贵阳市大数据安全管理条例(草案)

第一章  总  则

第一条  为了维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，加强数据安全管理，促进大数据发展应用，推动实施大数据战略，根据《中华人民共和国网络安全法》等法律法规的规定，结合本市实际，制定本条例。

第二条  本条例适用于本市行政区域内大数据发展应用中数据的安全规范和监督管理以及相关活动。

涉及国家秘密的数据安全保护工作，按照有关保密法律法规的规定执行。

本条例所称数据安全，是指在大数据发展应用中，数据的所有者、管理者、使用者和服务提供者（以下简称数据安全责任单位）采取安全保护策略和措施，防范数据被攻击、泄漏、窃取、篡改、非法使用的能力、状态和行动。

本条例所称数据，是指网络数据，即通过网络收集、存储、传输、处理和产生的各种电子数据。

第三条  实施数据安全管理，应当遵循政府主导、保护创新、审慎监管、权责统一、预防和控制风险的原则。

第四条  市人民政府统一领导本市数据安全管理工作。区（市、县）人民政府领导本辖区数据安全管理工作。

第五条  市网信部门负责综合协调全市数据安全监督管理工作，统筹组织开展全市关键信息基础设施监管和数据安全责任单位自查、检查督促、问题整改等工作。区（市、县）网信部门按照职责负责综合协调本辖区数据安全监督管理工作。

市公安机关负责开展数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。区（市、县）公安机关按照职责负责本辖区数据安全监督管理工作。

市大数据主管部门统筹协调本市数据安全保障体系建设，区（市、县）大数据主管部门按照职责负责本辖区数据安全管理的相关工作。

保密、国家安全、电信等有关部门按照各自职责，做好数据安全管理的相关工作。

第六条  数据安全责任单位应当加强数据服务安全能力建设，履行数据安全责任义务，接受有关部门监督管理和社会监督。

第七条  公安、大数据等有关部门应当建立数据安全管理诚信档案，记录违法失信行为，纳入统一的信用共享平台管理。

第八条  县级以上人民政府以及网信、公安、大数据等有关部门和数据安全责任单位、大众传播媒介，应当做好数据安全宣传、教育和培训工作。

第九条  标准化、网信、大数据、公安、工业和信息化等有关部门应当加强数据安全的国家标准、行业标准和地方标准的宣传、培训，引导、鼓励数据安全责任单位采用数据安全国家推荐标准、行业标准和地方标准。

鼓励支持教育、科研机构和企业参与数据安全的国家标准、行业标准和地方标准的研究、制定。

鼓励数据安全责任单位运用区块链等技术手段，优化数据聚通用架构，强化防篡改和去中心化设计，提高数据安全防护能力和水平。

第十条  市人民政府应当建立统一的数据安全投诉举报平台。任何单位和个人都有权投诉举报危害数据安全的行为。

第二章  安全保障

第十一条  市大数据主管部门应当组织编制数据安全保障规划，按照规定报市人民政府批准后组织实施。

大数据主管部门应当配合制定数据安全保护标准体系，组织指导数据资源分类分级、数据安全能力成熟度认定和数字认证等相关工作。

第十二条  大数据安全责任单位应当根据职责明确、意图合规、质量保障、数据最小化、最小授权操作、分类分级保护、可审计和责任不随数据转移的原则，采取有效措施保护数据的保密性、完整性、真实性、可用性、可靠性和可核查性。

第十三条  数据安全责任单位的法定代表人或者主要负责人是本单位数据安全的第一责任人。

数据安全责任单位应当根据数据的生命周期、规模、重要性和本单位的规模等因素，建立数据安全管理内控制度，明确和落实不同岗位的数据安全管理职责；必要时成立安全管理团队负责数据安全管理工作。

第十四条  数据安全责任单位应当按照数据安全等级保护要求进行数据系统的安全功能配置，制定实施系统配置技术管理规程、软件采购使用限制策略和外部组件使用安全策略，规定配置管理的审批、操作流程，提供符合规范标准的系统补丁、密钥管理与服务，定期变更受控配置，并对数据系统的病毒库、入侵检测规则库、防火墙规则库、漏洞库等与数据安全相关的重要配置进行更新。

第十五条  数据责任单位应当建立数据安全审计制度，规定审计工作流程，记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程，定期进行安全审计分析。

数据责任单位应当制定完善访问控制策略，采取授权访问、身份认证等技术措施，防止未经授权查询、复制、修改或者传输数据。

第十六条  数据安全责任单位应当根据数据类型、级别、敏感程度以及数据安全能力成熟度等要求，制定安全规则、管理规范和操作规程，采取相应的安全管理策略、管理措施和技术手段，对工具、服务组件等实施有效管理，对个人信息和重要数据实行加密等安全保护。

数据安全责任单位应当建立数据脱敏脱密处理机制，对涉及国家安全、社会公共利益、商业秘密、个人信息的数据依法进行脱敏脱密处理。

第十七条  存储数据，应当选择安全性能、防护级别与数据安全等级相匹配的存储载体，并且依法进行管理和维护。

第十八条  数据不需要继续用于既定目的或者继续存储将妨碍数据主体合法权益的，数据安全责任单位应当立即销毁。

销毁数据，应当按照数据分类分级建立审批机制，明确销毁对象、流程、方式、方法和技术等要求，设置相关监督角色，以不可逆方式销毁数据内容。

第十九条  数据安全责任单位服务外包业务涉及收集、存储、传输或者应用数据的，应当与外包服务提供商签订安全保护协议，采取安全保护措施，并且对导出、复制、销毁数据等行为进行监督。

第二十条  数据安全责任单位应用和处理数据，可能产生涉敏涉密数据的，应当依法自行或者委托符合条件的机构进行安全风险评估。

第二十一条  市人民政府应当建立联席会议制度，研究、解决数据安全工作的重大事项、重点工作和重要问题。

县级以上人民政府应当整合数据安全防范、保障等资源，建立重点领域工作联动、会商、约谈、通报、巡查等机制，统筹有关职能部门履行数据安全监督管理职责，防范安全风险，提升安全保护水平。

第二十二条  市公安机关应当做好数据安全投诉举报平台的运行、维护和管理工作，公布投诉、举报方式等信息，按照规定时限登记、处理和回复投诉举报信息；对不属于本部门职责的，移送有关部门处理。有关部门处理后，应当按照规定时限反馈市公安机关。

数据安全责任单位应当建立数据安全举报投诉制度，公布投诉、举报方式等信息，接受和处理用户及相关利害关系人的举报投诉。

第二十三条  市人民政府应当加强大数据安全城市建设，建立大数据安全靶场和产品检验场地，对大数据安全新技术、新产品、新应用进行测试检验，定期开展攻防演练。

第二十四条  县级以上人民政府应当采取资金扶持、开设绿色通道等措施，支持数据安全技术产业、项目和数据安全技术、管理方式的研究开发、创新应用。

鼓励企业、科研机构、高等院校、职业学校和相关行业组织根据市级以上人民政府明确的优惠、便利政策措施，建立教育实践和培训基地，开设相关专业课程，多形式培养、引进和使用大数据安全人才。

第二十五条  县级以上人民政府以及有关部门应当通过报刊杂志、电台电视台、门户网站、政府微信微博等途径，运用数据安全周、主题日、专题会、研讨班、应用场景展示、竞赛等形式，经常性地对数据安全重点领域、重点行业、重点单位、重点人群等组织开展数据安全法律法规、形势任务和知识技能的宣传教育培训。

数据安全责任单位应当制定计划，对重点部位、重点设施、重点岗位数据安全工作人员开展数据安全法律法规、知识技能等教育、培训和考核，提升数据安全意识和防护技能水平。