貴陽市大數(shù)據(jù)安全管理條例(草案)
時間:2018-09-25 14:28:37 次數(shù):5210
貴陽市人大常委會辦公廳
2018年3月8日
貴陽市人大常委會
關(guān)于《貴陽市大數(shù)據(jù)安全管理條例(草案)》公開征求意見的公告
第一章 總則
第一條 為了維護國家安全、社會公共利益���,保護公民�����、法人和其他組織的合法權(quán)益��,加強數(shù)據(jù)安全管理�����,促進大數(shù)據(jù)發(fā)展應(yīng)用��,推動實施大數(shù)據(jù)戰(zhàn)略,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)的規(guī)定����,結(jié)合本市實際,制定本條例����。
第二條 本條例適用于本市行政區(qū)域內(nèi)大數(shù)據(jù)發(fā)展應(yīng)用中數(shù)據(jù)的安全規(guī)范和監(jiān)督管理以及相關(guān)活動。
涉及國家秘密的數(shù)據(jù)安全保護工作�,按照有關(guān)保密法律法規(guī)的規(guī)定執(zhí)行。
本條例所稱數(shù)據(jù)安全����,是指在大數(shù)據(jù)發(fā)展應(yīng)用中,數(shù)據(jù)的所有者��、管理者�����、使用者和服務(wù)提供者(以下簡稱數(shù)據(jù)安全責(zé)任單位)采取安全保護策略和措施�����,防范數(shù)據(jù)被攻擊、泄漏�����、竊取���、篡改��、非法使用的能力�、狀態(tài)和行動�。
本條例所稱數(shù)據(jù),是指網(wǎng)絡(luò)數(shù)據(jù)��,即通過網(wǎng)絡(luò)收集�、存儲、傳輸�、處理和產(chǎn)生的各種電子數(shù)據(jù)�����。
第三條 實施數(shù)據(jù)安全管理����,應(yīng)當(dāng)遵循政府主導(dǎo)、保護創(chuàng)新、審慎監(jiān)管���、權(quán)責(zé)統(tǒng)一����、預(yù)防和控制風(fēng)險的原則�����。
第四條 市人民政府統(tǒng)一領(lǐng)導(dǎo)本市數(shù)據(jù)安全管理工作��。區(qū)(市�、縣)人民政府領(lǐng)導(dǎo)本轄區(qū)數(shù)據(jù)安全管理工作。
第五條 市網(wǎng)信部門負(fù)責(zé)綜合協(xié)調(diào)全市數(shù)據(jù)安全監(jiān)督管理工作����,統(tǒng)籌組織開展全市關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)管和數(shù)據(jù)安全責(zé)任單位自查、檢查督促��、問題整改等工作��。區(qū)(市��、縣)網(wǎng)信部門按照職責(zé)負(fù)責(zé)綜合協(xié)調(diào)本轄區(qū)數(shù)據(jù)安全監(jiān)督管理工作�。
市公安機關(guān)負(fù)責(zé)開展數(shù)據(jù)安全的等級保護、日常巡查、執(zhí)法檢查��、信息通報���、應(yīng)急處置等監(jiān)督管理工作�����。區(qū)(市��、縣)公安機關(guān)按照職責(zé)負(fù)責(zé)本轄區(qū)數(shù)據(jù)安全監(jiān)督管理工作��。
市大數(shù)據(jù)主管部門統(tǒng)籌協(xié)調(diào)本市數(shù)據(jù)安全保障體系建設(shè)�����,區(qū)(市�、縣)大數(shù)據(jù)主管部門按照職責(zé)負(fù)責(zé)本轄區(qū)數(shù)據(jù)安全管理的相關(guān)工作����。
保密���、國家安全�����、電信等有關(guān)部門按照各自職責(zé)�,做好數(shù)據(jù)安全管理的相關(guān)工作。
第六條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)加強數(shù)據(jù)服務(wù)安全能力建設(shè)���,履行數(shù)據(jù)安全責(zé)任義務(wù)��,接受有關(guān)部門監(jiān)督管理和社會監(jiān)督�。
第七條 公安�����、大數(shù)據(jù)等有關(guān)部門應(yīng)當(dāng)建立數(shù)據(jù)安全管理誠信檔案�����,記錄違法失信行為�����,納入統(tǒng)一的信用共享平臺管理����。
第八條 縣級以上人民政府以及網(wǎng)信��、公安����、大數(shù)據(jù)等有關(guān)部門和數(shù)據(jù)安全責(zé)任單位���、大眾傳播媒介��,應(yīng)當(dāng)做好數(shù)據(jù)安全宣傳�����、教育和培訓(xùn)工作�����。
第九條 標(biāo)準(zhǔn)化���、網(wǎng)信、大數(shù)據(jù)���、公安���、工業(yè)和信息化等有關(guān)部門應(yīng)當(dāng)加強數(shù)據(jù)安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)的宣傳���、培訓(xùn)���,引導(dǎo)、鼓勵數(shù)據(jù)安全責(zé)任單位采用數(shù)據(jù)安全國家推薦標(biāo)準(zhǔn)�����、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)����。
鼓勵支持教育、科研機構(gòu)和企業(yè)參與數(shù)據(jù)安全的國家標(biāo)準(zhǔn)���、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)的研究�����、制定�����。
鼓勵數(shù)據(jù)安全責(zé)任單位運用區(qū)塊鏈等技術(shù)手段��,優(yōu)化數(shù)據(jù)聚通用架構(gòu)���,強化防篡改和去中心化設(shè)計�����,提高數(shù)據(jù)安全防護能力和水平��。
第十條 市人民政府應(yīng)當(dāng)建立統(tǒng)一的數(shù)據(jù)安全投訴舉報平臺���。任何單位和個人都有權(quán)投訴舉報危害數(shù)據(jù)安全的行為。
第二章 安全保障
第十一條 市大數(shù)據(jù)主管部門應(yīng)當(dāng)組織編制數(shù)據(jù)安全保障規(guī)劃����,按照規(guī)定報市人民政府批準(zhǔn)后組織實施。
大數(shù)據(jù)主管部門應(yīng)當(dāng)配合制定數(shù)據(jù)安全保護標(biāo)準(zhǔn)體系����,組織指導(dǎo)數(shù)據(jù)資源分類分級、數(shù)據(jù)安全能力成熟度認(rèn)定和數(shù)字認(rèn)證等相關(guān)工作�����。
第十二條 大數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)職責(zé)明確��、意圖合規(guī)、質(zhì)量保障���、數(shù)據(jù)最小化、最小授權(quán)操作���、分類分級保護����、可審計和責(zé)任不隨數(shù)據(jù)轉(zhuǎn)移的原則����,采取有效措施保護數(shù)據(jù)的保密性、完整性��、真實性��、可用性�����、可靠性和可核查性�。
第十三條 數(shù)據(jù)安全責(zé)任單位的法定代表人或者主要負(fù)責(zé)人是本單位數(shù)據(jù)安全的第一責(zé)任人。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)數(shù)據(jù)的生命周期�、規(guī)模�����、重要性和本單位的規(guī)模等因素�,建立數(shù)據(jù)安全管理內(nèi)控制度�����,明確和落實不同崗位的數(shù)據(jù)安全管理職責(zé)�����;必要時成立安全管理團隊負(fù)責(zé)數(shù)據(jù)安全管理工作����。
第十四條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)按照數(shù)據(jù)安全等級保護要求進行數(shù)據(jù)系統(tǒng)的安全功能配置,制定實施系統(tǒng)配置技術(shù)管理規(guī)程����、軟件采購使用限制策略和外部組件使用安全策略,規(guī)定配置管理的審批���、操作流程���,提供符合規(guī)范標(biāo)準(zhǔn)的系統(tǒng)補丁����、密鑰管理與服務(wù)��,定期變更受控配置���,并對數(shù)據(jù)系統(tǒng)的病毒庫、入侵檢測規(guī)則庫����、防火墻規(guī)則庫、漏洞庫等與數(shù)據(jù)安全相關(guān)的重要配置進行更新�����。
第十五條 數(shù)據(jù)責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)安全審計制度���,規(guī)定審計工作流程��,記錄并保存數(shù)據(jù)分類��、采集�����、清洗���、轉(zhuǎn)換����、加載���、傳輸����、存儲����、復(fù)制、備份�、恢復(fù)、查詢和銷毀等操作過程���,定期進行安全審計分析�。
數(shù)據(jù)責(zé)任單位應(yīng)當(dāng)制定完善訪問控制策略���,采取授權(quán)訪問�、身份認(rèn)證等技術(shù)措施,防止未經(jīng)授權(quán)查詢����、復(fù)制、修改或者傳輸數(shù)據(jù)�。
第十六條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)數(shù)據(jù)類型、級別�����、敏感程度以及數(shù)據(jù)安全能力成熟度等要求��,制定安全規(guī)則����、管理規(guī)范和操作規(guī)程�����,采取相應(yīng)的安全管理策略�����、管理措施和技術(shù)手段,對工具���、服務(wù)組件等實施有效管理��,對個人信息和重要數(shù)據(jù)實行加密等安全保護����。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)脫敏脫密處理機制��,對涉及國家安全��、社會公共利益���、商業(yè)秘密����、個人信息的數(shù)據(jù)依法進行脫敏脫密處理���。
第十七條 存儲數(shù)據(jù)����,應(yīng)當(dāng)選擇安全性能����、防護級別與數(shù)據(jù)安全等級相匹配的存儲載體���,并且依法進行管理和維護。
第十八條 數(shù)據(jù)不需要繼續(xù)用于既定目的或者繼續(xù)存儲將妨礙數(shù)據(jù)主體合法權(quán)益的�����,數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)立即銷毀�。
銷毀數(shù)據(jù),應(yīng)當(dāng)按照數(shù)據(jù)分類分級建立審批機制���,明確銷毀對象��、流程�、方式�����、方法和技術(shù)等要求�����,設(shè)置相關(guān)監(jiān)督角色����,以不可逆方式銷毀數(shù)據(jù)內(nèi)容。
第十九條 數(shù)據(jù)安全責(zé)任單位服務(wù)外包業(yè)務(wù)涉及收集����、存儲、傳輸或者應(yīng)用數(shù)據(jù)的�����,應(yīng)當(dāng)與外包服務(wù)提供商簽訂安全保護協(xié)議����,采取安全保護措施,并且對導(dǎo)出����、復(fù)制、銷毀數(shù)據(jù)等行為進行監(jiān)督���。
第二十條 數(shù)據(jù)安全責(zé)任單位應(yīng)用和處理數(shù)據(jù)�����,可能產(chǎn)生涉敏涉密數(shù)據(jù)的����,應(yīng)當(dāng)依法自行或者委托符合條件的機構(gòu)進行安全風(fēng)險評估。
第二十一條 市人民政府應(yīng)當(dāng)建立聯(lián)席會議制度��,研究�、解決數(shù)據(jù)安全工作的重大事項、重點工作和重要問題�。
縣級以上人民政府應(yīng)當(dāng)整合數(shù)據(jù)安全防范、保障等資源��,建立重點領(lǐng)域工作聯(lián)動����、會商、約談��、通報��、巡查等機制����,統(tǒng)籌有關(guān)職能部門履行數(shù)據(jù)安全監(jiān)督管理職責(zé)�����,防范安全風(fēng)險,提升安全保護水平��。
第二十二條 市公安機關(guān)應(yīng)當(dāng)做好數(shù)據(jù)安全投訴舉報平臺的運行�����、維護和管理工作���,公布投訴�����、舉報方式等信息�����,按照規(guī)定時限登記��、處理和回復(fù)投訴舉報信息��;對不屬于本部門職責(zé)的�����,移送有關(guān)部門處理�����。有關(guān)部門處理后���,應(yīng)當(dāng)按照規(guī)定時限反饋市公安機關(guān)�����。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)安全舉報投訴制度�����,公布投訴���、舉報方式等信息,接受和處理用戶及相關(guān)利害關(guān)系人的舉報投訴��。
第二十三條 市人民政府應(yīng)當(dāng)加強大數(shù)據(jù)安全城市建設(shè)�,建立大數(shù)據(jù)安全靶場和產(chǎn)品檢驗場地,對大數(shù)據(jù)安全新技術(shù)�、新產(chǎn)品、新應(yīng)用進行測試檢驗��,定期開展攻防演練。
第二十四條 縣級以上人民政府應(yīng)當(dāng)采取資金扶持�、開設(shè)綠色通道等措施�����,支持?jǐn)?shù)據(jù)安全技術(shù)產(chǎn)業(yè)��、項目和數(shù)據(jù)安全技術(shù)����、管理方式的研究開發(fā)、創(chuàng)新應(yīng)用�����。
鼓勵企業(yè)���、科研機構(gòu)���、高等院校、職業(yè)學(xué)校和相關(guān)行業(yè)組織根據(jù)市級以上人民政府明確的優(yōu)惠��、便利政策措施���,建立教育實踐和培訓(xùn)基地���,開設(shè)相關(guān)專業(yè)課程��,多形式培養(yǎng)��、引進和使用大數(shù)據(jù)安全人才��。
第二十五條 縣級以上人民政府以及有關(guān)部門應(yīng)當(dāng)通過報刊雜志��、電臺電視臺����、門戶網(wǎng)站��、政府微信微博等途徑�,運用數(shù)據(jù)安全周、主題日��、專題會��、研討班��、應(yīng)用場景展示�����、競賽等形式,經(jīng)常性地對數(shù)據(jù)安全重點領(lǐng)域�����、重點行業(yè)����、重點單位����、重點人群等組織開展數(shù)據(jù)安全法律法規(guī)、形勢任務(wù)和知識技能的宣傳教育培訓(xùn)�����。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)制定計劃���,對重點部位�����、重點設(shè)施�����、重點崗位數(shù)據(jù)安全工作人員開展數(shù)據(jù)安全法律法規(guī)��、知識技能等教育����、培訓(xùn)和考核,提升數(shù)據(jù)安全意識和防護技能水平����。
第三章 監(jiān)測預(yù)警與應(yīng)急處置
第二十六條 市人民政府應(yīng)當(dāng)建立數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警平臺,落實國家數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警和信息通報制度��。
市公安機關(guān)應(yīng)當(dāng)對數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警平臺進行日常維護管理��,加強對平臺監(jiān)測信息�����、監(jiān)督檢查信息和上級通報信息的分析���、安全形勢研判和風(fēng)險評估�����,按照規(guī)定發(fā)布安全風(fēng)險預(yù)警或者信息通報��。
區(qū)(市��、縣)公安機關(guān)應(yīng)當(dāng)及時落實上級公安機關(guān)通過數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警平臺發(fā)布的各項指令�。
第二十七條 縣級以上人民政府應(yīng)當(dāng)根據(jù)國家和省的規(guī)定,落實數(shù)據(jù)安全應(yīng)急工作機制���,明確工作責(zé)任��、程序和規(guī)范要求;制定數(shù)據(jù)安全事件應(yīng)急預(yù)案�,明確應(yīng)急處置組織機構(gòu)及其職責(zé)、事件分級��、應(yīng)急響應(yīng)程序和處置措施����;定期組織演練,評估演練效果��,分析存在問題����,總結(jié)處置經(jīng)驗�,提出修訂完善和改進應(yīng)急預(yù)案的意見��。
發(fā)生數(shù)據(jù)安全事件時�����,縣級以上人民政府應(yīng)當(dāng)依法按程序啟動應(yīng)急預(yù)案����,組織公安、大數(shù)據(jù)等有關(guān)部門針對事件的性質(zhì)和特點���,采取應(yīng)急措施處置��。
第二十八條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)制定和實施安全事件預(yù)警通報制度�����、數(shù)據(jù)安全事件應(yīng)急預(yù)案��,建立和實施安全事件預(yù)警�、輿情監(jiān)控�����、風(fēng)險評估和應(yīng)急響應(yīng)的策略、規(guī)程���,建立和保持與有關(guān)部門�����、設(shè)備設(shè)施及軟件服務(wù)提供商�、安全機構(gòu)�����、新聞媒體和用戶等有關(guān)各方的聯(lián)絡(luò)��、協(xié)作���。
發(fā)生數(shù)據(jù)安全事件時,數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)按程序啟動應(yīng)急預(yù)案���,采取相應(yīng)措施防止危害擴大�����,保存相關(guān)記錄���,告知可能受到影響的用戶�,按照規(guī)定向有關(guān)部門報告��。
第四章 監(jiān)督檢查
第二十九條 縣級以上人民政府應(yīng)當(dāng)將數(shù)據(jù)安全管理工作納入年度目標(biāo)績效考核��。
第三十條 縣級以上人民政府應(yīng)當(dāng)建立健全數(shù)據(jù)安全工作監(jiān)督檢查機制����,明確監(jiān)督檢查的牽頭部門、責(zé)任分工����、內(nèi)容、重點���、目標(biāo)�、方式和標(biāo)準(zhǔn)����。
監(jiān)督檢查的情況,應(yīng)當(dāng)在有關(guān)部門之間實行互通和共享���。
第三十一條 公安機關(guān)應(yīng)當(dāng)監(jiān)督����、檢查、指導(dǎo)數(shù)據(jù)安全責(zé)任單位建立����、落實數(shù)據(jù)安全管理的各項制度和技術(shù)措施,履行數(shù)據(jù)安全管理職責(zé)�����,依法查處數(shù)據(jù)安全違法案件���。
第三十二條 大數(shù)據(jù)主管部門應(yīng)當(dāng)結(jié)合監(jiān)督檢查數(shù)據(jù)安全責(zé)任落實的情況���,定期組織開展數(shù)據(jù)安全風(fēng)險評估,發(fā)布評估報告�。
第三十三條 有關(guān)部門在監(jiān)督檢查、風(fēng)險評估和攻防演練中�����,發(fā)現(xiàn)數(shù)據(jù)安全責(zé)任單位存在安全問題的�,應(yīng)當(dāng)及時提出改進建議�,發(fā)出整改意見并且督促整改����。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)有關(guān)部門的整改意見要求進行整改���,并且反饋整改情況����。
第五章 法律責(zé)任
第三十四條 數(shù)據(jù)安全責(zé)任單位不履行本條例第十三條��、第十四條�、第十五條和第十六條規(guī)定的數(shù)據(jù)安全保護義務(wù)的,由有關(guān)部門責(zé)令改正�����,給予警告��;拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等后果的�����,處一萬元以上十萬元以下罰款��,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
第三十五條 違反本條例規(guī)定的其他行為���,依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律����、法規(guī)的相關(guān)規(guī)定處理�����。
第三十六條 數(shù)據(jù)安全監(jiān)督管理及其他有關(guān)部門的工作人員違反本條例規(guī)定���,在數(shù)據(jù)安全管理工作中玩忽職守��、濫用職權(quán)�、徇私舞弊��,尚不構(gòu)成犯罪的����,依法給予行政處分。
第六章 附則
第三十七條 本條例自 年 月 日起施行��。
分享到
閩公安備案:35021102000930號
