2024年2月27日,国家主席习近平签署第20号主席令,公布了第十四届全国人大常委会第八次会议修订通过的《中华人民共和国保守国家秘密法》,2024年5月1日正式施行。
一、修订保密法的重大意义
保密法自1988年9月颁布、2010年4月修订以来,有力促进了保密事业发展,对于保守国家秘密,维护国家安全和利益发挥了重要作用。进入新时代,国际国内形势发生深刻变化,科技发展日新月异,保密工作面临一些新问题新挑战。修订颁布保密法,贯彻落实党中央关于保密工作决策部署和习近平总书记重要指示批示精神的重要举措,是积极应对新发展阶段保密工作形势任务的迫切需要。是加强保密法治建设的必然要求。对于筑牢新时代国家秘密安全防线具有重要而深远的意义。
二、新修订《保密法》的五大主要内容
(一)进一步加强党对保密工作的领导
这次保密法修订旗帜鲜明地把党管保密写入法律,完善了党管保密的领导体制,明确中央保密工作领导机构领导全国保密工作,研究制定、指导实施国家保密工作战略和重大方针政策,统筹协调国家保密重大事项和重要工作,推进国家保密法治建设,有利于更好发挥党管保密的政治优势和组织优势。【第三条】
(二)完善定密和解密制度
新修订的保密法,进一步完善了定密、解密制度,增强条文的周延性和实践中的可操作性。定密制度方面,明确保密事项范围的确定应当遵循必要、合理原则,科学论证评估,并根据情况变化及时调整;完善定密责任人制度和定密授权机制,并对密点标注作出原则性规定,进一步推动定密精准化、科学化。解密制度方面,将国家秘密审核由定期审核修改为每年审核,并明确了未履行解密审核责任造成严重后果的法律责任,进一步压实定密机关、单位解密审核的主体责任。
(三)“科技含量”明显提升
一是新增条款支持保密科技创新。保密法总则明确规定国家鼓励和支持保密科学技术研究和应用,提升自主创新能力,依法保护保密领域的知识产权。【第十条】
二是完善保密科技防护制度措施。新增了涉密信息系统全流程管理和风险评估相关规定。【第三十条】
三是规范用于保护国家秘密的安全保密产品和保密技术装备管理,明确应当符合国家保密规定和标准,并建立抽检、复检制度。【第三十二条】
(四)完善网络信息、数据保密管理
这次保密法修订进一步完善了网络信息保密管理制度。明确网络信息的制作、复制、发布、传播等各个环节均应当遵守国家保密规定。规定网络运营者应当配合有关部门对涉嫌泄露国家秘密案件进行调查处理。
同时,这次保密法修订加强与数据安全法的协同衔接,规定了涉密数据处理及安全监管要求,新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。【第三十四条和第五十九条】
(五)正确处理信息公开与保密的关系
这次保密法修订充分考虑了信息公开与保密的关系,进一步强化国家秘密的精准保护,最大限度保障信息资源合理利用。比如,规定保密事项范围制定应当遵循必要、合理原则,要求每年开展国家秘密审核等,进一步推进精准定密、及时解密。同时,增加了信息公开保密审查专门条款,建立起信息公开的“安全网”,做到该保守的秘密坚决守住,该公开的信息依法公开。
目 录
第一章 总 则
第二章 国家秘密的范围和密级
第三章 保密制度
第四章 监督管理
第五章 法律责任
第六章 附 则
第一章 总 则
第一条 为了保守国家秘密,维护国家安全和利益,保障改革开放和社会主义现代化建设事业的顺利进行,根据宪法,制定本法。
第二条 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
第三条 坚持中国共产党对保守国家秘密(以下简称保密)工作的领导。中央保密工作领导机构领导全国保密工作,研究制定、指导实施国家保密工作战略和重大方针政策,统筹协调国家保密重大事项和重要工作,推进国家保密法治建设。
第四条 保密工作坚持总体国家安全观,遵循党管保密、依法管理,积极防范、突出重点,技管并重、创新发展的原则,既确保国家秘密安全,又便利信息资源合理利用。
法律、行政法规规定公开的事项,应当依法公开。
第五条 国家秘密受法律保护。
一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织以及公民都有保密的义务。
任何危害国家秘密安全的行为,都必须受到法律追究。
第六条 国家保密行政管理部门主管全国的保密工作。县级以上地方各级保密行政管理部门主管本行政区域的保密工作。
第七条 国家机关和涉及国家秘密的单位(以下简称机关、单位)管理本机关和本单位的保密工作。
中央国家机关在其职权范围内管理或者指导本系统的保密工作。
第八条 机关、单位应当实行保密工作责任制,依法设置保密工作机构或者指定专人负责保密工作,健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密监督检查。
第九条 国家采取多种形式加强保密宣传教育,将保密教育纳入国民教育体系和公务员教育培训体系,鼓励大众传播媒介面向社会进行保密宣传教育,普及保密知识,宣传保密法治,增强全社会的保密意识。
第十条 国家鼓励和支持保密科学技术研究和应用,提升自主创新能力,依法保护保密领域的知识产权。
第十一条 县级以上人民政府应当将保密工作纳入本级国民经济和社会发展规划,所需经费列入本级预算。
机关、单位开展保密工作所需经费应当列入本机关、本单位年度预算或者年度收支计划。
第十二条 国家加强保密人才培养和队伍建设,完善相关激励保障机制。
对在保守、保护国家秘密工作中做出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。
第二章 国家秘密的范围和密级
第十三条 下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一)国家事务重大决策中的秘密事项;
(二)国防建设和武装力量活动中的秘密事项;
(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四)国民经济和社会发展中的秘密事项;
(五)科学技术中的秘密事项;
(六)维护国家安全活动和追查刑事犯罪中的秘密事项;
(七)经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。
第十四条 国家秘密的密级分为绝密、机密、秘密三级。
绝密级国家秘密是最重要的国家秘密,泄露会使国家安全和利益遭受特别严重的损害;机密级国家秘密是重要的国家秘密,泄露会使国家安全和利益遭受严重的损害;秘密级国家秘密是一般的国家秘密,泄露会使国家安全和利益遭受损害。
第十五条 国家秘密及其密级的具体范围(以下简称保密事项范围),由国家保密行政管理部门单独或者会同有关中央国家机关规定。
军事方面的保密事项范围,由中央军事委员会规定。
保密事项范围的确定应当遵循必要、合理原则,科学论证评估,并根据情况变化及时调整。保密事项范围的规定应当在有关范围内公布。
第十六条 机关、单位主要负责人及其指定的人员为定密责任人,负责本机关、本单位的国家秘密确定、变更和解除工作。
机关、单位确定、变更和解除本机关、本单位的国家秘密,应当由承办人提出具体意见,经定密责任人审核批准。
第十七条 确定国家秘密的密级,应当遵守定密权限。
中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密;设区的市级机关及其授权的机关、单位可以确定机密级和秘密级国家秘密;特殊情况下无法按照上述规定授权定密的,国家保密行政管理部门或者省、自治区、直辖市保密行政管理部门可以授予机关、单位定密权限。具体的定密权限、授权范围由国家保密行政管理部门规定。
下级机关、单位认为本机关、本单位产生的有关定密事项属于上级机关、单位的定密权限,应当先行采取保密措施,并立即报请上级机关、单位确定;没有上级机关、单位的,应当立即提请有相应定密权限的业务主管部门或者保密行政管理部门确定。
公安机关、国家安全机关在其工作范围内按照规定的权限确定国家秘密的密级。
第十八条 机关、单位执行上级确定的国家秘密事项或者办理其他机关、单位确定的国家秘密事项,需要派生定密的,应当根据所执行、办理的国家秘密事项的密级确定。
第十九条 机关、单位对所产生的国家秘密事项,应当按照保密事项范围的规定确定密级,同时确定保密期限和知悉范围;有条件的可以标注密点。
第二十条 国家秘密的保密期限,应当根据事项的性质和特点,按照维护国家安全和利益的需要,限定在必要的期限内;不能确定期限的,应当确定解密的条件。
国家秘密的保密期限,除另有规定外,绝密级不超过三十年,机密级不超过二十年,秘密级不超过十年。
机关、单位应当根据工作需要,确定具体的保密期限、解密时间或者解密条件。
机关、单位对在决定和处理有关事项工作过程中确定需要保密的事项,根据工作需要决定公开的,正式公布时即视为解密。
第二十一条 国家秘密的知悉范围,应当根据工作需要限定在最小范围。
国家秘密的知悉范围能够限定到具体人员的,限定到具体人员;不能限定到具体人员的,限定到机关、单位,由该机关、单位限定到具体人员。
国家秘密的知悉范围以外的人员,因工作需要知悉国家秘密的,应当经过机关、单位主要负责人或者其指定的人员批准。原定密机关、单位对扩大国家秘密的知悉范围有明确规定的,应当遵守其规定。
第二十二条 机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体(以下简称国家秘密载体)以及属于国家秘密的设备、产品,应当作出国家秘密标志。
涉及国家秘密的电子文件应当按照国家有关规定作出国家秘密标志。
不属于国家秘密的,不得作出国家秘密标志。
第二十三条 国家秘密的密级、保密期限和知悉范围,应当根据情况变化及时变更。国家秘密的密级、保密期限和知悉范围的变更,由原定密机关、单位决定,也可以由其上级机关决定。
国家秘密的密级、保密期限和知悉范围变更的,应当及时书面通知知悉范围内的机关、单位或者人员。
第二十四条 机关、单位应当每年审核所确定的国家秘密。
国家秘密的保密期限已满的,自行解密。在保密期限内因保密事项范围调整不再作为国家秘密,或者公开后不会损害国家安全和利益,不需要继续保密的,应当及时解密;需要延长保密期限的,应当在原保密期限届满前重新确定密级、保密期限和知悉范围。提前解密或者延长保密期限的,由原定密机关、单位决定,也可以由其上级机关决定。
第二十五条 机关、单位对是否属于国家秘密或者属于何种密级不明确或者有争议的,由国家保密行政管理部门或者省、自治区、直辖市保密行政管理部门按照国家保密规定确定。
第三章 保密制度
第二十六条 国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁,应当符合国家保密规定。
绝密级国家秘密载体应当在符合国家保密标准的设施、设备中保存,并指定专人管理;未经原定密机关、单位或者其上级机关批准,不得复制和摘抄;收发、传递和外出携带,应当指定人员负责,并采取必要的安全措施。
第二十七条 属于国家秘密的设备、产品的研制、生产、运输、使用、保存、维修和销毁,应当符合国家保密规定。
第二十八条 机关、单位应当加强对国家秘密载体的管理,任何组织和个人不得有下列行为:
(一)非法获取、持有国家秘密载体;
(二)买卖、转送或者私自销毁国家秘密载体;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
(四)寄递、托运国家秘密载体出境;
(五)未经有关主管部门批准,携带、传递国家秘密载体出境;
(六)其他违反国家秘密载体保密规定的行为。
第二十九条 禁止非法复制、记录、存储国家秘密。
禁止未按照国家保密规定和标准采取有效保密措施,在互联网及其他公共信息网络或者有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。
第三十条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统应当按照国家保密规定和标准规划、建设、运行、维护,并配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行。
涉密信息系统应当按照规定,经检查合格后,方可投入使用,并定期开展风险评估。
第三十一条 机关、单位应当加强对信息系统、信息设备的保密管理,建设保密自监管设施,及时发现并处置安全保密风险隐患。任何组织和个人不得有下列行为:
(一)未按照国家保密规定和标准采取有效保密措施,将涉密信息系统、涉密信息设备接入互联网及其他公共信息网络;
(二)未按照国家保密规定和标准采取有效保密措施,在涉密信息系统、涉密信息设备与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密信息系统、非涉密信息设备存储或者处理国家秘密;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密信息设备赠送、出售、丢弃或者改作其他用途;
(六)其他违反信息系统、信息设备保密规定的行为。
第三十二条 用于保护国家秘密的安全保密产品和保密技术装备应当符合国家保密规定和标准。
国家建立安全保密产品和保密技术装备抽检、复检制度,由国家保密行政管理部门设立或者授权的机构进行检测。
第三十三条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,网络信息的制作、复制、发布、传播,应当遵守国家保密规定。
第三十四条 网络运营者应当加强对其用户发布的信息的管理,配合监察机关、保密行政管理部门、公安机关、国家安全机关对涉嫌泄露国家秘密案件进行调查处理;发现利用互联网及其他公共信息网络发布的信息涉嫌泄露国家秘密的,应当立即停止传输该信息,保存有关记录,向保密行政管理部门或者公安机关、国家安全机关报告;应当根据保密行政管理部门或者公安机关、国家安全机关的要求,删除涉及泄露国家秘密的信息,并对有关设备进行技术处理。
第三十五条 机关、单位应当依法对拟公开的信息进行保密审查,遵守国家保密规定。
第三十六条 开展涉及国家秘密的数据处理活动及其安全监管应当符合国家保密规定。
国家保密行政管理部门和省、自治区、直辖市保密行政管理部门会同有关主管部门建立安全保密防控机制,采取安全保密防控措施,防范数据汇聚、关联引发的泄密风险。
机关、单位应当对汇聚、关联后属于国家秘密事项的数据依法加强安全管理。
第三十七条 机关、单位向境外或者向境外在中国境内设立的组织、机构提供国家秘密,任用、聘用的境外人员因工作需要知悉国家秘密的,按照国家有关规定办理。
第三十八条 举办会议或者其他活动涉及国家秘密的,主办单位应当采取保密措施,并对参加人员进行保密教育,提出具体保密要求。
第三十九条 机关、单位应当将涉及绝密级或者较多机密级、秘密级国家秘密的机构确定为保密要害部门,将集中制作、存放、保管国家秘密载体的专门场所确定为保密要害部位,按照国家保密规定和标准配备、使用必要的技术防护设施、设备。
第四十条 军事禁区、军事管理区和属于国家秘密不对外开放的其他场所、部位,应当采取保密措施,未经有关部门批准,不得擅自决定对外开放或者扩大开放范围。
涉密军事设施及其他重要涉密单位周边区域应当按照国家保密规定加强保密管理。
第四十一条 从事涉及国家秘密业务的企业事业单位,应当具备相应的保密管理能力,遵守国家保密规定。
从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成,武器装备科研生产,或者涉密军事设施建设等涉及国家秘密业务的企业事业单位,应当经过审查批准,取得保密资质。
第四十二条 采购涉及国家秘密的货物、服务的机关、单位,直接涉及国家秘密的工程建设、设计、施工、监理等单位,应当遵守国家保密规定。
机关、单位委托企业事业单位从事涉及国家秘密的业务,应当与其签订保密协议,提出保密要求,采取保密措施。
第四十三条 在涉密岗位工作的人员(以下简称涉密人员),按照涉密程度分为核心涉密人员、重要涉密人员和一般涉密人员,实行分类管理。
任用、聘用涉密人员应当按照国家有关规定进行审查。
涉密人员应当具有良好的政治素质和品行,经过保密教育培训,具备胜任涉密岗位的工作能力和保密知识技能,签订保密承诺书,严格遵守国家保密规定,承担保密责任。
涉密人员的合法权益受法律保护。对因保密原因合法权益受到影响和限制的涉密人员,按照国家有关规定给予相应待遇或者补偿。
第四十四条 机关、单位应当建立健全涉密人员管理制度,明确涉密人员的权利、岗位责任和要求,对涉密人员履行职责情况开展经常性的监督检查。
第四十五条 涉密人员出境应当经有关部门批准,有关机关认为涉密人员出境将对国家安全造成危害或者对国家利益造成重大损失的,不得批准出境。
第四十六条 涉密人员离岗离职应当遵守国家保密规定。机关、单位应当开展保密教育提醒,清退国家秘密载体,实行脱密期管理。涉密人员在脱密期内,不得违反规定就业和出境,不得以任何方式泄露国家秘密;脱密期结束后,应当遵守国家保密规定,对知悉的国家秘密继续履行保密义务。涉密人员严重违反离岗离职及脱密期国家保密规定的,机关、单位应当及时报告同级保密行政管理部门,由保密行政管理部门会同有关部门依法采取处置措施。
第四十七条 国家工作人员或者其他公民发现国家秘密已经泄露或者可能泄露时,应当立即采取补救措施并及时报告有关机关、单位。机关、单位接到报告后,应当立即作出处理,并及时向保密行政管理部门报告。
第四章 监督管理
第四十八条 国家保密行政管理部门依照法律、行政法规的规定,制定保密规章和国家保密标准。
第四十九条 保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护、保密违法案件调查处理工作,对保密工作进行指导和监督管理。
第五十条 保密行政管理部门发现国家秘密确定、变更或者解除不当的,应当及时通知有关机关、单位予以纠正。
第五十一条 保密行政管理部门依法对机关、单位遵守保密法律法规和相关制度的情况进行检查;涉嫌保密违法的,应当及时调查处理或者组织、督促有关机关、单位调查处理;涉嫌犯罪的,应当依法移送监察机关、司法机关处理。
对严重违反国家保密规定的涉密人员,保密行政管理部门应当建议有关机关、单位将其调离涉密岗位。
有关机关、单位和个人应当配合保密行政管理部门依法履行职责。
第五十二条 保密行政管理部门在保密检查和案件调查处理中,可以依法查阅有关材料、询问人员、记录情况,先行登记保存有关设施、设备、文件资料等;必要时,可以进行保密技术检测。
保密行政管理部门对保密检查和案件调查处理中发现的非法获取、持有的国家秘密载体,应当予以收缴;发现存在泄露国家秘密隐患的,应当要求采取措施,限期整改;对存在泄露国家秘密隐患的设施、设备、场所,应当责令停止使用。
第五十三条 办理涉嫌泄露国家秘密案件的机关,需要对有关事项是否属于国家秘密、属于何种密级进行鉴定的,由国家保密行政管理部门或者省、自治区、直辖市保密行政管理部门鉴定。
第五十四条 机关、单位对违反国家保密规定的人员不依法给予处分的,保密行政管理部门应当建议纠正;对拒不纠正的,提请其上一级机关或者监察机关对该机关、单位负有责任的领导人员和直接责任人员依法予以处理。
第五十五条 设区的市级以上保密行政管理部门建立保密风险评估机制、监测预警制度、应急处置制度,会同有关部门开展信息收集、分析、通报工作。
第五十六条 保密协会等行业组织依照法律、行政法规的规定开展活动,推动行业自律,促进行业健康发展。
第五章 法律责任
第五十七条 违反本法规定,有下列情形之一,根据情节轻重,依法给予处分;有违法所得的,没收违法所得:
(一)非法获取、持有国家秘密载体的;
(二)买卖、转送或者私自销毁国家秘密载体的;
(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
(四)寄递、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
(五)非法复制、记录、存储国家秘密的;
(六)在私人交往和通信中涉及国家秘密的;
(七)未按照国家保密规定和标准采取有效保密措施,在互联网及其他公共信息网络或者有线和无线通信中传递国家秘密的;
(八)未按照国家保密规定和标准采取有效保密措施,将涉密信息系统、涉密信息设备接入互联网及其他公共信息网络的;
(九)未按照国家保密规定和标准采取有效保密措施,在涉密信息系统、涉密信息设备与互联网及其他公共信息网络之间进行信息交换的;
(十)使用非涉密信息系统、非涉密信息设备存储、处理国家秘密的;
(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
(十二)将未经安全技术处理的退出使用的涉密信息设备赠送、出售、丢弃或者改作其他用途的;
(十三)其他违反本法规定的情形。
有前款情形尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。
第五十八条 机关、单位违反本法规定,发生重大泄露国家秘密案件的,依法对直接负责的主管人员和其他直接责任人员给予处分。不适用处分的人员,由保密行政管理部门督促其主管部门予以处理。
机关、单位违反本法规定,对应当定密的事项不定密,对不应当定密的事项定密,或者未履行解密审核责任,造成严重后果的,依法对直接负责的主管人员和其他直接责任人员给予处分。
第五十九条 网络运营者违反本法第三十四条规定的,由公安机关、国家安全机关、电信主管部门、保密行政管理部门按照各自职责分工依法予以处罚。
第六十条 取得保密资质的企业事业单位违反国家保密规定的,由保密行政管理部门责令限期整改,给予警告或者通报批评;有违法所得的,没收违法所得;情节严重的,暂停涉密业务、降低资质等级;情节特别严重的,吊销保密资质。
未取得保密资质的企业事业单位违法从事本法第四十一条第二款规定的涉密业务的,由保密行政管理部门责令停止涉密业务,给予警告或者通报批评;有违法所得的,没收违法所得。
第六十一条 保密行政管理部门的工作人员在履行保密管理职责中滥用职权、玩忽职守、徇私舞弊的,依法给予处分。
第六十二条 违反本法规定,构成犯罪的,依法追究刑事责任。
第六章 附 则
第六十三条 中国人民解放军和中国人民武装警察部队开展保密工作的具体规定,由中央军事委员会根据本法制定。
第六十四条 机关、单位对履行职能过程中产生或者获取的不属于国家秘密但泄露后会造成一定不利影响的事项,适用工作秘密管理办法采取必要的保护措施。工作秘密管理办法另行规定。
第六十五条 本法自2024年5月1日起施行。
修订后的《中华人民共和国保守国家秘密法实施条例》主要内容
2024年7月10日,国务院总理李强签署第786号国务院令,公布修订后的《中华人民共和国保守国家秘密法实施条例》(以下简称《条例》),共6章74条,自2024年9月1日起施行。
一、《条例》修订背景情况
党中央、国务院历来高度重视保密工作。国务院于2014年1月17日公布、自2014年3月1日起施行的《条例》,在推进保密依法管理、保守国家秘密、维护国家安全和利益等方面发挥了重要作用。近年来,国际国内形势发生深刻变化,保密工作面临着新形势新任务,为适应需要,新修订的《中华人民共和国保守国家秘密法》(以下简称保密法)进一步健全了保密管理体制机制,完善了保密管理制度。为深入贯彻党中央关于保密工作的决策部署,进一步细化保密法有关制度规定,明确保密法具体实施举措,对《条例》作出修订。
2024年6月26日,国务院常务会议审议通过了《条例(修订草案)》。2024年7月10日,李强总理签署国务院令,正式公布修订后的《条例》。
二、修订《条例》的总体思路
修订《条例》坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻落实习近平法治思想和习近平总书记关于保密工作重要指示批示精神,遵循以下总体思路:一是细化党管保密原则,健全党管保密体制机制,确保保密工作正确政治方向。二是在保密法制度框架下,细化、完善相关制度,确保新修订的保密法有效实施。三是聚焦保密工作面临的新情况新问题,总结提炼近年来保密工作行之有效的经验做法和成熟制度。
三、《条例》在坚持和加强党对保密工作的领导方面作出的细化
党对保密工作的统一领导,是保密工作的本质特征,是保密工作长期实践和历史经验的总结。此次《条例》修订增加了党管保密专门条款,进一步强调坚持和加强中国共产党对保密工作的领导,健全党管保密体制机制,明确了中央保密工作领导机构、地方各级保密工作领导机构的具体职责,为贯彻落实党和国家保密工作战略及重大政策措施,更好发挥党管保密的政治优势、组织优势提供了制度保障。
四、《条例》在定密管理方面作出的细化
一是明确国家秘密事项一览表制定修订要求。国家秘密事项一览表以明确、直观的方式列明国家秘密事项、密级、保密期限、知悉范围和定密依据。《条例》明确,有定密权限的机关、单位应当依据本行业、本领域以及相关行业、领域保密事项范围,制定国家秘密事项一览表,从源头上保障定密工作的精准性、科学性。二是进一步细化定密责任人范围和具体职责。《条例》明确,机关、单位主要负责人是本机关、本单位的法定定密责任人,根据工作需要,可以明确一定范围的人员为指定定密责任人。同时,进一步完善了定密责任人的具体职责。三是明确应当派生定密的具体情形。派生定密是一种重要的定密方式,《条例》列举了应当派生定密的具体情形,为机关、单位派生定密提供更加科学、细致的指引,有利于规范派生定密行为,有效避免派生定密过多、过泛的问题。
五、《条例》在加强保密科学技术创新和防护等方面作出的规定
近年来,随着信息科技的普及应用,国家秘密形态日益数字化、网络化,面临的泄密、窃密风险也更加多样化、隐蔽化,窃密与反窃密斗争逐步体现为科学技术能力的竞争与对抗。《条例》就加强保密科学技术创新和防护作了以下规定:一是重视保密科学技术创新。鼓励和支持保密科学技术研究和应用,对在保密科学技术研发中取得重大成果或者显著成绩的组织和个人给予表彰和奖励。二是注重信息设备、信息系统保密管理。明确机关、单位应当加强信息系统、信息设备的运行维护、使用管理,定期开展涉密信息系统风险评估,确保涉密信息系统中使用的信息设备安全可靠。三是细化安全保密产品和保密技术装备管理要求。明确研制生产单位义务,鼓励采用新技术、新方法、新工艺等进行创新;抽检、复检中发现的不符合国家保密规定和标准的,明确了相应处置措施,有效促进安全保密产品和保密技术装备质量持续提升。
六、《条例》在网络信息和数据保密管理方面作出的细化
随着信息化、数字化的飞速发展和广泛应用,国家秘密管理难度不断加大,网络信息和数据保密管理的重要性愈发凸显。《条例》进一步规范了网络信息和数据保密管理:一是加强网络使用保密管理,规定机关、单位工作人员不得违反有关规定使用非涉密信息系统、信息设备存储、处理、传输国家秘密,使用智能终端产品等应当符合国家保密规定。二是明确网络运营者对依法实施的保密违法案件调查和预警事件排查的配合义务。三是完善数据保密管理制度,压实机关、单位涉密数据安全保护主体责任,明确涉密数据全流程管理要求,有效防范大数据条件下泄密风险,切实筑牢保密防线。
七、《条例》在涉密人员管理方面作出的细化
涉密人员管理是保密管理的重要内容和关键所在。《条例》总结多年来涉密人员管理实践经验,进一步细化了涉密人员管理要求:一是建立涉密人员“全周期”管理制度,对涉密人员上岗前的保密审查及定期复审,在岗期间的保密管理及保密教育培训、离岗离职程序及要求,脱密期间的管理等均作出细化规定。二是细化涉密人员权益保护规定,要求机关、单位建立健全涉密人员权益保障制度,按照国家有关规定给予因履行保密义务导致合法权益受到影响和限制的人员相应待遇或者补偿。
八、《条例》施行后,将重点做好哪些工作
国家保密局将和有关部门共同做好《条例》贯彻落实工作。一是广泛组织学习宣传。组织各级保密工作机构及保密干部结合保密法相关规定,深入学习《条例》。同时,针对党政领导干部、涉密人员和社会公众等不同群体,采取多种形式做好保密法及《条例》的学习、宣传和培训工作。二是认真落实《条例》规定。落实《条例》各项制度,切实筑牢国家秘密安全防线。
中华人民共和国国务院令
第786号
《中华人民共和国保守国家秘密法实施条例》已经2024年6月26日国务院第35次常务会议修订通过,现予公布,自2024年9月1日起施行。
总理 李强
2024年7月10日
中华人民共和国保守国家秘密法实施条例
(2014年1月17日中华人民共和国国务院令第646号公布,2024年7月10日中华人民共和国国务院令第786号修订)
第一章 总 则
第一条 根据《中华人民共和国保守国家秘密法》(以下简称保密法)的规定,制定本条例。
第二条 坚持和加强中国共产党对保守国家秘密(以下简称保密)工作的领导。中央保密工作领导机构领导全国保密工作,负责全国保密工作的顶层设计、统筹协调、整体推进、督促落实。地方各级保密工作领导机构领导本地区保密工作,按照中央保密工作领导机构统一部署,贯彻落实党和国家保密工作战略及重大政策措施,统筹协调保密重大事项和重要工作,督促保密法律法规严格执行。
第三条 国家保密行政管理部门主管全国的保密工作。县级以上地方各级保密行政管理部门在上级保密行政管理部门指导下,主管本行政区域的保密工作。
第四条 中央国家机关在其职权范围内管理或者指导本系统的保密工作,监督执行保密法律法规,可以根据实际情况制定或者会同有关部门制定主管业务方面的保密规定。
第五条 国家机关和涉及国家秘密的单位(以下简称机关、单位)不得将依法应当公开的事项确定为国家秘密,不得将涉及国家秘密的信息公开。
第六条 机关、单位实行保密工作责任制,承担本机关、本单位保密工作主体责任。机关、单位主要负责人对本机关、本单位的保密工作负总责,分管保密工作的负责人和分管业务工作的负责人在职责范围内对保密工作负领导责任,工作人员对本岗位的保密工作负直接责任。机关、单位应当加强保密工作力量建设,中央国家机关应当设立保密工作机构,配备专职保密干部,其他机关、单位应当根据保密工作需要设立保密工作机构或者指定人员专门负责保密工作。机关、单位及其工作人员履行保密工作责任制情况应当纳入年度考评和考核内容。
第七条 县级以上人民政府应当加强保密基础设施建设和关键保密科学技术产品的配备。省级以上保密行政管理部门应当推动保密科学技术自主创新,促进关键保密科学技术产品的研发工作,鼓励和支持保密科学技术研究和应用。
第八条 保密行政管理部门履行职责所需的经费,应当列入本级预算。机关、单位开展保密工作所需经费应当列入本机关、本单位的年度预算或者年度收支计划。
第九条 保密行政管理部门应当组织开展经常性的保密宣传教育。干部教育培训主管部门应当会同保密行政管理部门履行干部保密教育培训工作职责。干部教育培训机构应当将保密教育纳入教学体系。教育行政部门应当推动保密教育纳入国民教育体系。宣传部门应当指导鼓励大众传播媒介充分发挥作用,普及保密知识,宣传保密法治,推动全社会增强保密意识。机关、单位应当定期对本机关、本单位工作人员进行保密工作优良传统、保密形势任务、保密法律法规、保密技术防范、保密违法案例警示等方面的教育培训。
第十条 保密行政管理部门应当按照国家有关规定完善激励保障机制,加强专门人才队伍建设、专业培训和装备配备,提升保密工作专业化能力和水平。教育行政部门应当加强保密相关学科专业建设指导和支持。
第十一条 对有下列表现之一的组织和个人,应当按照国家有关规定给予表彰和奖励:(一)在危急情况下保护国家秘密安全的;(二)在重大涉密活动中,为维护国家秘密安全做出突出贡献的;(三)在保密科学技术研发中取得重大成果或者显著成绩的;(四)及时检举泄露或者非法获取、持有国家秘密行为的;(五)发现他人泄露或者可能泄露国家秘密,立即采取补救措施,避免或者减轻危害后果的;(六)在保密管理等涉密岗位工作,忠于职守,严守国家秘密,表现突出的;(七)其他在保守、保护国家秘密工作中做出突出贡献的。
第二章 国家秘密的范围和密级
第十二条 国家秘密及其密级的具体范围(以下称保密事项范围)应当明确规定国家秘密具体事项的名称、密级、保密期限、知悉范围和产生层级。保密事项范围应当根据情况变化及时调整。制定、修订保密事项范围应当充分论证,听取有关机关、单位和相关行业、领域专家的意见。
第十三条 有定密权限的机关、单位应当依据本行业、本领域以及相关行业、领域保密事项范围,制定国家秘密事项一览表,并报同级保密行政管理部门备案。国家秘密事项一览表应当根据保密事项范围及时修订。
第十四条 机关、单位主要负责人为本机关、本单位法定定密责任人,根据工作需要,可以明确本机关、本单位其他负责人、内设机构负责人或者其他人员为指定定密责任人。定密责任人、承办人应当接受定密培训,熟悉定密职责和保密事项范围,掌握定密程序和方法。
第十五条 定密责任人在职责范围内承担国家秘密确定、变更和解除工作,指导、监督职责范围内的定密工作。具体职责是:(一)审核批准承办人拟定的国家秘密的密级、保密期限和知悉范围;(二)对本机关、本单位确定的尚在保密期限内的国家秘密进行审核,作出是否变更或者解除的决定;(三)参与制定修订本机关、本单位国家秘密事项一览表;(四)对是否属于国家秘密和属于何种密级不明确的事项先行拟定密级、保密期限和知悉范围,并按照规定的程序报保密行政管理部门确定。
第十六条 中央国家机关、省级机关以及设区的市级机关可以根据保密工作需要或者有关机关、单位申请,在国家保密行政管理部门规定的定密权限、授权范围内作出定密授权。无法按照前款规定授权的,省级以上保密行政管理部门可以根据保密工作需要或者有关机关、单位申请,作出定密授权。定密授权应当以书面形式作出。授权机关应当对被授权机关、单位履行定密授权的情况进行监督。被授权机关、单位不得再授权。中央国家机关、省级机关和省、自治区、直辖市保密行政管理部门作出的定密授权,报国家保密行政管理部门备案;设区的市级机关作出的定密授权,报省、自治区、直辖市保密行政管理部门备案。
第十七条 机关、单位应当在国家秘密产生的同时,由承办人依据有关保密事项范围拟定密级、保密期限和知悉范围,报定密责任人审核批准,并采取相应保密措施。机关、单位对应当定密但本机关、本单位没有定密权限的事项,先行采取保密措施,并依照法定程序,报上级机关、单位确定;没有上级机关、单位的,报有定密权限的业务主管部门或者保密行政管理部门确定。机关、单位确定国家秘密,能够明确密点的,按照国家保密规定确定并标注。
第十八条 机关、单位执行上级确定的国家秘密事项或者办理其他机关、单位确定的国家秘密事项,有下列情形之一的,应当根据所执行、办理的国家秘密事项的密级、保密期限和知悉范围派生定密:(一)与已确定的国家秘密事项完全一致的;(二)涉及已确定的国家秘密事项密点的;(三)对已确定的国家秘密事项进行概括总结、编辑整合、具体细化的;(四)原定密机关、单位对使用已确定的国家秘密事项有明确定密要求的。
第十九条 机关、单位对所产生的国家秘密,应当按照保密事项范围的规定确定具体的保密期限或者解密时间;不能确定的,应当确定解密条件。国家秘密的保密期限,自标明的制发日起计算;不能标明制发日的,确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员,保密期限自通知之日起计算。
第二十条 机关、单位应当依法限定国家秘密的知悉范围,对知悉机密级以上国家秘密的人员,应当作出记录。
第二十一条 国家秘密载体以及属于国家秘密的设备、产品(以下简称密品)的明显部位应当作出国家秘密标志。国家秘密标志应当标注密级、保密期限。国家秘密的密级或者保密期限发生变更的,应当及时对原国家秘密标志作出变更。无法作出国家秘密标志的,确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员。
第二十二条 机关、单位对所确定的国家秘密,认为符合保密法有关解除或者变更规定的,应当及时解除或者变更。机关、单位对不属于本机关、本单位确定的国家秘密,认为符合保密法有关解除或者变更规定的,可以向原定密机关、单位或者其上级机关、单位提出建议。已经依法移交各级国家档案馆的属于国家秘密的档案,由原定密机关、单位按照国家有关规定进行解密审核。
第二十三条 机关、单位被撤销或者合并、分立的,该机关、单位所确定国家秘密的变更和解除,由承担其职能的机关、单位负责;没有相应机关、单位的,由其上级机关、单位或者同级保密行政管理部门指定的机关、单位负责。
第二十四条 机关、单位发现本机关、本单位国家秘密的确定、变更和解除不当的,应当及时纠正;上级机关、单位发现下级机关、单位国家秘密的确定、变更和解除不当的,应当及时通知其纠正,也可以直接纠正。
第二十五条 机关、单位对符合保密法的规定,但保密事项范围没有规定的不明确事项,应当先行拟定密级、保密期限和知悉范围,采取相应的保密措施,并自拟定之日起10个工作日内报有关部门确定。拟定为绝密级的事项和中央国家机关拟定的机密级、秘密级的事项,报国家保密行政管理部门确定;其他机关、单位拟定的机密级、秘密级的事项,报省、自治区、直辖市保密行政管理部门确定。保密行政管理部门接到报告后,应当在10个工作日内作出决定。省、自治区、直辖市保密行政管理部门还应当将所作决定及时报国家保密行政管理部门备案。
第二十六条 机关、单位对已确定的国家秘密事项是否属于国家秘密或者属于何种密级有不同意见的,可以向原定密机关、单位提出异议,由原定密机关、单位作出决定。机关、单位对原定密机关、单位未予处理或者对作出的决定仍有异议的,按照下列规定办理:(一)确定为绝密级的事项和中央国家机关确定的机密级、秘密级的事项,报国家保密行政管理部门确定;(二)其他机关、单位确定的机密级、秘密级的事项,报省、自治区、直辖市保密行政管理部门确定;对省、自治区、直辖市保密行政管理部门作出的决定有异议的,可以报国家保密行政管理部门确定。在原定密机关、单位或者保密行政管理部门作出决定前,对有关事项应当按照主张密级中的最高密级采取相应的保密措施。
第三章 保密制度
第二十七条 国家秘密载体管理应当遵守下列规定:
(一)制作国家秘密载体,应当由本机关、本单位或者取得国家秘密载体制作、复制资质的单位承担,制作场所、设备应当符合国家保密规定;
(二)收发国家秘密载体,应当履行清点、编号、登记、签收手续;
(三)传递国家秘密载体,应当通过机要交通、机要通信或者其他符合国家保密规定的方式进行;
(四)阅读、使用国家秘密载体,应当在符合国家保密规定的场所进行;
(五)复制国家秘密载体或者摘录、引用、汇编属于国家秘密的内容,应当按照规定报批,不得擅自改变原件的密级、保密期限和知悉范围,复制件应当加盖复制机关、单位戳记,并视同原件进行管理;
(六)保存国家秘密载体的场所、设施、设备,应当符合国家保密规定;
(七)维修国家秘密载体,应当由本机关、本单位专门技术人员负责。确需外单位人员维修的,应当由本机关、本单位的人员现场监督。确需在本机关、本单位以外维修的,应当符合国家保密规定;
(八)携带国家秘密载体外出,应当符合国家保密规定,并采取可靠的保密措施。携带国家秘密载体出境,应当按照国家保密规定办理审批手续;
(九)清退国家秘密载体,应当按照制发机关、单位要求办理。
第二十八条 销毁国家秘密载体,应当符合国家保密规定和标准,确保销毁的国家秘密信息无法还原。销毁国家秘密载体,应当履行清点、登记、审批手续,并送交保密行政管理部门设立的工作机构或者指定的单位销毁。机关、单位因工作需要,自行销毁少量国家秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
第二十九条 绝密级国家秘密载体管理还应当遵守下列规定:(一)收发绝密级国家秘密载体,应当指定专人负责;(二)传递、携带绝密级国家秘密载体,应当两人以上同行,所用包装应当符合国家保密规定;(三)阅读、使用绝密级国家秘密载体,应当在符合国家保密规定的指定场所进行;(四)禁止复制、下载、汇编、摘抄绝密级文件信息资料,确有工作需要的,应当征得原定密机关、单位或者其上级机关同意;(五)禁止将绝密级国家秘密载体携带出境,国家另有规定的从其规定。
第三十条 机关、单位应当依法对密品的研制、生产、试验、运输、使用、保存、维修、销毁等进行管理。机关、单位应当及时确定密品的密级和保密期限,严格控制密品的接触范围,对放置密品的场所、部位采取安全保密防范措施。绝密级密品的研制、生产、维修应当在符合国家保密规定的封闭场所进行,并设置专门放置、保存场所。密品的零件、部件、组件等物品,涉及国家秘密的,按照国家保密规定管理。
第三十一条 机关、单位应当依法确定保密要害部门、部位,报同级保密行政管理部门确认,严格保密管理。
第三十二条 涉密信息系统按照涉密程度分为绝密级、机密级、秘密级。机关、单位应当根据涉密信息系统存储、处理信息的最高密级确定保护等级,按照分级保护要求采取相应的安全保密防护措施。
第三十三条 涉密信息系统应当由国家保密行政管理部门设立或者授权的机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。公安机关、国家安全机关的涉密信息系统测评审查工作按照国家保密行政管理部门会同国务院公安、国家安全部门制定的有关规定执行。
第三十四条 机关、单位应当加强信息系统、信息设备的运行维护、使用管理,指定专门机构或者人员负责运行维护、安全保密管理和安全审计,按照国家保密规定建设保密自监管设施,定期开展安全保密检查和风险评估,配合保密行政管理部门排查预警事件,及时发现并处置安全保密风险隐患。
第三十五条 机关、单位应当按照国家保密规定,对绝密级信息系统每年至少开展一次安全保密风险评估,对机密级及以下信息系统每两年至少开展一次安全保密风险评估。机关、单位涉密信息系统的密级、使用范围和使用环境等发生变化可能产生新的安全保密风险隐患的,应当按照国家保密规定和标准采取相应防护措施,并开展安全保密风险评估。涉密信息系统中使用的信息设备应当安全可靠,以无线方式接入涉密信息系统的,应当符合国家保密和密码管理规定、标准。涉密信息系统不再使用的,应当按照国家保密规定和标准对相关保密设施、设备进行处理,并及时向相关保密行政管理部门备案。
第三十六条 研制、生产、采购、配备用于保护国家秘密的安全保密产品和保密技术装备应当符合国家保密规定和标准。国家鼓励研制生产单位根据保密工作需要,采用新技术、新方法、新工艺等创新安全保密产品和保密技术装备。
第三十七条 研制生产单位应当为用于保护国家秘密的安全保密产品和保密技术装备持续提供维修维护服务,建立漏洞、缺陷发现和处理机制,不得在安全保密产品和保密技术装备中设置恶意程序。研制生产单位可以向国家保密行政管理部门设立或者授权的机构申请对安全保密产品和保密技术装备进行检测,检测合格的,上述机构颁发合格证书。研制生产单位生产的安全保密产品和保密技术装备应当与送检样品一致。
第三十八条 国家保密行政管理部门组织其设立或者授权的机构开展用于保护国家秘密的安全保密产品和保密技术装备抽检、复检,发现不符合国家保密规定和标准的,应当责令整改;存在重大缺陷或者重大泄密隐患的,应当责令采取停止销售、召回产品等补救措施,相关单位应当配合。
第三十九条 网络运营者应当遵守保密法律法规和国家有关规定,建立保密违法行为投诉、举报、发现、处置制度,完善受理和处理工作机制,制定泄密应急预案。发生泄密事件时,网络运营者应当立即启动应急预案,采取补救措施,并向保密行政管理部门或者公安机关、国家安全机关报告。
第四十条 网络运营者对保密行政管理部门依法实施的保密违法案件调查和预警事件排查,应当予以配合。省级以上保密行政管理部门在履行保密监督管理职责中,发现网络存在较大泄密隐患或者发生泄密事件的,可以按照规定权限和程序对该网络运营者的法定代表人或者主要负责人进行约谈,督促其及时整改,消除隐患。
第四十一条 机关、单位应当加强对互联网使用的保密管理。机关、单位工作人员使用智能终端产品等应当符合国家保密规定,不得违反有关规定使用非涉密信息系统、信息设备存储、处理、传输国家秘密。
第四十二条 机关、单位应当健全信息公开保密审查工作机制,明确审查机构,规范审查程序,按照先审查、后公开的原则,对拟公开的信息逐项进行保密审查。
第四十三条 机关、单位应当承担涉密数据安全保护责任,涉密数据收集、存储、使用、加工、传输、提供等处理活动应当符合国家保密规定。省级以上保密行政管理部门应当会同有关部门建立动态监测、综合评估等安全保密防控机制,指导机关、单位落实安全保密防控措施,防范数据汇聚、关联引发的泄密风险。机关、单位应当对汇聚、关联后属于国家秘密事项的数据依法加强安全管理,落实安全保密防控措施。
第四十四条 机关、单位向境外或者向境外在中国境内设立的组织、机构提供国家秘密,任用、聘用的境外人员因工作需要知悉国家秘密的,应当按照国家保密规定办理,进行审查评估,签订保密协议,督促落实保密管理要求。
第四十五条 举办会议或者其他活动涉及国家秘密的,主办单位应当采取下列保密措施,承办、参加单位和人员应当配合:(一)根据会议、活动的内容确定密级,制定保密方案,限定参加人员和工作人员范围;(二)使用符合国家保密规定和标准的场所、设施、设备,采取必要保密技术防护等措施;(三)按照国家保密规定管理国家秘密载体;(四)对参加人员和工作人员进行身份核实和保密教育,提出具体保密要求;(五)保密法律法规和国家保密规定要求的其他措施。通过电视、电话、网络等方式举办会议或者其他活动涉及国家秘密的,还应当符合国家有关保密标准。
第四十六条 保密行政管理部门及其他主管部门应当加强对涉密军事设施及其他重要涉密单位周边区域保密管理工作的指导和监督,建立协调机制,加强军地协作,组织督促整改,有关机关、单位应当配合,及时发现并消除安全保密风险隐患。
第四十七条 从事涉及国家秘密业务(以下简称涉密业务)的企业事业单位应当符合下列条件:(一)在中华人民共和国境内依法成立1年以上的法人,国家另有规定的从其规定;(二)无犯罪记录,近1年内未发生泄密案件;(三)从事涉密业务的人员具有中华人民共和国国籍,国家另有规定的从其规定;(四)保密制度完善,有专门的机构或者人员负责保密工作;(五)用于涉密业务的场所、设施、设备符合国家保密规定和标准;(六)具有从事涉密业务的专业能力;(七)保密法律法规和国家保密规定要求的其他条件。
第四十八条 从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成,武器装备科研生产,或者涉密军事设施建设等涉密业务的企业事业单位,应当由保密行政管理部门单独或者会同有关部门进行保密审查,取得保密资质。取得保密资质的企业事业单位,不得有下列行为:(一)超出保密资质业务种类范围承担其他需要取得保密资质的业务;(二)变造、出卖、出租、出借保密资质证书;(三)将涉密业务转包给其他单位或者分包给无相应保密资质的单位;(四)其他违反保密法律法规和国家保密规定的行为。取得保密资质的企业事业单位实行年度自检制度,应当每年向作出准予行政许可决定的保密行政管理部门报送上一年度自检报告。
第四十九条 机关、单位采购涉及国家秘密的工程、货物、服务,或者委托企业事业单位从事涉密业务,应当根据国家保密规定确定密级,并符合国家保密规定和标准。机关、单位应当与有关单位、个人签订保密协议,提出保密要求,采取保密措施,实施全过程管理。机关、单位采购或者委托企业事业单位从事本条例第四十八条第一款规定的涉密业务的,应当核验承担单位的保密资质。采购或者委托企业事业单位从事其他涉密业务的,应当核查参与单位的业务能力和保密管理能力。政府采购监督管理部门、保密行政管理部门应当依法加强对涉及国家秘密的工程、货物、服务采购或者其他委托开展涉密业务的监督管理。
第五十条 机关、单位应当依法确定涉密岗位,对拟任用、聘用到涉密岗位工作的人员进行上岗前保密审查,确认其是否具备在涉密岗位工作的条件和能力。未通过保密审查的,不得任用、聘用到涉密岗位工作。机关、单位组织人事部门负责组织实施保密审查时,拟任用、聘用到涉密岗位工作的人员应当如实提供有关情况;需要其原工作、学习单位以及居住地有关部门和人员配合的,相关单位、部门和人员应当配合。必要时,公安机关、国家安全机关依申请协助审查。机关、单位组织人事部门应当定期组织复审,确保涉密人员符合涉密岗位工作要求。
第五十一条 涉密人员应当遵守保密法律法规和本机关、本单位保密制度,严格遵守保密纪律、履行保密承诺,接受保密管理,不得以任何方式泄露国家秘密。
第五十二条 机关、单位组织人事部门会同保密工作机构负责涉密人员保密管理工作。机关、单位保密工作机构应当对涉密人员履行保密责任情况开展经常性的监督检查,会同组织人事部门加强保密教育培训。涉密人员出境,由机关、单位组织人事部门和保密工作机构提出意见,按照人事、外事审批权限审批。涉密人员出境应当经过保密教育培训,及时报告在境外相关情况。
第五十三条 涉密人员离岗离职应当遵守有关法律法规规定;离岗离职前,应当接受保密提醒谈话,签订离岗离职保密承诺书。机关、单位应当开展保密教育提醒,清退国家秘密载体、涉密设备,取消涉密信息系统访问权限,确定脱密期期限。涉密人员在脱密期内就业、出境应当遵守国家保密规定。涉密人员不得利用知悉的国家秘密为有关组织、个人提供服务或者谋取利益。
第五十四条 涉密人员擅自离职或者脱密期内严重违反国家保密规定的,机关、单位应当及时报告同级保密行政管理部门,由保密行政管理部门会同有关部门依法采取处置措施。
第五十五条 机关、单位应当建立健全涉密人员权益保障制度,按照国家有关规定给予因履行保密义务导致合法权益受到影响和限制的人员相应待遇或者补偿。
第四章 监督管理
第五十六条 机关、单位应当向同级保密行政管理部门报送本机关、本单位年度保密工作情况。下级保密行政管理部门应当向上级保密行政管理部门报送本行政区域年度保密工作情况。
第五十七条 国家建立和完善保密标准体系。国家保密行政管理部门依照法律、行政法规的规定制定国家保密标准;相关学会、协会等社会团体可以制定团体标准;相关企业可以制定企业标准。
第五十八条 机关、单位应当对遵守保密法律法规和相关制度情况开展自查自评。保密行政管理部门依法对下列情况进行检查:
(一)保密工作责任制落实情况;
(二)保密制度建设情况;
(三)保密宣传教育培训情况;
(四)涉密人员保密管理情况;
(五)国家秘密确定、变更、解除情况;
(六)国家秘密载体管理情况;
(七)信息系统和信息设备保密管理情况;
(八)互联网使用保密管理情况;
(九)涉密场所及保密要害部门、部位管理情况;
(十)采购涉及国家秘密的工程、货物、服务,或者委托企业事业单位从事涉密业务管理情况;
(十一)涉及国家秘密会议、活动管理情况;
(十二)信息公开保密审查情况;
(十三)其他遵守保密法律法规和相关制度的情况。
第五十九条 保密行政管理部门依法开展保密检查和案件调查处理,查阅有关材料、询问人员、记录情况,对有关设施、设备、文件资料等登记保存,进行保密技术检测,应当遵守国家有关规定和程序。有关机关、单位和个人应当配合保密行政管理部门依法履行职责,如实反映情况,提供必要资料,不得弄虚作假,隐匿、销毁证据,或者以其他方式逃避、妨碍保密监督管理。保密行政管理部门实施保密检查后,应当出具检查意见,对需要整改的,应当明确整改内容和期限,并在一定范围内通报检查结果。
第六十条 保密行政管理部门对涉嫌保密违法的线索和案件,应当依法及时调查处理或者组织、督促有关机关、单位调查处理;发现需要采取补救措施的,应当立即责令有关机关、单位和人员停止违法行为,采取有效补救措施。调查工作结束后,有违反保密法律法规的事实,需要追究责任的,保密行政管理部门应当依法作出行政处罚决定或者提出处理建议;涉嫌犯罪的,应当依法移送监察机关、司法机关处理。有关机关、单位应当及时将处理结果书面告知同级保密行政管理部门。
第六十一条 机关、单位发现国家秘密已经泄露或者可能泄露的,应当立即采取补救措施,并在24小时内向同级保密行政管理部门和上级主管部门报告。地方各级保密行政管理部门接到泄密报告的,应当在24小时内逐级报至国家保密行政管理部门。保密行政管理部门依法受理公民对涉嫌保密违法线索的举报,并保护举报人的合法权益。
第六十二条 保密行政管理部门收缴非法获取、持有的国家秘密载体,应当进行登记并出具清单,查清密级、数量、来源、扩散范围等,并采取相应的保密措施。保密行政管理部门可以提请公安、市场监督管理等有关部门协助收缴非法获取、持有的国家秘密载体,有关部门应当予以配合。
第六十三条 办理涉嫌泄密案件的地方各级监察机关、司法机关申请国家秘密和情报鉴定的,向所在省、自治区、直辖市保密行政管理部门提出;办理涉嫌泄密案件的中央一级监察机关、司法机关申请国家秘密和情报鉴定的,向国家保密行政管理部门提出。国家秘密和情报鉴定应当根据保密法律法规和保密事项范围等进行。保密行政管理部门受理鉴定申请后,应当自受理之日起30日内出具鉴定结论;不能按期出具的,经保密行政管理部门负责人批准,可以延长30日。专家咨询等时间不计入鉴定办理期限。
第六十四条 设区的市级以上保密行政管理部门应当建立监测预警制度,分析研判保密工作有关情况,配备监测预警设施和相应工作力量,发现、识别、处置安全保密风险隐患,及时发出预警通报。
第六十五条 保密行政管理部门和其他相关部门应当在保密工作中加强协调配合,及时通报情况。
第六十六条 保密行政管理部门及其工作人员应当按照法定的职权和程序开展工作,做到严格规范公正文明执法,依法接受监督。
第五章 法律责任
第六十七条 机关、单位违反保密法律法规发生泄密案件,有下列情形之一的,根据情节轻重,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)未落实保密工作责任制的;
(二)未依法确定、变更或者解除国家秘密的;
(三)未按照要求对涉密场所以及保密要害部门、部位进行防护或者管理的;
(四)涉密信息系统未按照规定进行测评审查而投入使用,经责令整改仍不改正的;
(五)未经保密审查或者保密审查不严,公开国家秘密的;
(六)委托不具备从事涉密业务条件的单位从事涉密业务的;
(七)违反涉密人员保密管理规定的;
(八)发生泄密案件未按照规定报告或者未及时采取补救措施的;
(九)未依法履行涉密数据安全管理责任的;
(十)其他违反保密法律法规的情形。有前款情形尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其主管部门予以处理。
第六十八条 在保密检查或者保密违法案件调查处理中,有关机关、单位及其工作人员拒不配合,弄虚作假,隐匿、销毁证据,或者以其他方式逃避、妨碍保密检查或者保密违法案件调查处理的,对直接负责的主管人员和其他直接责任人员依法给予处分;不适用处分的人员,由保密行政管理部门督促其主管部门予以处理。企业事业单位及其工作人员协助机关、单位逃避、妨碍保密检查或者保密违法案件调查处理的,由有关主管部门依法予以处罚。
第六十九条 网络运营者违反保密法律法规,有下列情形之一的,由保密行政管理等部门按照各自职责分工责令限期整改,给予警告或者通报批评;情节严重的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款:
(一)发生泄密事件,未依法采取补救措施的;
(二)未依法配合保密行政管理部门实施保密违法案件调查、预警事件排查的。
第七十条 用于保护国家秘密的安全保密产品和保密技术装备不符合国家保密规定和标准,有下列情形之一的,由保密行政管理等部门对研制生产单位给予警告或者通报批评,责令有关检测机构取消合格证书;有违法所得的,没收违法所得:
(一)研制生产单位拒不整改或者整改后仍不符合国家保密规定和标准的;
(二)安全保密产品和保密技术装备存在重大缺陷或者重大泄密隐患的;
(三)造成国家秘密泄露的;
(四)其他严重危害国家秘密安全的。
第七十一条 从事涉密业务的企业事业单位违反保密法律法规及国家保密规定的,由保密行政管理部门责令限期整改,给予警告或者通报批评;有违法所得的,没收违法所得。
取得保密资质的企业事业单位,有下列情形之一的,并处暂停涉密业务、降低资质等级:
(一)超出保密资质业务种类范围承担其他需要取得保密资质业务的;
(二)未按照保密行政管理部门要求时限完成整改或者整改后仍不符合保密法律法规及国家保密规定的;
(三)其他违反保密法律法规及国家保密规定,存在重大泄密隐患的。
取得保密资质的企业事业单位,有下列情形之一的,并处吊销保密资质:
(一)变造、出卖、出租、出借保密资质证书的;
(二)将涉密业务转包给其他单位或者分包给无相应保密资质单位的;
(三)发现国家秘密已经泄露或者可能泄露,未立即采取补救措施或者未按照规定时限报告的;
(四)拒绝、逃避、妨碍保密检查的;
(五)暂停涉密业务期间承接新的涉密业务的;
(六)暂停涉密业务期满仍不符合保密法律法规及国家保密规定的;
(七)发生重大泄密案件的;
(八)其他严重违反保密法律法规及国家保密规定行为的。
第七十二条 保密行政管理部门未依法履行职责,或者滥用职权、玩忽职守、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第六章 附 则
第七十三条 中央国家机关应当结合工作实际制定本行业、本领域工作秘密事项具体范围,报国家保密行政管理部门备案。机关、单位应当加强本机关、本单位工作秘密管理,采取技术防护、自监管等保护措施。违反有关规定造成工作秘密泄露,情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十四条 本条例自2024年9月1日起施行。
自然资源部关于印发《自然资源领域数据
安全管理办法》的通知
自然资发〔2024〕57号
各省、自治区、直辖市自然资源主管部门,新疆生产建设兵团自然资源局,上海市海洋局、福建省海洋与渔业局、山东省海洋局、广西壮族自治区海洋局,国家林业和草原局,中国地质调查局及部其他直属单位,各派出机构,部机关各司局:
经国家数据安全工作协调机制批准,部领导同意,现将《自然资源领域数据安全管理办法》印发给你们,请结合实际认真贯彻执行。
自然资源部
2024年3月22日
自然资源领域数据安全管理办法
第一章 总则
第一条 为规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》等法律法规,制定本办法。
第二条 在中华人民共和国境内开展的,或在境外履行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动及其安全监管,应当遵守相关法律法规和本办法的要求。
第三条 本办法所称自然资源领域数据,是指在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据。
本办法所称自然资源领域数据处理者(以下简称数据处理者),是指开展自然资源领域数据处理活动的自然资源行业各类单位。
本办法所称数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条 在国家数据安全工作协调机制统筹协调下,自然资源部承担自然资源行业、领域数据安全监管职责,负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门(以下统称地方行业监管部门)开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责,参照本办法制定具体制度。
地方行业监管部门分别负责对本地区自然资源领域数据处理活动和安全保护进行监督管理。
自然资源部、国家林业和草原局及地方行业监管部门统称为行业监管部门。
行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”原则,落实本行业本地区本领域数据安全指导监管责任。
第五条 自然资源部、国家林业和草原局推进自然资源领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用。
第六条 鼓励自然资源领域数据依法共享开放和开发利用,支持数据创新应用。积极构建数据开发利用和安全产业协调共进的发展模式,不断提升数据安全保障能力,维护国家安全、社会稳定、组织和个人权益。
第七条 支持开展经常性的自然资源领域数据安全宣传教育。采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第二章 数据分类分级管理
第八条 自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别认定、数据安全保护等标准规范,指导开展数据分类分级管理工作,编制行业重要数据和核心数据目录并实施动态管理。国家林业和草原局按照自然资源领域数据分类分级标准规范,结合工作需要编制林草领域数据安全标准规范,指导开展林草数据分类分级工作,编制林草重要数据和核心数据目录并实施动态管理。
地方行业监管部门按照自然资源领域数据分类分级标准规范,分别组织开展本地区自然资源领域数据分类分级管理及重要数据和核心数据识别审核工作,编制本地区自然资源领域重要数据和核心数据目录,并上报自然资源部,目录发生变化的,应及时上报更新。
数据处理者应当定期按照自然资源领域数据分类分级标准规范梳理填报重要数据和核心数据目录。
第九条 根据行业特点和业务应用,自然资源领域数据分类类别包括但不限于地理信息、自然资源调查监测、国土空间规划、自然资源管理等,具体参照自然资源领域数据分类分级标准规范。
通过对自然资源领域数据重要性、精度、规模、安全风险,以及数据价值、可用性、可共享性、可开放性等进行综合分析,判断数据遭到篡改、破坏、泄露或者非法获取、非法利用后的影响对象、影响程度、影响范围进行分级,分为一般数据、重要数据、核心数据。
数据处理者可在此基础上细分数据的类别和一般数据级别。
第十条 核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生和重大公共利益的数据,经国家有关部门评估确定的其他数据。
重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
一般数据是指除重要数据、核心数据以外的其他数据。
结合自然资源领域数据特点,满足以下两项(含)以上参考指标的为重要数据。
(一)支撑党中央和国务院赋予的“两统一”职责产生的具有不可替代性和行业唯一性的,一旦发生数据篡改、泄露或服务中断等安全事故,将影响自然资源部门履行职责,对全国范围内服务对象产生重要影响的数据。
(二)涉及国民经济和重要民生的,为其他行业、领域提供自然资源基础数据支撑的,一旦发生数据安全事故会对其他行业、领域造成重要影响的数据。
(三)覆盖多个省份甚至全国,规模大、精度高,且极具敏感性、重要性的数据。
(四)直接影响国家关键信息基础设施正常运行服务的数据。
(五)危害国家安全、国家经济竞争力、危害公众接受公共服务、危害公民生存条件和安定工作生活环境、危害公民的生命财产安全和其他合法利益、导致社会恐慌等的数据。
(六)我国法律法规及规范性文件规定的其他自然资源重要数据。
符合重要数据指标,且关系国家经济命脉、重要民生和重大公共利益、影响政治安全的数据为核心数据。
第十一条 自然资源部所属的数据处理者应当将本单位重要数据和核心数据目录向自然资源部报备,国家林业和草原局所属的数据处理者应当将本单位重要数据和核心数据目录向国家林业和草原局报备,其他数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门报备。报备内容包括但不限于数据类别、级别、规模、精度、来源、载体、使用范围、对外共享、跨境传输、 安全情况及责任单位情况等,不包括数据内容本身。
地方行业监管部门应当在数据处理者提交报备申请后的二十个工作日内完成审核工作,报备内容符合要求的,报自然资源部审核认定,自然资源部接到申请后二十个工作日完成重要数据认定,核心数据须报国家数据安全工作协调机制认定;不符合要求的应当及时反馈申请单位并说明理由。申请单位应当在收到反馈后的十五个工作日内再次提交申请。
报备内容发生重大变化的,数据处理者应当在发生变化的三个月内履行变更手续。重大变化是指数据内容发生变化导致原有级别不再适用的,或某类重要数据和核心数据规模变化30%以上的,等等。
第三章 数据全生命周期安全管理
第十二条 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据安全管理制度,针对不同级别数据,制定数据全生命周期各环节的具体分级防护要求和操作规程。
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作。
(三)利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。
(四)应当采取相应技术措施和其他必要措施保障数据安全,防范数据被篡改、破坏、泄露或者非法获取、非法利用等风险。
(五)合理确定数据处理活动的操作权限,严格实施人员权限管理。
(六)根据应对数据安全事件的需要,制定应急预案, 并开展应急演练。
(七)定期对从业人员开展数据安全知识和技能相关教育培训。
(八)法律法规等规定的其他措施。
重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系, 明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或主要负责人是数据安全第一责任人,领导班子中分管数据安全的班子成员是直接责任人,其他成员对职责范围内的数据安全工作负领导责任,履行数据安全保护义务,接受监督。
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。应当按照业务工作需要和最小授权原则,依据岗位职责设定数据处理权限,控制重要数据接触范围,人员变动时应及时调整权限。涉及核心数据的相关关键岗位人员、信息系统建设和运维单位等,提交公安机关、国家安全机关进行国家安全背景审查。
(三)建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录不少于六个月。
(四)在数据全生命周期的各环节,应当综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护。
(五)涉重要数据信息系统建设、运维项目未经委托方批准不得转包、分包。建设运维人员未经委托方明确授权,不得处理委托方的重要数据。在提供涉重要数据信息系统建设、运维过程中收集、产生的数据,不得用于其他用途,服务完成后按照与委托方约定处理或及时删除。
(六)应当加强人员和经费保障。
第十三条 数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。法律法规对收集数据的目的、范围有规定的,应当在法律法规规定的目的和范围内收集。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集生产人员、设备的管理, 并对收集来源、时间、类型、数量、精度、区域、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十四条 数据处理者应当依据法律法规规定的方式和期限存储数据,可以从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面,加强数据存储安全管控,保障存储数据的完整性、保密性、真实性和可用性。
存储重要数据的,要落实第三级及以上网络安全等级保护要求。存储核心数据的,要落实关键信息基础设施安全保护要求或第四级网络安全等级保护要求。
第十五条 数据处理者开展数据加工使用处理活动,应当采取访问控制、数据防泄露、操作审计等管控措施,确保过程安全、合规、可控、可溯源,防范数据关联挖掘、分析过程中有价值信息和个人隐私泄露的安全风险,明确数据使用加工过程中的相关责任,保证数据的正当加工使用。加工使用过程中,应当按照数据级别采取相应的措施保护数据的安全性,所使用的数据必须是真实可靠的,数据来源、收集过程须经过审查和核实。涉及利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。加工使用重要数据和核心数据,还应当实施严格的访问控制,建立数据可信可控、日志留存审计、风险监测评估、实时监控、应急处置、数据溯源等相关技术和管理机制。
第十六条 数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十七条 数据处理者应当按照有关规定安全有序提供数据,明确提供的范围、类别、条件、程序等,提供的数据应当限于实现数据接收方处理目的的最小范围,并告知数据接收方按照对应级别进行分类分级保护,采取必要的安全保护措施,涉及重要数据的,与数据接收方签订数据安全协议。重要数据在共享、调用过程中应当加强安全管控,采取技术措施定期监测数据共享、调用的情况,并配备风险隔离、认证鉴权、威胁告警等安全保护措施。涉及提供、共享核心数据的,应当采取必要的安全保护措施,并上报自然资源部,自本年度1月1日起可能累计达到总量30%及以上的,应当经自然资源部报国家数据安全工作协调机制组织风险评估。涉及国家机关依法履职或单位内部流动的除外。
第十八条 数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在显著负面影响或风险的,不得公开。政府机关部门应当遵守公正、公平、便民的原则,按照规定及时、准确地公开政务数据,依法不予公开的除外。
第十九条 数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。依据法律法规规定、合同约定等请求销毁的,数据处理者应当销毁相应数据。
销毁重要数据和核心数据的,要采取必要的安全保护措施,并事前向行业监管部门报告数据销毁方案。引起重要数据和核心数据目录变化的,应当及时向行业监管部门报备,不得以任何理由、任何方式对销毁数据进行恢复。
第二十条 数据处理者在中华人民共和国境内收集和产生的重要数据,应当在境内存储,确需向境外提供的,数据处理者应当落实国家网信部门数据出境安全评估有关规定。
第二十一条 数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当采取必要的安全保护措施,事前向行业监管部门报告数据转移方案。引起重要数据目录发生变化的,应当及时向行业监管部门报备。
第二十二条 数据处理者委托他人处理、与他人共同处理数据的,数据安全责任不因委托而改变,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。涉及重要数据的,委托方要把安全作为重要考虑因素,应当对受托方的数据安全保护能力、资质进行评估或核实,经过严格的审批程序,明确受托方的数据处理权限和保护责任,并监督受托方履行数据安全保护义务。
除法律法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。
第二十三条 数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。其中,一般数据的日志留存时间不少于六个月,涉及重要数据安全事件处置、溯源的,相关日志留存时间不少于一年;涉及向他人提供、委托处理、共同处理重要数据的,相关日志留存时间不少于三年。涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年。
第四章 数据安全监测预警与应急管理
第二十四条 自然资源部按照国家相关标准和流程,组织建立自然资源领域数据安全风险监测机制,建立自然资源领域数据安全风险监测预警体系,划分数据安全风险和事件等级,组织建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,与相关部门加强信息共享。国家林业和草原局组织建立林草数据安全风险监测预警机制,划分林草数据安全风险和事件等级,组织建设林草数据监测预警技术手段。
地方行业监管部门分别建设本地区数据安全监测预警机制,组织开展本地区自然资源领域数据安全风险监测,按照有关规定及时发布预警信息,通知本地区数据处理者及时采取应对措施。
数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十五条 自然资源部组织指导开展自然资源领域数据安全风险评估等工作。国家林业和草原局组织指导开展林草数据安全风险评估等工作。
地方行业监管部门分别负责组织开展本地区自然资源领域数据安全风险评估工作。
重要数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向行业监管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的类别、数量,开展数据处理活动的情况,面临的数据安全风险、应对措施及其有效程度等。数据处理者应当保留风险评估报告至少三年。核心数据处理者优先使用第三方评估机构开展风险评估。
数据处理者在组织重要数据安全风险评估时,应当对其数据查询、下载、修改、删除等重点操作的日志开展审计分析,发现违规或异常行为,应及时采取相应处置措施。
第二十六条 自然资源部组织建立自然资源领域数据安全风险信息通报机制,统一汇集、分析、研判、通报数据安全风险信息。国家林业和草原局组织建立林草数据安全风险信息通报机制。
地方行业监管部门分别汇总分析本地区自然资源领域数据安全风险,根据数据安全风险的发展态势、规模大小、关联程度、现实危害等综合研判,及时将可能造成重大及以上安全事件的风险向自然资源部报告。
数据处理者及时将可能造成较大及以上安全事件的风险向行业监管部门报告。
第二十七条 自然资源部组织制定自然资源领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。国家林业和草原局组织建立林草数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
地方行业监管部门分别组织开展本地区自然资源领域数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即报自然资源部,并及时报告事件发展和处置情况。
数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向行业监管部门、属地公安部门报告,事件处置完成后在一周以内形成总结报告。每年向行业监管部门报告数据安全事件处置情况。
数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第五章 监督检查
第二十八条 行业监管部门对数据处理者落实数据分类分级保护及本办法要求的情况进行监督检查。数据处理者应当对行业监管部门监督检查予以配合。
第二十九条 在国家数据安全工作协调机制统一组织下,自然资源部依法配合有关部门,对影响或者可能影响国家安全的自然资源领域数据处理活动开展数据安全审查工作。
第三十条 数据处理者及其委托的数据安全风险评估机构工作人员对在履行职责中知悉的个人信息、商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
第六章 法律责任
第三十一条 行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对数据处理者进行约谈,并要求采取措施进行整改,消除隐患。
第三十二条 对于违反有关规定的,依照《中华人民共和国数据安全法》及有关法律法规予以处理,根据情节严重程度给与相应行政处罚,构成犯罪的,依法追究刑事责任。
第七章 附则
第三十三条 开展涉及个人信息的数据处理活动,还应当遵守有关法律法规的规定。
第三十四条 涉及国家秘密信息或自然资源领域数据汇聚关联后属于国家秘密事项的数据处理活动,应当符合国家及部相关保密规定。
第三十五条 法律法规规定开展数据处理活动应当取得行政许可的,数据处理者应当依法取得许可。
第三十六条 本办法由自然资源部负责解释。
第三十七条 本办法自印发之日起施行。
扫一扫在手机打开当前页
相关文章
主办:新疆维吾尔自治区自然资源厅 技术支持:自治区自然资源信息中心(自治区自然资源档案馆)
地址:乌鲁木齐市金银路56号邮编:830002
政府网站标识码:6500000049备案序号:新ICP备 09002870号
网站域名:zrzyt.xinjiang.gov.cn
首 页
机构
动态
公开
政务服务
互动
专题
