表決通過
2018年6月5日,《貴陽市大數據安全管理條例》(以下簡稱《條例》)經貴陽市第十四屆人大常委會第十三次會議表決通過,經貴州省人大常委會批准後將正式實施。屆時,貴陽大數據安全管理工作將有法可依。
《條例》內容
《條例》明確,大數據發展套用中,數據的所有者、管理者、使用者和服務提供者的法定代表人或主要負責人是本單位大數據安全的第一責任人。安全責任單位對個人信息和重要數據實行加密等安全保護,對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏脫密處理。違反上述數據安全保護義務的,由有關部門責令改正,給予警告;拒不改正或導致危害大數據安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。此外,安全責任單位還應當建立大數據安全審計制度,規定審計工作流程,記錄並保存數據分類、採集、清洗、轉換、載入、傳輸、存儲、複製、備份、恢復、查詢和銷毀等操作過程,定期進行安全審計分析。
條例全文
第一章總則
第一條
第二條本條例適用於本市行政區域內大數據發展套用中的安全保護、監督管理以及相關活動。
涉及國家秘密的大數據安全管理,按照有關保密法律法規的規定執行。
本條例所稱大數據安全,是指大數據發展套用中,數據的所有者、管理者、使用者和服務提供者(以下簡稱安全責任單位)採取保護管理的策略和措施,防範數據偽造、泄露或者被竊取、篡改、非法使用等風險與危害的能力、狀態和行動。
本條例所稱大數據,是指以容量大、類型多、存取速度快、套用價值高為主要特徵的數據集合,是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析,發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。
本條例所稱數據,是指通過計算機或者其他信息終端及相關設備組成的系統收集、存儲、傳輸、處理和產生的各種電子化的信息。
第三條實施大數據安全管理,應當堅持正確的網路安全觀,遵循統一領導、政府管理、行業自律、社會監督、風險防控、權責統一、包容審慎、支持創新的原則。
第四條 市人民政府統一領導本市大數據安全管理工作。區(市、縣)人民政府領導本轄區大數據安全管理工作。
第五條 市網信部門負責統籌協調全市大數據安全監督管理工作,組織開展全市關鍵信息基礎設施監管等工作。區(市、縣)網信部門按照職責負責綜合協調本轄區大數據安全監督管理工作。
市公安機關負責開展大數據安全的等級保護、日常巡查、執法檢查、信息通報、應急處置等監督管理工作。區(市、縣)公安機關按照職責負責本轄區大數據安全監督管理工作。
市大數據主管部門統籌協調本市大數據安全保障體系建設。區(市、縣)大數據主管部門按照職責負責本轄區大數據安全管理的相關工作。
保密、國家安全、密碼管理、通信管理等主管部門按照各自職責,做好大數據安全管理的相關工作。
第六條安全責任單位應當加強大數據安全能力建設,履行大數據安全保護職責,接受有關主管部門監督管理和社會監督。
第七條 縣級以上人民政府以及網信、公安、大數據等主管部門和安全責任單位、大眾傳播媒介按照各自職責,做好大數據安全宣傳教育工作。
第八條市人民政府設立統一的大數據安全監管服務、投訴舉報平台,建立相應的工作機制。
任何單位和個人都有權投訴舉報危害大數據安全的行為;有關部門應當對投訴舉報予以保密。
第二章安全保障
第九條安全責任單位應當根據職責明確、意圖合規、質量保障、數據最小化、最小授權操作、分類分級保護和可審計的原則,採取有效措施保護數據的保密性、完整性、真實性、可控性、可靠性和可核查性。
第十條 安全責任單位的法定代表人或者主要負責人是本單位大數據安全的第一責任人。
安全責任單位應當根據數據的生命周期、規模、重要性和本單位的性質、類別、規模等因素,建立安全管理內控制度和支撐保障機制,明確安全管理負責人,落實不同崗位的安全管理職責;關鍵信息基礎設施的運營者還應當設定專門安全管理機構。
第十一條 安全責任單位應當根據數據類型、級別、敏感程度以及數據安全能力成熟度等要求,制定安全規則、管理規範和操作規程,採取相應的安全管理策略、管理措施和技術手段實施有效管理。
第十二條安全責任單位應當按照大數據安全等級保護要求進行系統安全功能配置,制定實施系統配置技術管理規程、軟體採購使用限制策略和外部組件使用安全策略,規定配置管理的審批、操作流程,提供符合規範標準的管理與服務,對系統重要配置進行及時更新。
第十三條 安全責任單位應當制定完善訪問控制策略,採取授權訪問、身份認證等技術措施,防止未經授權查詢、複製、修改或者傳輸數據。對個人信息和重要數據實行加密等安全保護,對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏脫密處理。
第十四條安全責任單位應當建立大數據安全審計制度,規定審計工作流程,記錄並保存數據分類、採集、清洗、轉換、載入、傳輸、存儲、複製、備份、恢復、查詢和銷毀等操作過程,定期進行安全審計分析。
第十五條存儲數據,應當選擇安全性能、防護級別與其安全等級相匹配的存儲載體,並且依法進行管理和維護。
銷毀數據,應當按照數據分類分級建立審查機制,明確銷毀對象、流程和技術等要求,設定相關監督角色,以不可逆方式銷毀數據內容。
第十六條安全責任單位服務外包業務涉及收集、存儲、傳輸或者套用數據的,應當依法與外包服務提供商簽訂安全保護協定,採取安全保護措施,並對導出、複製、銷毀數據等行為進行監督。
第十七條支持依法成立的大數據行業組織依照法律、法規和章程的規定,制定行業安全規範和服務標準,對其會員的大數據安全行為進行自律管理,組織開展大數據安全教育、業務培訓,推進大數據安全合作、交流,提高大數據安全管理水平和從業人員素質。
第十八條市人民政府應當建立聯席會議制度,研究、解決大數據安全工作的重大事項、重點工作和重要問題。
縣級以上人民政府應當整合大數據安全防範、保障等資源,建立重點領域工作聯動、會商、約談、通報、巡查和決策諮詢等機制,統籌有關職能部門履行大數據安全監督管理職責,防範安全風險。
第十九條市人民政府建立大數據安全靶場和產品檢驗場地,對大數據安全新技術、新套用、新產品進行測試、檢驗,定期開展攻防演練,促進大數據安全城市建設。
第二十條 縣級以上人民政府應當採取資金扶持、開設綠色通道等措施,支持大數據安全技術產業發展、安全技術研發套用和安全管理方式創新。
鼓勵企業、科研機構、高等院校、職業學校和相關行業組織建立教育實踐和培訓基地,開設相關專業課程,加強人才交流,多形式培養、引進和使用大數據安全人才。
第二十一條市公安機關負責大數據安全投訴舉報平台的運行、維護和管理工作,公布投訴舉報方式等信息,即時受理投訴舉報,按照規定時限回復;對不屬於本部門職責的,移送有關部門處理。有關部門處理後,應當按照規定時限反饋市公安機關。
安全責任單位應當建立大數據安全投訴舉報制度,公布投訴舉報方式等信息,接受和處理用戶及相關利害關係人的投訴舉報。
第二十二條網信、公安、大數據、標準化、工業和信息化等主管部門應當加強大數據安全的國家標準、行業標準和地方標準的宣傳、培訓,引導、鼓勵安全責任單位採用大數據安全國家推薦標準、行業標準和地方標準。
鼓勵支持教育、科研機構和企業參與大數據安全的國家標準、行業標準和地方標準的研究、制定。
鼓勵安全責任單位運用區塊鏈等新技術手段,最佳化數據聚通用架構,強化信任認證和防篡改設計,提升大數據安全防護水平。
第二十三條 市大數據主管部門應當配合制定大數據安全保護標準體系,指導數據資源分類分級、數據安全能力成熟度認定和數字認證等相關工作。
第二十四條 縣級以上人民政府以及有關部門應當通過報刊雜誌、電台電視台、入口網站、微信微博等途徑,運用安全宣傳周、主題日、專題會、研討班、套用場景展示、競賽等形式,經常性地對公眾以及大數據安全重點領域、重點行業、重點單位、重點人群等組織開展大數據安全法律法規、形勢政策和知識技能的宣傳培訓。
安全責任單位應當制定計畫,對員工、用戶以及本單位的重點部位、重點設施、重點崗位安全工作人員開展大數據安全法律法規、知識技能等教育、培訓和考核,提升大數據安全意識和防護技能水平。
第三章監測預警與應急處置
第二十五條市公安機關負責大數據安全監管服務平台的日常維護管理,加強對平台監測信息、監督檢查信息和上級通報信息的分析、安全形勢研判和風險評估,按照規定發布安全風險預警或者信息通報。
區(市、縣)公安機關應當及時落實上級公安機關通過大數據安全監管服務平台發布的各項指令。
第二十六條縣級以上人民政府應當根據國家和省的規定,落實大數據安全應急工作機制,明確工作責任、程式和規範;制定大數據安全事件應急預案,明確應急處置組織機構及其職責、事件分級、回響程式、保障手段和處置措施;定期組織演練,評估演練效果,分析存在問題,總結處置經驗,提出改進和完善應急預案的意見。
發生大數據安全事件時,縣級以上人民政府應當依法按程式啟動應急預案,組織網信、公安、大數據等主管部門針對事件的性質和特點,採取應急措施處置。
第二十七條安全責任單位應當制定大數據安全事件預警通報制度和應急預案,建立和實施安全事件預警、輿情監控、風險評估和應急回響的策略、規程,保持與有關主管部門、設備設施及軟體服務提供商、安全機構、新聞媒體和用戶的聯絡、協作。
發生大數據安全事件時,安全責任單位應當依法按程式啟動應急預案,採取相應措施防止危害擴大,保存相關記錄,告知可能受到影響的用戶,按照規定向有關主管部門報告。
第四章監督檢查
第二十八條 縣級以上人民政府應當將大數據安全管理工作納入年度目標績效考核。
第二十九條縣級以上人民政府應當建立健全大數據安全工作監督檢查機制,明確監督檢查的牽頭部門、責任分工、內容、重點、目標、方式和標準。
監督檢查的情況,應當在有關主管部門之間互通和共享。
第三十條 公安機關應當監督、檢查、指導安全責任單位建立、落實大數據安全管理的各項制度和技術措施,依法查處大數據安全違法案件。
第三十一條大數據主管部門應當結合監督檢查大數據安全責任落實的情況,定期組織開展大數據安全風險評估,發布評估報告。
第三十二條 有關主管部門在監督檢查、風險評估和攻防演練中,發現安全責任單位存在安全問題的,應當及時提出改進建議,發出整改意見並且督促整改。
安全責任單位應當根據有關主管部門的整改意見進行整改,並且反饋整改情況。
第三十三條公安、大數據主管部門應當建立大數據安全管理誠信檔案,記錄違法信息,納入統一的信用共享平台管理。
第五章法律責任
第三十四條安全責任單位不履行本條例第十條、第十一條、第十二條、第十三條、第十四條和第二十七條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害大數據安全等後果的,處1萬元以上10萬元以下罰款,對直接負責的主管人員處5000元以上5萬元以下罰款。
第三十五條違反本條例規定的其他行為,依據《中華人民共和國網路安全法》等法律、法規的相關規定處理。
第三十六條安全責任單位中的國家機關不履行本條例規定的大數據安全保護職責的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
大數據安全監督管理有關主管部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六章附則
第三十七條本條例自2018年10月1日起施行。
審議意見的報告
省人大常委會:
本次會議對《貴陽市大數據安全管理條例》(以下簡稱《條例》)和省人大法制委員會的審議結果報告進行了審議。常委會組成人員認為,《條例》的內容符合有關法律、法規的規定,同意本次會議予以批准,同意省人大法制委員會的審議結果報告。同時,常委會組成人員也提出了一些修改意見。省人大法制委員會對這些意見進行了認真研究,提出了修改建議。現將有關情況報告如下:
1.第二條第二款中的“大數據安全保護”修改為“大數據安全管理”;增加一款作為第四款,內容為:“本條例所稱大數據,是指以容量大、類型多、存取速度快、套用價值高為主要特徵的數據集合,是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析,發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。”
2.第八條第二款修改為:“任何單位和個人都有權投訴舉報危害大數據安全的行為;有關部門應當對投訴舉報予以保密。”
3.第十條第二款修改為:“安全責任單位應當根據數據的生命周期、規模、重要性和本單位的性質、類別、規模等因素,建立安全管理內控制度和支撐保障機制,明確安全管理負責人,落實不同崗位的安全管理職責;關鍵信息基礎設施的運營者還應當設定專門安全管理機構。”
4.《條例》的施行日期明確為“2018年10月1日”。
此外,還對《條例》部分條款作了文字技術處理。
審議結果的報告
省人大常委會:
貴陽市第十四屆人民代表大會常務委員會第十三次會議於2018年6月5日審議通過了《貴陽市大數據安全管理條例》(以下簡稱《條例》),並報請省人大常委會批准。
常委會法工委於2018年6月21日召開省人大內司委、省直有關部門和省人大常委會諮詢專家參加的論證會,徵求對《條例》的修改意見。7月5日,法制委員會召開會議,會同省人大內司委對《條例》進行審議,並對有關方面提出的修改意見進行認真研究。法制委員會認為,貴陽市為加強對大數據安全的管理,制定《條例》是必要的;《條例》的內容符合有關法律、法規的規定,符合貴陽市實際,具有可操作性,建議本次會議審議後予以批准。同時,提出如下修改建議:
1.第八條第二款修改為:“任何單位和個人都有權投訴舉報危害大數據安全的行為;有關部門應當對投訴舉報予以保密。”
2.第十條第二款修改為:“安全責任單位應當根據數據的生命周期、規模、重要性和本單位的性質、類別、規模等因素,建立安全管理內控制度和支撐保障機制,明確安全管理負責人,落實不同崗位的安全管理職責;關鍵信息基礎設施的運營者還應當設定專門安全管理機構。”
此外,建議對《條例》部分條款作文字技術處理。
以上報告,請予審議。
解讀
貴陽市人民代表大會常務委員會近日發布公告,全文公布《貴陽市大數據安全管理條例》(以下簡稱《條例》),明確自2018年10月1日起施行。
為了加強大數據安全管理,維護國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進大數據發展套用,推動實施大數據戰略,貴陽市根據《中華人民共和國網路安全法》等有關法律法規的規定,結合貴陽市實際制定了《條例》。《條例》包括總則、安全保障、監測預警與應急處置、監督檢查、法律責任、附則六章,共三十七條。
《條例》明確,貴陽市人民政府統一領導貴陽市大數據安全管理工作,市網信部門負責統籌協調全市大數據安全監督管理工作,市公安機關負責開展大數據安全的等級保護、日常巡查、執法檢查、信息通報、應急處置等監督管理工作,市大數據主管部門統籌協調本市大數據安全保障體系建設,保密、國家安全、密碼管理、通信管理等主管部門按照各自職責,做好大數據安全管理的相關工作。貴陽市人民政府設立統一的大數據安全監管服務、投訴舉報平台,建立相應的工作機制,任何單位和個人都有權投訴舉報危害大數據安全的行為,有關部門應當對投訴舉報予以保密。
安全保障方面,《條例》明確,安全責任單位的法定代表人或者主要負責人是本單位大數據安全的第一責任人。安全責任單位應當制定完善訪問控制策略,採取授權訪問、身份認證等技術措施,防止未經授權查詢、複製、修改或者傳輸數據;對個人信息和重要數據實行加密等安全保護,對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏脫密處理。貴陽市人民政府建立大數據安全靶場和產品檢驗場地,對大數據安全新技術、新套用、新產品進行測試、檢驗,定期開展攻防演練,促進大數據安全城市建設。
根據《條例》,縣級以上人民政府應當將大數據安全管理工作納入年度目標績效考核,建立健全大數據安全工作監督檢查機制。公安機關應當監督、檢查、指導安全責任單位建立、落實大數據安全管理的各項制度和技術措施,依法查處大數據安全違法案件。公安、大數據主管部門應當建立大數據安全管理誠信檔案,記錄違法信息,納入統一的信用共享平台管理。安全責任單位不履行本《條例》規定的數據安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害大數據安全等後果的,處1萬元以上10萬元以下罰款,對直接負責的主管人員處5000元以上5萬元以下罰款。