为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，工信部研究起草了《工业和信息化领域数据安全行政处罚裁量指引（试行）》

图片

《指引》提到，有以下情形之一的，属于向境外非法提供数据：

工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储，或者因业务需要，确需向境外提供的，未按照有关规定进行数据出境安全评估；

其他工业和信息化领域数据处理者，在中华人民共和国境内收集和产生的重要数据和核心数据，未按照法律、行政法规等要求在境内存储，或者确需向境外提供的，未依法依规进行数据出境安全评估；

非经工业和信息化部批准，向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据；

其他向境外非法提供数据的。

下面是本《指引》的详细内容：

第一章 总 则

第一条 为规范工业和信息化领域数据安全监督管理部门合法、适当地行使行政处罚自由裁量权，细化行政处罚裁量基准，统一裁量尺度，根据《中华人民共和国行政处罚法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化行政处罚程序规定》等法律、行政法规、部门规章等有关规定，制定本指引。

第二条 在中华人民共和国境内开展的工业和信息化领域数据安全违法行为行政处罚裁量工作，适用本指引。

本指引所称的行政处罚裁量权，是指工业、电信、无线电行业监管部门在职责范围内对数据处理活动进行监管处罚时，根据行政处罚原则，在法律、行政法规等规定的行政处罚种类和幅度内，综合考量违法的事实、性质、手段、后果、情节和合规措施等因素，正确、适当地确定行政处罚的种类、幅度或者作出不予行政处罚决定的选择适用权限。

第三条 工业和信息化部负责组织制定修订工业和信息化领域数据安全行政处罚裁量制度规范，指导、监督行业数 据安全行政处罚工作。

各省（自治区、直辖市）、市（自治州、地区）及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省（自治区、直辖市）、市（自治州、地区）通信管理局和无线电管理机构（以下统称地方行政处罚机关）按职责分工分别负责本行政区域内工业、电信、无线电领域数据安全行政处罚工作。

工业和信息化部及地方行政处罚机关统称为行政处罚机关。

第四条 工业和信息化领域数据安全行政处罚裁量工作应当遵循以下原则:

（一）依法行政原则。依据法定权限，符合法律、行政法规等规定的裁量条件、处罚种类和幅度，遵守法定程序。

（二）责罚相当原则。以事实为依据，处罚的种类和幅度与违法行为的事实、性质、情节、社会危害程度等相当。

（三）处罚与教育相结合原则。兼顾纠正违法行为和教育当事人，引导当事人自觉守法。

第二章 管 辖

第五条 工业和信息化领域数据安全行政处罚由违法行为发生地的行政处罚机关管辖。

数据安全违法行为发生地包括实施违法行为的住所地、实际经营地、工商注册地（工商注册地与实际经营地不一致的，应按实际经营地），网络接入地，取得电信和互联网信息服务相关许可（备案）所在地，网站建立者、管理者、使用者所在地，计算机等终端设备所在地，数据集中存储地、交易地、出境活动所在地等。

第六条 两个及以上行政处罚机关对同一违法行为均有管辖权的，应当由最先立案的行政处罚机关管辖。

两个及以上的行政处罚机关对管辖权有争议的，应当在发生争议之日起 7 日内协商解决，协商不成的，应当在 7 日内报请共同的上一级行政处罚机关指定管辖；也可以直接由共同的上一级行政处罚机关指定管辖。

第七条 工业和信息化部依职权指导监督工业和信息化领域数据安全违法行为管辖工作。

存在下列情况之一的，可以由工业和信息化部指定管辖：

（一）数据安全违法行为情节严重的；

（二）省级地方行政处罚机关对管辖发生争议，协商不成的；

（三）数据安全违法行为或主体涉及不同省级地区、不同行业主管部门的；

（四）法律、行政法规、部门规章等规定应当由工业和信息化部指定管辖的其他情形。

第八条 行政处罚机关发现案件不属于其管辖的，应当依法依规及时向有管辖权的行政处罚机关移送。

行政处罚机关发现违法行为涉嫌犯罪的，应当依法及时将案件移送司法机关，不得以行政处罚代替刑事处罚。

第九条 对工业和信息化领域数据处理者的同一个数据安全违法行为，不得给予两次以上罚款的行政处罚。

第三章 数据安全行政处罚情形

第十条 有以下情形之一的，属于不履行数据安全保护义务：

（一）未定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录;

（二）未建立数据全生命周期安全管理制度，未针对不同级别数据明确数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等环节的具体分级防护要求和操作规程;

（三）未根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业(领域)监管部门开展工作;

（四）未合理确定数据处理活动的操作权限，严格实施人员权限管理;

（五）未根据应对数据安全事件的需要，制定应急预案，并开展应急演练;

（六）未定期对从业人员开展数据安全教育和培训; 

（七）未开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险;

（八）发现可能造成较大及以上数据安全事件的风险后，未按照风险信息报送与共享工作机制向所在地行业监管部门报告并及时处置;

（九）数据安全事件发生后，未按照应急预案开展应急处置;

（十）数据安全事件发生后，未按照规定向所在地行业监管部门报告;

（十一）数据安全事件发生后，未按照规定及时告知用户，并提供减轻危害措施;

（十二）未在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月;

（十三）工业和信息化领域重要数据和核心数据处理者未建立覆盖本单位相关部门的数据安全工作体系，未明确数据安全负责人和管理机构，未建立常态化沟通与协作机制;

（十四）工业和信息化领域重要数据和核心数据处理者未明确数据处理关键岗位和岗位职责，未要求关键岗位人员签署数据安全责任书;

（十五）工业和信息化领域重要数据和核心数据处理者未建立数据内部登记、审批等工作机制，未对重要数据和核心数据的处理活动进行严格管理并留存记录;

（十六）工业和信息化领域重要数据和核心数据处理者未按照有关规定做好重要数据和核心数据目录备案管理; 

（十七）涉及重要数据和核心数据的安全事件，未第一时间向所在地行业监管部门报告，事件处置完成后未在规定期限内形成总结报告，每年未向本地区行业监管部门报告数据安全事件处置情况;

（十八）工业和信息化领域重要数据和核心数据处理者未按照规定对其数据处理活动每年至少开展一次风险评估，及时整改风险问题，并向有关主管部门报送风险评估报告;

（十九）工业和信息化领域重要数据和核心数据处理者报送的风险评估报告未包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等;

（二十）对于核心数据跨主体提供、转移、委托处理，未按照有关规定进行评估、保护、报批等;

（二十一）其他不履行数据安全保护义务的。

第十一条 有以下情形之一的，属于向境外非法提供数据:

（一）工业和信息化领域中的关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的重要数据和核心数据未在境内存储，或者因业务需要，确需向境外提供的，未按照有关规定进行数据出境安全评估;

（二）其他工业和信息化领域数据处理者，在中华人民共和国境内收集和产生的重要数据和核心数据，未按照法律、行政法规等要求在境内存储，或者确需向境外提供的，未依法依规进行数据出境安全评估;

（三）非经工业和信息化部批准，向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据;

（四）其他向境外非法提供数据的。

第十二条 在各级行政处罚机关依法开展监督检查的过程中，工业和信息化领域数据处理者存在以下情形之一的，属于不配合监管:

（一）在有关行政处罚机关开展数据安全监督检查过程中，未对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，未开放安全相关数据访问、提供必要技术支持的;

（二）拒绝提供有关材料、信息的，或提供虚假材料、信息的，或者隐匿、销毁、转移证据的;

（三）其他不履行配合数据安全监管义务的。

第十三条 符合下列情况之一的，为后果较轻情节:

（一）1000 万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用;

（二）对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短，或直接经济损失在 1000 万元以内；

（三）影响范围小，影响对象为单个或少数企业，且不涉及跨地区的；

（四）其他对行业发展、社会稳定和国家安全造成较轻后果的。

第十四条 符合下列情况之一的，为后果较重情节:

（一）超过 1000 万条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或者涉及重要数据、核心数据的; 

（二）对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过 1000 万元且在 5000 万元以内的; 

（三）影响范围较大，涉及多个企业，或涉及跨地区的; 

（四）其他对行业发展、社会稳定和国家安全造成较重后果的。

第十五条 符合下列情况之一的，为后果严重情节: 

（一）超过 1 亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或者涉及 2 个以上数据处理者的重要数据、核心数据的;

（二）对公民、法人和组织合法权益、社会公共利益造成损害的持续时间长，或直接经济损失超过 5000 万元的;

（三）影响范围涉及多个行业、地区的;

（四）其他对行业发展、社会稳定和国家安全造成严重后果的。

第四章 数据安全行政处罚裁量权适用规则 

第十六条 工业和信息化领域数据安全行政处罚实施流 程按照《中华人民共和国行政处罚法》《工业和信息化行政处罚程序规定》等法律法规的有关规定执行。

第十七条 本指引规定的数据安全行政处罚情形，各级行政处罚机关应当依据《工业和信息化领域数据安全行政处罚裁量基准》（附件）确定的行政处罚种类和幅度实施行政处罚。

第十八条 有下列情形之一的，依法不予行政处罚：

（一）违法行为轻微并及时改正，没有造成危害后果的；初次违法且危害后果轻微并及时改正的可以不予处罚;

（二）工业和信息化领域数据处理者有证据足以证明没有主观过错的;

（三）其他依法应当不予行政处罚的。

第十九条 有下列情形之一的，依法从轻或减轻行政处罚：

（一）主动消除或者减轻数据安全违法行为危害后果的;

（二）受胁迫或者诱骗实施数据安全违法行为的;

（三）主动供述行业监管部门尚未掌握的数据安全违法行为的;

（四）积极配合行业监管部门查处数据安全违法行为的;

（五）法律、行政法规、部门规章等规定其他应当从轻或者减轻行政处罚的。

第二十条 有下列情形之一的，依法从重行政处罚：

（一）两年内因同类数据安全违法行为被处罚 3 次以上的；

（二）阻碍或者拒不配合行业监管部门查处数据安全违法行为或者对行政执法人员打击报复的;

（三）教唆、胁迫、诱骗他人实施数据安全违法行为的;

（四）伪造、隐匿、毁灭证据的;

（五）数据安全违法行为引起不良社会反响的;

（六）其他具有从重情节的。

第二十一条 工业和信息化领域数据处理者既有从轻或者减轻行政处罚情节，又有从重行政处罚情节的，行业监管部门应当结合实际情况综合考虑后作出裁量决定。

第二十二条 不予行政处罚、减轻行政处罚、从轻行政处罚和从重行政处罚的含义。

不予行政处罚是指因法定原因对特定违法行为不给予行政处罚。

减轻行政处罚是指适用法定行政处罚最低限度以下的处罚种类或处罚幅度。

从轻行政处罚是指在依法可选择的处罚种类和处罚幅度内，适用较轻、较少的处罚种类或者较低的处罚幅度。其中，罚款的数额应当为从最低限到不超过最高限 70%的这一部分，且从轻处罚后的罚款数额不得低于法定最低罚款数额。

从重行政处罚是指在依法可以选择的处罚种类和处罚幅度内，适用较重、较多的处罚种类或者较高的处罚幅度。其中，罚款数额应当从最低限的 2 倍到最高限这一部分。

第五章 附则

第二十三条 本指引所称“以上”“以下”“以内”均含本数。

第二十四条 国防科技工业、烟草领域数据安全行政处 罚裁量规定，另行制定。

第二十五条 本指引由工业和信息化部负责解释。

第二十六条 本指引自印发之日起施行。