為了保障大數據安全和個人信息安全,明確大數據安全責任,促進大數據發展套用,根據《中華人民共和國網路安全法》和有關法律、法規的規定,結合本省實際,制定本條例。
基本介紹
- 中文名:貴州省大數據安全保障條例
- 通過時間:2019年8月1日
- 施行時間:2019年10月1日
條例全文,修改情況的說明,修改情況的報告,審議結果的報告,解讀,
條例全文
(2019年8月1日貴州省第十三屆人民代表大會常務委員會第十一次會議通過)
目 錄
第一章 總 則
第二章 安全責任
第三章 監督管理
第四章 支持與保障
第五章 法律責任
第六章 附 則
第一章 總 則
第一條
第二條本省行政區域內大數據安全保障及相關活動,應當遵守本條例。
涉及國家秘密的大數據安全保障,還應當遵守《中華人民共和國保守國家秘密法》等法律、法規的規定。
第三條本條例所稱大數據安全保障,是指採取預防、管理、處置等策略和措施,防範大數據被攻擊、侵入、干擾、破壞、竊取、篡改、刪除和非法使用以及意外事故,保障大數據的真實性、完整性、有效性、保密性、可控性並處於安全狀態的活動。
本條例所稱大數據是指以容量大、類型多、存取速度快、套用價值高為主要特徵的數據集合,是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析,發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。
本條例所稱大數據安全責任人,是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的單位和個人,包括大數據所有人、持有人、管理人、使用人以及其他從事大數據採集、存儲、清洗、開發、套用、交易、服務等的單位和個人。
第四條大數據安全保障工作堅持總體國家安全觀,樹立正確的網路安全觀,按照政府主導、責任人主體,統籌規劃、突出重點,預防為主、綜合治理,包容審慎、支持創新,安全與發展、監管與利用並重的原則,維護大數據總體和動態安全。
第五條大數據安全保障工作應當圍繞國家大數據戰略和省大數據戰略行動實施,建立健全大數據安全管理制度,建設大數據安全地方標準體系、大數據安全測評體系、大數據安全保障體系等,採取大數據安全攻防演練等安全保障措施,推動大數據安全技術、制度、管理創新和發展。
第六條省人民政府負責全省大數據安全保障工作,市、州和縣級人民政府負責本行政區域內大數據安全保障工作。
開發區、新區管理機構根據設立開發區、新區的人民政府的授權,負責本轄區大數據安全保障的具體工作。
第七條縣級以上有關部門按照下列規定,履行大數據安全保障職責:
(一)網信部門負責統籌協調、檢查指導和相關監督管理等工作;
(二)公安機關負責安全保護和管理、風險評估、監測預警、應急處置和違法行為查處等監督管理工作;
(三)大數據發展管理部門負責與大數據安全相關的數據管理、產業發展、技術套用等工作;
(四)通信管理部門負責電信網、公共網際網路運行安全監督管理等工作;
(五)保密行政管理部門負責保密監督管理等工作;
(六)密碼管理部門負責密碼監督管理等工作;
(七)其他部門按照有關法律、法規的規定和各自職責做好大數據安全保障工作。
第八條省人民政府應當根據大數據發展套用總體規劃,編制大數據安全保障規劃;網信、公安、大數據發展管理等部門應當根據大數據安全保障規劃,編制本部門、本行業大數據安全保障專項規劃。
第九條縣級以上人民政府應當建立大數據安全保障工作領導協調機制和責任機制,協調和指導本行政區域內大數據安全保障有關事項。
公安機關應當按照網路安全等級保護要求,會同有關部門制定大數據風險測評、應急防範等安全制度,加強對大數據安全技術、設備和服務提供商的風險評估和安全管理。
第十條任何單位和個人都有維護大數據安全的義務,不得從事危害大數據安全的活動,不得利用大數據從事危害國家安全以及損害國家利益、社會公共利益和他人合法權益的活動。
對危害大數據安全或者利用大數據從事違法犯罪活動的行為,任何單位和個人都有權勸阻、制止、投訴、舉報。收到投訴舉報的部門應當依法及時查處,保護舉報人的合法權益;不屬於本部門職責的,應當及時移送有權處理的部門。
第十一條鼓勵開展大數據安全知識宣傳普及、教育培訓,增強全社會大數據安全意識,提高大數據安全風險防範能力。
第十二條鼓勵、支持成立大數據安全聯盟、行業協會等社會組織,開展行業自律、交流合作和安全技術研究等大數據安全工作。
第二章 安全責任
第十三條實行大數據安全責任制,保障大數據全生命周期安全。
大數據安全責任,按照誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責以及誰採集誰負責的原則確定。
大數據基於複製、流通、交換等同時存在的多個安全責任人,分別承擔各自安全責任。
第十四條大數據安全責任人是單位的(以下簡稱單位大數據安全責任人),應當履行下列職責:
(一)依法成立安全管理機構或者明確安全管理負責人,定期對從業人員進行安全教育、技術培訓和技能考核;
(二)制定安全管理制度、操作規程、應急預案,明確不同崗位安全管理責任;
(三)加強數據採集、使用、處理許可權管理,對批量導出、複製、脫敏、銷毀數據等實行審查批准;
(四)加強網路運行、訪問監測管理,定期開展數據安全檢查;
(五)採取數據分類、備份和加密等安全措施;
(六)按照規定期限留存相關的網路日誌;
(七)發生數據安全事件時,立即採取措施,保存證據,並及時向行業主管部門和公安機關報告;
(八)發現違法發布或者傳輸信息的,立即停止發布、傳輸或者採取阻斷、攔截等措施,保留有關記錄,並及時向行業主管部門和公安機關報告;
(九)法律、法規規定的其他職責。
大數據安全責任人是個人的(以下簡稱個人大數據安全責任人),應當依法採取安全管理措施,妥善存儲、保管,合理使用,保障大數據安全。
第十五條單位大數據安全責任人採集、存儲、傳輸、處理、交換、套用、銷毀大數據等,應當根據網路安全等級保護要求,建立大數據安全防護管理制度、大數據安全審計制度,制定大數據安全應急預案,落實安全管理責任,並定期開展安全評測、風險評估和應急演練;採取安全保護技術措施,防止數據丟失、毀損、泄露和篡改。
前款規定活動涉及個人信息的,還應當遵守法律、法規關於個人信息保護的規定。
第十六條採集數據應當具有合法目的和用途,遵循最小且必要和正當原則,禁止過度採集;科學確定採集對象、範圍、內容、方式,依法進行採集,並保證數據的真實性、完整性、保密性。
國家機關採集數據應當經被採集人同意,法律、法規另有規定的除外。
採集數據不得侵犯國家秘密、商業秘密和個人信息,不得損害被採集人和他人合法權益。
除法律、法規另有規定外,向不特定公眾提供普遍信息、接入、瀏覽、訪問、行銷、推廣等網路服務的經營者,不得採集與其提供服務無關的數據,不得以使用人拒絕提供相關信息而限制或者拒絕其享受普遍服務。
第十七條除法律、法規另有規定外,任何單位和個人在公共場所設定數據採集設施、設備採集信息的,應當設定明顯標識,並報當地公安機關備案。留存的數據應當用於合法目的,不得非法向他人提供、查閱、複製和傳播。
第十八條存儲數據應當根據數據類型、規模、用途、安全等級、重要程度等因素,選擇相應安全性能和防護級別的系統、介質、設施設備,採取技術和管理措施,保障存儲系統和數據安全。
公共數據平台、企業數據中心等集中式大數據存儲中心,應當根據國家相關技術標準、規範要求和保障數據安全需要,科學選址,規範建設,建立容災備份、安全評價、日常巡查管理、防火防盜等安全管理制度,加強存儲環境、供電、通信和存儲系統、介質、設施設備安全審查。
第十九條傳輸數據應當合理選擇傳輸渠道,採取必要的安全措施,防止數據被竊取、泄露、篡改。
第二十條處理數據應當保護原始數據,不得隨意更改、偽造,不得通過惡意處理導致數據毀滅性更改和永久性丟失。
第二十一條交換數據應當維護數據的完整性、可用性。交換數據應當合法進行,交換雙方不得假冒他人或者以其他方式騙取數據交換。
第二十二條使用數據不得用於非法目的和用途。明知是通過攻擊、竊取、惡意訪問等非法方式獲取的數據,不得使用。
使用數據開展廣告宣傳、行銷推廣等活動,不得干擾被採集人正常生產生活,不得損害被採集人及他人合法權益。
第二十三條銷毀數據應當根據大數據安全保護管理需要,合理確定銷毀方式和銷毀要求。銷毀公共數據、涉及商業秘密和個人信息等重要數據的,應當進行安全風險評估。
第二十四條單位大數據安全責任人應當加強數據內容管理,定期清理、審查數據內容,發現其持有、管理、發布的數據含有違法內容的,應當及時予以處理,並採取相關補救措施;超出自身處理許可權的,應當立即停止使用,告知數據提供人並向公安機關報告。
第二十五條為他人提供基礎網路、網際網路數據中心或者系統服務的網路運營者,應當建立安全監測預警平台,加強對服務對象的數據安全管理,督促其建立安全管理制度,落實安全監測保護技術措施。
開展網際網路平台和數據空間等租賃業務的,出租人應當將租賃信息依法報通信管理部門備案,通信管理部門應當將備案信息與公安機關共享。未經出租人同意,承租人不得擅自轉租。涉及網際網路數據中心業務和網際網路接入服務業務的,應當遵守有關法律、法規的規定。
第二十六條各級人民政府及有關部門和公共機構、公共服務企業因信息公開、數據開放以及公示、公告等需要公布企業、個人數據的,應當採取脫密、脫敏等措施,防止泄露國家秘密、商業秘密和個人信息。
第二十七條銀行、保險、房地產、航空、鐵路、公路、供電、供水、供氣、郵政、通信、快遞、電子商務、旅遊服務等經營者和學校、醫療機構、社保、戶籍管理、車輛登記、公積金、社會信用管理等單位,應當加強內部管理,建立數據接觸、訪問審查等制度,明確數據提供、調用、分析、處理等許可權。
前款規定單位在經營、服務活動中獲取的用戶數據,除依法共享開放外,單位及其工作人員不得泄露,不得出售或者非法向他人提供。
第二十八條禁止發布、傳播下列信息:
(一)危害國家主權、安全和發展利益;
(二)損害社會公共利益和他人合法權益;
(三)煽動民族仇恨、民族歧視;
(四)黃、賭、毒等違法犯罪信息;
(五)法律、法規禁止的其他信息。
第二十九條禁止非法採集、竊取、存儲、傳輸、使用、買賣個人信息。
第三十條採集、存儲、使用、處理人臉、指紋、基因、疾病等生物特徵數據,應當遵守法律、法規的規定,不得危害國家安全、公共安全,不得侵犯個人合法權益。
第三十一條單位大數據安全責任人因公共數據共享開放提供數據,基於提供時的合理預見無安全風險的,提供人不承擔相關責任。
通過大數據分析、挖掘、整合等取得的數據或者得出的結論,可能危害國家安全、損害國家利益、社會公共利益的,不得使用、傳播,並應當立即停止相關活動,報公安機關依法予以處理。
第三章 監督管理
第三十二條省人民政府應當建立統一的大數據安全監管平台,負責大數據安全信息收集、分析評估和通報,監測大數據安全狀況,發布大數據安全監測預警信息,統籌協調大數據安全事件處置。
行業主管部門負責監測本行業、本領域大數據安全狀況,發布相關信息,督促、指導本行業、本領域的大數據監測預警處置工作。
關鍵信息基礎設施運營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要大數據安全責任單位,應當建立大數據安全監測預警平台,負責監測本單位大數據安全狀況,發布相關信息。
第三十三條縣級以上公安機關應當加強大數據安全風險分析、預測、評估,收集相關信息;發現可能導致較大範圍黑客攻擊、病毒蔓延等大數據安全事件的,應當及時發布預警信息,提出防範應對措施,指導、監督大數據安全責任人做好安全防範工作。
第三十四條行業主管部門、關鍵信息基礎設施和重要信息系統運營單位發現本行業、本單位大數據安全事件發生的風險增大時,應當加強監測,及時收集相關信息,開展安全風險分析評估,發布風險預警,並採取避免、減輕危害的措施。
第三十五條單位大數據安全責任人的應急預案應當包括大數據安全事件應急處置的組織機構及其職責、安全事件分級、應急回響程式、處置措施等內容,並定期組織演練。
關鍵信息基礎設施運營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人的應急預案,應當報行業主管部門和縣級以上公安機關備案。
第三十六條發生大數據安全事件時,安全責任人應當及時啟動應急預案,採取相應處置措施,防止危害擴大,告知可能受到影響的用戶,並向行業主管部門和縣級以上公安機關報告。行業主管部門和縣級以上公安機關應當根據事件的性質和特點,及時予以處置並依法發布相關信息。
處置大數據安全事件時應當保護現場,記錄並留存相關數據信息。
第三十七條縣級以上公安機關應當建立大數據安全日常監測制度,加強對大數據安全責任人履行安全職責情況的巡查、檢查,指導、監督安全責任人建立安全管理制度,加強安全風險防範,落實安全保障責任。
縣級以上公安機關發現有關單位和個人安全管理責任落實不到位,存在較大安全風險或者可能發生安全事件的,應當及時提出整改意見並督促落實。
第三十八條建立大數據安全情況報告制度。關鍵信息基礎設施經營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人,應當定期向行業主管部門和縣級以上公安機關報告大數據安全情況。
第三十九條有關部門因履行職責需要,按照有關法律、法規的規定要求提供掌握的巨觀經濟、社會管理、網路安全等數據的,有關單位和個人應當及時提供。
除依法共享開放外,有關部門不得將前款規定的數據用於與履行職責無關的用途。
第四十條大數據安全責任人應當協助公安機關、國家安全機關依法查處危害國家安全、公共安全及其他犯罪行為,為預防、偵查危害國家安全、公共安全及其他犯罪活動提供相關資料、數據和技術接口等支持。
大數據安全責任人按照前款規定或者公安機關、國家安全機關的要求採集的數據,未經公安機關、國家安全機關同意,不得自行處理、使用或者向他人提供。
第四十一條縣級以上社會信用管理部門應當建立大數據安全誠信檔案,記錄大數據安全責任人數據採集、管理、使用等信用信息,並按照有關規定納入社會信用體系。
第四章 支持與保障
第四十二條省人民政府應當支持大數據安全技術創新,推進大數據安全產業基地、園區和大數據安全城市建設,推動形成大數據安全產品研發、生產、套用的大數據安全產業鏈。
市、州和縣級人民政府應當採取相應措施,引導、扶持、推動大數據安全相關產業、技術、產品發展套用。
鼓勵高等院校、科研機構和企業事業單位加大大數據安全技術研發投入,開展大數據安全技術創新研究和大數據安全關鍵技術攻關,形成自主智慧財產權,推動科技成果轉化。
第四十三條省人民政府標準化部門應當會同有關部門制定並適時修訂有關大數據安全以及大數據產品、服務和運行安全的地方標準,建立和完善大數據安全地方標準體系。
鼓勵和支持企業、科研機構、高等院校和相關行業組織開展大數據安全相關標準的研究、制定和協同攻關,推動形成國家、行業和地方標準。
第四十四條縣級以上人民政府設立的大數據發展套用專項資金、大數據發展基金、科技成果轉化資金等,對大數據安全技術研發及成果轉化套用、安全規範和安全標準制定、安全監測預警平台建設、安全保障體系建設、容災備份體系建設、安全意識培訓等,應當給予支持。
符合國家稅收優惠政策規定的大數據安全企業,依法享受稅收優惠。
鼓勵金融機構創新金融產品,完善金融服務,支持大數據安全相關產業、技術、產品發展套用。
第四十五條縣級以上人民政府應當加強大數據安全監督管理人才隊伍建設,鼓勵和支持大數據安全及相關領域專業人才的培養、引進。
支持高等院校、科研機構大數據安全學科、專業等建設,開設大數據安全相關課程;創新教育培養模式,開展校企合作辦學,實行訂單式培養,為大數據安全提供人才支撐。
第四十六條縣級以上人民政府應當加強實體經濟企業大數據安全體系建設引導,支持實體經濟企業與大數據深度融合,加強實體經濟企業信息化、大數據套用系統的安全保障能力和安全防護意識。
第四十七條縣級以上人民政府推進大數據安全社會化服務體系建設,鼓勵和支持企業開展安全測評、電子認證、數據加密、容災備份等數據安全服務。
第四十八條鼓勵企業事業單位使用符合大數據安全要求的產品、技術、服務,並依法享受優惠政策。
第四十九條鼓勵和支持建立大數據安全實驗室、大數據安全靶場、技術驗證基地等,開展大數據及網路安全攻防演練,對大數據安全新技術、新套用、新產品進行測試、檢驗。
第五章 法律責任
第五十條違反本條例第十四條第一款、第十五條第一款、第二十四條、第二十七條第一款、第三十一條第二款的,由有關部門或者縣級以上公安機關責令改正,給予警告;拒不改正或者導致危害大數據安全等後果的,處以1萬元以上10萬元以下罰款,對直接負責的主管人員處以5000元以上5萬元以下罰款。
第五十一條違反本條例第十六條第一款、第二款規定,過度採集數據或者採集數據未經被採集人同意的,由有關部門或者縣級以上公安機關責令改正,給予警告;拒不改正的,處以5000元以上5萬元以下罰款,對直接負責的主管人員處以1000元以上1萬元以下罰款;造成損失的,依法予以賠償。
違反本條例第十六條第三款規定的,由有關部門或者縣級以上公安機關責令改正,給予警告;拒不改正的,處以1萬元以上10萬元以下罰款,對直接負責的主管人員處以5000元以上5萬元以下罰款。
第五十二條違反本條例第十七條規定的,由有關部門或者縣級以上公安機關責令改正,給予警告;拒不改正,或者擅自向他人提供、查閱、複製、傳播留存的數據且情節嚴重的,可處以5000元以上5萬元以下罰款,對直接負責的主管人員處以1000元以上1萬元以下罰款。
第五十三條違反本條例第十八條、第十九條、第二十條、第二十一條規定的,由有關部門或者縣級以上公安機關責令改正,給予警告。
違反本條例第十八條第二款規定,拒不改正或者導致危害大數據安全等後果的,由有關部門或者縣級以上公安機關處以10萬元以上100萬元以下罰款,對直接負責的主管人員處以1萬元以上10萬元以下罰款。
第五十四條違反本條例第二十二條規定的,由有關部門或者縣級以上公安機關責令改正,給予警告,沒收違法所得,可處以違法所得1倍以上5倍以下罰款;沒有違法所得的,處以5萬元以上50萬元以下罰款。
第五十五條違反本條例第二十三條規定,銷毀數據未進行安全風險評估的,由有關部門或者縣級以上公安機關責令改正,給予警告,可處以5000元以上5萬元以下罰款。
第五十六條違反本條例第二十五條第二款規定未備案或者擅自轉租的,由通信管理部門責令改正,給予警告;拒不改正的,可處以5000元以上5萬元以下罰款。
第五十七條違反本條例第二十七條第二款、第二十九條規定的,由有關部門或者縣級以上公安機關責令改正,給予警告,沒收違法所得,並可處以違法所得1倍以上10倍以下罰款;沒有違法所得的,處以100萬元以下罰款,對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下罰款;情節嚴重的,責令暫停相關業務、停業整頓,或者吊銷相關業務許可證、營業執照。
第五十八條違反本條例第四十條規定的,由縣級以上公安機關責令改正;拒不改正或者情節嚴重的,處以5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處以1萬元以上10萬元以下罰款。
第五十九條國家機關及其工作人員違反本條例規定,或者玩忽職守、濫用職權、徇私舞弊,妨礙大數據安全保障工作,尚不構成犯罪的,由其上級主管部門或者監察機關對直接負責的主管人員和其他直接責任人員依法予以處分。
第六十條違反本條例規定的其他行為,法律、法規有處罰規定的,從其規定。
第六章 附 則
第六十一條本條例自2019年10月1日起施行。
修改情況的說明
省人大常委會:
省十三屆人大常委會第八次會議對《貴州省大數據安全保障條例(草案)》(以下簡稱《條例草案》)進行了審議,常委會組成人員認為,為了明確大數據安全責任,保障大數據安全和個人信息安全,促進大數據發展套用,制定該條例是必要的。同時,常委會組成人員提出了一些修改意見。
會後,法工委將《條例草案》分送各級人大常委會和省人大常委會基層立法聯繫點徵求意見,並在省人大常委會網站全文公布徵求意見稿,廣泛徵求意見;2019年3月,法工委赴北京專門徵求公安部網路安全部門的意見。5月9日,法制委員會召開會議並邀請省人大財政經濟委員會、監察和司法委員會參加,對《條例草案》進行了審議,並對省十三屆人大常委會第八次會議的審議意見以及各有關方面提出的修改意見進行了認真研究,對《條例草案》進行了修改。現將有關情況說明如下:
1.刪除第六條第三款。
2.增加一條作為第七條,內容為:“縣級以上有關部門按照下列規定,履行大數據安全保障職責:
“(一)網信部門負責統籌協調、檢查指導和相關監督管理等工作;
“(二)公安機關負責安全保護和管理、風險評估、監測預警、應急處置和違法行為查處等監督管理工作;
“(三)大數據發展管理部門負責政府部門、重點行業數據資源安全保障的監督管理等工作;
“(四)通信管理部門負責通信行業安全監督管理等工作;
“(五)保密行政管理部門負責保密監督管理等工作;
“(六)密碼管理部門負責密碼監督管理等工作;
“(七)其他部門按照有關法律、法規的規定和各自職責做好大數據安全保障工作。”
3.增加一條作為第八條,內容為:“網信部門、公安機關、大數據發展管理部門以及行業主管部門為履行監督管理職責的需要,經部門負責人批准,可以對大數據安全責任人採取下列措施:
“(一)檢查生產、經營、管理、服務等情況;
“(二)查閱、複製相關檔案和資料;
“(三)開展約談;
“(四)法律、法規規定的其他措施。”
4.原第七條改為第九條,將“縣級以上人民政府大數據安全主管部門及其他有關部門”修改為“縣級以上網信、公安、大數據發展管理等部門”。
5.原第八條改為第十條,第二款和原第十三條第六項、原第二十三條、原第二十八條第二款、原第三十條、原第三十四條、原第三十八條中的“主管部門”統一修改為“公安機關”。
6.原第九條改為第十一條,第二款中的“有關行政主管部門收到投訴舉報應當依法及時查處,保護舉報人的合法權益”修改為“收到投訴舉報的部門應當依法及時查處,保護舉報人的合法權益;不屬於本部門職責的,應當及時移送有權處理的部門”。
7.原第十三條改為第十五條,第七項修改為:“發現違法發布或者傳輸信息的,立即停止發布、傳輸或者採取阻斷、攔截等措施,保留有關記錄,並及時向公安機關報告”。
8.原第十四條改為第十六條,第一款調整為原第十二條第一款,並修改為:“實行大數據安全責任制,保障大數據全生命周期安全。”
9.原第二十一條改為第二十三條,修改為:“使用數據,應當通過合法方式獲取數據,並保護數據所有人、提供人、採集人合法權益,不得用於非法目的和用途。明知是通過攻擊、竊取、惡意訪問等非法方式獲取的數據,不得使用。
“使用數據開展廣告宣傳、行銷推廣等活動,不得干擾被採集人正常生產生活,不得損害被採集人及他人合法權益。”
10.原第二十四條改為第二十六條,在第二款末尾增加“涉及網際網路數據中心業務和網際網路接入服務業務的經營者應當遵守有關法律、法規的規定”。
11.原第二十七條第一款單列一條作為第三十條。
12.增加一條作為第三十一條,內容為:“採集、存儲、使用、處理人臉、指紋、基因、疾病等生物特徵數據,應當遵守法律、法規的規定,不得危害國家安全、公共安全,損害個人身體健康。”
13.原第二十八條改為第三十二條,第一款修改為:“單位大數據安全責任人因公共數據共享開放提供數據,基於提供時的合理預見無安全風險的,提供人不承擔相關責任。”
14.原第三十七條改為第四十一條,刪除第一款中的“全量數據”;增加一款作為第二款,內容為:“大數據安全責任人按照前款規定或者公安機關、國家安全機關的要求採集的數據,未經公安機關、國家安全機關同意,不得自行處理、使用或者向他人提供。”
15.第四章章名修改為“支持與保障”。
16.原第四十條改為第四十四條,第一款修改為:“省人民政府標準化部門應當會同有關部門制定並適時修訂有關大數據安全以及大數據產品、服務和運行安全的地方標準,建立和完善大數據安全地方標準體系。”
17.刪除原第四十七條、原第四十八條。
18.增加一條作為第五十一條,內容為:“違反本條例第十五條第一款、第十六條第一款、第二十五條、第二十八條第一款、第三十二條第二款的,由縣級以上公安機關或者有關部門責令改正,給予警告;拒不改正或者導致危害大數據安全等後果的,處以1萬元以上10萬元以下罰款,對直接負責的主管人員處以5000元以上5萬元以下罰款。”
19.增加一條作為第五十二條,內容為:“違反本條例第十七條第一款、第二款規定,過度採集數據或者採集數據未經被採集人同意的,由縣級以上公安機關或者有關部門責令改正,給予警告;拒不改正的,處以5000元以上5萬元以下罰款,對直接負責的主管人員處以1000元以上1萬元以下罰款;造成損失的,依法予以賠償。
“違反本條例第十七條第三款規定的,由縣級以上公安機關或者有關部門責令改正,給予警告;拒不改正的,處以1萬元以上10萬元以下罰款,對直接負責的主管人員處以5000元以上5萬元以下罰款。”
20.增加一條作為第五十三條,內容為:“違反本條例第十八條規定的,由縣級以上公安機關或者有關部門責令改正,給予警告;拒不改正,或者擅自向他人提供、查閱、複製、傳播留存的數據且情節嚴重的,可以處以5000元以上5萬元以下罰款,對直接負責的主管人員處以1000元以上1萬元以下罰款。”
21.增加一條作為第五十四條,內容為:“違反本條例第十九條、第二十條、第二十一條、第二十二條規定的,由縣級以上公安機關或者有關部門責令改正,給予警告。
“違反本條例第十九條第二款規定,拒不改正或者導致危害大數據安全等後果的,由縣級以上公安機關或者有關部門處以10萬元以上100萬元以下罰款,對直接負責的主管人員處以1萬元以上10萬元以下罰款。”
22.增加一條作為第五十五條,內容為:“違反本條例第二十三條規定的,由縣級以上公安機關或者有關部門責令改正,給予警告,沒收違法所得,可以處以違法所得1倍以上5倍以下罰款;沒有違法所得的,處以5萬元以上50萬元以下罰款。”
23.增加一條作為第五十六條,內容為:“違反本條例第二十四條規定,銷毀數據未進行安全風險評估的,由縣級以上公安機關或者有關部門責令改正,給予警告,可以處以5000元以上5萬元以下罰款。”
24.增加一條作為第五十七條,內容為:“違反本條例第二十六條規定的,由縣級以上公安機關或者有關部門責令改正,給予警告;拒不改正的,可以處以5000元以上5萬元以下罰款。”
25.增加一條作為第五十八條,內容為:“違反本條例第二十八條第二款、第三十條規定的,由縣級以上公安機關或者有關部門責令改正,給予警告,沒收違法所得,並可處以違法所得1倍以上10倍以下罰款;沒有違法所得的,處以100萬元以下罰款,對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下罰款;情節嚴重的,責令暫停相關業務、停業整頓,或者吊銷相關業務許可證、營業執照。”
26.增加一條作為第五十九條,內容為:“違反本條例第四十一條規定的,由縣級以上公安機關責令改正;拒不改正或者情節嚴重的,處以5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處以1萬元以上10萬元以下罰款。”
此外,還對《條例草案》的部分條款作了文字技術處理,條文順序作了相應調整。
條例草案二次審議修改稿已按照上述意見作了修改,法制委員會建議提請本次常委會會議繼續審議。
條例草案二次審議修改稿和以上說明是否妥當,請審議。
修改情況的報告
省人大常委會:
本次會議對《貴州省大數據安全保障條例(草案三次審議修改稿)》(以下簡稱《條例草案三次審議修改稿》)和省人大法制委員會的審議結果報告進行了審議,常委會組成人員認為,《條例草案三次審議修改稿》吸收了省十三屆人大常委會第十次會議審議時常委會組成人員提出的意見,符合有關法律、法規的規定和我省實際,同意省人大法制委員會的審議結果報告,同意按本次會議審議的意見修改後提交會議表決。同時,常委會組成人員提出了一些修改意見。省人大法制委員會對這些意見進行了認真研究,提出了修改意見。現將有關情況報告如下:
1.第八條修改為:“省人民政府應當根據大數據發展套用總體規劃,編制大數據安全保障規劃;網信、公安、大數據發展管理等部門應當根據大數據安全保障規劃,編制本部門、本行業大數據安全保障專項規劃。”
2.刪除第十四條第一款第三項中的“制度”、第四項中的“防範網路侵入等危害數據安全”、第五項中的“防止數據丟失、損毀、泄露、篡改”、第七項中的“防止危害和損失擴大”。
3.第十七條中的“擅自”修改為“非法”。
4.刪除第二十條中的“留存”。
5.第三十三條中的“發生”修改為“導致”。
6.第四十二條第一款中的“省人民政府建立大數據安全技術創新中心、套用示範中心和科研培訓、產業孵化等基地”修改為“省人民政府應當支持大數據安全技術創新”。
7.第五十六條中的“規定”後增加“未備案或者擅自轉租”。
8.條例的施行日期明確為“2019年10月1日”。
此外,還對《條例草案三次審議修改稿》的部分條款作了文字技術處理。
草案表決稿已按照上述意見作了修改,法制委員會建議本次常委會會議審議通過。
以上報告是否妥當,請審議。
審議結果的報告
省人大常委會:
省十三屆人大常委會第十次會議對《貴州省大數據安全保障條例(草案二次審議修改稿)》(以下簡稱《條例草案二次審議修改稿》)和《貴州省人民代表大會法制委員會關於〈貴州省大數據安全保障條例(草案)〉修改情況的說明》進行了審議,常委會組成人員認為,《條例草案二次審議修改稿》吸納了常委會第八次會議的審議意見並進一步完善了相關內容。同時,常委會組成人員提出了一些修改意見。
會後,法工委組織召開省直有關部門和常委會諮詢專家參加的論證會;今年貴陽數博會期間,省大數據政策法律創新研究中心聯合中國法學會網路與信息法學研究會、法治研究所在貴陽對《條例草案二次審議修改稿》進行論證。2019年7月9日,法制委員會召開會議並邀請省人大財政經濟委員會、監察和司法委員會參加,對《條例草案二次審議修改稿》進行審議,並對省十三屆人大常委會第十次會議的審議意見和各有關方面提出的修改意見進行了認真研究。法制委員會認為,《條例草案二次審議修改稿》的內容符合有關法律、法規的規定,符合我省實際,文本基本成熟。同時,提出以下主要修改意見:
1.第七條第三項修改為:“大數據發展管理部門負責與大數據安全相關的數據管理、產業發展、技術套用等工作”;第四項修改為:“通信管理部門負責電信網、公共網際網路運行安全監督管理等工作”。
2.刪除第八條。
3.原第十五條改為第十四條,第一款增加一項作為第六項,內容為:“按照規定期限留存相關的網路日誌”。
4.原第十七條改為第十六條,第二款修改為:“國家機關採集數據應當經被採集人同意,法律、法規另有規定的除外。”
5.原第十八條改為第十七條,“除涉及國家安全、社會公共安全外”修改為“除法律、法規另有規定外”。
6.原第二十二條改為第二十一條,修改為:“交換數據應當維護數據的完整性、可用性。交換數據應當合法進行,交換雙方不得假冒他人或者以其他方式騙取數據交換。”
7.原第二十三條改為第二十二條,第一款中的“使用數據,應當通過合法方式獲取數據,並保護數據所有人、提供人、採集人合法權益,不得用於非法目的和用途”修改為“使用數據不得用於非法目的和用途”。
8.原第二十六條改為第二十五條,第二款修改為:“開展網際網路平台和數據空間等租賃業務的,出租人應當將租賃信息依法報通信管理部門備案,通信管理部門應當將備案信息與公安機關共享。未經出租人同意,承租人不得擅自轉租。涉及網際網路數據中心業務和網際網路接入服務業務的,應當遵守有關法律、法規的規定。”
9.原第三十六條改為第三十五條,刪除第一款。
10.原第三十九條改為第三十八條,刪除“具體範圍由省公安機關會同有關部門確定”。
11.原第四十一條改為第四十條,第一款中的“大數據安全、國家安全”修改為“國家安全、公共安全及其他”,“技術接口”前增加“數據”。
12.原第四十二條改為第四十一條,“公安機關應當會同有關部門”修改為“社會信用管理部門應當”。
13.原第四十九條改為第四十八條,刪除第一款。
14.原第五十七條改為第五十六條,修改為:“違反本條例第二十五條第二款規定的,由通信管理部門責令改正,給予警告;拒不改正的,可處以5000元以上5萬元以下罰款。”
此外,還對《條例草案二次審議修改稿》的部分條款作了文字技術處理,條文順序作了相應調整。
草案文本已按照上述意見作了修改,法制委員會建議提請本次常委會會議審議通過。
條例草案三次審議修改稿文本和以上報告是否妥當,請審議。
解讀
近年來,隨著大數據技術的發展及數據的快速增長,大數據安全問題日益凸顯。日前,貴州出台《貴州省大數據安全保障條例》,對大數據安全責任人的安全責任、監督管理、法律責任等進行了明確。
8月1日,貴州省十三屆人大常委會第十一次會議表決通過了該條例,將於2019年10月1日起施行。
條例明確,大數據安全責任人,是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的個人或單位,包括大數據所有人、持有人、管理人、使用人以及其他從事大數據採集、存儲、清洗、開發、套用、交易、服務等的個人和單位。
根據條例,使用數據應當通過合法方式獲取,並保護數據所有人、提供人、採集人合法權益,不得用於非法目的和用途。明知是通過攻擊、竊取、惡意訪問等非法方式獲取的數據,不得使用。違者由縣級以上公安機關或者有關部門責令改正,給予警告,沒收違法所得,可處違法所得1倍以上5倍以下罰款;沒有違法所得的,處5萬元以上50萬元以下罰款。
此外,條例規定,公共數據平台、企業數據中心等集中式大數據存儲中心,沒有根據國家相關技術標準、規範要求和保障數據安全需要,科學選址,規範建設,建立容災備份、安全評價、日常巡查管理、防火防盜等安全管理制度,拒不改正或者導致危害大數據安全等後果的,由縣級以上公安機關或者有關部門處以10萬元以上100萬元以下罰款,對直接負責的主管人員處以1萬元以上10萬元以下罰款。
