重要行业（交通运输部），数据安全管理办法征求意见！

1月14日，交通运输部发布关于公开征求关于《交通运输数据安全管理办法（征求意见稿）》公开征求意见的通知。

《交通运输数据安全管理办法（征求意见稿）》的起草说明

一、起草背景

为贯彻落实《中共中央办公厅国务院办公厅关于加快建设统一开放的交通运输市场的意见》，按照《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规，以及党中央关于加强数据安全工作的专门文件和国家数据安全工作协调机制办公室（以下简称国数办）关于数据分类分级保护、数据安全风险评估等专项制度要求，我部在参考借鉴有关部门制定的数据安全管理制度并广泛调研的基础上，研究起草了《交通运输数据安全管理办法（征求意见稿）》（以下简称《办法（征求意见稿）》）。

《办法（征求意见稿）》前期已征求中央网信办、国数办、公安部、国家数据局等部门，各省级交通运输主管部门、国家局、部内各司局、部属各单位意见，并进行了修改完善。

二、主要内容

《办法（征求意见稿）》共七章四十五条，包括总则、数据分类分级保护、数据全生命周期安全管理、数据安全风险评估、数据安全监测预警与应急处置、监督检查与责任追究、附则。

第一章，总则，共5条。明确《办法（征求意见稿）》起草的目的和依据、管理原则、职责分工等。按照中央有关规定，明确了“谁管业务，谁管业务数据，谁管数据安全”和“属地管理”的工作原则，要求实行分级管理和分工负责。同时，对交通运输部、国家局、省级交通运输主管部门和交通运输数据处理者的职责分工进行了总体界定，并细化了交通运输部数据安全主管机构、有关业务管理机构以及海事局、长航局、救捞局、船级社等的职责。

第二章，数据分类分级保护，共3条。对数据分类分级保护的工作机制、方法和级别变更等进行规定。依法将数据划分为一般数据、重要数据、核心数据三个级别，并对一般数据由高到低细分为一般3级、一般2级、一般1级三个级别。

第三章，数据全生命周期安全管理，共14条。围绕数据全生命周期安全的主线，明确安全管理的总体要求和人员机构要求，对法规规定的数据收集、存储、使用、加工、传输、提供、公开、删除等各数据处理活动环节，以及因故转移数据、委托处理和共同处理、数据跨境、人工智能数据处理、日志和记录管理等特定情形，提出相应的安全管理和技术要求。对个人信息、重要数据和核心数据的特定管理要求，在相关条款中作出规定。

第四章，数据安全风险评估，共7条。对数据安全风险评估工作进行了规范，明确开展数据安全风险评估的对象和特定情形，对第三方、风险评估报告、问题整改、个人信息保护合规审计、与其他测评工作统筹等，提出具体要求。

第五章，数据安全监测预警与应急处置，共4条。明确要求交通运输主管部门统筹开展网络和数据安全监测预警、应急处置工作，对数据安全风险监测预警与信息通报、安全事件应急处置、危害告知及处置后调查评估提出具体要求。

第六章，监督检查与责任追究，共6条。明确交通运输数据主管部门依法开展监督检查的工作职责、采取措施、行为边界等。落实《整治形式主义为基层减负若干规定》精神，要求统筹开展网络和数据安全检查工作。对违反办法规定行为的处置作出规定。

第七章，附则，共6条。对交通运输数据、数据处理者、数据处理活动、数据安全进行了定义，明确了重要数据和核心数据信息变更、删除和转移方案、风险评估报告等报告流程，以及对核心数据、涉密数据、统计工作、档案工作、个人信息的数据处理活动作了依法说明。

三、下一步工作安排

全社会公开征求意见后，进一步修改完善，按程序以行政规范性文件印发。

交通运输数据安全管理办法

（征求意见稿）

第一章 总则

第一条 为规范交通运输数据处理活动，保障数据安全，促进数据要素安全合规流通和高效开发利用，保护个人、组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本办法。

第二条 交通运输数据安全工作坚持“谁管业务，谁管业务数据，谁管数据安全”和“属地管理”原则，实行分级管理和分工负责。

第三条 鼓励和支持交通运输数据依法开放共享、授权运营和交易流通，以及相关技术、产品、服务创新，实现以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

第四条 在国家数据安全工作协调机制统筹协调下，交通运输部负责综合交通运输和公路、水路领域数据安全管理工作，国家铁路局、中国民用航空局、国家邮政局按职责分别负责铁路、民航、邮政领域数据安全管理工作。

交通运输部数据安全主管机构负责综合交通运输和公路、水路领域数据安全监管，组织制修订数据安全相关政策制度和标准。交通运输部有关业务管理机构按职责负责本业务领域数据安全监管。交通运输部海事局、长江航务管理局、救助打捞局和中国船级社负责本系统数据安全监管。

省级交通运输主管部门负责对本地区交通运输数据处理活动和安全保护进行监管，指导市、县级交通运输主管部门开展数据安全管理工作，配合交通运输部和同级网信、公安、国家安全、数据管理等部门开展相关工作。

第五条 交通运输数据处理者承担数据安全主体责任，履行数据安全保护义务，加强数据全生命周期安全保护，建立健全管理制度，采取技术措施和其他必要措施，保护数据免遭篡改、破坏、泄露或者非法获取、非法利用。

第二章 数据分类分级保护

第六条 交通运输部组织制定综合交通运输和公路、水路领域数据分类分级保护制度和标准，指导开展数据分类分级保护工作，制定行业重要数据目录，并向国家数据安全工作协调机制提出核心数据目录建议，加强目录的动态管理。

省级交通运输主管部门组织开展本地区数据分类分级保护工作，并向交通运输部报送重要数据识别情况。

交通运输数据处理者应当建立健全数据分类分级保护操作规程，开展数据分类分级保护工作，定期更新数据目录，按国家、行业有关规定识别、申报重要数据。对确认为重要数据的，交通运输主管部门应当及时向交通运输数据处理者告知或发布。

第七条 根据数据的规模、精度、深度和在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用所危害的对象、危害的程度，进行综合研判，将交通运输数据划分为一般数据、重要数据、核心数据三个级别。

一般数据是指规模较小、精度较低，遭到篡改、破坏、泄露，仅危害个人、组织合法权益的数据，以及其他未纳入重要数据、核心数据目录的数据。一般数据从高到低分为一般3级数据、一般2级数据和一般1级数据。

重要数据是指特定领域、群体、区域或者达到一定规模、精度和深度，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响组织自身或公民个人的数据，一般不作为重要数据。

核心数据是指特定领域、群体、区域具有较大规模、较高精度、一定深度，一旦被非法使用或者共享，可能直接影响政治安全的重要数据，主要包括关系国家安全重点领域、国民经济命脉、重要民生和重大公共利益的数据。

第八条 数据内容、数据规模、数据时效性、数据应用场景、数据加工处理方式等发生变化，或因国家有关要求，导致原定级别不再适用的，交通运输数据处理者应当及时变更数据级别。

涉及重要数据和核心数据级别变更的，应当参照本办法第六条的要求重新开展数据分类分级工作。涉及重要数据和核心数据其他信息变更的，应当在30个工作日内报告。

第三章 数据全生命周期安全管理

第九条 交通运输数据处理者应当建立健全数据全生命周期安全管理制度，明确内部登记、审批等工作流程，制定数据处理活动操作规程，合理确定数据处理活动的操作权限，根据数据级别采取差异化的安全保护措施。不同级别数据同时被处理且难以分别采取保护措施的，按照其中级别最高的要求实施保护。

重要数据处理者应当加强数据处理活动的全过程监测，及时识别并处置数据安全风险。核心数据处理者应当在重要数据保护要求的基础上，实行更加严格的管理。

第十条 交通运输数据处理者根据需要配备数据安全管理人员，加强对从业人员数据安全知识和技能教育培训。

重要数据处理者应当明确数据安全负责人和数据安全管理机构，定期开展宣传教育培训。数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者管理层成员担任，有权直接向有关交通运输主管部门报告数据安全情况。

核心数据处理者应当对数据安全负责人和关键岗位人员、核心数据信息系统建设和运维单位等进行安全背景审查。

第十一条 交通运输数据处理者应当按照“合法、正当、必要”原则开展数据收集，不得窃取或者以其他非法方式收集数据。涉及收集个人信息的，明确告知收集和使用规则，并取得个人同意。涉及收集敏感个人信息的，还应取得个人单独同意。依照法律法规有关规定可以不向个人告知、不需取得个人同意的除外。

加强对收集数据的范围、来源、方式、时间、类型、数量、频度、流向等信息的记录和留存，保障收集过程可追溯。通过间接途径收集数据的，应当确保数据来源合法、真实可信，保证数据的完整性和可用性。使用自动化工具访问、收集数据的，应当确保不造成网络服务影响。

第十二条 交通运输数据处理者应当根据业务需求确定数据存储方式和保存期限。交通运输主管部门处理的个人信息，关键信息基础设施运营者在我国境内运营中收集、产生的个人信息和重要数据，以及有关法律法规明确要求在境内存储的个人信息和重要数据，应当在境内存储。

存储重要数据的信息系统应当至少满足网络安全等级保护第三级要求，存储核心数据的信息系统应当至少满足网络安全等级保护第四级要求或者关键信息基础设施安全保护要求，并优先使用安全可信的产品和服务。一般数据、重要数据和核心数据存储应当分别采取相应的保护措施，其中，重要数据和核心数据应使用商用密码技术保障安全。涉及使用云计算服务存储重要数据的，宜选择通过安全评估的云计算服务。

交通运输数据处理者应当加强数据存储、备份介质管理，定期进行数据备份。重要数据和核心数据应当实施容灾备份，定期开展数据恢复测试和灾难恢复演练，保证存储数据的安全性和可用性。

第十三条 交通运输数据处理者应当按照数据级别采取访问控制、数据防泄露、数据脱敏、操作审计等保护措施，确保数据使用和加工过程安全、合规、可控、可溯源，防范数据关联挖掘分析过程中有价值信息和个人隐私泄露等安全风险。

使用和加工重要数据和核心数据的，应当实施严格的访问控制，使用商用密码技术，建立健全数据可信可控、日志留存审计、风险监测评估、数据溯源等技术体系。

第十四条 交通运输数据处理者应当根据数据类型、数据级别和应用场景等制定数据传输安全策略并采取必要的保护措施，保障数据传输安全。

传输一般3级数据、重要数据和核心数据的，应当采取校验技术、商用密码技术、安全传输通道或者安全传输协议等保护措施。

第十五条 交通运输数据处理者在数据交换、共享、授权运营等过程中，应当明确数据提供的范围、方式、条件、程序等，确保提供的数据仅限于数据接收方实现最小范围数据处理目的，并按照相同数据级别进行保护。

提供重要数据和核心数据的，应当核验数据接收方的数据安全保护能力，通过签订合同或者协议等方式，约定数据处理的目的、方式、范围等，明确数据接收方的数据安全保护义务和相应保护措施，强化数据接收方履行约定义务情况监督，发现不按约定履行的立即停止数据提供。

提供数据涉及敏感信息的，应当进行必要的脱敏处理。

第十六条 【数据公开】交通运输主管部门应当遵守公正、公平、便民的原则，按照有关规定在官方发布渠道及时、准确公开交通运输政务数据。法律法规禁止公开的，以及公开后对国家安全、公共安全、经济安全、社会稳定产生重大影响的除外。

交通运输数据处理者不得公开其处理的个人信息，取得个人单独同意的除外。

第十七条 交通运输数据处理者应当建立数据删除制度，明确删除对象、规则、流程和技术等要求，对删除活动进行记录和留存。应当采用信息清除等技术措施，确保数据删除后不可恢复。数据删除从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的数据处理活动。

法律法规规定应主动删除的个人信息、个人请求删除的个人信息，以及合同或协议约定删除的数据，交通运输数据处理者应当删除相应数据。

删除重要数据和核心数据应当在操作前制定数据删除方案，评估可能存在的风险，并提前报告。

第十八条 交通运输数据处理者因合并、分立、解散、破产等原因需要转移数据的，应当明确数据转移方案，通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务。涉及个人信息的，应当向个人告知数据接收方的名称或姓名及联系方式。

涉及1000万人以上个人信息、重要数据和核心数据的，应当提前报告数据转移方案以及接收方名称或姓名、联系方式等。数据转移应当采用安全可控方式进行，并确保转移过程可追溯。

第十九条 交通运输数据处理者委托他人处理、与他人共同处理数据的，数据安全责任不因委托而改变，应当通过签订合同或协议等方式，明确委托方与数据接收方的数据安全责任和义务。未经委托方正式同意，数据接收方不得向他人提供数据，不得加工、训练、挪用数据，不得对数据进行关联分析。

委托处理重要数据和核心数据的，应当实施严格的访问控制，并对数据接收方的数据安全保护能力、资质进行核实或评估。

第二十条 交通运输数据处理者向境外提供数据，应当遵守国家数据跨境安全管理有关规定，履行数据安全保护义务，按要求向网信部门申报数据出境安全评估，并采取技术措施和其他必要措施，保障数据跨境安全。不得对业务数据采取拆分、转换等手段规避相关义务。向境外提供个人信息的，应当按照法律法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

第二十一条 交通运输数据处理者利用人工智能技术开展数据处理活动，应当在模型算法投入使用前，评估语料库、训练数据及算法的合理性、正当性、可解释性以及数据利用对相关主体合法权益的影响、伦理风险和防控措施有效性，保证数据处理安全合理、公平透明。

提供生成式人工智能服务的，应当依法开展训练数据处理活动，加强训练数据安全管理，强化数据标注安全和质量监管。

第二十二条 交通运输数据处理者应当在数据全生命周期处理过程中，留存数据处理、权限管理、人员操作等网络日志，确保日志完整可用，并纳入业务数据分类分级管理，满足风险溯源和事件处置需要。

网络日志留存时间不少于6个月，政务应用系统访问日志、数据库操作日志留存时间不少于1年。重要数据安全事件相关日志留存时间不少于1年，核心数据安全事件相关日志留存时间不少于3年。

向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录，应当至少保存3年。

第四章 数据安全风险评估

第二十三条 交通运输重要数据、核心数据处理者和1000万人以上个人信息处理者，应当每年自行或委托第三方开展风险评估，并报送风险评估报告。

大型网络平台运营者、赴境外上市的数据处理者，按照有关规定开展数据安全风险评估。

第二十四条 存在下列情形之一的，交通运输数据处理者应自行或委托第三方开展数据安全风险评估：

（一）发生重大数据安全事件或被通报存在重大数据安全风险。

（二）重要数据处理者提供、委托处理、共同处理重要数据，履行法定职责或者义务的除外。

（三）重要数据处理者出现合并、分立、解散等重大变化，承载重要数据的信息系统发生重大变更。

（四）开展数据共享、交易、授权运营，以及向境外提供数据等高风险数据处理活动。

（五）法律法规、部门规章、强制性标准等要求，以及可能危害国家安全、公共利益或严重危害个人、组织合法权益的情形。

第二十五条 开展数据安全风险评估的第三方应当为国家有关部门认定的网络安全等级保护测评、个人信息保护影响评估、数据安全服务能力评定、数据安全能力成熟度认证或信息安全风险评估等专业检测评估机构，或符合国家有关规定的其他机构。

第二十六条 数据安全风险评估报告应当符合有关法律法规以及国家、行业标准的要求，反映交通运输数据处理者在数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面的合规性，明确风险隐患及处置建议，可作为交通运输主管部门数据安全监督检查依据。

第二十七条 交通运输数据处理者应当及时整改风险评估发现的问题，消除风险隐患。

风险评估中发现重大数据安全风险、事件或特殊紧急情况的，重要数据和核心数据处理者应当及时报告。

第二十八条 交通运输个人信息处理者应当按规定定期自行或者委托专业机构开展个人信息保护合规审计。

第二十九条 数据安全风险评估、网络安全等级保护测评、关键信息基础设施安全保护、商用密码保护中涉及数据安全内容重合的，结果可互相采信，避免重复评估。

第五章 数据安全监测预警与应急处置

第三十条 交通运输部统筹建立交通运输行业网络和数据安全风险监测预警与信息通报工作机制，省级交通运输主管部门建立本地区工作机制，加强与网信、公安、国家安全、数据管理等部门的信息共享。

交通运输数据处理者应当建立本单位数据安全风险监测机制，及时发现、处置、报告安全风险和事件。

根据交通运输数据安全事件对国家安全、社会秩序、经济建设、公众利益等造成的影响范围和危害程度，将交通运输数据安全事件分为特别重大、重大、较大和一般4个等级。

第三十一条 交通运输部统筹制定部网络和数据安全事件应急预案，组织开展行业数据安全应急演练，组织协调重大及以上数据安全事件应急处置工作，指导开展较大数据安全事件应急处置工作。

省级交通运输主管部门结合实际，统筹制定本地区交通运输网络和数据安全事件应急预案，组织开展本地区数据安全应急演练和事件处置工作。涉及较大及以上数据安全事件的，应当及时上报交通运输部。

交通运输数据处理者应当加强数据安全事件应急管理，制定应急预案，定期开展应急演练。重要数据和核心数据处理者应当每年开展数据安全应急演练。数据安全事件发生后，按等级启动应急预案，并按要求向交通运输主管部门及时报告。

第三十二条 对个人、组织合法权益造成危害的数据安全事件，交通运输数据处理者应当及时通知利害关系人。交通运输数据处理者在处置数据安全事件过程中发现涉嫌违法犯罪线索的，应当按照规定向公安机关、国家安全机关报案，并配合开展侦查、调查和处置工作。

第三十三条 交通运输数据处理者应当在数据安全事件处置结束后，调查评估事件的起因、性质、影响、责任等，提出改进措施并落实。

涉及较大及以上数据安全事件，省级及以上交通运输主管部门按职责开展事件调查评估。

第六章 监督检查与责任追究

第三十四条 交通运输主管部门定期组织开展数据安全风险评估，对交通运输数据处理者履行数据安全保护义务情况进行监督检查，指导督促交通运输数据处理者及时整改风险隐患。

第三十五条 交通运输主管部门可以采取下列措施对数据安全进行监督检查：

（一）要求交通运输数据处理者及其相关人员就监督检查事项作出说明；

（二）查阅、复制与数据安全有关的文件、记录；

（三）检查数据安全措施运行情况；

（四）检查与数据处理活动有关的设备、物品；

（五）法律法规规定的其他必要措施。

交通运输数据处理者应当对交通运输主管部门和有关部门依法开展的数据安全监督检查予以配合。

第三十六条 交通运输主管部门开展数据安全监督检查，应当客观公正，不得向被检查单位收取费用。

交通运输主管部门在数据安全监督检查中不得访问、收集与数据安全无关的业务信息，获取的信息只能用于维护数据安全的需要，不得用于其他用途。

交通运输主管部门发现交通运输数据处理者的数据处理活动存在较大安全风险的，可以按照规定的权限和程序，要求交通运输数据处理者暂停相关服务、完善技术措施等，消除数据安全隐患。

第三十七条 交通运输主管部门在开展数据安全监督检查时，应当加强与有关部门的协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查。

第三十八条 交通运输主管部门及其工作人员在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或非法向他人提供。

第三十九条 对违反本办法规定的，由交通运输主管部门责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌违法犯罪的，按规定向有关部门报告。

第七章 附则

第四十条 本办法下列用语的含义：

（一）交通运输数据，是指任何以电子或者其他方式对交通运输建设、运营、服务、管理等过程中所处理信息的记录。

（二）交通运输数据处理者，是指在交通运输数据处理活动中自主决定处理目的和处理方式的各类主体。

（三）交通运输数据处理活动，是指交通运输数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。

（四）交通运输数据安全，是指通过采取必要措施，对交通运输数据处理活动进行管理与控制，确保交通运输数据始终处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四十一条 本办法第八条、第十七条、第十八条、第二十三条、第二十七条涉及的报告、报送情形，数据处理者应向属地省级交通运输主管部门报告，由省级交通运输主管部门报至交通运输部。部属单位、有关中央交通运输企业向交通运输部报告。

第四十二条 开展核心数据以及涉及国家秘密、工作秘密的数据处理活动，按照国家有关规定执行。

在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律法规的规定。

第四十三条 在国家数据安全工作协调机制统筹下，国家铁路局、中国民用航空局、国家邮政局依职责制定铁路、民航、邮政领域数据安全管理制度。

第四十四条 本办法由交通运输部负责解释。

第四十五条 本办法自2026年 月 日起实施。