自然資源領域數據安全管理辦法

第一條 為規範自然資源領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家安全和發展利益，根據《中華人民共和國數據安全法》《中華人民共和國網路安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》等法律法規，制定本辦法。

第二條 在中華人民共和國境內開展的，或在境外履行自然資源部門職責過程中開展的自然資源領域非涉密數據處理活動及其安全監管，應當遵守相關法律法規和本辦法的要求。

第三條 本辦法所稱自然資源領域數據，是指在開展自然資源活動中收集和產生的數據，主要包括基礎地理信息、遙感影像等地理信息數據，土地、礦產、森林、草原、水、濕地、海域海島等自然資源調查監測數據，總體規劃、詳細規劃、專項規劃等國土空間規劃數據，用途管制、資產管理、耕地保護、生態修復、開發利用、不動產登記等自然資源管理數據。

本辦法所稱自然資源領域數據處理者（以下簡稱數據處理者），是指開展自然資源領域數據處理活動的自然資源行業各類單位。

本辦法所稱數據安全，是指通過採取必要措施，確保數據處於有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條 在國家數據安全工作協調機制統籌協調下，自然資源部承擔自然資源行業、領域數據安全監管職責，負責督促指導各省、自治區、直轄市自然資源主管部門、海洋主管部門（以下統稱地方行業監管部門）開展數據安全監管。國家林業和草原局具體承擔森林草原、濕地荒漠等數據安全監管職責，參照本辦法制定具體制度。

地方行業監管部門分別負責對本地區自然資源領域數據處理活動和安全保護進行監督管理。

自然資源部、國家林業和草原局及地方行業監管部門統稱為行業監管部門。

行業監管部門將數據安全納入黨委（黨組）國家安全責任制，按照“誰管業務，誰管數據，誰管數據安全”原則，落實本行業本地區本領域數據安全指導監管責任。

第五條 自然資源部、國家林業和草原局推進自然資源領域數據開發利用和數據安全標準體系建設，組織開展相關標準制修訂及推廣套用。

第六條 鼓勵自然資源領域數據依法共享開放和開發利用，支持數據創新套用。積極構建數據開發利用和安全產業協調共進的發展模式，不斷提升數據安全保障能力，維護國家安全、社會穩定、組織和個人權益。

第七條 支持開展經常性的自然資源領域數據安全宣傳教育。採取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。

第八條 自然資源部組織制定自然資源領域數據分類分級、重要數據和核心數據識別認定、數據安全保護等標準規範，指導開展數據分類分級管理工作，編制行業重要數據和核心數據目錄並實施動態管理。國家林業和草原局按照自然資源領域數據分類分級標準規範，結合工作需要編制林草領域數據安全標準規範，指導開展林草數據分類分級工作，編制林草重要數據和核心數據目錄並實施動態管理。

地方行業監管部門按照自然資源領域數據分類分級標準規範,分別組織開展本地區自然資源領域數據分類分級管理及重要數據和核心數據識別審核工作，編制本地區自然資源領域重要數據和核心數據目錄，並上報自然資源部，目錄發生變化的，應及時上報更新。

數據處理者應當定期按照自然資源領域數據分類分級標準規範梳理填報重要數據和核心數據目錄。

第九條 根據行業特點和業務套用，自然資源領域數據分類類別包括但不限於地理信息、自然資源調查監測、國土空間規劃、自然資源管理等，具體參照自然資源領域數據分類分級標準規範。

通過對自然資源領域數據重要性、精度、規模、安全風險，以及數據價值、可用性、可共享性、可開放性等進行綜合分析，判斷數據遭到篡改、破壞、泄露或者非法獲取、非法利用後的影響對象、影響程度、影響範圍進行分級，分為一般數據、重要數據、核心數據。

數據處理者可在此基礎上細分數據的類別和一般數據級別。

第十條 核心數據是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據，一旦被非法使用或共享，可能直接影響政治安全。核心數據主要包括關係國家安全重點領域的數據，關係國民經濟命脈、重要民生和重大公共利益的數據，經國家有關部門評估確定的其他數據。

重要數據是指特定領域、特定群體、特定區域或達到一定精度和規模，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。

一般數據是指除重要數據、核心數據以外的其他數據。

結合自然資源領域數據特點，滿足以下兩項（含）以上參考指標的為重要數據。

（一）支撐黨中央和國務院賦予的“兩統一”職責產生的具有不可替代性和行業唯一性的，一旦發生數據篡改、泄露或服務中斷等安全事故，將影響自然資源部門履行職責，對全國範圍內服務對象產生重要影響的數據。

（二）涉及國民經濟和重要民生的，為其他行業、領域提供自然資源基礎數據支撐的，一旦發生數據安全事故會對其他行業、領域造成重要影響的數據。

（三）覆蓋多個省份甚至全國，規模大、精度高，且極具敏感性、重要性的數據。

（四）直接影響國家關鍵信息基礎設施正常運行服務的數據。

（五）危害國家安全、國家經濟競爭力、危害公眾接受公共服務、危害公民生存條件和安定工作生活環境、危害公民的生命財產安全和其他合法利益、導致社會恐慌等的數據。

（六）我國法律法規及規範性檔案規定的其他自然資源重要數據。

符合重要數據指標，且關係國家經濟命脈、重要民生和重大公共利益、影響政治安全的數據為核心數據。

第十一條 自然資源部所屬的數據處理者應當將本單位重要數據和核心數據目錄向自然資源部報備，國家林業和草原局所屬的數據處理者應當將本單位重要數據和核心數據目錄向國家林業和草原局報備，其他數據處理者應當將本單位重要數據和核心數據目錄向本地區行業監管部門報備。報備內容包括但不限於數據類別、級別、規模、精度、來源、載體、使用範圍、對外共享、跨境傳輸、 安全情況及責任單位情況等，不包括數據內容本身。

地方行業監管部門應當在數據處理者提交報備申請後的二十個工作日內完成審核工作，報備內容符合要求的，報自然資源部審核認定，自然資源部接到申請後二十個工作日完成重要數據認定，核心數據須報國家數據安全工作協調機制認定；不符合要求的應當及時反饋申請單位並說明理由。申請單位應當在收到反饋後的十五個工作日內再次提交申請。

報備內容發生重大變化的，數據處理者應當在發生變化的三個月內履行變更手續。重大變化是指數據內容發生變化導致原有級別不再適用的，或某類重要數據和核心數據規模變化30%以上的，等等。

第十二條 數據處理者應當對數據處理活動安全負主體責任,對各類數據實行分級防護，不同級別數據同時被處理且難以分別採取保護措施的，應當按照其中級別最高的要求實施保護，確保數據持續處於有效保護和合法利用的狀態。

（一）建立數據安全管理制度，針對不同級別數據，制定數據全生命周期各環節的具體分級防護要求和操作規程。

（二）根據需要配備數據安全管理人員，統籌負責數據處理活動的安全監督管理，協助行業監管部門開展工作。

（三）利用網際網路等信息網路開展數據處理活動時，要落實網路安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等制度要求。

（四）應當採取相應技術措施和其他必要措施保障數據安全，防範數據被篡改、破壞、泄露或者非法獲取、非法利用等風險。

（五）合理確定數據處理活動的操作許可權，嚴格實施人員許可權管理。

（六）根據應對數據安全事件的需要，制定應急預案， 並開展應急演練。

（七）定期對從業人員開展數據安全知識和技能相關教育培訓。

（八）法律法規等規定的其他措施。

重要數據和核心數據處理者，還應當：

（一）建立覆蓋本單位相關部門的數據安全工作體系， 明確數據安全負責人和管理機構，建立常態化溝通與協作機制。本單位法定代表人或主要負責人是數據安全第一責任人，領導班子中分管數據安全的班子成員是直接責任人，其他成員對職責範圍內的數據安全工作負領導責任，履行數據安全保護義務，接受監督。

（二）明確數據處理關鍵崗位和崗位職責，並要求關鍵崗位人員簽署數據安全責任書，責任書內容包括但不限於數據安全崗位職責、義務、處罰措施、注意事項等內容。應當按照業務工作需要和最小授權原則，依據崗位職責設定數據處理許可權，控制重要數據接觸範圍，人員變動時應及時調整許可權。涉及核心數據的相關關鍵崗位人員、信息系統建設和運維單位等，提交公安機關、國家安全機關進行國家安全背景審查。

（三）建立內部登記、審批機制，對重要數據和核心數據的處理活動進行嚴格管理並留存記錄不少於六個月。

（四）在數據全生命周期的各環節，應當綜合運用加密、鑒權、認證、脫敏、校驗、審計等技術手段進行安全保護,並按照法律法規和國家有關規定要求使用商用密碼進行保護。

（五）涉重要數據信息系統建設、運維項目未經委託方批准不得轉包、分包。建設運維人員未經委託方明確授權，不得處理委託方的重要數據。在提供涉重要數據信息系統建設、運維過程中收集、產生的數據，不得用於其他用途，服務完成後按照與委託方約定處理或及時刪除。

（六）應當加強人員和經費保障。

第十三條 數據處理者收集數據應當遵循合法、正當的原則，不得竊取或者以其他非法方式收集數據。法律法規對收集數據的目的、範圍有規定的，應當在法律法規規定的目的和範圍內收集。

數據收集過程中，應當根據數據安全級別採取相應的安全措施，加強重要數據和核心數據收集生產人員、設備的管理， 並對收集來源、時間、類型、數量、精度、區域、頻度、流向等進行記錄。

通過間接途徑獲取重要數據和核心數據的，數據處理者應當與數據提供方通過簽署相關協定、承諾書等方式，明確雙方法律責任。

第十四條 數據處理者應當依據法律法規規定的方式和期限存儲數據，可以從物理和環境安全、網路和通信安全、設備和計算安全、套用和數據安全等方面，加強數據存儲安全管控，保障存儲數據的完整性、保密性、真實性和可用性。

存儲重要數據的，要落實第三級及以上網路安全等級保護要求。存儲核心數據的，要落實關鍵信息基礎設施安全保護要求或第四級網路安全等級保護要求。

第十五條 數據處理者開展數據加工使用處理活動，應當採取訪問控制、數據防泄露、操作審計等管控措施，確保過程安全、合規、可控、可溯源，防範數據關聯挖掘、分析過程中有價值信息和個人隱私泄露的安全風險，明確數據使用加工過程中的相關責任，保證數據的正當加工使用。加工使用過程中，應當按照數據級別採取相應的措施保護數據的安全性，所使用的數據必須是真實可靠的，數據來源、收集過程須經過審查和核實。涉及利用數據進行自動化決策的，應當保證決策的透明度和結果公平合理。加工使用重要數據和核心數據，還應當實施嚴格的訪問控制，建立數據可信可控、日誌留存審計、風險監測評估、實時監控、應急處置、數據溯源等相關技術和管理機制。

第十六條 數據處理者應當根據傳輸的數據類型、級別和套用場景，制定安全策略並採取保護措施。傳輸重要數據和核心數據的，應當採取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協定等措施。

第十七條 數據處理者應當按照有關規定安全有序提供數據，明確提供的範圍、類別、條件、程式等，提供的數據應當限於實現數據接收方處理目的的最小範圍，並告知數據接收方按照對應級別進行分類分級保護，採取必要的安全保護措施，涉及重要數據的，與數據接收方簽訂數據安全協定。重要數據在共享、調用過程中應當加強安全管控，採取技術措施定期監測數據共享、調用的情況，並配備風險隔離、認證鑒權、威脅告警等安全保護措施。涉及提供、共享核心數據的，應當採取必要的安全保護措施，並上報自然資源部，自本年度1月1日起可能累計達到總量30%及以上的，應當經自然資源部報國家數據安全工作協調機制組織風險評估。涉及國家機關依法履職或單位內部流動的除外。

第十八條 數據處理者應當在數據公開前分析研判可能對國家安全、公共利益產生的影響，存在顯著負面影響或風險的，不得公開。政府機關部門應當遵守公正、公平、便民的原則，按照規定及時、準確地公開政務數據，依法不予公開的除外。

第十九條 數據處理者應當建立數據銷毀制度，明確銷毀對象、規則、流程和技術等要求，對銷毀活動進行記錄和留存。依據法律法規規定、契約約定等請求銷毀的，數據處理者應當銷毀相應數據。

銷毀重要數據和核心數據的，要採取必要的安全保護措施，並事前向行業監管部門報告數據銷毀方案。引起重要數據和核心數據目錄變化的，應當及時向行業監管部門報備，不得以任何理由、任何方式對銷毀數據進行恢復。

第二十條 數據處理者在中華人民共和國境內收集和產生的重要數據，應當在境記憶體儲，確需向境外提供的，數據處理者應當落實國家網信部門數據出境安全評估有關規定。

第二十一條 數據處理者因重組等原因需要轉移數據的，應當明確數據轉移方案。涉及重要數據的，應當採取必要的安全保護措施，事前向行業監管部門報告數據轉移方案。引起重要數據目錄發生變化的，應當及時向行業監管部門報備。

第二十二條 數據處理者委託他人處理、與他人共同處理數據的，數據安全責任不因委託而改變，應當通過簽訂契約協定等方式，明確委託方與受託方的數據安全責任和義務。涉及重要數據的，委託方要把安全作為重要考慮因素，應當對受託方的數據安全保護能力、資質進行評估或核實，經過嚴格的審批程式，明確受託方的數據處理許可權和保護責任，並監督受託方履行數據安全保護義務。

除法律法規等另有規定外，未經委託方同意，受託方不得將數據提供給第三方。

第二十三條 數據處理者應當在數據全生命周期處理過程中，記錄數據處理、許可權管理、人員操作等日誌，並採用商用密碼技術保護日誌的完整性。其中，一般數據的日誌留存時間不少於六個月，涉及重要數據安全事件處置、溯源的，相關日誌留存時間不少於一年；涉及向他人提供、委託處理、共同處理重要數據的，相關日誌留存時間不少於三年。涉及核心數據安全事件處置、溯源的相關日誌留存時間不少於三年。

第二十四條 自然資源部按照國家相關標準和流程，組織建立自然資源領域數據安全風險監測機制，建立自然資源領域數據安全風險監測預警體系，劃分數據安全風險和事件等級，組織建設數據安全監測預警技術手段，形成監測、溯源、預警、處置等能力，與相關部門加強信息共享。國家林業和草原局組織建立林草數據安全風險監測預警機制，劃分林草數據安全風險和事件等級，組織建設林草數據監測預警技術手段。

地方行業監管部門分別建設本地區數據安全監測預警機制，組織開展本地區自然資源領域數據安全風險監測，按照有關規定及時發布預警信息，通知本地區數據處理者及時採取應對措施。

數據處理者應當開展數據安全風險監測，及時排查安全隱患，採取必要的措施防範數據安全風險。

第二十五條 自然資源部組織指導開展自然資源領域數據安全風險評估等工作。國家林業和草原局組織指導開展林草數據安全風險評估等工作。

地方行業監管部門分別負責組織開展本地區自然資源領域數據安全風險評估工作。

重要數據處理者應當自行或委託第三方評估機構，每年對其數據處理活動至少開展一次風險評估，及時整改風險問題，並向行業監管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的類別、數量，開展數據處理活動的情況，面臨的數據安全風險、應對措施及其有效程度等。數據處理者應當保留風險評估報告至少三年。核心數據處理者優先使用第三方評估機構開展風險評估。

數據處理者在組織重要數據安全風險評估時，應當對其數據查詢、下載、修改、刪除等重點操作的日誌開展審計分析，發現違規或異常行為，應及時採取相應處置措施。

第二十六條 自然資源部組織建立自然資源領域數據安全風險信息通報機制，統一匯集、分析、研判、通報數據安全風險信息。國家林業和草原局組織建立林草數據安全風險信息通報機制。

地方行業監管部門分別匯總分析本地區自然資源領域數據安全風險，根據數據安全風險的發展態勢、規模大小、關聯程度、現實危害等綜合研判，及時將可能造成重大及以上安全事件的風險向自然資源部報告。

數據處理者及時將可能造成較大及以上安全事件的風險向行業監管部門報告。

第二十七條 自然資源部組織制定自然資源領域數據安全事件應急預案，組織協調重要數據和核心數據安全事件應急處置工作。國家林業和草原局組織建立林草數據安全事件應急預案，組織協調重要數據和核心數據安全事件應急處置工作。

地方行業監管部門分別組織開展本地區自然資源領域數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即報自然資源部，並及時報告事件發展和處置情況。

數據處理者在數據安全事件發生後，應當按照應急預案，及時開展應急處置，涉及重要數據和核心數據的安全事件，第一時間向行業監管部門、屬地公安部門報告，事件處置完成後在一周以內形成總結報告。每年向行業監管部門報告數據安全事件處置情況。

數據處理者對發生的可能損害用戶合法權益的數據安全事件，應當及時告知用戶，並提供減輕危害措施。

第二十八條 行業監管部門對數據處理者落實數據分類分級保護及本辦法要求的情況進行監督檢查。數據處理者應當對行業監管部門監督檢查予以配合。

第二十九條 在國家數據安全工作協調機制統一組織下，自然資源部依法配合有關部門，對影響或者可能影響國家安全的自然資源領域數據處理活動開展數據安全審查工作。

第三十條 數據處理者及其委託的數據安全風險評估機構工作人員對在履行職責中知悉的個人信息、商業秘密等，應當嚴格保密，不得泄露或者非法向他人提供。

第三十一條 行業監管部門在履行數據安全監督管理職責中，發現數據處理活動存在較大安全風險的，可以按照規定許可權和程式對數據處理者進行約談，並要求採取措施進行整改，消除隱患。

第三十二條 對於違反有關規定的，依照《中華人民共和國數據安全法》及有關法律法規予以處理，根據情節嚴重程度給與相應行政處罰，構成犯罪的，依法追究刑事責任。

第三十三條 開展涉及個人信息的數據處理活動，還應當遵守有關法律法規的規定。

第三十四條 涉及國家秘密信息或自然資源領域數據匯聚關聯後屬於國家秘密事項的數據處理活動，應當符合國家及部相關保密規定。

第三十五條 法律法規規定開展數據處理活動應當取得行政許可的，數據處理者應當依法取得許可。

第三十六條 本辦法由自然資源部負責解釋。

第三十七條 本辦法自印發之日起施行。