰機關發現違法行為涉嫌犯罪的,應當依法及時將案件移送司法機關,不得以行政處罰代替刑事處罰。
第九條對工業和信息化領域數據處理者的同一個數據安全違法行為,不得給予兩次以上罰款的行政處罰。
第三章數據安全行政處罰情形
第十條有以下情形之一的,屬於不履行數據安全保護義務:
(一)未定期梳理數據,按照相關標準規範識別重要數據和核心數據並形成本單位具體目錄;
(二)未建立數據全生命周期安全管理制度,未針對不同級別數據明確數據收集、存儲、使用、加工、傳輸、提供、公開、銷毀、轉移、委託處理等環節的具體分級防護要求和操作規程;
(三)未根據需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理,協助行業(領域)監管部門開展工作;
(四)未合理確定數據處理活動的操作許可權,嚴格實施人員許可權管理;
(五)未根據應對數據安全事件的需要,制定應急預案,並開展應急演練;
(六)未定期對從業人員開展數據安全教育和培訓;
(七)未開展數據安全風險監測,及時排查安全隱患,採取必要的措施防範數據安全風險;(
八)發現可能造成較大及以上數據安全事件的風險後,未按照風險信息報送與共享工作機制向所在地行業監管部門報告並及時處置;
(九)數據安全事件發生後,未按照應急預案開展應急處置;
(十)數據安全事件發生後,未按照規定向所在地行業監管部門報告;
(十一)數據安全事件發生後,未按照規定及時告知用戶,並提供減輕危害措施;
(十二)未在數據全生命周期處理過程中,記錄數據處理、許可權管理、人員操作等日誌。日誌留存時間少於六個月;
(十三)工業和信息化領域重要數據和核心數據處理者未建立覆蓋本單位相關部門的數據安全工作體系,未明確數據安全負責人和管理機構,未建立常態化溝通與協作機制;
(十四)工業和信息化領域重要數據和核心數據處理者未明確數據處理關鍵崗位和崗位職責,未要求關鍵崗位人員簽署數據安全責任書;
(十五)工業和信息化領域重要數據和核心數據處理者未建立數據內部登記、審批等工作機制,未對重要數據和核心數據的處理活動進行嚴格管理並留存記錄;
(十六)工業和信息化領域重要數據和核心數據處理者未按照有關規定做好重要數據和核心數據目錄備案管理;
(十七)涉及重要數據和核心數據的安全事件,未第一時間向所在地行業監管部門報告,事件處置完成後未在規定期限內形成總結報告,每年未向本地區行業監管部門報告數據安全事件處置情況;
(十八)工業和信息化領域重要數據和核心數據處理者未按照規定對其數據處理活動每年至少開展一次風險評估,及時整改風險問題,並向有關主管部門報送風險評估報告;
(十九)工業和信息化領域重要數據和核心數據處理者報送的風險評估報告未包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等;
(二十)對於核心數據跨主體提供、轉移、委託處理,未按照有關規定進行評估、保護、報批等;
(二十一)其他不履行數據安全保護義務的。
第十一條有以下情形之一的,屬於向境外非法提供數據:
(一)工業和信息化領域中的關鍵信息基礎設施運營者在中華人民共和國境內運營中收集和產生的重要數據和核心數據未在境記憶體儲,或者因業務需要,確需向境外提供的,未按照有關規定進行數據出境安全評估;
(二)其他工業和信息化領域數據處理者,在中華人民共和國境內收集和產生的重要數據和核心數據,未按照法律、行政法規等要求在境記憶體儲,或者確需向境外提供的,未依法依規進行數據出境安全評估;
(三)非經工業和信息化部批准,向外國工業、電信、無線電執法機構提供存儲於中華人民共和國境內的工業和信息化領域數據;(四)其他向境外非法提供數據的。
第十二條在各級行政處罰機關依法開展監督檢查的過程中,工業和信息化領域數據處理者存在以下情形之一的,屬於不配合監管:
(一)在有關行政處罰機關開展數據安全監督檢查過程中,未對組織運作、技術系統、算法原理、數據處理程式等進行解釋說明,未開放安全相關數據訪問、提供必要技術支持的;
(二)拒絕提供有關材料、信息的,或提供虛假材料、信息的,或者隱匿、銷毀、轉移證據的;
(三)其他不履行配合數據安全監管義務的。
第十三條符合下列情況之一的,為後果較輕情節:
(一)1000萬條以下一般數據被篡改、破壞、泄露或者非法獲取、非法利用;
(二)對公民、法人和組織合法權益、社會公共利益造成損害的持續時間較短,或直接經濟損失在1000萬元以內;
(三)影響範圍小,影響對象為單個或少數企業,且不涉及跨地區的;
(四)其他對行業發展、社會穩定和國家安全造成較輕後果的。
第十四條符合下列情況之一的,為後果較重情節:(一)超過1000萬條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及重要數據、核心數據的;
(二)對公民、法人和組織合法權益、社會公共利益造成損害的持續時間較長,或直接經濟損失超過1000萬元且在5000萬元以內的;
(三)影響範圍較大,涉及多個企業,或涉及跨地區的;
(四)其他對行業發展、社會穩定和國家安全造成較重後果的。
第十五條符合下列情況之一的,為後果嚴重情節:
(一)超過1億條一般數據被篡改、破壞、泄露或者非法獲取、非法利用,或者涉及2個以上數據處理者的重要數據、核心數據的;
(二)對公民、法人和組織合法權益、社會公共利益造成損害的持續時間長,或直接經濟損失超過5000萬元的;
(三)影響範圍涉及多個行業、地區的;(四)其他對行業發展、社會穩定和國家安全造成嚴重後果的。
第四章數據安全行政處罰裁量權適用規則
第十六條工業和信息化領域數據安全行政處罰實施流程按照《中華人民共和國行政處罰法》《工業和信息化行政處罰程式規定》等法律法規的有關規定執行。
第十七條本指引規定的數據安全行政處罰情形,各級行政處罰機關應當依據《工業和信息化領域數據安全行政處罰裁量基準》(附屬檔案)確定的行政處罰種類和幅度實施行政處罰。
第十八條有下列情形之一的,依法不予行政處罰:
(一)違法行為輕微並及時改正,沒有造成危害後果的;初次違法且危害後果輕微並及時改正的可以不予處罰;
(二)工業和信息化領域數據處理者有證據足以證明沒有主觀過錯的;
(三)其他依法應當不予行政處罰的。
第十九條有下列情形之一的,依法從輕或減輕行政處罰:
(一)主動消除或者減輕數據安全違法行為危害後果的;
(二)受脅迫或者誘騙實施數據安全違法行為的;
(三)主動供述行業監管部門尚未掌握的數據安全違法行為的;
(四)積極配合行業監管部門查處數據安全違法行為的;
(五)法律、行政法規、部門規章等規定其他應當從輕或者減輕行政處罰的。
第二十條有下列情形之一的,依法從重行政處罰:
(一)兩年內因同類數據安全違法行為被處罰3次以上的;
(二)阻礙或者拒不配合行業監管部門查處數據安全違法行為或者對行政執法人員打擊報復的;
(三)教唆、脅迫、誘騙他人實施數據安全違法行為的;
(四)偽造、隱匿、毀滅證據的;
(五)數據安全違法行為引起不良社會反響的;
(六)其他具有從重情節的。
第二十一條工業和信息化領域數據處理者既有從輕或者減輕行政處罰情節,又有從重行政處罰情節的,行業監管部門應當結合實際情況綜合考慮後作出裁量決定。
第二十二條不予行政處罰、減輕行政處罰、從輕行政處罰和從重行政處罰的含義。不予行政處罰是指因法定原因對特定違法行為不給予行政處罰。減輕行政處罰是指適用法定行政處罰最低限度以下的處罰種類或處罰幅度。從輕行政處罰是指在依法可選擇的處罰種類和處罰幅度內,適用較輕、較少的處罰種類或者較低的處罰幅度。其中,罰款的數額應當為從最低限到不超過最高限70%的這一部分,且從輕處罰後的罰款數額不得低於法定最低罰款數額。從重行政處罰是指在依法可以選擇的處罰種類和處罰幅度內,適用較重、較多的處罰種類或者較高的處罰幅度。其中,罰款數額應當從最低限的2倍到最高限這一部分。
第五章附則
第二十三條本指引所稱“以上”“以下”“以內”均含本數。第二十四條國防科技工業、菸草領域數據安全行政處罰裁量規定,另行制定。
第二十五條本指引由工業和信息化部負責解釋。第二十六條本指引自印發之日起施行。
