貴陽市人(rén)大(dà)常委會(huì)辦公廳

2018年3月8日

貴陽市人(rén)大(dà)常委會(huì)

關于《貴陽市大(dà)數(shù)據安全管理(lǐ)條例（草案）》公開(kāi)征求意見的公告


第一章 總則

第一條 為(wèi)了維護國家(jiā)安全、社會(huì)公共利益，保護公民、法人(rén)和(hé)其他組織的合法權益，加強數(shù)據安全管理(lǐ)，促進大(dà)數(shù)據發展應用，推動實施大(dà)數(shù)據戰略，根據《中華人(rén)民共和(hé)國網絡安全法》等法律法規的規定，結合本市實際，制(zhì)定本條例。

第二條 本條例适用于本市行(xíng)政區(qū)域內(nèi)大(dà)數(shù)據發展應用中數(shù)據的安全規範和(hé)監督管理(lǐ)以及相關活動。

涉及國家(jiā)秘密的數(shù)據安全保護工作(zuò)，按照有(yǒu)關保密法律法規的規定執行(xíng)。

本條例所稱數(shù)據安全，是指在大(dà)數(shù)據發展應用中，數(shù)據的所有(yǒu)者、管理(lǐ)者、使用者和(hé)服務提供者（以下簡稱數(shù)據安全責任單位）采取安全保護策略和(hé)措施，防範數(shù)據被攻擊、洩漏、竊取、篡改、非法使用的能力、狀态和(hé)行(xíng)動。

本條例所稱數(shù)據，是指網絡數(shù)據，即通(tōng)過網絡收集、存儲、傳輸、處理(lǐ)和(hé)産生(shēng)的各種電(diàn)子數(shù)據。

第三條 實施數(shù)據安全管理(lǐ)，應當遵循政府主導、保護創新、審慎監管、權責統一、預防和(hé)控制(zhì)風險的原則。

第四條 市人(rén)民政府統一領導本市數(shù)據安全管理(lǐ)工作(zuò)。區(qū)（市、縣）人(rén)民政府領導本轄區(qū)數(shù)據安全管理(lǐ)工作(zuò)。

第五條 市網信部門(mén)負責綜合協調全市數(shù)據安全監督管理(lǐ)工作(zuò)，統籌組織開(kāi)展全市關鍵信息基礎設施監管和(hé)數(shù)據安全責任單位自查、檢查督促、問題整改等工作(zuò)。區(qū)（市、縣）網信部門(mén)按照職責負責綜合協調本轄區(qū)數(shù)據安全監督管理(lǐ)工作(zuò)。

市公安機關負責開(kāi)展數(shù)據安全的等級保護、日常巡查、執法檢查、信息通(tōng)報、應急處置等監督管理(lǐ)工作(zuò)。區(qū)（市、縣）公安機關按照職責負責本轄區(qū)數(shù)據安全監督管理(lǐ)工作(zuò)。

市大(dà)數(shù)據主管部門(mén)統籌協調本市數(shù)據安全保障體(tǐ)系建設，區(qū)（市、縣）大(dà)數(shù)據主管部門(mén)按照職責負責本轄區(qū)數(shù)據安全管理(lǐ)的相關工作(zuò)。

保密、國家(jiā)安全、電(diàn)信等有(yǒu)關部門(mén)按照各自職責，做(zuò)好數(shù)據安全管理(lǐ)的相關工作(zuò)。

第六條 數(shù)據安全責任單位應當加強數(shù)據服務安全能力建設，履行(xíng)數(shù)據安全責任義務，接受有(yǒu)關部門(mén)監督管理(lǐ)和(hé)社會(huì)監督。

第七條 公安、大(dà)數(shù)據等有(yǒu)關部門(mén)應當建立數(shù)據安全管理(lǐ)誠信檔案，記錄違法失信行(xíng)為(wèi)，納入統一的信用共享平台管理(lǐ)。

第八條 縣級以上(shàng)人(rén)民政府以及網信、公安、大(dà)數(shù)據等有(yǒu)關部門(mén)和(hé)數(shù)據安全責任單位、大(dà)衆傳播媒介，應當做(zuò)好數(shù)據安全宣傳、教育和(hé)培訓工作(zuò)。

第九條 标準化、網信、大(dà)數(shù)據、公安、工業和(hé)信息化等有(yǒu)關部門(mén)應當加強數(shù)據安全的國家(jiā)标準、行(xíng)業标準和(hé)地方标準的宣傳、培訓，引導、鼓勵數(shù)據安全責任單位采用數(shù)據安全國家(jiā)推薦标準、行(xíng)業标準和(hé)地方标準。

鼓勵支持教育、科研機構和(hé)企業參與數(shù)據安全的國家(jiā)标準、行(xíng)業标準和(hé)地方标準的研究、制(zhì)定。

鼓勵數(shù)據安全責任單位運用區(qū)塊鏈等技(jì)術(shù)手段，優化數(shù)據聚通(tōng)用架構，強化防篡改和(hé)去中心化設計(jì)，提高(gāo)數(shù)據安全防護能力和(hé)水(shuǐ)平。

第十條 市人(rén)民政府應當建立統一的數(shù)據安全投訴舉報平台。任何單位和(hé)個(gè)人(rén)都有(yǒu)權投訴舉報危害數(shù)據安全的行(xíng)為(wèi)。


第二章 安全保障

第十一條 市大(dà)數(shù)據主管部門(mén)應當組織編制(zhì)數(shù)據安全保障規劃，按照規定報市人(rén)民政府批準後組織實施。

大(dà)數(shù)據主管部門(mén)應當配合制(zhì)定數(shù)據安全保護标準體(tǐ)系，組織指導數(shù)據資源分類分級、數(shù)據安全能力成熟度認定和(hé)數(shù)字認證等相關工作(zuò)。

第十二條 大(dà)數(shù)據安全責任單位應當根據職責明(míng)确、意圖合規、質量保障、數(shù)據最小(xiǎo)化、最小(xiǎo)授權操作(zuò)、分類分級保護、可(kě)審計(jì)和(hé)責任不随數(shù)據轉移的原則，采取有(yǒu)效措施保護數(shù)據的保密性、完整性、真實性、可(kě)用性、可(kě)靠性和(hé)可(kě)核查性。

第十三條 數(shù)據安全責任單位的法定代表人(rén)或者主要負責人(rén)是本單位數(shù)據安全的第一責任人(rén)。

數(shù)據安全責任單位應當根據數(shù)據的生(shēng)命周期、規模、重要性和(hé)本單位的規模等因素，建立數(shù)據安全管理(lǐ)內(nèi)控制(zhì)度，明(míng)确和(hé)落實不同崗位的數(shù)據安全管理(lǐ)職責；必要時(shí)成立安全管理(lǐ)團隊負責數(shù)據安全管理(lǐ)工作(zuò)。

第十四條 數(shù)據安全責任單位應當按照數(shù)據安全等級保護要求進行(xíng)數(shù)據系統的安全功能配置，制(zhì)定實施系統配置技(jì)術(shù)管理(lǐ)規程、軟件采購使用限制(zhì)策略和(hé)外部組件使用安全策略，規定配置管理(lǐ)的審批、操作(zuò)流程，提供符合規範标準的系統補丁、密鑰管理(lǐ)與服務，定期變更受控配置，并對數(shù)據系統的病毒庫、入侵檢測規則庫、防火(huǒ)牆規則庫、漏洞庫等與數(shù)據安全相關的重要配置進行(xíng)更新。

第十五條 數(shù)據責任單位應當建立數(shù)據安全審計(jì)制(zhì)度，規定審計(jì)工作(zuò)流程，記錄并保存數(shù)據分類、采集、清洗、轉換、加載、傳輸、存儲、複制(zhì)、備份、恢複、查詢和(hé)銷毀等操作(zuò)過程，定期進行(xíng)安全審計(jì)分析。

數(shù)據責任單位應當制(zhì)定完善訪問控制(zhì)策略，采取授權訪問、身份認證等技(jì)術(shù)措施，防止未經授權查詢、複制(zhì)、修改或者傳輸數(shù)據。

第十六條 數(shù)據安全責任單位應當根據數(shù)據類型、級别、敏感程度以及數(shù)據安全能力成熟度等要求，制(zhì)定安全規則、管理(lǐ)規範和(hé)操作(zuò)規程，采取相應的安全管理(lǐ)策略、管理(lǐ)措施和(hé)技(jì)術(shù)手段，對工具、服務組件等實施有(yǒu)效管理(lǐ)，對個(gè)人(rén)信息和(hé)重要數(shù)據實行(xíng)加密等安全保護。

數(shù)據安全責任單位應當建立數(shù)據脫敏脫密處理(lǐ)機制(zhì)，對涉及國家(jiā)安全、社會(huì)公共利益、商業秘密、個(gè)人(rén)信息的數(shù)據依法進行(xíng)脫敏脫密處理(lǐ)。

第十七條 存儲數(shù)據，應當選擇安全性能、防護級别與數(shù)據安全等級相匹配的存儲載體(tǐ)，并且依法進行(xíng)管理(lǐ)和(hé)維護。

第十八條 數(shù)據不需要繼續用于既定目的或者繼續存儲将妨礙數(shù)據主體(tǐ)合法權益的，數(shù)據安全責任單位應當立即銷毀。

銷毀數(shù)據，應當按照數(shù)據分類分級建立審批機制(zhì)，明(míng)确銷毀對象、流程、方式、方法和(hé)技(jì)術(shù)等要求，設置相關監督角色，以不可(kě)逆方式銷毀數(shù)據內(nèi)容。

第十九條 數(shù)據安全責任單位服務外包業務涉及收集、存儲、傳輸或者應用數(shù)據的，應當與外包服務提供商簽訂安全保護協議，采取安全保護措施，并且對導出、複制(zhì)、銷毀數(shù)據等行(xíng)為(wèi)進行(xíng)監督。

第二十條 數(shù)據安全責任單位應用和(hé)處理(lǐ)數(shù)據，可(kě)能産生(shēng)涉敏涉密數(shù)據的，應當依法自行(xíng)或者委托符合條件的機構進行(xíng)安全風險評估。

第二十一條 市人(rén)民政府應當建立聯席會(huì)議制(zhì)度，研究、解決數(shù)據安全工作(zuò)的重大(dà)事項、重點工作(zuò)和(hé)重要問題。

縣級以上(shàng)人(rén)民政府應當整合數(shù)據安全防範、保障等資源，建立重點領域工作(zuò)聯動、會(huì)商、約談、通(tōng)報、巡查等機制(zhì)，統籌有(yǒu)關職能部門(mén)履行(xíng)數(shù)據安全監督管理(lǐ)職責，防範安全風險，提升安全保護水(shuǐ)平。

第二十二條 市公安機關應當做(zuò)好數(shù)據安全投訴舉報平台的運行(xíng)、維護和(hé)管理(lǐ)工作(zuò)，公布投訴、舉報方式等信息，按照規定時(shí)限登記、處理(lǐ)和(hé)回複投訴舉報信息；對不屬于本部門(mén)職責的，移送有(yǒu)關部門(mén)處理(lǐ)。有(yǒu)關部門(mén)處理(lǐ)後，應當按照規定時(shí)限反饋市公安機關。

數(shù)據安全責任單位應當建立數(shù)據安全舉報投訴制(zhì)度，公布投訴、舉報方式等信息，接受和(hé)處理(lǐ)用戶及相關利害關系人(rén)的舉報投訴。

第二十三條 市人(rén)民政府應當加強大(dà)數(shù)據安全城市建設，建立大(dà)數(shù)據安全靶場(chǎng)和(hé)産品檢驗場(chǎng)地，對大(dà)數(shù)據安全新技(jì)術(shù)、新産品、新應用進行(xíng)測試檢驗，定期開(kāi)展攻防演練。

第二十四條 縣級以上(shàng)人(rén)民政府應當采取資金扶持、開(kāi)設綠色通(tōng)道(dào)等措施，支持數(shù)據安全技(jì)術(shù)産業、項目和(hé)數(shù)據安全技(jì)術(shù)、管理(lǐ)方式的研究開(kāi)發、創新應用。

鼓勵企業、科研機構、高(gāo)等院校(xiào)、職業學校(xiào)和(hé)相關行(xíng)業組織根據市級以上(shàng)人(rén)民政府明(míng)确的優惠、便利政策措施，建立教育實踐和(hé)培訓基地，開(kāi)設相關專業課程，多(duō)形式培養、引進和(hé)使用大(dà)數(shù)據安全人(rén)才。
  
第二十五條 縣級以上(shàng)人(rén)民政府以及有(yǒu)關部門(mén)應當通(tōng)過報刊雜志(zhì)、電(diàn)台電(diàn)視(shì)台、門(mén)戶網站(zhàn)、政府微信微博等途徑，運用數(shù)據安全周、主題日、專題會(huì)、研討(tǎo)班、應用場(chǎng)景展示、競賽等形式，經常性地對數(shù)據安全重點領域、重點行(xíng)業、重點單位、重點人(rén)群等組織開(kāi)展數(shù)據安全法律法規、形勢任務和(hé)知識技(jì)能的宣傳教育培訓。

數(shù)據安全責任單位應當制(zhì)定計(jì)劃，對重點部位、重點設施、重點崗位數(shù)據安全工作(zuò)人(rén)員開(kāi)展數(shù)據安全法律法規、知識技(jì)能等教育、培訓和(hé)考核，提升數(shù)據安全意識和(hé)防護技(jì)能水(shuǐ)平。
  

第三章 監測預警與應急處置

第二十六條 市人(rén)民政府應當建立數(shù)據安全風險監測預警平台，落實國家(jiā)數(shù)據安全風險監測預警和(hé)信息通(tōng)報制(zhì)度。

市公安機關應當對數(shù)據安全風險監測預警平台進行(xíng)日常維護管理(lǐ)，加強對平台監測信息、監督檢查信息和(hé)上(shàng)級通(tōng)報信息的分析、安全形勢研判和(hé)風險評估，按照規定發布安全風險預警或者信息通(tōng)報。

區(qū)（市、縣）公安機關應當及時(shí)落實上(shàng)級公安機關通(tōng)過數(shù)據安全風險監測預警平台發布的各項指令。

第二十七條 縣級以上(shàng)人(rén)民政府應當根據國家(jiā)和(hé)省的規定，落實數(shù)據安全應急工作(zuò)機制(zhì)，明(míng)确工作(zuò)責任、程序和(hé)規範要求；制(zhì)定數(shù)據安全事件應急預案，明(míng)确應急處置組織機構及其職責、事件分級、應急響應程序和(hé)處置措施；定期組織演練，評估演練效果，分析存在問題，總結處置經驗，提出修訂完善和(hé)改進應急預案的意見。

發生(shēng)數(shù)據安全事件時(shí)，縣級以上(shàng)人(rén)民政府應當依法按程序啓動應急預案，組織公安、大(dà)數(shù)據等有(yǒu)關部門(mén)針對事件的性質和(hé)特點，采取應急措施處置。

第二十八條 數(shù)據安全責任單位應當制(zhì)定和(hé)實施安全事件預警通(tōng)報制(zhì)度、數(shù)據安全事件應急預案，建立和(hé)實施安全事件預警、輿情監控、風險評估和(hé)應急響應的策略、規程，建立和(hé)保持與有(yǒu)關部門(mén)、設備設施及軟件服務提供商、安全機構、新聞媒體(tǐ)和(hé)用戶等有(yǒu)關各方的聯絡、協作(zuò)。

發生(shēng)數(shù)據安全事件時(shí)，數(shù)據安全責任單位應當按程序啓動應急預案，采取相應措施防止危害擴大(dà)，保存相關記錄，告知可(kě)能受到影(yǐng)響的用戶，按照規定向有(yǒu)關部門(mén)報告。


第四章 監督檢查

第二十九條 縣級以上(shàng)人(rén)民政府應當将數(shù)據安全管理(lǐ)工作(zuò)納入年度目标績效考核。

第三十條 縣級以上(shàng)人(rén)民政府應當建立健全數(shù)據安全工作(zuò)監督檢查機制(zhì)，明(míng)确監督檢查的牽頭部門(mén)、責任分工、內(nèi)容、重點、目标、方式和(hé)标準。

監督檢查的情況，應當在有(yǒu)關部門(mén)之間(jiān)實行(xíng)互通(tōng)和(hé)共享。

第三十一條 公安機關應當監督、檢查、指導數(shù)據安全責任單位建立、落實數(shù)據安全管理(lǐ)的各項制(zhì)度和(hé)技(jì)術(shù)措施，履行(xíng)數(shù)據安全管理(lǐ)職責，依法查處數(shù)據安全違法案件。

第三十二條 大(dà)數(shù)據主管部門(mén)應當結合監督檢查數(shù)據安全責任落實的情況，定期組織開(kāi)展數(shù)據安全風險評估，發布評估報告。

第三十三條 有(yǒu)關部門(mén)在監督檢查、風險評估和(hé)攻防演練中，發現數(shù)據安全責任單位存在安全問題的，應當及時(shí)提出改進建議，發出整改意見并且督促整改。

數(shù)據安全責任單位應當根據有(yǒu)關部門(mén)的整改意見要求進行(xíng)整改，并且反饋整改情況。

  
第五章 法律責任

第三十四條 數(shù)據安全責任單位不履行(xíng)本條例第十三條、第十四條、第十五條和(hé)第十六條規定的數(shù)據安全保護義務的，由有(yǒu)關部門(mén)責令改正，給予警告；拒不改正或者導緻危害數(shù)據安全等後果的，處一萬元以上(shàng)十萬元以下罰款，對直接負責的主管人(rén)員處五千元以上(shàng)五萬元以下罰款。

第三十五條 違反本條例規定的其他行(xíng)為(wèi)，依據《中華人(rén)民共和(hé)國網絡安全法》等法律、法規的相關規定處理(lǐ)。

第三十六條 數(shù)據安全監督管理(lǐ)及其他有(yǒu)關部門(mén)的工作(zuò)人(rén)員違反本條例規定，在數(shù)據安全管理(lǐ)工作(zuò)中玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予行(xíng)政處分。

  
第六章 附則

第三十七條 本條例自 年 月 日起施行(xíng)。