贵阳市第十四届人大常委会第八次会议对《贵阳市大数据安全管理条例(草案)》进行了初次审议,现将草案文本在贵州日报、贵阳日报、贵州都市报、贵阳晚报、贵阳人大网(www.gysrd.gov.cn)、“中国·贵阳”政府门户网站(www.gygov.gov.cn)等公布,征求社会公众的意见和建议。恳请提出宝贵意见和建议,于2018年4月8日前通过来电、来信、传真、电子邮件或者登录贵阳人大网提交。
电话:87987388 传真:0851-87988683
联系人:张洪 张仙
电子邮箱:gysrdfzw@163.com
通讯地址:(观山湖区:市级行政中心)贵阳市人大常委会法制工作委员会
邮政编码:550081
贵阳市人大常委会办公厅
2018年3月8日
关于《贵阳市大数据安全管理条例(草案)》公开征求意见的公告
第一章 总则
第一条为了维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,加强数据安全管理,促进大数据发展应用,推动实施大数据战略,根据《中华人民共和国网络安全法》等法律法规的规定,结合本市实际,制定本条例。
第二条 本条例适用于本市行政区域内大数据发展应用中数据的安全规范和监督管理以及相关活动。
涉及国家秘密的数据安全保护工作,按照有关保密法律法规的规定执行。
本条例所称数据安全,是指在大数据发展应用中,数据的所有者、管理者、使用者和服务提供者(以下简称数据安全责任单位)采取安全保护策略和措施,防范数据被攻击、泄漏、窃取、篡改、非法使用的能力、状态和行动。
本条例所称数据,是指网络数据,即通过网络收集、存储、传输、处理和产生的各种电子数据。
第三条 实施数据安全管理,应当遵循政府主导、保护创新、审慎监管、权责统一、预防和控制风险的原则。
第四条 市人民政府统一领导本市数据安全管理工作。区(市、县)人民政府领导本辖区数据安全管理工作。
第五条市网信部门负责综合协调全市数据安全监督管理工作,统筹组织开展全市关键信息基础设施监管和数据安全责任单位自查、检查督促、问题整改等工作。区(市、县)网信部门按照职责负责综合协调本辖区数据安全监督管理工作。
市公安机关负责开展数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。区(市、县)公安机关按照职责负责本辖区数据安全监督管理工作。
市大数据主管部门统筹协调本市数据安全保障体系建设,区(市、县)大数据主管部门按照职责负责本辖区数据安全管理的相关工作。
保密、国家安全、电信等有关部门按照各自职责,做好数据安全管理的相关工作。
第六条 数据安全责任单位应当加强数据服务安全能力建设,履行数据安全责任义务,接受有关部门监督管理和社会监督。
第七条 公安、大数据等有关部门应当建立数据安全管理诚信档案,记录违法失信行为,纳入统一的信用共享平台管理。
第八条县级以上人民政府以及网信、公安、大数据等有关部门和数据安全责任单位、大众传播媒介,应当做好数据安全宣传、教育和培训工作。
第九条标准化、网信、大数据、公安、工业和信息化等有关部门应当加强数据安全的国家标准、行业标准和地方标准的宣传、培训,引导、鼓励数据安全责任单位采用数据安全国家推荐标准、行业标准和地方标准。
鼓励支持教育、科研机构和企业参与数据安全的国家标准、行业标准和地方标准的研究、制定。
鼓励数据安全责任单位运用区块链等技术手段,优化数据聚通用架构,强化防篡改和去中心化设计,提高数据安全防护能力和水平。
第十条 市人民政府应当建立统一的数据安全投诉举报平台。任何单位和个人都有权投诉举报危害数据安全的行为。
第二章 安全保障
第十一条 市大数据主管部门应当组织编制数据安全保障规划,按照规定报市人民政府批准后组织实施。
大数据主管部门应当配合制定数据安全保护标准体系,组织指导数据资源分类分级、数据安全能力成熟度认定和数字认证等相关工作。
第十二条大数据安全责任单位应当根据职责明确、意图合规、质量保障、数据最小化、最小授权操作、分类分级保护、可审计和责任不随数据转移的原则,采取有效措施保护数据的保密性、完整性、真实性、可用性、可靠性和可核查性。
第十三条 数据安全责任单位的法定代表人或者主要负责人是本单位数据安全的第一责任人。
数据安全责任单位应当根据数据的生命周期、规模、重要性和本单位的规模等因素,建立数据安全管理内控制度,明确和落实不同岗位的数据安全管理职责;必要时成立安全管理团队负责数据安全管理工作。
第十四条数据安全责任单位应当按照数据安全等级保护要求进行数据系统的安全功能配置,制定实施系统配置技术管理规程、软件采购使用限制策略和外部组件使用安全策略,规定配置管理的审批、操作流程,提供符合规范标准的系统补丁、密钥管理与服务,定期变更受控配置,并对数据系统的病毒库、入侵检测规则库、防火墙规则库、漏洞库等与数据安全相关的重要配置进行更新。
第十五条数据责任单位应当建立数据安全审计制度,规定审计工作流程,记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程,定期进行安全审计分析。
数据责任单位应当制定完善访问控制策略,采取授权访问、身份认证等技术措施,防止未经授权查询、复制、修改或者传输数据。
第十六条数据安全责任单位应当根据数据类型、级别、敏感程度以及数据安全能力成熟度等要求,制定安全规则、管理规范和操作规程,采取相应的安全管理策略、管理措施和技术手段,对工具、服务组件等实施有效管理,对个人信息和重要数据实行加密等安全保护。
数据安全责任单位应当建立数据脱敏脱密处理机制,对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。
第十七条 存储数据,应当选择安全性能、防护级别与数据安全等级相匹配的存储载体,并且依法进行管理和维护。
第十八条 数据不需要继续用于既定目的或者继续存储将妨碍数据主体合法权益的,数据安全责任单位应当立即销毁。
销毁数据,应当按照数据分类分级建立审批机制,明确销毁对象、流程、方式、方法和技术等要求,设置相关监督角色,以不可逆方式销毁数据内容。
第十九条数据安全责任单位服务外包业务涉及收集、存储、传输或者应用数据的,应当与外包服务提供商签订安全保护协议,采取安全保护措施,并且对导出、复制、销毁数据等行为进行监督。
第二十条数据安全责任单位应用和处理数据,可能产生涉敏涉密数据的,应当依法自行或者委托符合条件的机构进行安全风险评估。
第二十一条 市人民政府应当建立联席会议制度,研究、解决数据安全工作的重大事项、重点工作和重要问题。
县级以上人民政府应当整合数据安全防范、保障等资源,建立重点领域工作联动、会商、约谈、通报、巡查等机制,统筹有关职能部门履行数据安全监督管理职责,防范安全风险,提升安全保护水平。
第二十二条市公安机关应当做好数据安全投诉举报平台的运行、维护和管理工作,公布投诉、举报方式等信息,按照规定时限登记、处理和回复投诉举报信息;对不属于本部门职责的,移送有关部门处理。有关部门处理后,应当按照规定时限反馈市公安机关。
数据安全责任单位应当建立数据安全举报投诉制度,公布投诉、举报方式等信息,接受和处理用户及相关利害关系人的举报投诉。
第二十三条市人民政府应当加强大数据安全城市建设,建立大数据安全靶场和产品检验场地,对大数据安全新技术、新产品、新应用进行测试检验,定期开展攻防演练。
第二十四条县级以上人民政府应当采取资金扶持、开设绿色通道等措施,支持数据安全技术产业、项目和数据安全技术、管理方式的研究开发、创新应用。
鼓励企业、科研机构、高等院校、职业学校和相关行业组织根据市级以上人民政府明确的优惠、便利政策措施,建立教育实践和培训基地,开设相关专业课程,多形式培养、引进和使用大数据安全人才。
第二十五条县级以上人民政府以及有关部门应当通过报刊杂志、电台电视台、门户网站、政府微信微博等途径,运用数据安全周、主题日、专题会、研讨班、应用场景展示、竞赛等形式,经常性地对数据安全重点领域、重点行业、重点单位、重点人群等组织开展数据安全法律法规、形势任务和知识技能的宣传教育培训。
数据安全责任单位应当制定计划,对重点部位、重点设施、重点岗位数据安全工作人员开展数据安全法律法规、知识技能等教育、培训和考核,提升数据安全意识和防护技能水平。
第三章 监测预警与应急处置
第二十六条 市人民政府应当建立数据安全风险监测预警平台,落实国家数据安全风险监测预警和信息通报制度。
市公安机关应当对数据安全风险监测预警平台进行日常维护管理,加强对平台监测信息、监督检查信息和上级通报信息的分析、安全形势研判和风险评估,按照规定发布安全风险预警或者信息通报。
区(市、县)公安机关应当及时落实上级公安机关通过数据安全风险监测预警平台发布的各项指令。
第二十七条县级以上人民政府应当根据国家和省的规定,落实数据安全应急工作机制,明确工作责任、程序和规范要求;制定数据安全事件应急预案,明确应急处置组织机构及其职责、事件分级、应急响应程序和处置措施;定期组织演练,评估演练效果,分析存在问题,总结处置经验,提出修订完善和改进应急预案的意见。
发生数据安全事件时,县级以上人民政府应当依法按程序启动应急预案,组织公安、大数据等有关部门针对事件的性质和特点,采取应急措施处置。
第二十八条数据安全责任单位应当制定和实施安全事件预警通报制度、数据安全事件应急预案,建立和实施安全事件预警、舆情监控、风险评估和应急响应的策略、规程,建立和保持与有关部门、设备设施及软件服务提供商、安全机构、新闻媒体和用户等有关各方的联络、协作。
发生数据安全事件时,数据安全责任单位应当按程序启动应急预案,采取相应措施防止危害扩大,保存相关记录,告知可能受到影响的用户,按照规定向有关部门报告。
第四章 监督检查
第二十九条 县级以上人民政府应当将数据安全管理工作纳入年度目标绩效考核。
第三十条县级以上人民政府应当建立健全数据安全工作监督检查机制,明确监督检查的牵头部门、责任分工、内容、重点、目标、方式和标准。
监督检查的情况,应当在有关部门之间实行互通和共享。
第三十一条公安机关应当监督、检查、指导数据安全责任单位建立、落实数据安全管理的各项制度和技术措施,履行数据安全管理职责,依法查处数据安全违法案件。
第三十二条 大数据主管部门应当结合监督检查数据安全责任落实的情况,定期组织开展数据安全风险评估,发布评估报告。
第三十三条有关部门在监督检查、风险评估和攻防演练中,发现数据安全责任单位存在安全问题的,应当及时提出改进建议,发出整改意见并且督促整改。
数据安全责任单位应当根据有关部门的整改意见要求进行整改,并且反馈整改情况。
第五章 法律责任
第三十四条数据安全责任单位不履行本条例第十三条、第十四条、第十五条和第十六条规定的数据安全保护义务的,由有关部门责令改正,给予警告;拒不改正或者导致危害数据安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第三十五条 违反本条例规定的其他行为,依据《中华人民共和国网络安全法》等法律、法规的相关规定处理。
第三十六条数据安全监督管理及其他有关部门的工作人员违反本条例规定,在数据安全管理工作中玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予行政处分。
第六章 附则
第三十七条 本条例自 年 月 日起施行。
声明:本文来自贵阳网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。