工业和信息化部关于印发《工业互联网安全分类分级管理办法》的通知
工业和信息化部关于印发《工业互联网安全分类分级管理办法》的通知 工信部网安〔2024〕68号 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市及计划单列市通信管理局,有关企事业单位: 现将《工业互联网安全分类分级管理办法》印发给你们,请认真抓好落实。 工业和信息化部 2024年4月11日 工业互联网安全分类分级管理办法 第一章 总 则 第一条 为加强工业互联网安全分类分级管理,落实企业网络安全主体责任,提升工业互联网安全防护水平,促进工业互联网深度融合应用,护航新型工业化高质量发展,维护国家安全和发展利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规及国家有关规定,制定本办法。 第二条 在中华人民共和国境内开展工业互联网安全分类分级管理工作的,应当遵守相关法律、行政法规和本办法的要求。 第三条 工业和信息化部统筹指导开展工业互联网安全分类分级管理工作,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等主管行业领域。 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门(以下称地方工业和信息化主管部门),各省、自治区、直辖市及计划单列市通信管理局(以下称地方通信管理局)开展本行政区域内工业互联网安全分类分级管理。地方工业和信息化主管部门主要负责指导本行政区域内联网工业企业的安全分类分级管理,同步加强工业控制系统网络安全防护。地方通信管理局主要负责开展本行政区域内平台企业、标识解析企业的安全分类分级管理,并在公共互联网上对联网设备、系统等进行安全监测。 地方工业和信息化主管部门、地方通信管理局统称地方主管部门。 第四条 工业互联网安全分类分级管理工作遵循统筹指导、分类施策、分级防护、突出重点的原则,指导企业提升安全防护能力。 第二章 企业分类分级 第五条 工业互联网安全分类分级管理以工业互联网企业为对象,企业类型主要包括以下三类: (一)应用工业互联网的工业企业(以下称联网工业企业),主要是指将新一代信息通信技术与工业系统深度融合,推动开展数字化研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业企业; (二)工业互联网平台企业(以下称平台企业),主要是指面向制造业数字化、网络化、智能化需求,基于云平台等方式对外提供工业大数据、工业APP等资源和公共服务的企业; (三)工业互联网标识解析企业(以下称标识解析企业),主要是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的机构。 第六条 工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。 当企业定级要素发生较大变化,可能影响企业定级结果时,企业应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业,应当按照不同类型分别定级。 第七条 完成自主定级的工业互联网企业通过全国工业互联网安全分类分级管理平台(以下称分类分级管理平台)开展信息登记,登记内容包括但不限于企业名称、企业类型、企业级别、联系方式、网络安全负责人等相关情况。地方主管部门通过分类分级管理平台对企业提交登记的材料,在三十个工作日内开展核查,对材料内容不齐全、定级不准确的,应当通知企业在二十个工作日内予以补正。 第八条 工业互联网企业应当按照联网工业企业、平台企业、标识解析企业、数据等相关安全防护标准规范,根据企业类型、自身级别落实相适应的安全要求,提升相关设备、控制、网络、平台、数据等的安全防护能力。 第九条 工业互联网企业应当按照法律法规和相关标准,自行或委托第三方评测机构,定期开展符合性评测,三级工业互联网企业每年至少开展一次评测,二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。 第十条 工业互联网企业针对发现存在的网络安全风险,应当积极采取措施消除隐患。 第三章 网络安全管理 第十一条 工业和信息化部建立健全工业互联网安全分类分级管理制度体系,组织制定评估评测、信息通报、应急预案等相关制度,以及分类分级、安全管理、安全服务等相关标准,建立完善安全检查、监测预警、应急处置、成效评价等工作机制。 地方主管部门应当建立健全属地工业互联网安全分类分级管理制度机制,将工业互联网安全纳入重点工作任务,督促企业落实网络安全主体责任,强化重点企业指导管理,定期向工业和信息化部报送工业互联网安全管理工作情况。地方工业和信息化主管部门、通信管理局加强工作协同,共同做好工业互联网安全工作。 工业互联网企业承担本企业网络安全主体责任,企业主要负责人为本企业网络安全第一责任人,要建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险。企业应当配合工业和信息化部、地方主管部门的监督管理。 第十二条 工业和信息化部建立健全工业互联网安全监测预警和信息通报机制,建设国家级安全态势感知与风险预警手段,组织开展安全风险监测、预警和通报,加强威胁信息共享。 地方主管部门建立属地工业互联网安全监测预警机制,建设地方工业互联网安全技术平台,组织开展本行政区域内安全风险监测,及时向相关企业通报安全风险隐患,指导企业及时整改。 工业互联网企业应当根据自身级别,建设监测网络运行状态、网络安全事件的技术手段,留存相关的网络日志不少于六个月,采取防范网络攻击、病毒入侵等危害网络安全行为的技术措施,有效发现网络安全风险隐患并及时处置。三级工业互联网企业按照有关标准,加强企业平台与国家、地方平台之间的协同联动。 第十三条 工业和信息化部建立健全工业互联网安全应急处置制度机制,组织协调工业互联网重大及以上网络安全事件应急处置,开展工业互联网安全演练。 地方主管部门建立属地工业互联网安全应急处置制度,组织开展工业互联网安全演练,做好本行政区域内工业互联网安全事件应急处置工作,发现重大及以上安全事件,及时上报工业和信息化部。 工业互联网企业应当制定网络安全事件应急预案,定期开展安全演练,检验安全防护和应急处置能力。企业在网络安全事件发生后,立即启动应急预案,采取相应补救措施。发生一般及以上安全事件的,应当立即向地方主管部门报告。 第十四条 工业和信息化部建立健全工业互联网安全检查评估机制,定期组织开展对工业互联网企业的安全检查评估。 地方工业和信息化主管部门开展本行政区域内联网工业企业的安全评估,地方通信管理局开展本行政区域内平台企业、标识解析企业的安全检查,对发现的网络安全风险隐患,指导企业加强安全整改。地方主管部门每年面向三级工业互联网企业开展安全检查评估,定期面向二级、一级工业互联网企业开展安全检查评估。 工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。 第四章 支持与保障 第十五条 地方主管部门要加大人员投入和经费支持力度,加强工业互联网安全工作相关考核激励,建设工业互联网安全资源池,壮大属地安全支撑服务力量。 第十六条 地方主管部门要加强工业互联网安全政策标准宣贯,充分利用大会、论坛等方式,提升工业互联网安全意识和能力。加强工业互联网安全人才培养力度,鼓励行业企业、联盟协会、研究机构等开展工业互联网安全人才培训和岗位能力评价,支持举办工业互联网安全相关赛事活动。 第十七条 工业和信息化部鼓励、支持具备相关专业能力的第三方机构、网络安全企业等依据相关标准,开展工业互联网安全检测评估、安全咨询、安全运维、人员培训等安全服务,推动工业互联网安全服务认证,规范安全服务要求,提高安全服务质量。 第十八条 工业和信息化部指导联网工业企业识别重要工业控制系统,推动将分布式控制系统(DCS)等纳入网络关键设备目录,支持开展工业控制系统和设备安全检测。 第十九条 工业和信息化部支持地方主管部门以及行业企业、研究机构、高等学校等,通过专项项目、试点示范等方式,加大工业互联网安全技术研发和成果转化应用,选树分类分级防护典型案例,推广工业互联网安全产品和服务。 第五章 附则 第二十条 工业互联网企业违反本办法规定,不履行网络和数据安全保护义务的,工业和信息化部、地方主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规予以处理。 第二十一条 涉及关键信息基础设施安全保护的,按照有关规定执行。 第二十二条 本办法自印发之日起施行。
工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知
工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知 工信部网安〔2022〕166号 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,青海、宁夏无线电管理机构,部属各单位,部属各高校,各有关企业: 现将《工业和信息化领域数据安全管理办法(试行)》印发给你们,请认真遵照执行。 工业和信息化部 2022年12月8日 工业和信息化领域数据安全管理办法(试行) 第一章 总则 第一条 为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,制定本办法。 第二条 在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。 第三条 工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。 电信数据是指在电信业务经营活动中产生和收集的数据。 无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。 工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。 第四条 在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。 地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。 工业和信息化部及地方行业监管部门统称为行业监管部门。 行业监管部门按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。 第五条 行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。 工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。 第六条 行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用工作。 第二章 数据分类分级管理 第七条 工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。 地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。 工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。 第八条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。 工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。 第九条 危害程度符合下列条件之一的数据为一般数据: (一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小; (二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小; (三)其他未纳入重要数据、核心数据目录的数据。 第十条 危害程度符合下列条件之一的数据为重要数据: (一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域; (二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响; (三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大; (四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响; (五)经工业和信息化部评估确定的其他重要数据。 第十一条 危害程度符合下列条件之一的数据为核心数据: (一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域; (二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响; (三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等; (四)经工业和信息化部评估确定的其他核心数据。 第十二条 工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。 地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况报工业和信息化部;不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。 备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。 第三章 数据全生命周期安全管理 第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。 (一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程; (二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作; (三)合理确定数据处理活动的操作权限,严格实施人员权限管理; (四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练; (五)定期对从业人员开展数据安全教育和培训; (六)法律、行政法规等规定的其他措施。 工业和信息化领域重要数据和核心数据处理者,还应当: (一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人; (二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容; (三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。 第十四条 工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。 数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。 通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。 第十五条 工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。 第十六条 工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。 工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。 第十七条 工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。 第十八条 工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。 第十九条 工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。 第二十条 工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。 工业和信息化领域数据处理者销毁重要数据和核心数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。 第二十一条 工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。 工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。 第二十二条 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。 第二十三条 工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。 除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。 第二十四条 跨主体提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。 第二十五条 工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。 第四章 数据安全监测预警与应急管理 第二十六条 工业和信息化部建立数据安全风险监测机制,组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。 地方行业监管部门分别建设本地区数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和信息化领域数据处理者及时采取应对措施。 工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。 第二十七条 工业和信息化部建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。 地方行业监管部门分别汇总分析本地区数据安全风险,及时将可能造成重大及以上安全事件的风险上报工业和信息化部。 工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。 第二十八条 工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。 地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。 工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。 工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。 第二十九条 工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道,地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。 第五章 数据安全检测、认证、评估管理 第三十条 工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。 第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。 地方行业监管部门分别负责组织开展本地区数据安全评估工作。 工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。 第六章 监督检查 第三十二条 行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。 工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。 第三十三条 工业和信息化部在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。 第三十四条 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。 第七章 法律责任 第三十五条 行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。 第三十六条 有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。 第八章 附则 第三十七条 中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。 第三十八条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。 第三十九条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。 第四十条 工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。 第四十一条 国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本办法另行制定。 第四十二条 本办法自2023年1月1日起施行。
中华人民共和国网络安全法
中华人民共和国网络安全法 (2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过) 目 录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则 第一章 总 则 第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。 第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。 第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。 第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。 第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。 第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。 第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。 第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。 第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。 第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。 第二章 网络安全支持与促进 第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。 国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。 第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。 第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。 第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。 国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。 第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。 大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。 第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。 第三章 网络运行安全 第一节 一般规定 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。 有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。 第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。 第二节 关键信息基础设施的运行安全 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。 第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施: (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估; (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力; (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享; (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。 第四章 网络信息安全 第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。 第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。 第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。 电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。 第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。 网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。 第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。 第五章 监测预警与应急处置 第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。 第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。 第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施: (一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测; (二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度; (三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。 第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。 第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。 第五十七条 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。 第五十八条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。 第六章 法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。 第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。 单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。 第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二)拒绝、阻碍有关部门依法实施的监督检查的; (三)拒不向公安机关、国家安全机关提供技术支持和协助的。 第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。 第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。 网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。 第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。 第七章 附 则 第七十六条 本法下列用语的含义: (一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 (二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 (三)网络运营者,是指网络的所有者、管理者和网络服务提供者。 (四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。 (五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。 第七十八条 军事网络的安全保护,由中央军事委员会另行规定。 第七十九条 本法自2017年6月1日起施行。
中华人民共和国数据安全法
目 录 第一章 总 则 第二章 数据安全与发展 第三章 数据安全制度 第四章 数据安全保护义务 第五章 政务数据安全与开放 第六章 法律责任 第七章 附 则 第一章 总 则 第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。 第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。 第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。 第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。 第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。 第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。 第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。 有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。 第二章 数据安全与发展 第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。 第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。 省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。 第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。 第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。 第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。 国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。 第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。 第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。 第三章 数据安全制度 第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。 依法作出的安全审查决定为最终决定。 第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。 第四章 数据安全保护义务 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。 第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。 第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。 第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第五章 政务数据安全与开放 第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。 第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。 第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。 第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。 第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。 第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。 第六章 法律责任 第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。 第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。 第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。 第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第七章 附 则 第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。 在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。 第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。 第五十五条 本法自2021年9月1日起施行。
十部门关于印发加强工业互联网安全工作的指导意见的通知
十部门关于印发加强工业互联网安全工作的指导意见的通知 工业和信息化部 教育部 人力资源和社会保障部 生态环境部 国家卫生健康委员会 应急管理部 国务院国有资产监督管理委员会 国家市场监督管理总局 国家能源局 国家国防科技工业局 关于印发加强工业互联网安全工作的指导意见的通知 工信部联网安〔2019〕168号 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业主管部门,各省、自治区、直辖市通信管理局: 现将《加强工业互联网安全工作的指导意见》印发给你们,请结合工作实际,抓好贯彻落实。 工业和信息化部 教育部 人力资源和社会保障部 生态环境部 国家卫生健康委员会 应急管理部 国务院国有资产监督管理委员会 国家市场监督管理总局 国家能源局 国家国防科技工业局 2019年7月26日 加强工业互联网安全工作的指导意见 按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,现就加强工业互联网安全工作提出如下意见。 一、总体要求 (一)指导思想 坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,按照《指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系,覆盖工业互联网规划、建设、运行等全生命周期,形成事前防范、事中监测、事后应急能力,全面提升工业互联网创新发展安全保障能力和服务水平。 (二)基本原则 筑牢安全,保障发展。以安全保发展,以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规,按照谁运营谁负责、谁主管谁负责的原则,坚持发展与安全并重,安全和发展同步规划、同步建设、同步运行。 统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。 分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业提升工业互联网安全保障能力,夯实企业安全主体责任。 融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快安全可靠产品的创新推广应用,有效应对新型安全挑战。 (三)总体目标 到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。 到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。 二、主要任务 (一)推动工业互联网安全责任落实 1.依法落实企业主体责任。工业互联网企业明确工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,部署有效安全技术防护手段,保障工业互联网安全稳定运行。由网络安全事件引发的安全生产事故,按照安全生产有关法规进行处置。 2.政府履行监督管理责任。工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展,并联合应急管理部门推进工业互联网在安全生产监管中的作用;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科技工业等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。 (二)构建工业互联网安全管理体系 3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。 4.建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,制定工业互联网行业企业分类分级指南,形成重点企业清单,强化逐级负责的政府监管模式,实施差异化管理。 5.建立工业互联网安全标准体系。推动工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定,建设安全技术与标准试验验证环境,支持专业机构、企业积极参与相关国际标准制定,加快标准落地实施。 (三)提升企业工业互联网安全防护水平 6.夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。 7.提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设,确保标识解析系统的安全运行。 8.强化平台和工业应用程序(APP)安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,针对边缘层、IaaS层(云基础设施)、平台层(工业PaaS)、应用层(工业SaaS)分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。 (四)强化工业互联网数据安全保护能力 9.强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。 10.建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。 (五)建设国家工业互联网安全技术手段 11.建设国家、省、企业三级协同的工业互联网安全技术保障平台。工业和信息化部统筹建设国家工业互联网安全技术保障平台。工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台。支持鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。 12.建立工业互联网安全基础资源库。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库,推动研制面向典型行业工业互联网安全应急处置、安全事件现场取证等工具集,加强工业互联网安全资源储备。 13.建设工业互联网安全测试验证环境。搭建面向机械制造、电子信息、航空航天等行业的工业互联网安全攻防演练环境,测试、验证各环节存在的网络安全风险以及相应的安全防护解决方案,提升识别安全隐患、抵御安全威胁、化解安全风险的能力。 (六)加强工业互联网安全公共服务能力 14.开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系,依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务,推动工业互联网安全测评机构的审核认定。 15.提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。 (七)推动工业互联网安全科技创新与产业发展 16.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式,聚集社会力量,提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。 17.促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园(基地)等形式,整合相关行业资源,打造产学研用协同创新发展平台,形成工业互联网安全对外展示和市场服务能力,培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。在汽车、电子信息、航空航天、能源等重点领域开展试点示范,遴选优秀安全解决方案和最佳实践,并加强应用推广。 三、保障措施 (一)加强组织领导,健全工作机制。在工业互联网专项工作组的统一指导下,加强统筹协调,强化部门协同、部省合作,构建各负其责、紧密配合、运转高效的工作机制。各地工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业等主管部门及地方通信管理局要加强配合,形成合力。 (二)加大支持力度,优化创新环境。各地相关部门要结合本地工业互联网发展现状,优化政府支持机制和方式,加大对工业互联网安全的支持力度,鼓励企业技术创新和安全应用,加快建设工业互联网安全技术手段,推动安全产业集聚发展。 (三)发挥市场作用,汇聚多方力量。充分发挥市场在资源配置中的决定性作用,以工业互联网企业的安全需求为着力点,形成市场需求牵引、政府支持推动的发展局面。汇聚政产学研用多方力量,逐步建立覆盖决策研究、公共研发、标准推进、联盟论坛、人才培养等的创新支撑平台,形成支持工业互联网安全发展合力。 (四)加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展工业互联网安全宣传教育,提升企业和相关从业人员网络安全意识。开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。依托国家专业机构等,打造技术领先、业界知名的工业互联网安全高端智库。
国务院关于深化“互联网+先进制造业” 发展工业互联网的指导意见
国务院关于深化“互联网+先进制造业” 发展工业互联网的指导意见 各省、自治区、直辖市人民政府,国务院各部委、各直属机构: 当前,全球范围内新一轮科技革命和产业变革蓬勃兴起。工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。工业互联网通过系统构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施,形成智能化发展的新兴业态和应用模式,是推进制造强国和网络强国建设的重要基础,是全面建成小康社会和建设社会主义现代化强国的有力支撑。为深化供给侧结构性改革,深入推进“互联网+先进制造业”,规范和指导我国工业互联网发展,现提出以下意见。 一、基本形势 当前,互联网创新发展与新工业革命正处于历史交汇期。发达国家抢抓新一轮工业革命机遇,围绕核心标准、技术、平台加速布局工业互联网,构建数字驱动的工业新生态,各国参与工业互联网发展的国际竞争日趋激烈。我国工业互联网与发达国家基本同步启动,在框架、标准、测试、安全、国际合作等方面取得了初步进展,成立了汇聚政产学研的工业互联网产业联盟,发布了《工业互联网体系架构(版本1.0)》、《工业互联网标准体系框架(版本1.0)》等,涌现出一批典型平台和企业。但与发达国家相比,总体发展水平及现实基础仍然不高,产业支撑能力不足,核心技术和高端产品对外依存度较高,关键平台综合能力不强,标准体系不完善,企业数字化网络化水平有待提升,缺乏龙头企业引领,人才支撑和安全保障能力不足,与建设制造强国和网络强国的需要仍有较大差距。 加快建设和发展工业互联网,推动互联网、大数据、人工智能和实体经济深度融合,发展先进制造业,支持传统产业优化升级,具有重要意义。一方面,工业互联网是以数字化、网络化、智能化为主要特征的新工业革命的关键基础设施,加快其发展有利于加速智能制造发展,更大范围、更高效率、更加精准地优化生产和服务资源配置,促进传统产业转型升级,催生新技术、新业态、新模式,为制造强国建设提供新动能。工业互联网还具有较强的渗透性,可从制造业扩展成为各产业领域网络化、智能化升级必不可少的基础设施,实现产业上下游、跨领域的广泛互联互通,打破“信息孤岛”,促进集成共享,并为保障和改善民生提供重要依托。另一方面,发展工业互联网,有利于促进网络基础设施演进升级,推动网络应用从虚拟到实体、从生活到生产的跨越,极大拓展网络经济空间,为推进网络强国建设提供新机遇。当前,全球工业互联网正处在产业格局未定的关键期和规模化扩张的窗口期,亟需发挥我国体制优势和市场优势,加强顶层设计、统筹部署,扬长避短、分步实施,努力开创我国工业互联网发展新局面。 二、总体要求 (一)指导思想。 深入贯彻落实党的十九大精神,认真学习贯彻习近平新时代中国特色社会主义思想,落实新发展理念,坚持质量第一、效益优先,以供给侧结构性改革为主线,以全面支撑制造强国和网络强国建设为目标,围绕推动互联网和实体经济深度融合,聚焦发展智能、绿色的先进制造业,按照党中央、国务院决策部署,加强统筹引导,深化简政放权、放管结合、优化服务改革,深入实施创新驱动发展战略,构建网络、平台、安全三大功能体系,增强工业互联网产业供给能力。促进行业应用,强化安全保障,完善标准体系,培育龙头企业,加快人才培养,持续提升我国工业互联网发展水平。努力打造国际领先的工业互联网,促进大众创业万众创新和大中小企业融通发展,深入推进“互联网+”,形成实体经济与网络相互促进、同步提升的良好格局,有力推动现代化经济体系建设。 (二)基本原则。 遵循规律,创新驱动。遵循工业演进规律、科技创新规律和企业发展规律,借鉴国际先进经验,建设具有中国特色的工业互联网体系。按照建设现代化经济体系的要求,发挥我国工业体系完备、网络基础坚实、互联网创新活跃的优势,推动互联网和实体经济深度融合,引进培养高端人才,加强科研攻关,实现创新驱动发展。 市场主导,政府引导。发挥市场在资源配置中的决定性作用,更好发挥政府作用。强化企业市场主体地位,激发企业内生动力,推进技术创新、产业突破、平台构建、生态打造。发挥政府在加强规划引导、完善法规标准、保护知识产权、维护市场秩序等方面的作用,营造良好发展环境。 开放发展,安全可靠。把握好安全与发展的辩证关系。发挥工业互联网开放性、交互性优势,促进工业体系开放式发展。推动工业互联网在各产业领域广泛应用,积极开展国际合作。坚持工业互联网安全保障手段同步规划、同步建设、同步运行,提升工业互联网安全防护能力。 系统谋划,统筹推进。做好顶层设计和系统谋划,科学制定、合理规划工业互联网技术路线和发展路径,统筹实现技术研发、产业发展和应用部署良性互动,不同行业、不同发展阶段的企业协同发展,区域布局协调有序。 (三)发展目标。 立足国情,面向未来,打造与我国经济发展相适应的工业互联网生态体系,使我国工业互联网发展水平走在国际前列,争取实现并跑乃至领跑。 到2025年,基本形成具备国际竞争力的基础设施和产业体系。覆盖各地区、各行业的工业互联网网络基础设施基本建成。工业互联网标识解析体系不断健全并规模化推广。形成3-5个达到国际水准的工业互联网平台。产业体系较为健全,掌握关键核心技术,供给能力显著增强,形成一批具有国际竞争力的龙头企业。基本建立起较为完备可靠的工业互联网安全保障体系。新技术、新模式、新业态大规模推广应用,推动两化融合迈上新台阶。 其中,在2018-2020年三年起步阶段,初步建成低时延、高可靠、广覆盖的工业互联网网络基础设施,初步构建工业互联网标识解析体系,初步形成各有侧重、协同集聚发展的工业互联网平台体系,初步建立工业互联网安全保障体系。 到2035年,建成国际领先的工业互联网网络基础设施和平台,形成国际先进的技术与产业体系,工业互联网全面深度应用并在优势行业形成创新引领能力,安全保障能力全面提升,重点领域实现国际领先。 到本世纪中叶,工业互联网网络基础设施全面支撑经济社会发展,工业互联网创新发展能力、技术产业体系以及融合应用等全面达到国际先进水平,综合实力进入世界前列。 三、主要任务 (一)夯实网络基础。 推动网络改造升级提速降费。面向企业低时延、高可靠、广覆盖的网络需求,大力推动工业企业内外网建设。加快推进宽带网络基础设施建设与改造,扩大网络覆盖范围,优化升级国家骨干网络。推进工业企业内网的IP(互联网协议)化、扁平化、柔性化技术改造和建设部署。推动新型智能网关应用,全面部署IPv6(互联网协议第6版)。继续推进连接中小企业的专线建设。在完成2017年政府工作报告确定的网络提速降费任务基础上,进一步提升网络速率、降低资费水平,特别是大幅降低中小企业互联网专线接入资费水平。加强资源开放,支持大中小企业融通发展。加大无线电频谱等关键资源保障力度。 推进标识解析体系建设。加强工业互联网标识解析体系顶层设计,制定整体架构,明确发展目标、路线图和时间表。设立国家工业互联网标识解析管理机构,构建标识解析服务体系,支持各级标识解析节点和公共递归解析节点建设,利用标识实现全球供应链系统和企业生产系统间精准对接,以及跨企业、跨地区、跨行业的产品全生命周期管理,促进信息资源集成共享。 专栏1 工业互联网基础设施升级改造工程 组织实施工业互联网工业企业内网、工业企业外网和标识解析体系的建设升级。支持工业企业以IPv6、工业无源光网络(PON)、工业无线等技术改造工业企业内网,以IPv6、软件定义网络(SDN)以及新型蜂窝移动通信技术对工业企业外网进行升级改造。在5G研究中开展面向工业互联网应用的网络技术试验,协同推进5G在工业企业的应用部署。开展工业互联网标识解析体系建设,建立完善各级标识解析节点。 到2020年,基本完成面向先进制造业的下一代互联网升级改造和配套管理能力建设,在重点地区和行业实现窄带物联网(NB—IoT)、工业过程/工业自动化无线网络(WIA—PA/FA)等无线网络技术应用;初步建成工业互联网标识解析注册、备案等配套系统,形成10个以上公共标识解析服务节点,标识注册量超过20亿。 到2025年,工业无线、时间敏感网络(TSN)、IPv6等工业互联网网络技术在规模以上工业企业中广泛部署;面向工业互联网接入的5G网络、低功耗广域网等基本实现普遍覆盖;建立功能完善的工业互联网标识解析体系,形成20个以上公共标识解析服务节点,标识注册量超过30亿。 (二)打造平台体系。 加快工业互联网平台建设。突破数据集成、平台管理、开发工具、微服务框架、建模分析等关键技术瓶颈,形成有效支撑工业互联网平台发展的技术体系和产业体系。开展工业互联网平台适配性、可靠性、安全性等方面试验验证,推动平台功能不断完善。通过分类施策、同步推进、动态调整,形成多层次、系统化的平台发展体系。依托工业互联网平台形成服务大众创业、万众创新的多层次公共平台。 提升平台运营能力。强化工业互联网平台的资源集聚能力,有效整合产品设计、生产工艺、设备运行、运营管理等数据资源,汇聚共享设计能力、生产能力、软件资源、知识模型等制造资源。开展面向不同行业和场景的应用创新,为用户提供包括设备健康维护、生产管理优化、协同设计制造、制造资源租用等各类应用,提升服务能力。不断探索商业模式创新,通过资源出租、服务提供、产融合作等手段,不断拓展平台盈利空间,实现长期可持续运营。 专栏2 工业互联网平台建设及推广工程 从工业互联网平台供给侧和需求侧两端发力,开展四个方面建设和推广:一是工业互联网平台培育。通过企业主导、市场选择、动态调整的方式,形成跨行业、跨领域平台,实现多平台互联互通,承担资源汇聚共享、技术标准测试验证等功能,开展工业数据流转、业务资源管理、产业运行监测等服务。推动龙头企业积极发展企业级平台,开发满足企业数字化、网络化、智能化发展需求的多种解决方案。建立健全工业互联网平台技术体系。二是工业互联网平台试验验证。支持产业联盟、企业与科研机构合作共建测试验证平台,开展技术验证与测试评估。三是百万家企业上云。鼓励工业互联网平台在产业集聚区落地,推动地方通过财税支持、政府购买服务等方式鼓励中小企业业务系统向云端迁移。四是百万工业APP培育。支持软件企业、工业企业、科研院所等开展合作,培育一批面向特定行业、特定场景的工业APP。 到2020年,工业互联网平台体系初步形成,支持建设10个左右跨行业、跨领域平台,建成一批支撑企业数字化、网络化、智能化转型的企业级平台。培育30万个面向特定行业、特定场景的工业APP,推动30万家企业应用工业互联网平台开展研发设计、生产制造、运营管理等业务,工业互联网平台对产业转型升级的基础性、支撑性作用初步显现。 到2025年,重点工业行业实现网络化制造,工业互联网平台体系基本完善,形成3-5个具有国际竞争力的工业互联网平台,培育百万工业APP,实现百万家企业上云,形成建平台和用平台双向迭代、互促共进的制造业新生态。 (三)加强产业支撑。 加大关键共性技术攻关力度。开展时间敏感网络、确定性网络、低功耗工业无线网络等新型网络互联技术研究,加快5G、软件定义网络等技术在工业互联网中的应用研究。推动解析、信息管理、异构标识互操作等工业互联网标识解析关键技术及安全可靠机制研究。加快IPv6等核心技术攻关。促进边缘计算、人工智能、增强现实、虚拟现实、区块链等新兴前沿技术在工业互联网中的应用研究与探索。 构建工业互联网标准体系。成立国家工业互联网标准协调推进组、总体组和专家咨询组,统筹推进工业互联网标准体系建设,优化推进机制,加快建立统一、综合、开放的工业互联网标准体系。制定一批总体性标准、基础共性标准、应用标准、安全标准。组织开展标准研制及试验验证工程,同步推进标准内容试验验证、试验验证环境建设、仿真与测试工具开发和推广。 专栏3 标准研制及试验验证工程 面向工业互联网标准化需求和标准体系建设,开展工业互联网标准研制。开发通用需求、体系架构、测试评估等总体性标准;开发网络与数字化互联接口、标识解析、工业互联网平台、安全等基础共性标准;面向汽车、航空航天、石油化工、机械制造、轻工家电、信息电子等重点行业领域的工业互联网应用,开发行业应用导则、特定技术标准和管理规范。组织相关标准的试验验证工作,推进配套仿真与测试工具开发。 到2020年,初步建立工业互联网标准体系,制定20项以上总体性及关键基础共性标准,制定20项以上重点行业标准,推进标准在重点企业、重点行业中的应用。 到2025年,基本建成涵盖工业互联网关键技术、产品、管理及应用的标准体系,并在企业中得到广泛应用。 提升产品与解决方案供给能力。加快信息通信、数据集成分析等领域技术研发和产业化,集中突破一批高性能网络、智能模块、智能联网装备、工业软件等关键软硬件产品与解决方案。着力提升数据分析算法与工业知识、机理、经验的集成创新水平,形成一批面向不同工业场景的工业数据分析软件与系统以及具有深度学习等人工智能技术的工业智能软件和解决方案。面向“中国制造2025”十大重点领域与传统行业转型升级需求,打造与行业特点紧密结合的工业互联网整体解决方案。引导电信运营企业、互联网企业、工业企业等积极转型,强化网络运营、标识解析、安全保障等工业互联网运营服务能力,开展工业电子商务、供应链、相关金融信息等创新型生产性服务。 专栏4 关键技术产业化工程 推进工业互联网新型网络互联、标识解析等新兴前沿技术研究与应用,搭建技术测试验证系统,支持技术、产品试验验证。聚焦工业互联网核心产业环节,积极推进关键技术产业化进程。加快工业互联网关键网络设备产业化,开展IPv6、工业无源光网络、时间敏感网络、工业无线、低功耗广域网、软件定义网络、标识解析等关键技术和产品研发与产业化。研发推广关键智能网联装备,围绕数控机床、工业机器人、大型动力装备等关键领域,实现智能控制、智能传感、工业级芯片与网络通信模块的集成创新,形成一系列具备联网、计算、优化功能的新型智能装备。开发工业大数据分析软件,聚焦重点领域,围绕生产流程优化、质量分析、设备预测性维护、智能排产等应用场景,开发工业大数据分析应用软件,实现产业化部署。 到2020年,突破一批关键技术,建立5个以上的技术测试验证系统,推出一批具有国内先进水平的工业互联网网络设备,智能网联产品创新活跃,实现工业大数据清洗、管理、分析等功能快捷调用,推进技术产品在重点企业、重点行业中的应用,工业互联网关键技术产业化初步实现。 到2025年,掌握关键核心技术,技术测试验证系统有效支撑工业互联网技术产品研究和实验,推出一批达到国际先进水平的工业互联网网络设备,实现智能网联产品和工业大数据分析应用软件的大规模商用部署,形成较为健全的工业互联网产业体系。 (四)促进融合应用。 提升大型企业工业互联网创新和应用水平。加快工业互联网在工业现场的应用,强化复杂生产过程中设备联网与数据采集能力,实现企业各层级数据资源的端到端集成。依托工业互联网平台开展数据集成应用,形成基于数据分析与反馈的工艺优化、流程优化、设备维护与事故风险预警能力,实现企业生产与运营管理的智能决策和深度优化。鼓励企业通过工业互联网平台整合资源,构建设计、生产与供应链资源有效组织的协同制造体系,开展用户个性需求与产品设计、生产制造精准对接的规模化定制,推动面向质量追溯、设备健康管理、产品增值服务的服务化转型。 加快中小企业工业互联网应用普及。推动低成本、模块化工业互联网设备和系统在中小企业中的部署应用,提升中小企业数字化、网络化基础能力。鼓励中小企业充分利用工业互联网平台的云化研发设计、生产管理和运营优化软件,实现业务系统向云端迁移,降低数字化、智能化改造成本。引导中小企业开放专业知识、设计创意、制造能力,依托工业互联网平台开展供需对接、集成供应链、产业电商、众包众筹等创新型应用,提升社会制造资源配置效率。 专栏5 工业互联网集成创新应用工程 以先导性应用为引领,组织开展创新应用示范,逐步探索工业互联网的实施路径与应用模式。在智能化生产应用方面,鼓励大型工业企业实现内部各类生产设备与信息系统的广泛互联以及相关工业数据的集成互通,并在此基础上发展质量优化、智能排产、供应链优化等应用。在远程服务应用方面,开展面向高价值智能装备的网络化服务,实现产品远程监控、预测性维护、故障诊断等远程服务应用,探索开展国防工业综合保障远程服务。在网络协同制造应用方面,面向中小企业智能化发展需求,开展协同设计、众包众创、云制造等创新型应用,实现各类工业软件与模块化设计制造资源在线调用。在智能联网产品应用方面,重点面向智能家居、可穿戴设备等领域,融合5G、深度学习、大数据等先进技术,满足高精度定位、智能人机交互、安全可信运维等典型需求。在标识解析集成应用方面,实施工业互联网标识解析系统与工业企业信息化系统集成创新应用,支持企业探索基于标识服务的关键产品追溯、多源异构数据共享、全生命周期管理等应用。 到2020年,初步形成影响力强的工业互联网先导应用模式,建立150个左右应用试点。 到2025年,拓展工业互联网应用范围,在“中国制造2025”十大重点领域及重点传统行业全面推广,实现企业效益全面显著提升。 (五)完善生态体系。 构建创新体系。建设工业互联网创新中心,有效整合高校、科研院所、企业创新资源,围绕重大共性需求和重点行业需要,开展工业互联网产学研协同创新,促进技术创新成果产业化。面向关键技术和平台需求,支持建设一批能够融入国际化发展的开源社区,提供良好开发环境,共享开源技术、代码和开发工具。规范和健全中介服务体系,支持技术咨询、知识产权分析预警和交易、投融资、人才培训等专业化服务发展,加快技术转移与应用推广。 构建应用生态。支持平台企业面向不同行业智能化转型需求,通过开放平台功能与数据、提供开发环境与工具等方式,广泛汇聚第三方应用开发者,形成集体开发、合作创新、对等评估的研发机制。支持通过举办开发者大会、应用创新竞赛、专业培训及参与国际开源项目等方式,不断提升开发者的应用创新能力,形成良性互动的发展模式。 构建企业协同发展体系。以产业联盟、技术标准、系统集成服务等为纽带,以应用需求为导向,促进装备、自动化、软件、通信、互联网等不同领域企业深入合作,推动多领域融合型技术研发与产业化应用。依托工业互联网促进融通发展,推动一二三产业、大中小企业跨界融通,鼓励龙头工业企业利用工业互联网将业务流程与管理体系向上下游延伸,带动中小企业开展网络化改造和工业互联网应用,提升整体发展水平。 构建区域协同发展体系。强化对工业互联网区域发展的统筹规划,面向关键基础设施、产业支撑能力等核心要素,形成中央地方联动、区域互补的协同发展机制。根据不同区域制造业发展水平,结合国家新型工业化产业示范基地建设,遴选一批产业特色鲜明、转型需求迫切、地方政府积极性高、在工业互联网应用部署方面已取得一定成效的地区,因地制宜开展产业示范基地建设,探索形成不同地区、不同层次的工业互联网发展路径和模式,并逐步形成各有特色、相互带动的区域发展格局。 专栏6 区域创新示范建设工程 开展工业互联网创新中心建设。依托制造业创新中心建设工程,建设工业互联网创新中心,围绕网络互联、标识解析、工业互联网平台、安全保障等关键共性重大技术以及重点行业和领域需求,重点开展行业领域基础和关键技术研发、成果产业化、人才培训等。依托创新中心打造工业互联网技术创新开源社区,加强前沿技术领域共创共享。支持国防科技工业创新中心深度参与工业互联网建设发展。 工业互联网产业示范基地建设。在互联网与信息技术基础较好的地区,以工业互联网平台集聚中小企业,打造新应用模式,形成一批以互联网产业带动为主要特色的示范基地。在制造业基础雄厚的地区,结合地区产业特色与工业基础优势,形成一批以制造业带动的特色示范基地。推进工业互联网安全保障示范工程建设。在示范基地内,加快推动基础设施建设与升级改造,加强公共服务,强化关键技术研发与产业化,积极开展集成应用试点示范,并推动示范基地之间协同合作。 到2020年,建设5个左右的行业应用覆盖全面、技术产品实力过硬的工业互联网产业示范基地。 到2025年,建成10个左右具有较强示范带动作用的工业互联网产业示范基地。 (六)强化安全保障。 提升安全防护能力。加强工业互联网安全体系研究,技术和管理相结合,建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系。加大对技术研发和成果转化的支持力度,重点突破标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术,推动攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品研发,建立与工业互联网发展相匹配的技术保障能力。构建工业互联网设备、网络和平台的安全评估认证体系,依托产业联盟等第三方机构开展安全能力评估和认证,引领工业互联网安全防护能力不断提升。 建立数据安全保护体系。建立工业互联网全产业链数据安全管理体系,明确相关主体的数据安全保护责任和具体要求,加强数据收集、存储、处理、转移、删除等环节的安全防护能力。建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,明确数据留存、数据泄露通报要求,加强工业互联网数据安全监督检查。 推动安全技术手段建设。督促工业互联网相关企业落实网络安全主体责任,指导企业加大安全投入,加强安全防护和监测处置技术手段建设,开展工业互联网安全试点示范,提升安全防护能力。积极发挥相关产业联盟引导作用,整合行业资源,鼓励联盟单位创新服务模式,提供安全运维、安全咨询等服务,提升行业整体安全保障服务能力。充分发挥国家专业机构和社会力量作用,增强国家级工业互联网安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源能力。 专栏7 安全保障能力提升工程 推动国家级工业互联网安全技术能力提升。打造工业互联网安全监测预警和防护处置平台、工业互联网安全核心技术研发平台、工业互联网安全测试评估平台、工业互联网靶场等。 引导企业提升自身工业互联网安全防护能力。在汽车、电子、航空航天、能源等基础较好的重点领域和国防工业等安全需求迫切的领域,建设工业互联网安全保障管理和技术体系,开展安全产品、解决方案的试点示范和行业应用。 到2020年,根据重要工业互联网平台和系统的分布情况,组织有针对性的检查评估;初步建成工业互联网安全监测预警和防护处置平台;培养形成3-5家具有核心竞争力的工业互联网安全企业,遴选一批创新实用的网络安全试点示范项目并加以推广。 到2025年,形成覆盖工业互联网设备安全、控制安全、网络安全、平台安全和数据安全的系列标准,建立健全工业互联网安全认证体系;工业互联网安全产品和服务得到全面推广和应用;工业互联网相关企业网络安全防护能力显著提升;国家级工业互联网安全技术支撑体系基本建成。 (七)推动开放合作。 提高企业国际化发展能力。鼓励国内外企业面向大数据分析、工业数据建模、关键软件系统、芯片等薄弱环节,合作开展技术攻关和产品研发。建立工业互联网技术、产品、平台、服务方面的国际合作机制,推动工业互联网平台、集成方案等“引进来”和“走出去”。鼓励国内外企业跨领域、全产业链紧密协作。 加强多边对话与合作。建立政府、产业联盟、企业等多层次沟通对话机制,针对工业互联网最新发展、全球基础设施建设、数据流动、安全保障、政策法规等重大问题开展交流与合作。加强与国际组织的协同合作,共同制定工业互联网标准规范和国际规则,构建多边、民主、透明的工业互联网国际治理体系。 四、保障支撑 (一)建立健全法规制度。完善工业互联网规则体系,明确工业互联网网络的基础设施地位,建立涵盖工业互联网网络安全、平台责任、数据保护等的法规体系。细化工业互联网网络安全制度,制定工业互联网关键信息基础设施和数据保护相关规则,构建工业互联网网络安全态势感知预警、网络安全事件通报和应急处置等机制。建立工业互联网数据规范化管理和使用机制,明确产品全生命周期各环节数据收集、传输、处理规则,探索建立数据流通规范。加快新兴应用领域法规制度建设,推动开展人机交互、智能产品等新兴领域信息保护、数据流通、政府数据公开、安全责任等相关研究,完善相关制度。 (二)营造良好市场环境。构建融合发展制度,深化简政放权、放管结合、优化服务改革,放宽融合性产品和服务准入限制,扩大市场主体平等进入范围,实施包容审慎监管,简化认证,减少收费;清理制约人才、资本、技术、数据等要素自由流动的制度障碍,推动相关行业在技术、标准、政策等方面充分对接,打造有利于技术创新、网络部署与产品应用的外部环境。完善协同推进体系,建立部门间高效联动机制,探索分业监管、协同共治模式;建立中央地方协同机制,深化军民融合,形成统筹推进的发展格局;推动建立信息共享、处理、反馈的有效渠道,促进跨部门、跨区域系统对接,提升工业互联网协同管理能力。健全协同发展机制,引导工业互联网产业联盟等产业组织完善合作机制和利益共享机制,推动产业各方联合开展技术、标准、应用研发以及投融资对接、国际交流等活动。 (三)加大财税支持力度。强化财政资金导向作用,加大工业转型升级资金对工业互联网发展的支持力度,重点支持网络体系、平台体系、安全体系能力建设。探索采用首购、订购优惠等支持方式,促进工业互联网创新产品和服务的规模化应用;鼓励有条件的地方通过设立工业互联网专项资金、建立风险补偿基金等方式,支持本地工业互联网集聚发展。落实相关税收优惠政策,推动固定资产加速折旧、企业研发费用加计扣除、软件和集成电路产业企业所得税优惠、小微企业税收优惠等政策落实,鼓励相关企业加快工业互联网发展和应用。 (四)创新金融服务方式。支持扩大直接融资比重,支持符合条件的工业互联网企业在境内外各层次资本市场开展股权融资,积极推动项目收益债、可转债、企业债、公司债等在工业互联网领域的应用,引导各类投资基金等向工业互联网领域倾斜。加大精准信贷扶持力度,完善银企对接机制,为工业互联网技术、业务和应用创新提供贷款服务;鼓励银行业金融机构创新信贷产品,在依法合规、风险可控、商业可持续的前提下,探索开发数据资产等质押贷款业务。延伸产业链金融服务范围,鼓励符合条件的企业集团设立财务公司,为集团下属工业互联网企业提供财务管理服务,加强资金集约化管理,提高资金使用效率,降低资金成本。拓展针对性保险服务,支持保险公司根据工业互联网需求开发相应的保险产品。 (五)强化专业人才支撑。加强人才队伍建设,引进和培养相结合,兼收并蓄,广揽国内外人才,不断壮大工业互联网人才队伍。加快新兴学科布局,加强工业互联网相关学科建设;协同发挥高校、企业、科研机构、产业集聚区等各方作用,大力培育工业互联网技术人才和应用创新型人才;依托国家重大人才工程项目和高层次人才特殊支持计划,引进一批工业互联网高水平研究型科学家和具备产业经验的高层次科技领军人才。建立工业互联网智库,形成具有政策研究能力和决策咨询能力的高端咨询人才队伍;鼓励工业互联网技术创新人才投身形式多样的科普教育活动。创新人才使用机制,畅通高校、科研机构和企业间人才流动渠道,鼓励通过双向挂职、短期工作、项目合作等柔性流动方式加强人才互通共享;支持我国专业技术人才在国际工业互联网组织任职或承担相关任务;发展工业互联网专业人才市场,建立人才数据库,完善面向全球的人才供需对接机制。优化人才评价激励制度,建立科学的人才评价体系,充分发挥人才积极性、主动性;拓展知识、技术、技能和管理要素参与分配途径,完善技术入股、股权期权激励、科技成果转化收益分配等机制;为工业互联网领域高端人才引进开辟绿色通道,加大在来华工作许可、出入境、居留、住房、医疗、教育、社会保障、政府表彰等方面的配套政策支持力度,鼓励海外高层次人才参与工业互联网创业创新。 (六)健全组织实施机制。在国家制造强国建设领导小组下设立工业互联网专项工作组,统筹谋划工业互联网相关重大工作,协调任务安排,督促检查主要任务落实情况,促进工业互联网与“中国制造2025”协同推进。设立工业互联网战略咨询专家委员会,开展工业互联网前瞻性、战略性重大问题研究,对工业互联网重大决策、政策实施提供咨询评估。制定发布《工业互联网发展行动计划(2018-2020年)》,建立工业互联网发展情况动态监测和第三方评估机制,开展定期测评和滚动调整。各地方和有关部门要根据本指导意见研究制定具体推进方案,细化政策措施,开展试点示范与应用推广,确保各项任务落实到位。 国务院 2017年11月19日 (本文有删改)