貴陽(yáng)市大數(shù)據(jù)安全管理?xiàng)l例(草案)
時(shí)間:2018-09-25 14:28:37 次數(shù):5105
貴陽(yáng)市人大常委會(huì)辦公廳
2018年3月8日
貴陽(yáng)市人大常委會(huì)
關(guān)于《貴陽(yáng)市大數(shù)據(jù)安全管理?xiàng)l例(草案)》公開(kāi)征求意見(jiàn)的公告
第一章 總則
第一條 為了維護(hù)國(guó)家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,加強(qiáng)數(shù)據(jù)安全管理,促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用,推動(dòng)實(shí)施大數(shù)據(jù)戰(zhàn)略,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)的規(guī)定,結(jié)合本市實(shí)際,制定本條例。
第二條 本條例適用于本市行政區(qū)域內(nèi)大數(shù)據(jù)發(fā)展應(yīng)用中數(shù)據(jù)的安全規(guī)范和監(jiān)督管理以及相關(guān)活動(dòng)。
涉及國(guó)家秘密的數(shù)據(jù)安全保護(hù)工作,按照有關(guān)保密法律法規(guī)的規(guī)定執(zhí)行。
本條例所稱數(shù)據(jù)安全,是指在大數(shù)據(jù)發(fā)展應(yīng)用中,數(shù)據(jù)的所有者、管理者、使用者和服務(wù)提供者(以下簡(jiǎn)稱數(shù)據(jù)安全責(zé)任單位)采取安全保護(hù)策略和措施,防范數(shù)據(jù)被攻擊、泄漏、竊取、篡改、非法使用的能力、狀態(tài)和行動(dòng)。
本條例所稱數(shù)據(jù),是指網(wǎng)絡(luò)數(shù)據(jù),即通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。
第三條 實(shí)施數(shù)據(jù)安全管理,應(yīng)當(dāng)遵循政府主導(dǎo)、保護(hù)創(chuàng)新、審慎監(jiān)管、權(quán)責(zé)統(tǒng)一、預(yù)防和控制風(fēng)險(xiǎn)的原則。
第四條 市人民政府統(tǒng)一領(lǐng)導(dǎo)本市數(shù)據(jù)安全管理工作。區(qū)(市、縣)人民政府領(lǐng)導(dǎo)本轄區(qū)數(shù)據(jù)安全管理工作。
第五條 市網(wǎng)信部門負(fù)責(zé)綜合協(xié)調(diào)全市數(shù)據(jù)安全監(jiān)督管理工作,統(tǒng)籌組織開(kāi)展全市關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)管和數(shù)據(jù)安全責(zé)任單位自查、檢查督促、問(wèn)題整改等工作。區(qū)(市、縣)網(wǎng)信部門按照職責(zé)負(fù)責(zé)綜合協(xié)調(diào)本轄區(qū)數(shù)據(jù)安全監(jiān)督管理工作。
市公安機(jī)關(guān)負(fù)責(zé)開(kāi)展數(shù)據(jù)安全的等級(jí)保護(hù)、日常巡查、執(zhí)法檢查、信息通報(bào)、應(yīng)急處置等監(jiān)督管理工作。區(qū)(市、縣)公安機(jī)關(guān)按照職責(zé)負(fù)責(zé)本轄區(qū)數(shù)據(jù)安全監(jiān)督管理工作。
市大數(shù)據(jù)主管部門統(tǒng)籌協(xié)調(diào)本市數(shù)據(jù)安全保障體系建設(shè),區(qū)(市、縣)大數(shù)據(jù)主管部門按照職責(zé)負(fù)責(zé)本轄區(qū)數(shù)據(jù)安全管理的相關(guān)工作。
保密、國(guó)家安全、電信等有關(guān)部門按照各自職責(zé),做好數(shù)據(jù)安全管理的相關(guān)工作。
第六條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)服務(wù)安全能力建設(shè),履行數(shù)據(jù)安全責(zé)任義務(wù),接受有關(guān)部門監(jiān)督管理和社會(huì)監(jiān)督。
第七條 公安、大數(shù)據(jù)等有關(guān)部門應(yīng)當(dāng)建立數(shù)據(jù)安全管理誠(chéng)信檔案,記錄違法失信行為,納入統(tǒng)一的信用共享平臺(tái)管理。
第八條 縣級(jí)以上人民政府以及網(wǎng)信、公安、大數(shù)據(jù)等有關(guān)部門和數(shù)據(jù)安全責(zé)任單位、大眾傳播媒介,應(yīng)當(dāng)做好數(shù)據(jù)安全宣傳、教育和培訓(xùn)工作。
第九條 標(biāo)準(zhǔn)化、網(wǎng)信、大數(shù)據(jù)、公安、工業(yè)和信息化等有關(guān)部門應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)的宣傳、培訓(xùn),引導(dǎo)、鼓勵(lì)數(shù)據(jù)安全責(zé)任單位采用數(shù)據(jù)安全國(guó)家推薦標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)。
鼓勵(lì)支持教育、科研機(jī)構(gòu)和企業(yè)參與數(shù)據(jù)安全的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)的研究、制定。
鼓勵(lì)數(shù)據(jù)安全責(zé)任單位運(yùn)用區(qū)塊鏈等技術(shù)手段,優(yōu)化數(shù)據(jù)聚通用架構(gòu),強(qiáng)化防篡改和去中心化設(shè)計(jì),提高數(shù)據(jù)安全防護(hù)能力和水平。
第十條 市人民政府應(yīng)當(dāng)建立統(tǒng)一的數(shù)據(jù)安全投訴舉報(bào)平臺(tái)。任何單位和個(gè)人都有權(quán)投訴舉報(bào)危害數(shù)據(jù)安全的行為。
第二章 安全保障
第十一條 市大數(shù)據(jù)主管部門應(yīng)當(dāng)組織編制數(shù)據(jù)安全保障規(guī)劃,按照規(guī)定報(bào)市人民政府批準(zhǔn)后組織實(shí)施。
大數(shù)據(jù)主管部門應(yīng)當(dāng)配合制定數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)體系,組織指導(dǎo)數(shù)據(jù)資源分類分級(jí)、數(shù)據(jù)安全能力成熟度認(rèn)定和數(shù)字認(rèn)證等相關(guān)工作。
第十二條 大數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)職責(zé)明確、意圖合規(guī)、質(zhì)量保障、數(shù)據(jù)最小化、最小授權(quán)操作、分類分級(jí)保護(hù)、可審計(jì)和責(zé)任不隨數(shù)據(jù)轉(zhuǎn)移的原則,采取有效措施保護(hù)數(shù)據(jù)的保密性、完整性、真實(shí)性、可用性、可靠性和可核查性。
第十三條 數(shù)據(jù)安全責(zé)任單位的法定代表人或者主要負(fù)責(zé)人是本單位數(shù)據(jù)安全的第一責(zé)任人。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)數(shù)據(jù)的生命周期、規(guī)模、重要性和本單位的規(guī)模等因素,建立數(shù)據(jù)安全管理內(nèi)控制度,明確和落實(shí)不同崗位的數(shù)據(jù)安全管理職責(zé);必要時(shí)成立安全管理團(tuán)隊(duì)負(fù)責(zé)數(shù)據(jù)安全管理工作。
第十四條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)按照數(shù)據(jù)安全等級(jí)保護(hù)要求進(jìn)行數(shù)據(jù)系統(tǒng)的安全功能配置,制定實(shí)施系統(tǒng)配置技術(shù)管理規(guī)程、軟件采購(gòu)使用限制策略和外部組件使用安全策略,規(guī)定配置管理的審批、操作流程,提供符合規(guī)范標(biāo)準(zhǔn)的系統(tǒng)補(bǔ)丁、密鑰管理與服務(wù),定期變更受控配置,并對(duì)數(shù)據(jù)系統(tǒng)的病毒庫(kù)、入侵檢測(cè)規(guī)則庫(kù)、防火墻規(guī)則庫(kù)、漏洞庫(kù)等與數(shù)據(jù)安全相關(guān)的重要配置進(jìn)行更新。
第十五條 數(shù)據(jù)責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)安全審計(jì)制度,規(guī)定審計(jì)工作流程,記錄并保存數(shù)據(jù)分類、采集、清洗、轉(zhuǎn)換、加載、傳輸、存儲(chǔ)、復(fù)制、備份、恢復(fù)、查詢和銷毀等操作過(guò)程,定期進(jìn)行安全審計(jì)分析。
數(shù)據(jù)責(zé)任單位應(yīng)當(dāng)制定完善訪問(wèn)控制策略,采取授權(quán)訪問(wèn)、身份認(rèn)證等技術(shù)措施,防止未經(jīng)授權(quán)查詢、復(fù)制、修改或者傳輸數(shù)據(jù)。
第十六條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)數(shù)據(jù)類型、級(jí)別、敏感程度以及數(shù)據(jù)安全能力成熟度等要求,制定安全規(guī)則、管理規(guī)范和操作規(guī)程,采取相應(yīng)的安全管理策略、管理措施和技術(shù)手段,對(duì)工具、服務(wù)組件等實(shí)施有效管理,對(duì)個(gè)人信息和重要數(shù)據(jù)實(shí)行加密等安全保護(hù)。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)脫敏脫密處理機(jī)制,對(duì)涉及國(guó)家安全、社會(huì)公共利益、商業(yè)秘密、個(gè)人信息的數(shù)據(jù)依法進(jìn)行脫敏脫密處理。
第十七條 存儲(chǔ)數(shù)據(jù),應(yīng)當(dāng)選擇安全性能、防護(hù)級(jí)別與數(shù)據(jù)安全等級(jí)相匹配的存儲(chǔ)載體,并且依法進(jìn)行管理和維護(hù)。
第十八條 數(shù)據(jù)不需要繼續(xù)用于既定目的或者繼續(xù)存儲(chǔ)將妨礙數(shù)據(jù)主體合法權(quán)益的,數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)立即銷毀。
銷毀數(shù)據(jù),應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)建立審批機(jī)制,明確銷毀對(duì)象、流程、方式、方法和技術(shù)等要求,設(shè)置相關(guān)監(jiān)督角色,以不可逆方式銷毀數(shù)據(jù)內(nèi)容。
第十九條 數(shù)據(jù)安全責(zé)任單位服務(wù)外包業(yè)務(wù)涉及收集、存儲(chǔ)、傳輸或者應(yīng)用數(shù)據(jù)的,應(yīng)當(dāng)與外包服務(wù)提供商簽訂安全保護(hù)協(xié)議,采取安全保護(hù)措施,并且對(duì)導(dǎo)出、復(fù)制、銷毀數(shù)據(jù)等行為進(jìn)行監(jiān)督。
第二十條 數(shù)據(jù)安全責(zé)任單位應(yīng)用和處理數(shù)據(jù),可能產(chǎn)生涉敏涉密數(shù)據(jù)的,應(yīng)當(dāng)依法自行或者委托符合條件的機(jī)構(gòu)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。
第二十一條 市人民政府應(yīng)當(dāng)建立聯(lián)席會(huì)議制度,研究、解決數(shù)據(jù)安全工作的重大事項(xiàng)、重點(diǎn)工作和重要問(wèn)題。
縣級(jí)以上人民政府應(yīng)當(dāng)整合數(shù)據(jù)安全防范、保障等資源,建立重點(diǎn)領(lǐng)域工作聯(lián)動(dòng)、會(huì)商、約談、通報(bào)、巡查等機(jī)制,統(tǒng)籌有關(guān)職能部門履行數(shù)據(jù)安全監(jiān)督管理職責(zé),防范安全風(fēng)險(xiǎn),提升安全保護(hù)水平。
第二十二條 市公安機(jī)關(guān)應(yīng)當(dāng)做好數(shù)據(jù)安全投訴舉報(bào)平臺(tái)的運(yùn)行、維護(hù)和管理工作,公布投訴、舉報(bào)方式等信息,按照規(guī)定時(shí)限登記、處理和回復(fù)投訴舉報(bào)信息;對(duì)不屬于本部門職責(zé)的,移送有關(guān)部門處理。有關(guān)部門處理后,應(yīng)當(dāng)按照規(guī)定時(shí)限反饋市公安機(jī)關(guān)。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)建立數(shù)據(jù)安全舉報(bào)投訴制度,公布投訴、舉報(bào)方式等信息,接受和處理用戶及相關(guān)利害關(guān)系人的舉報(bào)投訴。
第二十三條 市人民政府應(yīng)當(dāng)加強(qiáng)大數(shù)據(jù)安全城市建設(shè),建立大數(shù)據(jù)安全靶場(chǎng)和產(chǎn)品檢驗(yàn)場(chǎng)地,對(duì)大數(shù)據(jù)安全新技術(shù)、新產(chǎn)品、新應(yīng)用進(jìn)行測(cè)試檢驗(yàn),定期開(kāi)展攻防演練。
第二十四條 縣級(jí)以上人民政府應(yīng)當(dāng)采取資金扶持、開(kāi)設(shè)綠色通道等措施,支持?jǐn)?shù)據(jù)安全技術(shù)產(chǎn)業(yè)、項(xiàng)目和數(shù)據(jù)安全技術(shù)、管理方式的研究開(kāi)發(fā)、創(chuàng)新應(yīng)用。
鼓勵(lì)企業(yè)、科研機(jī)構(gòu)、高等院校、職業(yè)學(xué)校和相關(guān)行業(yè)組織根據(jù)市級(jí)以上人民政府明確的優(yōu)惠、便利政策措施,建立教育實(shí)踐和培訓(xùn)基地,開(kāi)設(shè)相關(guān)專業(yè)課程,多形式培養(yǎng)、引進(jìn)和使用大數(shù)據(jù)安全人才。
第二十五條 縣級(jí)以上人民政府以及有關(guān)部門應(yīng)當(dāng)通過(guò)報(bào)刊雜志、電臺(tái)電視臺(tái)、門戶網(wǎng)站、政府微信微博等途徑,運(yùn)用數(shù)據(jù)安全周、主題日、專題會(huì)、研討班、應(yīng)用場(chǎng)景展示、競(jìng)賽等形式,經(jīng)常性地對(duì)數(shù)據(jù)安全重點(diǎn)領(lǐng)域、重點(diǎn)行業(yè)、重點(diǎn)單位、重點(diǎn)人群等組織開(kāi)展數(shù)據(jù)安全法律法規(guī)、形勢(shì)任務(wù)和知識(shí)技能的宣傳教育培訓(xùn)。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)制定計(jì)劃,對(duì)重點(diǎn)部位、重點(diǎn)設(shè)施、重點(diǎn)崗位數(shù)據(jù)安全工作人員開(kāi)展數(shù)據(jù)安全法律法規(guī)、知識(shí)技能等教育、培訓(xùn)和考核,提升數(shù)據(jù)安全意識(shí)和防護(hù)技能水平。
第三章 監(jiān)測(cè)預(yù)警與應(yīng)急處置
第二十六條 市人民政府應(yīng)當(dāng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警平臺(tái),落實(shí)國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警和信息通報(bào)制度。
市公安機(jī)關(guān)應(yīng)當(dāng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警平臺(tái)進(jìn)行日常維護(hù)管理,加強(qiáng)對(duì)平臺(tái)監(jiān)測(cè)信息、監(jiān)督檢查信息和上級(jí)通報(bào)信息的分析、安全形勢(shì)研判和風(fēng)險(xiǎn)評(píng)估,按照規(guī)定發(fā)布安全風(fēng)險(xiǎn)預(yù)警或者信息通報(bào)。
區(qū)(市、縣)公安機(jī)關(guān)應(yīng)當(dāng)及時(shí)落實(shí)上級(jí)公安機(jī)關(guān)通過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警平臺(tái)發(fā)布的各項(xiàng)指令。
第二十七條 縣級(jí)以上人民政府應(yīng)當(dāng)根據(jù)國(guó)家和省的規(guī)定,落實(shí)數(shù)據(jù)安全應(yīng)急工作機(jī)制,明確工作責(zé)任、程序和規(guī)范要求;制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,明確應(yīng)急處置組織機(jī)構(gòu)及其職責(zé)、事件分級(jí)、應(yīng)急響應(yīng)程序和處置措施;定期組織演練,評(píng)估演練效果,分析存在問(wèn)題,總結(jié)處置經(jīng)驗(yàn),提出修訂完善和改進(jìn)應(yīng)急預(yù)案的意見(jiàn)。
發(fā)生數(shù)據(jù)安全事件時(shí),縣級(jí)以上人民政府應(yīng)當(dāng)依法按程序啟動(dòng)應(yīng)急預(yù)案,組織公安、大數(shù)據(jù)等有關(guān)部門針對(duì)事件的性質(zhì)和特點(diǎn),采取應(yīng)急措施處置。
第二十八條 數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)制定和實(shí)施安全事件預(yù)警通報(bào)制度、數(shù)據(jù)安全事件應(yīng)急預(yù)案,建立和實(shí)施安全事件預(yù)警、輿情監(jiān)控、風(fēng)險(xiǎn)評(píng)估和應(yīng)急響應(yīng)的策略、規(guī)程,建立和保持與有關(guān)部門、設(shè)備設(shè)施及軟件服務(wù)提供商、安全機(jī)構(gòu)、新聞媒體和用戶等有關(guān)各方的聯(lián)絡(luò)、協(xié)作。
發(fā)生數(shù)據(jù)安全事件時(shí),數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)按程序啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)措施防止危害擴(kuò)大,保存相關(guān)記錄,告知可能受到影響的用戶,按照規(guī)定向有關(guān)部門報(bào)告。
第四章 監(jiān)督檢查
第二十九條 縣級(jí)以上人民政府應(yīng)當(dāng)將數(shù)據(jù)安全管理工作納入年度目標(biāo)績(jī)效考核。
第三十條 縣級(jí)以上人民政府應(yīng)當(dāng)建立健全數(shù)據(jù)安全工作監(jiān)督檢查機(jī)制,明確監(jiān)督檢查的牽頭部門、責(zé)任分工、內(nèi)容、重點(diǎn)、目標(biāo)、方式和標(biāo)準(zhǔn)。
監(jiān)督檢查的情況,應(yīng)當(dāng)在有關(guān)部門之間實(shí)行互通和共享。
第三十一條 公安機(jī)關(guān)應(yīng)當(dāng)監(jiān)督、檢查、指導(dǎo)數(shù)據(jù)安全責(zé)任單位建立、落實(shí)數(shù)據(jù)安全管理的各項(xiàng)制度和技術(shù)措施,履行數(shù)據(jù)安全管理職責(zé),依法查處數(shù)據(jù)安全違法案件。
第三十二條 大數(shù)據(jù)主管部門應(yīng)當(dāng)結(jié)合監(jiān)督檢查數(shù)據(jù)安全責(zé)任落實(shí)的情況,定期組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,發(fā)布評(píng)估報(bào)告。
第三十三條 有關(guān)部門在監(jiān)督檢查、風(fēng)險(xiǎn)評(píng)估和攻防演練中,發(fā)現(xiàn)數(shù)據(jù)安全責(zé)任單位存在安全問(wèn)題的,應(yīng)當(dāng)及時(shí)提出改進(jìn)建議,發(fā)出整改意見(jiàn)并且督促整改。
數(shù)據(jù)安全責(zé)任單位應(yīng)當(dāng)根據(jù)有關(guān)部門的整改意見(jiàn)要求進(jìn)行整改,并且反饋整改情況。
第五章 法律責(zé)任
第三十四條 數(shù)據(jù)安全責(zé)任單位不履行本條例第十三條、第十四條、第十五條和第十六條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的,由有關(guān)部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。
第三十五條 違反本條例規(guī)定的其他行為,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律、法規(guī)的相關(guān)規(guī)定處理。
第三十六條 數(shù)據(jù)安全監(jiān)督管理及其他有關(guān)部門的工作人員違反本條例規(guī)定,在數(shù)據(jù)安全管理工作中玩忽職守、濫用職權(quán)、徇私舞弊,尚不構(gòu)成犯罪的,依法給予行政處分。
第六章 附則
第三十七條 本條例自 年 月 日起施行。
掃一掃在手機(jī)上查看當(dāng)前頁(yè)面
分享到