再創(chuàng)大數(shù)據(jù)立法先河,《貴陽市大數(shù)據(jù)安全管理條例》重磅發(fā)布

來源：數(shù)據(jù)觀 時間：2018-08-16 20:37:17 作者：程遠肖

　　8月16日，貴陽市人大常委會召開新聞發(fā)布會，宣布全國首部大數(shù)據(jù)安全管理地方性法規(guī)《貴陽市大數(shù)據(jù)安全管理條例》（以下簡稱“《條例》”）將于2018年10月1日起正式施行。該條例的發(fā)布是貴陽市繼2017年出臺全國首部政府數(shù)據(jù)共享開放地方性法規(guī)《貴陽市政府數(shù)據(jù)共享開放條例》后，對大數(shù)據(jù)安全領(lǐng)域內(nèi)的又一創(chuàng)新性立法探索，同時也是大數(shù)據(jù)地方立法的最新成果。

　　《條例》由貴陽市委、市人大常委會、市政府歷時653天開展而成，共6章37條，涉及大數(shù)據(jù)安全管理的適用范圍和相關(guān)概念以及遵循的原則、政府部門職責分工、數(shù)據(jù)安全保障、監(jiān)測預(yù)警與應(yīng)急處置、監(jiān)督檢查和法律責任等方面。

　　與現(xiàn)有更側(cè)重于對網(wǎng)絡(luò)系統(tǒng)功能、網(wǎng)絡(luò)載體等方面保護，對數(shù)據(jù)采集、存儲、挖掘、傳輸、交易、應(yīng)用等環(huán)節(jié)缺乏相應(yīng)法律體系支撐的法律法規(guī)相比，《條例》在數(shù)據(jù)安全監(jiān)管和數(shù)據(jù)保護方面作出了創(chuàng)新性探索。

　　明確政府及相關(guān)部門職責

　　《條例》對大數(shù)據(jù)安全監(jiān)督管理職責、大數(shù)據(jù)安全責任單位內(nèi)部職責等作出進一步明確。比如，《條例》第五條對網(wǎng)信部門、公安機關(guān)、大數(shù)據(jù)主管部門等的具體監(jiān)管職責進行了規(guī)定，還原則規(guī)定了保密、國家安全、密碼管理、通信管理等部門的職責，并進行細化，以避免大數(shù)據(jù)安全管理權(quán)責不清、各自為政、執(zhí)法推諉、效率低下等問題，防止出現(xiàn)“九龍治水”、多頭管理等現(xiàn)象；而第十條則指出安全責任單位的法定代表人或者主要負責人是本單位大數(shù)據(jù)安全的第一責任人，明確了大數(shù)據(jù)安全管理負責人；此外，《條例》第二十一條還指出要建立統(tǒng)一的投訴舉報平臺，由市公安機關(guān)負責大數(shù)據(jù)安全投訴舉報平臺的運行、維護和管理工作，對不屬于本部門職責的，移送有關(guān)部門處理之后反饋給市公安機關(guān)，以防范數(shù)據(jù)信息被竊取、隱私被泄露后投訴無門的問題。

　　建立大數(shù)據(jù)監(jiān)測預(yù)警、應(yīng)急處置機制

　　而在數(shù)據(jù)安全的監(jiān)測預(yù)警與應(yīng)急處置方面，《條例》也作出了多項規(guī)定。

　　《條例》第二十五條規(guī)定：市公安機關(guān)負責大數(shù)據(jù)安全監(jiān)管服務(wù)平臺的日常維護管理，加強對平臺監(jiān)測信息、監(jiān)督檢查信息和上級通報信息的分析、安全形勢研判和風險評估，按照規(guī)定發(fā)布安全風險預(yù)警或者信息通報。區(qū)（市、縣）公安機關(guān)應(yīng)當及時落實上級公安機關(guān)通過大數(shù)據(jù)安全監(jiān)管服務(wù)平臺發(fā)布的各項指令。

　　第二十六條和第二十七條則指出，發(fā)生大數(shù)據(jù)安全事件時，縣級以上人民政府應(yīng)當依法按程序啟動應(yīng)急預(yù)案，組織網(wǎng)信、公安、大數(shù)據(jù)等主管部門針對事件的性質(zhì)和特點，采取應(yīng)急措施處置；發(fā)生大數(shù)據(jù)安全事件時，安全責任單位應(yīng)當依法按程序啟動應(yīng)急預(yù)案，采取相應(yīng)措施防止危害擴大，保存相關(guān)記錄，告知可能受到影響的用戶，按照規(guī)定向有關(guān)主管部門報告。

　　自2017年5月1日全國首部大數(shù)據(jù)地方性法規(guī)《貴陽市政府數(shù)據(jù)共享開放條例》施行以來，貴陽市已實現(xiàn)對54家單位、211個系統(tǒng)、1176項數(shù)據(jù)目錄字典的集中存儲和統(tǒng)一管理，已有52個部門2685個數(shù)據(jù)集、303個API、612萬條數(shù)據(jù)實現(xiàn)了深度關(guān)聯(lián)開放。此次《貴陽市大數(shù)據(jù)安全管理條例》的出臺將與《貴陽市政府數(shù)據(jù)共享開放條例》形成“姊妹篇”，對貴陽市大數(shù)據(jù)的共享開放作數(shù)據(jù)安全方面的“保駕護航”，以促進貴陽市大數(shù)據(jù)的發(fā)展；同時，《條例》在大數(shù)據(jù)安全領(lǐng)域的創(chuàng)新性探索還將對全國大數(shù)據(jù)安全立法工作作出可借鑒、可復(fù)制的經(jīng)驗。

　　據(jù)了解，下一步，貴陽市將開展一系列集中宣傳行動，確?！稐l例》的順利實施，讓數(shù)據(jù)安全觀念深入人心。

　　附《條例》全文內(nèi)容：

　　貴陽市大數(shù)據(jù)安全管理條例

　　（2018年6月5日貴陽市第十四屆人民代表大會常務(wù)委員會第十三次會議通過，2018年8月2日貴州省第十三屆人民代表大會常務(wù)委員會第四次會議批準）

　　第一章 總則

　　第一條為了加強大數(shù)據(jù)安全管理，維護國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進大數(shù)據(jù)發(fā)展應(yīng)用，推動實施大數(shù)據(jù)戰(zhàn)略，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等有關(guān)法律法規(guī)的規(guī)定，結(jié)合本市實際，制定本條例。

　　第二條本條例適用于本市行政區(qū)域內(nèi)大數(shù)據(jù)發(fā)展應(yīng)用中的安全保護、監(jiān)督管理以及相關(guān)活動。

　　涉及國家秘密的大數(shù)據(jù)安全管理，按照有關(guān)保密法律法規(guī)的規(guī)定執(zhí)行。

　　本條例所稱大數(shù)據(jù)安全，是指大數(shù)據(jù)發(fā)展應(yīng)用中，數(shù)據(jù)的所有者、管理者、使用者和服務(wù)提供者（以下簡稱安全責任單位）采取保護管理的策略和措施，防范數(shù)據(jù)偽造、泄露或者被竊取、篡改、非法使用等風險與危害的能力、狀態(tài)和行動。

　　本條例所稱大數(shù)據(jù),是指以容量大、類型多、存取速度快、應(yīng)用價值高為主要特征的數(shù)據(jù)集合,是對數(shù)量巨大、來源分散、格式多樣的數(shù)據(jù)進行采集、存儲和關(guān)聯(lián)分析,發(fā)現(xiàn)新知識、創(chuàng)造新價值、提升新能力的新一代信息技術(shù)和服務(wù)業(yè)態(tài)。

　　本條例所稱數(shù)據(jù)，是指通過計算機或者其他信息終端及相關(guān)設(shè)備組成的系統(tǒng)收集、存儲、傳輸、處理和產(chǎn)生的各種電子化的信息。

　　第三條實施大數(shù)據(jù)安全管理，應(yīng)當堅持正確的網(wǎng)絡(luò)安全觀，遵循統(tǒng)一領(lǐng)導(dǎo)、政府管理、行業(yè)自律、社會監(jiān)督、風險防控、權(quán)責統(tǒng)一、包容審慎、支持創(chuàng)新的原則。

　　第四條市人民政府統(tǒng)一領(lǐng)導(dǎo)本市大數(shù)據(jù)安全管理工作。區(qū)（市、縣）人民政府領(lǐng)導(dǎo)本轄區(qū)大數(shù)據(jù)安全管理工作。

　　第五條市網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)全市大數(shù)據(jù)安全監(jiān)督管理工作，組織開展全市關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)管等工作。區(qū)（市、縣）網(wǎng)信部門按照職責負責綜合協(xié)調(diào)本轄區(qū)大數(shù)據(jù)安全監(jiān)督管理工作。

　　市公安機關(guān)負責開展大數(shù)據(jù)安全的等級保護、日常巡查、執(zhí)法檢查、信息通報、應(yīng)急處置等監(jiān)督管理工作。區(qū)（市、縣）公安機關(guān)按照職責負責本轄區(qū)大數(shù)據(jù)安全監(jiān)督管理工作。

　　市大數(shù)據(jù)主管部門統(tǒng)籌協(xié)調(diào)本市大數(shù)據(jù)安全保障體系建設(shè)。區(qū)（市、縣）大數(shù)據(jù)主管部門按照職責負責本轄區(qū)大數(shù)據(jù)安全管理的相關(guān)工作。

　　保密、國家安全、密碼管理、通信管理等主管部門按照各自職責，做好大數(shù)據(jù)安全管理的相關(guān)工作。

　　第六條安全責任單位應(yīng)當加強大數(shù)據(jù)安全能力建設(shè)，履行大數(shù)據(jù)安全保護職責，接受有關(guān)主管部門監(jiān)督管理和社會監(jiān)督。

　　第七條縣級以上人民政府以及網(wǎng)信、公安、大數(shù)據(jù)等主管部門和安全責任單位、大眾傳播媒介按照各自職責，做好大數(shù)據(jù)安全宣傳教育工作。

　　第八條市人民政府設(shè)立統(tǒng)一的大數(shù)據(jù)安全監(jiān)管服務(wù)、投訴舉報平臺，建立相應(yīng)的工作機制。

　　任何單位和個人都有權(quán)投訴舉報危害大數(shù)據(jù)安全的行為；有關(guān)部門應(yīng)當對投訴舉報予以保密。

　　第二章 安全保障

　　第九條安全責任單位應(yīng)當根據(jù)職責明確、意圖合規(guī)、質(zhì)量保障、數(shù)據(jù)最小化、最小授權(quán)操作、分類分級保護和可審計的原則，采取有效措施保護數(shù)據(jù)的保密性、完整性、真實性、可控性、可靠性和可核查性。

　　第十條安全責任單位的法定代表人或者主要負責人是本單位大數(shù)據(jù)安全的第一責任人。

　　安全責任單位應(yīng)當根據(jù)數(shù)據(jù)的生命周期、規(guī)模、重要性和本單位的性質(zhì)、類別、規(guī)模等因素，建立安全管理內(nèi)控制度和支撐保障機制，明確安全管理負責人，落實不同崗位的安全管理職責；關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當設(shè)置專門安全管理機構(gòu)。

　　第十一條安全責任單位應(yīng)當根據(jù)數(shù)據(jù)類型、級別、敏感程度以及數(shù)據(jù)安全能力成熟度等要求，制定安全規(guī)則、管理規(guī)范和操作規(guī)程，采取相應(yīng)的安全管理策略、管理措施和技術(shù)手段實施有效管理。

　　第十二條安全責任單位應(yīng)當按照大數(shù)據(jù)安全等級保護要求進行系統(tǒng)安全功能配置，制定實施系統(tǒng)配置技術(shù)管理規(guī)程、軟件采購使用限制策略和外部組件使用安全策略，規(guī)定配置管理的審批、操作流程，提供符合規(guī)范標準的管理與服務(wù)，對系統(tǒng)重要配置進行及時更新。

　　第十三條安全責任單位應(yīng)當制定完善訪問控制策略，采取授權(quán)訪問、身份認證等技術(shù)措施，防止未經(jīng)授權(quán)查詢、復(fù)制、修改或者傳輸數(shù)據(jù)。對個人信息和重要數(shù)據(jù)實行加密等安全保護，對涉及國家安全、社會公共利益、商業(yè)秘密、個人信息的數(shù)據(jù)依法進行脫敏脫密處理。

　　第十四條安全責任單位應(yīng)當建立大數(shù)據(jù)安全審計制度，規(guī)定審計工作流程，記錄并保存數(shù)據(jù)分類、采集、清洗、轉(zhuǎn)換、加載、傳輸、存儲、復(fù)制、備份、恢復(fù)、查詢和銷毀等操作過程，定期進行安全審計分析。

　　第十五條存儲數(shù)據(jù)，應(yīng)當選擇安全性能、防護級別與其安全等級相匹配的存儲載體，并且依法進行管理和維護。

　　銷毀數(shù)據(jù)，應(yīng)當按照數(shù)據(jù)分類分級建立審查機制，明確銷毀對象、流程和技術(shù)等要求，設(shè)置相關(guān)監(jiān)督角色，以不可逆方式銷毀數(shù)據(jù)內(nèi)容。

　　第十六條安全責任單位服務(wù)外包業(yè)務(wù)涉及收集、存儲、傳輸或者應(yīng)用數(shù)據(jù)的，應(yīng)當依法與外包服務(wù)提供商簽訂安全保護協(xié)議，采取安全保護措施，并對導(dǎo)出、復(fù)制、銷毀數(shù)據(jù)等行為進行監(jiān)督。

　　第十七條支持依法成立的大數(shù)據(jù)行業(yè)組織依照法律、法規(guī)和章程的規(guī)定，制定行業(yè)安全規(guī)范和服務(wù)標準，對其會員的大數(shù)據(jù)安全行為進行自律管理，組織開展大數(shù)據(jù)安全教育、業(yè)務(wù)培訓(xùn)，推進大數(shù)據(jù)安全合作、交流，提高大數(shù)據(jù)安全管理水平和從業(yè)人員素質(zhì)。

　　第十八條市人民政府應(yīng)當建立聯(lián)席會議制度，研究、解決大數(shù)據(jù)安全工作的重大事項、重點工作和重要問題。

　　縣級以上人民政府應(yīng)當整合大數(shù)據(jù)安全防范、保障等資源，建立重點領(lǐng)域工作聯(lián)動、會商、約談、通報、巡查和決策咨詢等機制，統(tǒng)籌有關(guān)職能部門履行大數(shù)據(jù)安全監(jiān)督管理職責，防范安全風險。

　　第十九條市人民政府建立大數(shù)據(jù)安全靶場和產(chǎn)品檢驗場地，對大數(shù)據(jù)安全新技術(shù)、新應(yīng)用、新產(chǎn)品進行測試、檢驗，定期開展攻防演練，促進大數(shù)據(jù)安全城市建設(shè)。

　　第二十條縣級以上人民政府應(yīng)當采取資金扶持、開設(shè)綠色通道等措施，支持大數(shù)據(jù)安全技術(shù)產(chǎn)業(yè)發(fā)展、安全技術(shù)研發(fā)應(yīng)用和安全管理方式創(chuàng)新。

　　鼓勵企業(yè)、科研機構(gòu)、高等院校、職業(yè)學(xué)校和相關(guān)行業(yè)組織建立教育實踐和培訓(xùn)基地，開設(shè)相關(guān)專業(yè)課程，加強人才交流，多形式培養(yǎng)、引進和使用大數(shù)據(jù)安全人才。

　　第二十一條市公安機關(guān)負責大數(shù)據(jù)安全投訴舉報平臺的運行、維護和管理工作，公布投訴舉報方式等信息，即時受理投訴舉報，按照規(guī)定時限回復(fù)；對不屬于本部門職責的，移送有關(guān)部門處理。有關(guān)部門處理后，應(yīng)當按照規(guī)定時限反饋市公安機關(guān)。

　　安全責任單位應(yīng)當建立大數(shù)據(jù)安全投訴舉報制度，公布投訴舉報方式等信息，接受和處理用戶及相關(guān)利害關(guān)系人的投訴舉報。

　　第二十二條網(wǎng)信、公安、大數(shù)據(jù)、標準化、工業(yè)和信息化等主管部門應(yīng)當加強大數(shù)據(jù)安全的國家標準、行業(yè)標準和地方標準的宣傳、培訓(xùn)，引導(dǎo)、鼓勵安全責任單位采用大數(shù)據(jù)安全國家推薦標準、行業(yè)標準和地方標準。

　　鼓勵支持教育、科研機構(gòu)和企業(yè)參與大數(shù)據(jù)安全的國家標準、行業(yè)標準和地方標準的研究、制定。

　　鼓勵安全責任單位運用區(qū)塊鏈等新技術(shù)手段，優(yōu)化數(shù)據(jù)聚通用架構(gòu)，強化信任認證和防篡改設(shè)計，提升大數(shù)據(jù)安全防護水平。

　　第二十三條市大數(shù)據(jù)主管部門應(yīng)當配合制定大數(shù)據(jù)安全保護標準體系，指導(dǎo)數(shù)據(jù)資源分類分級、數(shù)據(jù)安全能力成熟度認定和數(shù)字認證等相關(guān)工作。

　　第二十四條縣級以上人民政府以及有關(guān)部門應(yīng)當通過報刊雜志、電臺電視臺、門戶網(wǎng)站、微信微博等途徑，運用安全宣傳周、主題日、專題會、研討班、應(yīng)用場景展示、競賽等形式，經(jīng)常性地對公眾以及大數(shù)據(jù)安全重點領(lǐng)域、重點行業(yè)、重點單位、重點人群等組織開展大數(shù)據(jù)安全法律法規(guī)、形勢政策和知識技能的宣傳培訓(xùn)。

　　安全責任單位應(yīng)當制定計劃，對員工、用戶以及本單位的重點部位、重點設(shè)施、重點崗位安全工作人員開展大數(shù)據(jù)安全法律法規(guī)、知識技能等教育、培訓(xùn)和考核，提升大數(shù)據(jù)安全意識和防護技能水平。

　　第三章 監(jiān)測預(yù)警與應(yīng)急處置

　　第二十五條市公安機關(guān)負責大數(shù)據(jù)安全監(jiān)管服務(wù)平臺的日常維護管理，加強對平臺監(jiān)測信息、監(jiān)督檢查信息和上級通報信息的分析、安全形勢研判和風險評估，按照規(guī)定發(fā)布安全風險預(yù)警或者信息通報。

　　區(qū)（市、縣）公安機關(guān)應(yīng)當及時落實上級公安機關(guān)通過大數(shù)據(jù)安全監(jiān)管服務(wù)平臺發(fā)布的各項指令。

　　第二十六條縣級以上人民政府應(yīng)當根據(jù)國家和省的規(guī)定，落實大數(shù)據(jù)安全應(yīng)急工作機制，明確工作責任、程序和規(guī)范；制定大數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確應(yīng)急處置組織機構(gòu)及其職責、事件分級、響應(yīng)程序、保障手段和處置措施；定期組織演練，評估演練效果，分析存在問題，總結(jié)處置經(jīng)驗，提出改進和完善應(yīng)急預(yù)案的意見。

　　發(fā)生大數(shù)據(jù)安全事件時，縣級以上人民政府應(yīng)當依法按程序啟動應(yīng)急預(yù)案，組織網(wǎng)信、公安、大數(shù)據(jù)等主管部門針對事件的性質(zhì)和特點，采取應(yīng)急措施處置。

　　第二十七條安全責任單位應(yīng)當制定大數(shù)據(jù)安全事件預(yù)警通報制度和應(yīng)急預(yù)案，建立和實施安全事件預(yù)警、輿情監(jiān)控、風險評估和應(yīng)急響應(yīng)的策略、規(guī)程，保持與有關(guān)主管部門、設(shè)備設(shè)施及軟件服務(wù)提供商、安全機構(gòu)、新聞媒體和用戶的聯(lián)絡(luò)、協(xié)作。

　　發(fā)生大數(shù)據(jù)安全事件時，安全責任單位應(yīng)當依法按程序啟動應(yīng)急預(yù)案，采取相應(yīng)措施防止危害擴大，保存相關(guān)記錄，告知可能受到影響的用戶，按照規(guī)定向有關(guān)主管部門報告。

　　第四章 監(jiān)督檢查

　　第二十八條縣級以上人民政府應(yīng)當將大數(shù)據(jù)安全管理工作納入年度目標績效考核。

　　第二十九條縣級以上人民政府應(yīng)當建立健全大數(shù)據(jù)安全工作監(jiān)督檢查機制，明確監(jiān)督檢查的牽頭部門、責任分工、內(nèi)容、重點、目標、方式和標準。

　　監(jiān)督檢查的情況，應(yīng)當在有關(guān)主管部門之間互通和共享。

　　第三十條公安機關(guān)應(yīng)當監(jiān)督、檢查、指導(dǎo)安全責任單位建立、落實大數(shù)據(jù)安全管理的各項制度和技術(shù)措施，依法查處大數(shù)據(jù)安全違法案件。

　　第三十一條大數(shù)據(jù)主管部門應(yīng)當結(jié)合監(jiān)督檢查大數(shù)據(jù)安全責任落實的情況，定期組織開展大數(shù)據(jù)安全風險評估，發(fā)布評估報告。

　　第三十二條有關(guān)主管部門在監(jiān)督檢查、風險評估和攻防演練中，發(fā)現(xiàn)安全責任單位存在安全問題的，應(yīng)當及時提出改進建議，發(fā)出整改意見并且督促整改。

　　安全責任單位應(yīng)當根據(jù)有關(guān)主管部門的整改意見進行整改，并且反饋整改情況。

　　第三十三條公安、大數(shù)據(jù)主管部門應(yīng)當建立大數(shù)據(jù)安全管理誠信檔案，記錄違法信息，納入統(tǒng)一的信用共享平臺管理。

　　第五章 法律責任

　　第三十四條安全責任單位不履行本條例第十條、第十一條、第十二條、第十三條、第十四條和第二十七條規(guī)定的數(shù)據(jù)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害大數(shù)據(jù)安全等后果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款。

　　第三十五條違反本條例規(guī)定的其他行為，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律、法規(guī)的相關(guān)規(guī)定處理。

　　第三十六條安全責任單位中的國家機關(guān)不履行本條例規(guī)定的大數(shù)據(jù)安全保護職責的，由其上級機關(guān)或者有關(guān)機關(guān)責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

　　大數(shù)據(jù)安全監(jiān)督管理有關(guān)主管部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊，尚不構(gòu)成犯罪的，依法給予處分。

　　第六章 附則

　　第三十七條本條例自2018年10月1日起施行。

責任編輯：陳近梅