貴陽市人(rén)大(dà)常委會辦公廳

2018年3月(yuè)8日

貴陽市人(rén)大(dà)常委會

關于《貴陽市大(dà)數據安全管理(lǐ)條例（草(cǎo)案）》公開征求意見的(de)公告


第一章(zhāng) 總則

第一條 爲了(le)維護國家安全、社會公共利益，保護公民、法人(rén)和(hé)其他(tā)組織的(de)合法權益，加強數據安全管理(lǐ)，促進大(dà)數據發展應用(yòng)，推動實施大(dà)數據戰略，根據《中華人(rén)民共和(hé)國網絡安全法》等法律法規的(de)規定，結合本市實際，制定本條例。

第二條 本條例适用(yòng)于本市行政區(qū)域内大(dà)數據發展應用(yòng)中數據的(de)安全規範和(hé)監督管理(lǐ)以及相關活動。

涉及國家秘密的(de)數據安全保護工作，按照(zhào)有關保密法律法規的(de)規定執行。

本條例所稱數據安全，是指在大(dà)數據發展應用(yòng)中，數據的(de)所有者、管理(lǐ)者、使用(yòng)者和(hé)服務提供者（以下(xià)簡稱數據安全責任單位）采取安全保護策略和(hé)措施，防範數據被攻擊、洩漏、竊取、篡改、非法使用(yòng)的(de)能力、狀态和(hé)行動。

本條例所稱數據，是指網絡數據，即通(tōng)過網絡收集、存儲、傳輸、處理(lǐ)和(hé)産生的(de)各種電子數據。

第三條 實施數據安全管理(lǐ)，應當遵循政府主導、保護創新、審慎監管、權責統一、預防和(hé)控制風險的(de)原則。

第四條 市人(rén)民政府統一領導本市數據安全管理(lǐ)工作。區(qū)（市、縣）人(rén)民政府領導本轄區(qū)數據安全管理(lǐ)工作。

第五條 市網信部門負責綜合協調全市數據安全監督管理(lǐ)工作，統籌組織開展全市關鍵信息基礎設施監管和(hé)數據安全責任單位自查、檢查督促、問題整改等工作。區(qū)（市、縣）網信部門按照(zhào)職責負責綜合協調本轄區(qū)數據安全監督管理(lǐ)工作。

市公安機關負責開展數據安全的(de)等級保護、日常巡查、執法檢查、信息通(tōng)報、應急處置等監督管理(lǐ)工作。區(qū)（市、縣）公安機關按照(zhào)職責負責本轄區(qū)數據安全監督管理(lǐ)工作。

市大(dà)數據主管部門統籌協調本市數據安全保障體系建設，區(qū)（市、縣）大(dà)數據主管部門按照(zhào)職責負責本轄區(qū)數據安全管理(lǐ)的(de)相關工作。

保密、國家安全、電信等有關部門按照(zhào)各自職責，做(zuò)好數據安全管理(lǐ)的(de)相關工作。

第六條 數據安全責任單位應當加強數據服務安全能力建設，履行數據安全責任義務，接受有關部門監督管理(lǐ)和(hé)社會監督。

第七條 公安、大(dà)數據等有關部門應當建立數據安全管理(lǐ)誠信檔案，記錄違法失信行爲，納入統一的(de)信用(yòng)共享平台管理(lǐ)。

第八條 縣級以上人(rén)民政府以及網信、公安、大(dà)數據等有關部門和(hé)數據安全責任單位、大(dà)衆傳播媒介，應當做(zuò)好數據安全宣傳、教育和(hé)培訓工作。

第九條 标準化(huà)、網信、大(dà)數據、公安、工業和(hé)信息化(huà)等有關部門應當加強數據安全的(de)國家标準、行業标準和(hé)地方标準的(de)宣傳、培訓，引導、鼓勵數據安全責任單位采用(yòng)數據安全國家推薦标準、行業标準和(hé)地方标準。

鼓勵支持教育、科研機構和(hé)企業參與數據安全的(de)國家标準、行業标準和(hé)地方标準的(de)研究、制定。

鼓勵數據安全責任單位運用(yòng)區(qū)塊鏈等技術手段，優化(huà)數據聚通(tōng)用(yòng)架構，強化(huà)防篡改和(hé)去中心化(huà)設計，提高(gāo)數據安全防護能力和(hé)水(shuǐ)平。

第十條 市人(rén)民政府應當建立統一的(de)數據安全投訴舉報平台。任何單位和(hé)個(gè)人(rén)都有權投訴舉報危害數據安全的(de)行爲。


第二章(zhāng) 安全保障

第十一條 市大(dà)數據主管部門應當組織編制數據安全保障規劃，按照(zhào)規定報市人(rén)民政府批準後組織實施。

大(dà)數據主管部門應當配合制定數據安全保護标準體系，組織指導數據資源分(fēn)類分(fēn)級、數據安全能力成熟度認定和(hé)數字認證等相關工作。

第十二條 大(dà)數據安全責任單位應當根據職責明(míng)确、意圖合規、質量保障、數據最小化(huà)、最小授權操作、分(fēn)類分(fēn)級保護、可(kě)審計和(hé)責任不随數據轉移的(de)原則，采取有效措施保護數據的(de)保密性、完整性、真實性、可(kě)用(yòng)性、可(kě)靠性和(hé)可(kě)核查性。

第十三條 數據安全責任單位的(de)法定代表人(rén)或者主要負責人(rén)是本單位數據安全的(de)第一責任人(rén)。

數據安全責任單位應當根據數據的(de)生命周期、規模、重要性和(hé)本單位的(de)規模等因素，建立數據安全管理(lǐ)内控制度，明(míng)确和(hé)落實不同崗位的(de)數據安全管理(lǐ)職責；必要時(shí)成立安全管理(lǐ)團隊負責數據安全管理(lǐ)工作。

第十四條 數據安全責任單位應當按照(zhào)數據安全等級保護要求進行數據系統的(de)安全功能配置，制定實施系統配置技術管理(lǐ)規程、軟件采購(gòu)使用(yòng)限制策略和(hé)外部組件使用(yòng)安全策略，規定配置管理(lǐ)的(de)審批、操作流程，提供符合規範标準的(de)系統補丁、密鑰管理(lǐ)與服務，定期變更受控配置，并對(duì)數據系統的(de)病毒庫、入侵檢測規則庫、防火牆規則庫、漏洞庫等與數據安全相關的(de)重要配置進行更新。

第十五條 數據責任單位應當建立數據安全審計制度，規定審計工作流程，記錄并保存數據分(fēn)類、采集、清洗、轉換、加載、傳輸、存儲、複制、備份、恢複、查詢和(hé)銷毀等操作過程，定期進行安全審計分(fēn)析。

數據責任單位應當制定完善訪問控制策略，采取授權訪問、身份認證等技術措施，防止未經授權查詢、複制、修改或者傳輸數據。

第十六條 數據安全責任單位應當根據數據類型、級别、敏感程度以及數據安全能力成熟度等要求，制定安全規則、管理(lǐ)規範和(hé)操作規程，采取相應的(de)安全管理(lǐ)策略、管理(lǐ)措施和(hé)技術手段，對(duì)工具、服務組件等實施有效管理(lǐ)，對(duì)個(gè)人(rén)信息和(hé)重要數據實行加密等安全保護。

數據安全責任單位應當建立數據脫敏脫密處理(lǐ)機制，對(duì)涉及國家安全、社會公共利益、商業秘密、個(gè)人(rén)信息的(de)數據依法進行脫敏脫密處理(lǐ)。

第十七條 存儲數據，應當選擇安全性能、防護級别與數據安全等級相匹配的(de)存儲載體，并且依法進行管理(lǐ)和(hé)維護。

第十八條 數據不需要繼續用(yòng)于既定目的(de)或者繼續存儲将妨礙數據主體合法權益的(de)，數據安全責任單位應當立即銷毀。

銷毀數據，應當按照(zhào)數據分(fēn)類分(fēn)級建立審批機制，明(míng)确銷毀對(duì)象、流程、方式、方法和(hé)技術等要求，設置相關監督角色，以不可(kě)逆方式銷毀數據内容。

第十九條 數據安全責任單位服務外包業務涉及收集、存儲、傳輸或者應用(yòng)數據的(de)，應當與外包服務提供商簽訂安全保護協議(yì)，采取安全保護措施，并且對(duì)導出、複制、銷毀數據等行爲進行監督。

第二十條 數據安全責任單位應用(yòng)和(hé)處理(lǐ)數據，可(kě)能産生涉敏涉密數據的(de)，應當依法自行或者委托符合條件的(de)機構進行安全風險評估。

第二十一條 市人(rén)民政府應當建立聯席會議(yì)制度，研究、解決數據安全工作的(de)重大(dà)事項、重點工作和(hé)重要問題。

縣級以上人(rén)民政府應當整合數據安全防範、保障等資源，建立重點領域工作聯動、會商、約談、通(tōng)報、巡查等機制，統籌有關職能部門履行數據安全監督管理(lǐ)職責，防範安全風險，提升安全保護水(shuǐ)平。

第二十二條 市公安機關應當做(zuò)好數據安全投訴舉報平台的(de)運行、維護和(hé)管理(lǐ)工作，公布投訴、舉報方式等信息，按照(zhào)規定時(shí)限登記、處理(lǐ)和(hé)回複投訴舉報信息；對(duì)不屬于本部門職責的(de)，移送有關部門處理(lǐ)。有關部門處理(lǐ)後，應當按照(zhào)規定時(shí)限反饋市公安機關。

數據安全責任單位應當建立數據安全舉報投訴制度，公布投訴、舉報方式等信息，接受和(hé)處理(lǐ)用(yòng)戶及相關利害關系人(rén)的(de)舉報投訴。

第二十三條 市人(rén)民政府應當加強大(dà)數據安全城(chéng)市建設，建立大(dà)數據安全靶場(chǎng)和(hé)産品檢驗場(chǎng)地，對(duì)大(dà)數據安全新技術、新産品、新應用(yòng)進行測試檢驗，定期開展攻防演練。

第二十四條 縣級以上人(rén)民政府應當采取資金扶持、開設綠(lǜ)色通(tōng)道等措施，支持數據安全技術産業、項目和(hé)數據安全技術、管理(lǐ)方式的(de)研究開發、創新應用(yòng)。

鼓勵企業、科研機構、高(gāo)等院校、職業學校和(hé)相關行業組織根據市級以上人(rén)民政府明(míng)确的(de)優惠、便利政策措施，建立教育實踐和(hé)培訓基地，開設相關專業課程，多(duō)形式培養、引進和(hé)使用(yòng)大(dà)數據安全人(rén)才。
  
第二十五條 縣級以上人(rén)民政府以及有關部門應當通(tōng)過報刊雜(zá)志、電台電視台、門戶網站、政府微信微博等途徑，運用(yòng)數據安全周、主題日、專題會、研討(tǎo)班、應用(yòng)場(chǎng)景展示、競賽等形式，經常性地對(duì)數據安全重點領域、重點行業、重點單位、重點人(rén)群等組織開展數據安全法律法規、形勢任務和(hé)知識技能的(de)宣傳教育培訓。

數據安全責任單位應當制定計劃，對(duì)重點部位、重點設施、重點崗位數據安全工作人(rén)員(yuán)開展數據安全法律法規、知識技能等教育、培訓和(hé)考核，提升數據安全意識和(hé)防護技能水(shuǐ)平。
  

第三章(zhāng) 監測預警與應急處置

第二十六條 市人(rén)民政府應當建立數據安全風險監測預警平台，落實國家數據安全風險監測預警和(hé)信息通(tōng)報制度。

市公安機關應當對(duì)數據安全風險監測預警平台進行日常維護管理(lǐ)，加強對(duì)平台監測信息、監督檢查信息和(hé)上級通(tōng)報信息的(de)分(fēn)析、安全形勢研判和(hé)風險評估，按照(zhào)規定發布安全風險預警或者信息通(tōng)報。

區(qū)（市、縣）公安機關應當及時(shí)落實上級公安機關通(tōng)過數據安全風險監測預警平台發布的(de)各項指令。

第二十七條 縣級以上人(rén)民政府應當根據國家和(hé)省的(de)規定，落實數據安全應急工作機制，明(míng)确工作責任、程序和(hé)規範要求；制定數據安全事件應急預案，明(míng)确應急處置組織機構及其職責、事件分(fēn)級、應急響應程序和(hé)處置措施；定期組織演練，評估演練效果，分(fēn)析存在問題，總結處置經驗，提出修訂完善和(hé)改進應急預案的(de)意見。

發生數據安全事件時(shí)，縣級以上人(rén)民政府應當依法按程序啓動應急預案，組織公安、大(dà)數據等有關部門針對(duì)事件的(de)性質和(hé)特點，采取應急措施處置。

第二十八條 數據安全責任單位應當制定和(hé)實施安全事件預警通(tōng)報制度、數據安全事件應急預案，建立和(hé)實施安全事件預警、輿情監控、風險評估和(hé)應急響應的(de)策略、規程，建立和(hé)保持與有關部門、設備設施及軟件服務提供商、安全機構、新聞媒體和(hé)用(yòng)戶等有關各方的(de)聯絡、協作。

發生數據安全事件時(shí)，數據安全責任單位應當按程序啓動應急預案，采取相應措施防止危害擴大(dà)，保存相關記錄，告知可(kě)能受到影(yǐng)響的(de)用(yòng)戶，按照(zhào)規定向有關部門報告。


第四章(zhāng) 監督檢查

第二十九條 縣級以上人(rén)民政府應當将數據安全管理(lǐ)工作納入年度目标績效考核。

第三十條 縣級以上人(rén)民政府應當建立健全數據安全工作監督檢查機制，明(míng)确監督檢查的(de)牽頭部門、責任分(fēn)工、内容、重點、目标、方式和(hé)标準。

監督檢查的(de)情況，應當在有關部門之間實行互通(tōng)和(hé)共享。

第三十一條 公安機關應當監督、檢查、指導數據安全責任單位建立、落實數據安全管理(lǐ)的(de)各項制度和(hé)技術措施，履行數據安全管理(lǐ)職責，依法查處數據安全違法案件。

第三十二條 大(dà)數據主管部門應當結合監督檢查數據安全責任落實的(de)情況，定期組織開展數據安全風險評估，發布評估報告。

第三十三條 有關部門在監督檢查、風險評估和(hé)攻防演練中，發現數據安全責任單位存在安全問題的(de)，應當及時(shí)提出改進建議(yì)，發出整改意見并且督促整改。

數據安全責任單位應當根據有關部門的(de)整改意見要求進行整改，并且反饋整改情況。

  
第五章(zhāng) 法律責任

第三十四條 數據安全責任單位不履行本條例第十三條、第十四條、第十五條和(hé)第十六條規定的(de)數據安全保護義務的(de)，由有關部門責令改正，給予警告；拒不改正或者導緻危害數據安全等後果的(de)，處一萬元以上十萬元以下(xià)罰款，對(duì)直接負責的(de)主管人(rén)員(yuán)處五千元以上五萬元以下(xià)罰款。

第三十五條 違反本條例規定的(de)其他(tā)行爲，依據《中華人(rén)民共和(hé)國網絡安全法》等法律、法規的(de)相關規定處理(lǐ)。

第三十六條 數據安全監督管理(lǐ)及其他(tā)有關部門的(de)工作人(rén)員(yuán)違反本條例規定，在數據安全管理(lǐ)工作中玩忽職守、濫用(yòng)職權、徇私舞弊，尚不構成犯罪的(de)，依法給予行政處分(fēn)。

  
第六章(zhāng) 附則

第三十七條 本條例自 年 月(yuè) 日起施行。