日韩国产精品久久久亚洲,久久亚洲国产精品综合,婷婷久久一区二区字幕网址你懂得,在线最新av免费费观看 ,国产一区二区三区四区视频,日本A片大尺度高潮无码电影,日本无码一二三区别免费,久久九九AV免费精品,日韩人妻少妇一区二区三区,中文字幕精品亚洲字幕资源网

安全管理網

點擊數:   更新日期:2026年07月14日

交通運輸數據安全管理辦法

發 文 號:交科技規〔2026〕3號
發布單位:交通運輸部
發布日期:2026-06-18
實施日期:2026-07-01

各省、自治區、直轄市、新疆生產建設兵團及計劃單列市交通運輸廳(局、委),國家鐵路局、中國民用航空局、國家郵政局,中國遠洋海運集團有限公司、招商局集團有限公司、中國交通建設集團有限公司,公路水路關鍵信息基礎設施運營者、重要數據處理者,部屬各單位、部內各司局:

現將《交通運輸數據安全管理辦法》印發給你們,請認真貫徹執行。

交通運輸部

2026年6月18日

(此件公開發布)

交通運輸數據安全管理辦法

第一章 總則

第一條?為規范交通運輸數據處理活動,保障數據安全,保護個人、組織的合法權益,維護國家安全和公共利益,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規,制定本辦法。

第二條?交通運輸數據安全工作堅持“誰管業務,誰管業務數據,誰管數據安全”和“屬地管理”原則,實行分級管理和分工負責。

第三條?在國家數據安全工作協調機制統籌協調下,交通運輸部負責綜合交通運輸和公路、水路領域數據安全管理工作,國家鐵路局、中國民用航空局、國家郵政局按職責分別負責鐵路、民航、郵政領域數據安全管理工作。

交通運輸部數據安全主管機構負責綜合交通運輸和公路、水路領域數據安全監管,組織制定數據安全相關政策制度和標準。交通運輸部業務管理機構按職責負責本業務領域數據安全監管。交通運輸部海事局、長江航務管理局、救助打撈局和中國船級社負責本系統數據安全監管。

省級交通運輸主管部門負責對本地區交通運輸數據處理活動和安全保護進行監管,指導市、縣級交通運輸主管部門開展數據安全管理工作,配合交通運輸部和同級網信、公安、國家安全、數據管理等部門開展相關工作。

第四條?交通運輸數據處理者(以下簡稱數據處理者)承擔數據安全主體責任,履行數據安全保護義務,加強數據全生命周期安全保護,建立健全管理制度,采取技術措施和其他必要措施,保護數據免遭篡改、破壞、泄露或者非法獲取、非法利用。

第五條?鼓勵和支持交通運輸數據依法開放共享、授權運營和交易流通,以及相關技術、產品、服務創新,促進數據要素安全合規流通和高效開發利用。

第二章 數據分類分級保護

第六條?交通運輸部指導開展綜合交通運輸和公路、水路領域數據分類分級保護工作,確定行業重要數據目錄,提出核心數據目錄建議,加強目錄動態管理。

省級交通運輸主管部門組織開展本地區數據分類分級保護工作,并向交通運輸部報送重要數據識別情況。

數據處理者應當建立數據分類分級保護規程,開展數據分類分級保護工作,定期更新數據目錄,按規定識別、申報重要數據。對確認為重要數據的,交通運輸主管部門應當及時向數據處理者告知或發布。

第七條?根據數據在經濟社會發展和交通運輸運行中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將交通運輸數據劃為核心數據、重要數據、一般數據三個級別。其中,一般數據從高到低分為一般3級數據、一般2級數據和一般1級數據。

第八條?數據內容、規模、時效性、應用場景、加工處理方式等發生變化,或因國家有關要求,導致原定級別不再適用的,數據處理者應當及時變更數據級別。

涉及重要數據和核心數據級別變更的,應當按規定重新開展數據分類分級工作。涉及重要數據和核心數據信息變更的,應當在30日內報告。

第三章 數據全生命周期安全管理

第九條?數據處理者應當建立健全數據全生命周期安全管理制度,明確登記、審批、處理、操作等規程和權限,根據數據級別采取就高從嚴的安全保護措施。

重要數據、核心數據處理者應當加強數據處理活動全過程監測預警和處置,采取商用密碼技術保障數據全生命周期安全。

第十條?數據處理者應當加強對從業人員數據安全知識和技能教育培訓,根據需要配備數據安全管理人員。

重要數據處理者應當按規定明確數據安全負責人和數據安全管理機構。數據安全負責人應當由數據處理者管理層成員擔任,有權直接向有關交通運輸主管部門報告數據安全情況。

核心數據處理者應當對數據安全負責人和關鍵崗位人員、核心數據信息系統建設和運維單位等進行安全背景審查。

第十一條?數據處理者應當按照合法、正當、必要原則開展數據收集,不得竊取或者以其他非法方式收集數據。涉及收集個人信息的,明確告知收集和使用規則,并取得個人同意。涉及收集敏感個人信息的,還應取得個人單獨同意。依照法律法規有關規定可以不向個人告知、不需取得個人同意的除外。

通過間接途徑收集數據的,應當確保數據來源合法、真實可信,保證數據的完整性和可用性。使用自動化工具訪問、收集數據的,應當確保不造成網絡服務影響。

第十二條?數據處理者應當根據業務需求和數據級別確定數據存儲方式、保存期限以及保護措施。交通運輸主管部門處理的個人信息,關鍵信息基礎設施運營者在我國境內運營中收集、產生以及有關法律法規明確要求的個人信息和重要數據,應當在境內存儲。

信息系統存儲重要數據的應當至少滿足網絡安全等級保護第三級要求,存儲核心數據的應當至少滿足第四級要求或者關鍵信息基礎設施安全保護要求,并優先使用安全可信的產品和服務。涉及使用云計算服務存儲重要數據的,應當選擇通過安全評估的云計算服務。

數據處理者應當加強數據存儲、備份介質管理,定期進行數據備份。重要數據和核心數據應當實施容災備份,定期開展數據恢復測試和災難恢復演練。

第十三條?數據處理者應當按照數據級別采取訪問控制、數據脫敏加密、操作審計等保護措施,確保數據使用和加工過程安全、合規、可控、可溯源。

使用和加工重要數據和核心數據的,應當實施嚴格的訪問控制,建立健全數據可信可控、日志留存審計、風險監測評估、數據溯源等技術體系。

第十四條?數據處理者應當根據數據類型、數據級別和應用場景等制定數據傳輸安全策略并采取必要的保護措施。

傳輸一般3級數據、重要數據和核心數據的,應當采取校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等保護措施。

第十五條?數據處理者在交換共享、授權運營等數據提供過程中,應當按照最小必要原則向數據接收方提供所需數據。提供數據涉及敏感信息的,應當進行必要的脫敏處理。

提供個人信息、重要數據和核心數據的,應當核驗數據接收方的數據安全保護能力,通過簽訂合同或協議等方式,約定數據處理的目的、方式、范圍等,明確數據接收方的保護義務和措施,強化履約監督,發現不按約定履行的立即停止數據提供。

第十六條?交通運輸主管部門按規定及時、準確地公開政務數據。依法不予公開的除外。

數據處理者應當加強開源數據安全管理,規范公路、水路視頻圖像和科學數據公開管理。

數據處理者不得公開其處理的個人信息,取得個人單獨同意的除外。

第十七條?數據處理者應當建立數據刪除制度,對刪除活動進行記錄和留存,采用信息清除技術確保數據刪除后不可恢復。數據刪除從技術上難以實現的,應當停止除存儲和采取必要的安全保護措施之外的處理。

法律法規規定應主動刪除、個人請求刪除的個人信息,以及合同或協議約定刪除的數據,數據處理者應當依法刪除。

刪除重要數據和核心數據應當在操作前制定數據刪除方案,評估可能存在的風險,并提前報告。

第十八條?數據處理者因合并、分立、解散、破產等原因需要轉移數據的,應當明確數據轉移方案,通過協議、承諾等方式約定數據接收方全面承接對應數據的安全保護義務。涉及個人信息的,應當向個人告知數據接收方名稱或者姓名和聯系方式。

涉及重要數據、核心數據和1000萬人以上個人信息的,應當提前報告數據轉移方案、接收方名稱或者姓名和聯系方式等。數據轉移應當采用安全可控方式,確保過程可追溯。

第十九條?數據處理者委托他人處理、與他人共同處理數據的,數據安全責任不因委托而改變,應當通過簽訂合同或協議等方式,明確雙方數據安全責任和義務。未經委托方同意,數據接收方不得向他人提供數據,不得加工、訓練、挪用數據,不得開展數據關聯分析。

委托處理重要數據和核心數據的,還應當核實或評估數據接收方的數據安全保護能力和資質。

第二十條?數據處理者向境外提供數據,應當遵守國家數據跨境安全管理有關規定,履行數據安全保護義務,并采取技術措施和其他必要措施,保障數據跨境安全。不得采取數據拆分等手段規避相關義務。向境外提供個人信息的,應當按規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。

第二十一條?利用人工智能技術開展數據處理活動,數據處理者應當在模型算法投入使用前,評估語料庫、訓練數據及算法的合理性、正當性、可解釋性,以及數據利用對相關主體合法權益的影響、倫理風險和防控措施有效性。

強化人工智能生成數據及人工智能產品的安全管理,按照生成數據及數據處理結果對應的分類分級,嚴格落實相應的數據安全管理要求。

提供生成式人工智能服務的,應當加強訓練數據和訓練數據處理活動的安全管理,強化數據標注質量評估。

第二十二條?數據處理者應當留存數據全生命周期的數據處理、權限管理、人員操作等網絡日志,并開展分類分級管理,滿足風險溯源和事件處置需要。

網絡日志留存時間不少于6個月。政務應用系統訪問、數據庫操作以及重要數據安全事件相關日志留存時間不少于1年。核心數據安全事件相關日志,向其他數據處理者提供、委托處理、共同處理個人信息和重要數據的處理情況記錄,留存時間不少于3年。

第四章 數據安全風險評估

第二十三條?重要數據、核心數據處理者和1000萬人以上個人信息處理者,應當每年開展數據安全風險評估(以下簡稱風險評估),并報送風險評估報告。

鼓勵一般數據處理者至少每3年開展1次風險評估。

大型網絡平臺運營者按照有關規定開展風險評估。

第二十四條?存在下列情形之一的,數據處理者應開展風險評估:

(一)發生重大數據安全事件或被通報存在重大數據安全風險。

(二)提供、委托處理、共同處理重要數據,履行法定職責或者義務的除外。

(三)重要數據處理者出現合并、分立、解散等重大變化,承載重要數據的信息系統發生重大變更。

(四)向境外提供數據等高風險數據處理活動。

(五)其他可能危害國家安全、公共利益或嚴重危害個人、組織合法權益的情形。

第二十五條?數據處理者可自行或委托第三方開展風險評估,第三方應當為國家有關部門認定的專業檢測評估機構,或符合國家有關規定的其他機構。

第二十六條?風險評估報告應當符合有關規定,至少保存3年,可作為交通運輸主管部門數據安全監督檢查依據。

第二十七條?數據處理者應當及時整改風險評估發現的問題,消除風險隱患。

風險評估中發現重大數據安全風險、事件或特殊緊急情況的,重要數據和核心數據處理者應當及時報告。

第二十八條?交通運輸個人信息處理者應當按規定定期自行或者委托專業機構開展個人信息保護合規審計。

第五章 數據安全監測預警與應急處置

第二十九條?交通運輸部統籌建立行業網絡和數據安全風險監測預警與信息通報工作機制,省級交通運輸主管部門建立本地區工作機制,加強與網信、公安、國家安全、數據管理等部門的信息共享。

數據處理者應當建立數據安全風險監測機制,及時發現、處置、報告安全風險和事件。

根據對國家安全、社會秩序、經濟建設、公眾利益等造成的影響范圍和危害程度,將交通運輸數據安全事件分為特別重大、重大、較大和一般4個等級。

第三十條?交通運輸主管部門、數據處理者應當制定數據安全事件應急預案,加強預警響應和應急聯動,定期組織開展應急演練。重要數據和核心數據處理者應當每年開展應急演練。

第三十一條?對個人、組織合法權益造成危害的數據安全事件,數據處理者應當及時通知利害關系人,發現涉嫌違法犯罪線索的,應當按規定向公安機關、國家安全機關報案,并配合開展偵查、調查和處置工作。

第三十二條?數據處理者應當在數據安全事件處置結束后,完成事件的調查評估,提出改進措施并落實。

第六章 監督檢查與責任追究

第三十三條?交通運輸主管部門定期組織開展風險評估,依法開展數據安全檢查,指導監督數據處理者履行數據安全保護義務。數據處理者應當予以配合,及時整改風險隱患。

第三十四條?交通運輸主管部門開展數據安全監督檢查,應當客觀公正,不得向被檢查單位收取費用,不得訪問、收集與數據安全無關的業務信息,獲取的信息應當依法予以保密,只能用于維護數據安全的需要,不得用于其他用途。

發現數據處理活動存在較大安全風險的,可以按規定的權限和程序,要求數據處理者暫停相關服務、完善技術措施等,消除數據安全隱患。

第三十五條?交通運輸主管部門在開展數據安全監督檢查時,應當加強協同配合、信息溝通,合理確定檢查頻次和檢查方式,避免不必要的檢查和交叉重復檢查。

第三十六條?風險評估、網絡安全等級測評、關鍵信息基礎設施安全檢查、商用密碼應用安全性評估中涉及數據安全內容重合的,結果可互相采信。

第三十七條?違反本辦法規定的,由交通運輸主管部門責令改正,對直接負責的主管人員和其他直接責任人員依法給予處分或處罰。涉嫌違法犯罪的,按規定向有關部門報告。

第七章 附則

第三十八條?本辦法第八條、第十七條、第十八條、第二十三條、第二十七條涉及的報告、報送情形,應當由省級交通運輸主管部門審核后,報至交通運輸部。部屬單位、中央交通運輸企業可直接報至交通運輸部。

第三十九條?開展核心數據以及涉及國家秘密、工作秘密的數據處理活動,按照國家有關規定執行。

第四十條?本辦法由交通運輸部負責解釋。

第四十一條?本辦法自2026年7月1日起實施。


網友評論 more
創想安科網站簡介會員服務廣告服務業務合作提交需求會員中心在線投稿版權聲明安全生產舉報聯系我們