自然資源部關于印發(fā)《自然資源領域數(shù)據(jù)安全管理辦法》的通知

附件  :

• 自然資源領域數(shù)據(jù)安全管理辦法.docx

• 自然資源領域數(shù)據(jù)安全管理辦法

•  

• 第一章  總則

•  

• 第一條 為規(guī)范自然資源領域數(shù)據(jù)處理活動，加強數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權益，維護國家安全和發(fā)展利益，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》等法律法規(guī)，制定本辦法。

• 第二條  在中華人民共和國境內(nèi)開展的，或在境外履行自然資源部門職責過程中開展的自然資源領域非涉密數(shù)據(jù)處理活動及其安全監(jiān)管，應當遵守相關法律法規(guī)和本辦法的要求。

• 第三條  本辦法所稱自然資源領域數(shù)據(jù)，是指在開展自然資源活動中收集和產(chǎn)生的數(shù)據(jù)，主要包括基礎地理信息、遙感影像等地理信息數(shù)據(jù)，土地、礦產(chǎn)、森林、草原、水、濕地、海域海島等自然資源調查監(jiān)測數(shù)據(jù)，總體規(guī)劃、詳細規(guī)劃、專項規(guī)劃等國土空間規(guī)劃數(shù)據(jù)，用途管制、資產(chǎn)管理、耕地保護、生態(tài)修復、開發(fā)利用、不動產(chǎn)登記等自然資源管理數(shù)據(jù)。

• 本辦法所稱自然資源領域數(shù)據(jù)處理者（以下簡稱數(shù)據(jù)處理者），是指開展自然資源領域數(shù)據(jù)處理活動的自然資源行業(yè)各類單位。

• 本辦法所稱數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

• 第四條  在國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調下，自然資源部承擔自然資源行業(yè)、領域數(shù)據(jù)安全監(jiān)管職責，負責督促指導各省、自治區(qū)、直轄市自然資源主管部門、海洋主管部門（以下統(tǒng)稱地方行業(yè)監(jiān)管部門）開展數(shù)據(jù)安全監(jiān)管。國家林業(yè)和草原局具體承擔森林草原、濕地荒漠等數(shù)據(jù)安全監(jiān)管職責，參照本辦法制定具體制度。

• 地方行業(yè)監(jiān)管部門分別負責對本地區(qū)自然資源領域數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。

• 自然資源部、國家林業(yè)和草原局及地方行業(yè)監(jiān)管部門統(tǒng)稱為行業(yè)監(jiān)管部門。

• 行業(yè)監(jiān)管部門將數(shù)據(jù)安全納入黨委（黨組）國家安全責任制，按照“誰管業(yè)務，誰管數(shù)據(jù)，誰管數(shù)據(jù)安全”原則，落實本行業(yè)本地區(qū)本領域數(shù)據(jù)安全指導監(jiān)管責任。

• 第五條  自然資源部、國家林業(yè)和草原局推進自然資源領域數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標準體系建設，組織開展相關標準制修訂及推廣應用。

• 第六條  鼓勵自然資源領域數(shù)據(jù)依法共享開放和開發(fā)利用，支持數(shù)據(jù)創(chuàng)新應用。積極構建數(shù)據(jù)開發(fā)利用和安全產(chǎn)業(yè)協(xié)調共進的發(fā)展模式，不斷提升數(shù)據(jù)安全保障能力，維護國家安全、社會穩(wěn)定、組織和個人權益。

• 第七條  支持開展經(jīng)常性的自然資源領域數(shù)據(jù)安全宣傳教育。采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全專業(yè)人才，促進人才交流。

•  

• 第二章  數(shù)據(jù)分類分級管理

•  

• 第八條 自然資源部組織制定自然資源領域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定、數(shù)據(jù)安全保護等標準規(guī)范，指導開展數(shù)據(jù)分類分級管理工作，編制行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實施動態(tài)管理。國家林業(yè)和草原局按照自然資源領域數(shù)據(jù)分類分級標準規(guī)范，結合工作需要編制林草領域數(shù)據(jù)安全標準規(guī)范，指導開展林草數(shù)據(jù)分類分級工作，編制林草重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實施動態(tài)管理。

• 地方行業(yè)監(jiān)管部門按照自然資源領域數(shù)據(jù)分類分級標準規(guī)范,分別組織開展本地區(qū)自然資源領域數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別審核工作，編制本地區(qū)自然資源領域重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并上報自然資源部，目錄發(fā)生變化的，應及時上報更新。

• 數(shù)據(jù)處理者應當定期按照自然資源領域數(shù)據(jù)分類分級標準規(guī)范梳理填報重要數(shù)據(jù)和核心數(shù)據(jù)目錄。

• 第九條  根據(jù)行業(yè)特點和業(yè)務應用，自然資源領域數(shù)據(jù)分類類別包括但不限于地理信息、自然資源調查監(jiān)測、國土空間規(guī)劃、自然資源管理等，具體參照自然資源領域數(shù)據(jù)分類分級標準規(guī)范。

• 通過對自然資源領域數(shù)據(jù)重要性、精度、規(guī)模、安全風險，以及數(shù)據(jù)價值、可用性、可共享性、可開放性等進行綜合分析，判斷數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后的影響對象、影響程度、影響范圍進行分級，分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。

• 數(shù)據(jù)處理者可在此基礎上細分數(shù)據(jù)的類別和一般數(shù)據(jù)級別。

•     第十條  核心數(shù)據(jù)是指對領域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù)，一旦被非法使用或共享，可能直接影響政治安全。核心數(shù)據(jù)主要包括關系國家安全重點領域的數(shù)據(jù)，關系國民經(jīng)濟命脈、重要民生和重大公共利益的數(shù)據(jù)，經(jīng)國家有關部門評估確定的其他數(shù)據(jù)。

•     重要數(shù)據(jù)是指特定領域、特定群體、特定區(qū)域或達到一定精度和規(guī)模，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。

•     一般數(shù)據(jù)是指除重要數(shù)據(jù)、核心數(shù)據(jù)以外的其他數(shù)據(jù)。

•     結合自然資源領域數(shù)據(jù)特點，滿足以下兩項（含）以上參考指標的為重要數(shù)據(jù)。

•     （一）支撐黨中央和國務院賦予的“兩統(tǒng)一”職責產(chǎn)生的具有不可替代性和行業(yè)唯一性的，一旦發(fā)生數(shù)據(jù)篡改、泄露或服務中斷等安全事故，將影響自然資源部門履行職責，對全國范圍內(nèi)服務對象產(chǎn)生重要影響的數(shù)據(jù)。

•     （二）涉及國民經(jīng)濟和重要民生的，為其他行業(yè)、領域提供自然資源基礎數(shù)據(jù)支撐的，一旦發(fā)生數(shù)據(jù)安全事故會對其他行業(yè)、領域造成重要影響的數(shù)據(jù)。

•     （三）覆蓋多個省份甚至全國，規(guī)模大、精度高，且極具敏感性、重要性的數(shù)據(jù)。

• （四）直接影響國家關鍵信息基礎設施正常運行服務的數(shù)據(jù)。

•     （五）危害國家安全、國家經(jīng)濟競爭力、危害公眾接受公共服務、危害公民生存條件和安定工作生活環(huán)境、危害公民的生命財產(chǎn)安全和其他合法利益、導致社會恐慌等的數(shù)據(jù)。  

•     （六）我國法律法規(guī)及規(guī)范性文件規(guī)定的其他自然資源重要數(shù)據(jù)。

•     符合重要數(shù)據(jù)指標，且關系國家經(jīng)濟命脈、重要民生和重大公共利益、影響政治安全的數(shù)據(jù)為核心數(shù)據(jù)。

•     第十一條  自然資源部所屬的數(shù)據(jù)處理者應當將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向自然資源部報備，國家林業(yè)和草原局所屬的數(shù)據(jù)處理者應當將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向國家林業(yè)和草原局報備，其他數(shù)據(jù)處理者應當將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向本地區(qū)行業(yè)監(jiān)管部門報備。報備內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、精度、來源、載體、使用范圍、對外共享、跨境傳輸、 安全情況及責任單位情況等，不包括數(shù)據(jù)內(nèi)容本身。

•         地方行業(yè)監(jiān)管部門應當在數(shù)據(jù)處理者提交報備申請后的二十個工作日內(nèi)完成審核工作，報備內(nèi)容符合要求的，報自然資源部審核認定，自然資源部接到申請后二十個工作日完成重要數(shù)據(jù)認定，核心數(shù)據(jù)須報國家數(shù)據(jù)安全工作協(xié)調機制認定；不符合要求的應當及時反饋申請單位并說明理由。申請單位應當在收到反饋后的十五個工作日內(nèi)再次提交申請。

•         報備內(nèi)容發(fā)生重大變化的，數(shù)據(jù)處理者應當在發(fā)生變化的三個月內(nèi)履行變更手續(xù)。重大變化是指數(shù)據(jù)內(nèi)容發(fā)生變化導致原有級別不再適用的，或某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模變化30%以上的，等等。

•  

• 第三章  數(shù)據(jù)全生命周期安全管理

•  

• 第十二條  數(shù)據(jù)處理者應當對數(shù)據(jù)處理活動安全負主體責任,對各類數(shù)據(jù)實行分級防護，不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)。

• （一）建立數(shù)據(jù)安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)全生命周期各環(huán)節(jié)的具體分級防護要求和操作規(guī)程。

• （二）根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理，協(xié)助行業(yè)監(jiān)管部門開展工作。

• （三）利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動時，要落實網(wǎng)絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等制度要求。

• （四）應當采取相應技術措施和其他必要措施保障數(shù)據(jù)安全，防范數(shù)據(jù)被篡改、破壞、泄露或者非法獲取、非法利用等風險。

• （五）合理確定數(shù)據(jù)處理活動的操作權限，嚴格實施人員權限管理。

• （六）根據(jù)應對數(shù)據(jù)安全事件的需要，制定應急預案， 并開展應急演練。

• （七）定期對從業(yè)人員開展數(shù)據(jù)安全知識和技能相關教育培訓。

• （八）法律法規(guī)等規(guī)定的其他措施。

• 重要數(shù)據(jù)和核心數(shù)據(jù)處理者，還應當：

• （一）建立覆蓋本單位相關部門的數(shù)據(jù)安全工作體系， 明確數(shù)據(jù)安全負責人和管理機構，建立常態(tài)化溝通與協(xié)作機制。本單位法定代表人或主要負責人是數(shù)據(jù)安全第一責任人，領導班子中分管數(shù)據(jù)安全的班子成員是直接責任人，其他成員對職責范圍內(nèi)的數(shù)據(jù)安全工作負領導責任，履行數(shù)據(jù)安全保護義務，接受監(jiān)督。

• （二）明確數(shù)據(jù)處理關鍵崗位和崗位職責，并要求關鍵崗位人員簽署數(shù)據(jù)安全責任書，責任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責、義務、處罰措施、注意事項等內(nèi)容。應當按照業(yè)務工作需要和最小授權原則，依據(jù)崗位職責設定數(shù)據(jù)處理權限，控制重要數(shù)據(jù)接觸范圍，人員變動時應及時調整權限。涉及核心數(shù)據(jù)的相關關鍵崗位人員、信息系統(tǒng)建設和運維單位等，提交公安機關、國家安全機關進行國家安全背景審查。

•     （三）建立內(nèi)部登記、審批機制，對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動進行嚴格管理并留存記錄不少于六個月。

•     （四）在數(shù)據(jù)全生命周期的各環(huán)節(jié)，應當綜合運用加密、鑒權、認證、脫敏、校驗、審計等技術手段進行安全保護,并按照法律法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護。

• （五）涉重要數(shù)據(jù)信息系統(tǒng)建設、運維項目未經(jīng)委托方批準不得轉包、分包。建設運維人員未經(jīng)委托方明確授權，不得處理委托方的重要數(shù)據(jù)。在提供涉重要數(shù)據(jù)信息系統(tǒng)建設、運維過程中收集、產(chǎn)生的數(shù)據(jù)，不得用于其他用途，服務完成后按照與委托方約定處理或及時刪除。

• （六）應當加強人員和經(jīng)費保障。

• 第十三條  數(shù)據(jù)處理者收集數(shù)據(jù)應當遵循合法、正當?shù)脑瓌t，不得竊取或者以其他非法方式收集數(shù)據(jù)。法律法規(guī)對收集數(shù)據(jù)的目的、范圍有規(guī)定的，應當在法律法規(guī)規(guī)定的目的和范圍內(nèi)收集。

• 數(shù)據(jù)收集過程中，應當根據(jù)數(shù)據(jù)安全級別采取相應的安全措施，加強重要數(shù)據(jù)和核心數(shù)據(jù)收集生產(chǎn)人員、設備的管理， 并對收集來源、時間、類型、數(shù)量、精度、區(qū)域、頻度、流向等進行記錄。

• 通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，數(shù)據(jù)處理者應當與數(shù)據(jù)提供方通過簽署相關協(xié)議、承諾書等方式，明確雙方法律責任。

• 第十四條  數(shù)據(jù)處理者應當依據(jù)法律法規(guī)規(guī)定的方式和期限存儲數(shù)據(jù)，可以從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等方面，加強數(shù)據(jù)存儲安全管控，保障存儲數(shù)據(jù)的完整性、保密性、真實性和可用性。

• 存儲重要數(shù)據(jù)的，要落實第三級及以上網(wǎng)絡安全等級保護要求。存儲核心數(shù)據(jù)的，要落實關鍵信息基礎設施安全保護要求或第四級網(wǎng)絡安全等級保護要求。

• 第十五條  數(shù)據(jù)處理者開展數(shù)據(jù)加工使用處理活動，應當采取訪問控制、數(shù)據(jù)防泄露、操作審計等管控措施，確保過程安全、合規(guī)、可控、可溯源，防范數(shù)據(jù)關聯(lián)挖掘、分析過程中有價值信息和個人隱私泄露的安全風險，明確數(shù)據(jù)使用加工過程中的相關責任，保證數(shù)據(jù)的正當加工使用。加工使用過程中，應當按照數(shù)據(jù)級別采取相應的措施保護數(shù)據(jù)的安全性，所使用的數(shù)據(jù)必須是真實可靠的，數(shù)據(jù)來源、收集過程須經(jīng)過審查和核實。涉及利用數(shù)據(jù)進行自動化決策的，應當保證決策的透明度和結果公平合理。加工使用重要數(shù)據(jù)和核心數(shù)據(jù)，還應當實施嚴格的訪問控制，建立數(shù)據(jù)可信可控、日志留存審計、風險監(jiān)測評估、實時監(jiān)控、應急處置、數(shù)據(jù)溯源等相關技術和管理機制。

• 第十六條  數(shù)據(jù)處理者應當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應用場景，制定安全策略并采取保護措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協(xié)議等措施。

• 第十七條  數(shù)據(jù)處理者應當按照有關規(guī)定安全有序提供數(shù)據(jù)，明確提供的范圍、類別、條件、程序等，提供的數(shù)據(jù)應當限于實現(xiàn)數(shù)據(jù)接收方處理目的的最小范圍，并告知數(shù)據(jù)接收方按照對應級別進行分類分級保護，采取必要的安全保護措施，涉及重要數(shù)據(jù)的，與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全協(xié)議。重要數(shù)據(jù)在共享、調用過程中應當加強安全管控，采取技術措施定期監(jiān)測數(shù)據(jù)共享、調用的情況，并配備風險隔離、認證鑒權、威脅告警等安全保護措施。涉及提供、共享核心數(shù)據(jù)的，應當采取必要的安全保護措施，并上報自然資源部，自本年度1月1日起可能累計達到總量30%及以上的，應當經(jīng)自然資源部報國家數(shù)據(jù)安全工作協(xié)調機制組織風險評估。涉及國家機關依法履職或單位內(nèi)部流動的除外。

• 第十八條  數(shù)據(jù)處理者應當在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響，存在顯著負面影響或風險的，不得公開。政府機關部門應當遵守公正、公平、便民的原則，按照規(guī)定及時、準確地公開政務數(shù)據(jù)，依法不予公開的除外。

• 第十九條  數(shù)據(jù)處理者應當建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術等要求，對銷毀活動進行記錄和留存。依據(jù)法律法規(guī)規(guī)定、合同約定等請求銷毀的，數(shù)據(jù)處理者應當銷毀相應數(shù)據(jù)。

• 銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，要采取必要的安全保護措施，并事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)銷毀方案。引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄變化的，應當及時向行業(yè)監(jiān)管部門報備，不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復。

• 第二十條  數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)，應當在境內(nèi)存儲，確需向境外提供的，數(shù)據(jù)處理者應當落實國家網(wǎng)信部門數(shù)據(jù)出境安全評估有關規(guī)定。

• 第二十一條  數(shù)據(jù)處理者因重組等原因需要轉移數(shù)據(jù)的，應當明確數(shù)據(jù)轉移方案。涉及重要數(shù)據(jù)的，應當采取必要的安全保護措施，事前向行業(yè)監(jiān)管部門報告數(shù)據(jù)轉移方案。引起重要數(shù)據(jù)目錄發(fā)生變化的，應當及時向行業(yè)監(jiān)管部門報備。

• 第二十二條  數(shù)據(jù)處理者委托他人處理、與他人共同處理數(shù)據(jù)的，數(shù)據(jù)安全責任不因委托而改變，應當通過簽訂合同協(xié)議等方式，明確委托方與受托方的數(shù)據(jù)安全責任和義務。涉及重要數(shù)據(jù)的，委托方要把安全作為重要考慮因素，應當對受托方的數(shù)據(jù)安全保護能力、資質進行評估或核實，經(jīng)過嚴格的審批程序，明確受托方的數(shù)據(jù)處理權限和保護責任，并監(jiān)督受托方履行數(shù)據(jù)安全保護義務。

•     除法律法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，受托方不得將數(shù)據(jù)提供給第三方。

• 第二十三條  數(shù)據(jù)處理者應當在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權限管理、人員操作等日志，并采用商用密碼技術保護日志的完整性。其中，一般數(shù)據(jù)的日志留存時間不少于六個月，涉及重要數(shù)據(jù)安全事件處置、溯源的，相關日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的，相關日志留存時間不少于三年。涉及核心數(shù)據(jù)安全事件處置、溯源的相關日志留存時間不少于三年。

•  

• 第四章  數(shù)據(jù)安全監(jiān)測預警與應急管理

•  

• 第二十四條  自然資源部按照國家相關標準和流程，組織建立自然資源領域數(shù)據(jù)安全風險監(jiān)測機制，建立自然資源領域數(shù)據(jù)安全風險監(jiān)測預警體系，劃分數(shù)據(jù)安全風險和事件等級，組織建設數(shù)據(jù)安全監(jiān)測預警技術手段，形成監(jiān)測、溯源、預警、處置等能力，與相關部門加強信息共享。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全風險監(jiān)測預警機制，劃分林草數(shù)據(jù)安全風險和事件等級，組織建設林草數(shù)據(jù)監(jiān)測預警技術手段。

• 地方行業(yè)監(jiān)管部門分別建設本地區(qū)數(shù)據(jù)安全監(jiān)測預警機制，組織開展本地區(qū)自然資源領域數(shù)據(jù)安全風險監(jiān)測，按照有關規(guī)定及時發(fā)布預警信息，通知本地區(qū)數(shù)據(jù)處理者及時采取應對措施。

• 數(shù)據(jù)處理者應當開展數(shù)據(jù)安全風險監(jiān)測，及時排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風險。

• 第二十五條  自然資源部組織指導開展自然資源領域數(shù)據(jù)安全風險評估等工作。國家林業(yè)和草原局組織指導開展林草數(shù)據(jù)安全風險評估等工作。

• 地方行業(yè)監(jiān)管部門分別負責組織開展本地區(qū)自然資源領域數(shù)據(jù)安全風險評估工作。

• 重要數(shù)據(jù)處理者應當自行或委托第三方評估機構，每年對其數(shù)據(jù)處理活動至少開展一次風險評估，及時整改風險問題，并向行業(yè)監(jiān)管部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的類別、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險、應對措施及其有效程度等。數(shù)據(jù)處理者應當保留風險評估報告至少三年。核心數(shù)據(jù)處理者優(yōu)先使用第三方評估機構開展風險評估。

• 數(shù)據(jù)處理者在組織重要數(shù)據(jù)安全風險評估時，應當對其數(shù)據(jù)查詢、下載、修改、刪除等重點操作的日志開展審計分析，發(fā)現(xiàn)違規(guī)或異常行為，應及時采取相應處置措施。

• 第二十六條  自然資源部組織建立自然資源領域數(shù)據(jù)安全風險信息通報機制，統(tǒng)一匯集、分析、研判、通報數(shù)據(jù)安全風險信息。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全風險信息通報機制。

• 地方行業(yè)監(jiān)管部門分別匯總分析本地區(qū)自然資源領域數(shù)據(jù)安全風險，根據(jù)數(shù)據(jù)安全風險的發(fā)展態(tài)勢、規(guī)模大小、關聯(lián)程度、現(xiàn)實危害等綜合研判，及時將可能造成重大及以上安全事件的風險向自然資源部報告。

• 數(shù)據(jù)處理者及時將可能造成較大及以上安全事件的風險向行業(yè)監(jiān)管部門報告。

• 第二十七條  自然資源部組織制定自然資源領域數(shù)據(jù)安全事件應急預案，組織協(xié)調重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應急處置工作。國家林業(yè)和草原局組織建立林草數(shù)據(jù)安全事件應急預案，組織協(xié)調重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應急處置工作。

• 地方行業(yè)監(jiān)管部門分別組織開展本地區(qū)自然資源領域數(shù)據(jù)安全事件應急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應當立即報自然資源部，并及時報告事件發(fā)展和處置情況。

• 數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后，應當按照應急預案，及時開展應急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時間向行業(yè)監(jiān)管部門、屬地公安部門報告，事件處置完成后在一周以內(nèi)形成總結報告。每年向行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。

• 數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權益的數(shù)據(jù)安全事件，應當及時告知用戶，并提供減輕危害措施。

•  

• 第五章  監(jiān)督檢查

•  

• 第二十八條  行業(yè)監(jiān)管部門對數(shù)據(jù)處理者落實數(shù)據(jù)分類分級保護及本辦法要求的情況進行監(jiān)督檢查。數(shù)據(jù)處理者應當對行業(yè)監(jiān)管部門監(jiān)督檢查予以配合。

• 第二十九條  在國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)一組織下，自然資源部依法配合有關部門，對影響或者可能影響國家安全的自然資源領域數(shù)據(jù)處理活動開展數(shù)據(jù)安全審查工作。

• 第三十條  數(shù)據(jù)處理者及其委托的數(shù)據(jù)安全風險評估機構工作人員對在履行職責中知悉的個人信息、商業(yè)秘密等，應當嚴格保密，不得泄露或者非法向他人提供。

•  

• 第六章  法律責任

•  

• 第三十一條  行業(yè)監(jiān)管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中，發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風險的，可以按照規(guī)定權限和程序對數(shù)據(jù)處理者進行約談，并要求采取措施進行整改，消除隱患。

• 第三十二條  對于違反有關規(guī)定的，依照《中華人民共和國數(shù)據(jù)安全法》及有關法律法規(guī)予以處理，根據(jù)情節(jié)嚴重程度給與相應行政處罰，構成犯罪的，依法追究刑事責任。

•  

• 第七章  附則

•  

• 第三十三條  開展涉及個人信息的數(shù)據(jù)處理活動，還應當遵守有關法律法規(guī)的規(guī)定。

• 第三十四條  涉及國家秘密信息或自然資源領域數(shù)據(jù)匯聚關聯(lián)后屬于國家秘密事項的數(shù)據(jù)處理活動，應當符合國家及部相關保密規(guī)定。

• 第三十五條  法律法規(guī)規(guī)定開展數(shù)據(jù)處理活動應當取得行政許可的，數(shù)據(jù)處理者應當依法取得許可。

• 第三十六條  本辦法由自然資源部負責解釋。

• 第三十七條  本辦法自印發(fā)之日起施行。