《数据安全法》实施两年来,我国数据安全领域立法进程突飞猛进,逐渐深入且更加细化,行业性数据安全政策文件、法律法规等陆续出台,并且一些地方性法规在落实国家上位法基础上,结合当地实际,有针对性地建立更具体的数据安全保护制度。
来源:由数据安全域综合整理自各地相关政策文件,转载请注明
各地数据安全相关条例专章
NO.1
天津市促进大数据发展应用条例-第六章数据安全
第四十六条 各级政府及政务部门,公民、法人和其他组织应当树立数据安全意识,提高数据安全保护能力,维护数据安全。
第四十七条 互联网信息主管部门负责统筹协调本区域数据安全工作,建立大数据企业和机构报备制度,通过采取安全测评、风险评估、安全防护、应急处置等措施,建立健全数据安全保障体系。
第四十八条 互联网信息主管部门应当采取关键信息基础设施安全防护措施,开展本区域安全监测和预警通报工作,加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设,保障数据安全。
第四十九条 市级政务部门和区人民政府应当建立健全本部门、本地区数据安全制度,明确数据采集、传输、存储、使用、开放等各环节保障数据安全的范围边界、责任主体和具体要求,加强对涉及国家安全、公共安全、商业秘密、个人隐私等数据的保护。
第五十条 数据采集、存储、清洗、开发、应用、交易、发布、服务单位应当建立数据安全防护管理制度,制定数据安全应急预案,并定期开展安全评测、风险评估和应急演练;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,确保数据安全。发生重大数据安全事故的,应当立即启动应急预案,及时采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
第五十一条 鼓励数据保护关键技术和数据安全监管支撑技术创新和研究,支持科研机构、高等院校和企业开展数据安全关键技术攻关,推动政府、行业、企业间防范数据风险信息共享。
NO.2
贵州省大数据安全保障条例-第二章安全责任
第十三条 实行大数据安全责任制,保障大数据全生命周期安全。大数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。大数据基于复制、流通、交换等同时存在的多个安全责任人,分别承担各自安全责任。
第十四条 大数据安全责任人是单位的(以下简称单位大数据安全责任人),应当履行下列职责:
(一)依法成立安全管理机构或者明确安全管理负责人,定期对从业人员进行安全教育、技术培训和技能考核;
(二)制定安全管理制度、操作规程、应急预案,明确不同岗位安全管理责任;
(三)加强数据采集、使用、处理权限管理,对批量导出、复制、脱敏、销毁数据等实行审查批准;
(四)加强网络运行、访问监测管理,定期开展数据安全检查;
(五)采取数据分类、备份和加密等安全措施;
(六)按照规定期限留存相关的网络日志;
(七)发生数据安全事件时,立即采取措施,保存证据,并及时向行业主管部门和公安机关报告;
(八)发现违法发布或者传输信息的,立即停止发布、传输或者采取阻断、拦截等措施,保留有关记录,并及时向行业主管部门和公安机关报告;
(九)法律、法规规定的其他职责。
大数据安全责任人是个人的(以下简称个人大数据安全责任人),应当依法采取安全管理措施,妥善存储、保管,合理使用,保障大数据安全。
第十五条 单位大数据安全责任人采集、存储、传输、处理、交换、应用、销毁大数据等,应当根据网络安全等级保护要求,建立大数据安全防护管理制度、大数据安全审计制度,制定大数据安全应急预案,落实安全管理责任,并定期开展安全评测、风险评估和应急演练;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改。前款规定活动涉及个人信息的,还应当遵守法律、法规关于个人信息保护的规定。
第十六条 采集数据应当具有合法目的和用途,遵循最小且必要和正当原则,禁止过度采集;科学确定采集对象、范围、内容、方式,依法进行采集,并保证数据的真实性、完整性、保密性。国家机关采集数据应当经被采集人同意,法律、法规另有规定的除外。采集数据不得侵犯国家秘密、商业秘密和个人信息,不得损害被采集人和他人合法权益。除法律、法规另有规定外,向不特定公众提供普遍信息、接入、浏览、访问、营销、推广等网络服务的经营者,不得采集与其提供服务无关的数据,不得以使用人拒绝提供相关信息而限制或者拒绝其享受普遍服务。
第十七条 除法律、法规另有规定外,任何单位和个人在公共场所设置数据采集设施、设备采集信息的,应当设置明显标识,并报当地公安机关备案。留存的数据应当用于合法目的,不得非法向他人提供、查阅、复制和传播。
第十八条 存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素,选择相应安全性能和防护级别的系统、介质、设施设备,采取技术和管理措施,保障存储系统和数据安全。公共数据平台、企业数据中心等集中式大数据存储中心,应当根据国家相关技术标准、规范要求和保障数据安全需要,科学选址,规范建设,建立容灾备份、安全评价、日常巡查管理、防火防盗等安全管理制度,加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。
第十九条 传输数据应当合理选择传输渠道,采取必要的安全措施,防止数据被窃取、泄露、篡改。
第二十条 处理数据应当保护原始数据,不得随意更改、伪造,不得通过恶意处理导致数据毁灭性更改和永久性丢失。
第二十一条 交换数据应当维护数据的完整性、可用性。交换数据应当合法进行,交换双方不得假冒他人或者以其他方式骗取数据交换。
第二十二条 使用数据不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等非法方式获取的数据,不得使用。使用数据开展广告宣传、营销推广等活动,不得干扰被采集人正常生产生活,不得损害被采集人及他人合法权益。
第二十三条 销毁数据应当根据大数据安全保护管理需要,合理确定销毁方式和销毁要求。销毁公共数据、涉及商业秘密和个人信息等重要数据的,应当进行安全风险评估。
第二十四条 单位大数据安全责任人应当加强数据内容管理,定期清理、审查数据内容,发现其持有、管理、发布的数据含有违法内容的,应当及时予以处理,并采取相关补救措施;超出自身处理权限的,应当立即停止使用,告知数据提供人并向公安机关报告。
第二十五条 为他人提供基础网络、互联网数据中心或者系统服务的网络运营者,应当建立安全监测预警平台,加强对服务对象的数据安全管理,督促其建立安全管理制度,落实安全监测保护技术措施。开展互联网平台和数据空间等租赁业务的,出租人应当将租赁信息依法报通信管理部门备案,通信管理部门应当将备案信息与公安机关共享。未经出租人同意,承租人不得擅自转租。涉及互联网数据中心业务和互联网接入服务业务的,应当遵守有关法律、法规的规定。
第二十六条 各级人民政府及有关部门和公共机构、公共服务企业因信息公开、数据开放以及公示、公告等需要公布企业、个人数据的,应当采取脱密、脱敏等措施,防止泄露国家秘密、商业秘密和个人信息。
第二十七条 银行、保险、房地产、航空、铁路、公路、供电、供水、供气、邮政、通信、快递、电子商务、旅游服务等经营者和学校、医疗机构、社保、户籍管理、车辆登记、公积金、社会信用管理等单位,应当加强内部管理,建立数据接触、访问审查等制度,明确数据提供、调用、分析、处理等权限。前款规定单位在经营、服务活动中获取的用户数据,除依法共享开放外,单位及其工作人员不得泄露,不得出售或者非法向他人提供。
第二十八条 禁止发布、传播下列信息:
(一)危害国家主权、安全和发展利益;
(二)损害社会公共利益和他人合法权益;
(三)煽动民族仇恨、民族歧视;
(四)黄、赌、毒等违法犯罪信息;
(五)法律、法规禁止的其他信息。
第二十九条 禁止非法采集、窃取、存储、传输、使用、买卖个人信息。
第三十条 采集、存储、使用、处理人脸、指纹、基因、疾病等生物特征数据,应当遵守法律、法规的规定,不得危害国家安全、公共安全,不得侵犯个人合法权益。
第三十一条 单位大数据安全责任人因公共数据共享开放提供数据,基于提供时的合理预见无安全风险的,提供人不承担相关责任。通过大数据分析、挖掘、整合等取得的数据或者得出的结论,可能危害国家安全、损害国家利益、社会公共利益的,不得使用、传播,并应当立即停止相关活动,报公安机关依法予以处理。
NO.3
海南省大数据开发应用条例-第四章数据安全与保护
第四十四条 县级以上有关部门按照下列规定,履行大数据安全管理职责:
(一)网信部门负责统筹协调大数据安全和相关监督管理。
(二)公安机关负责大数据网络安全等级保护工作的监督管理,依法查处相关违法行为。
(三)省大数据管理机构和市、县、自治县信息化主管部门分别负责组织实施本行政区域内政务大数据安全体系建设和安全保障工作,指导督促社会大数据开发应用的安全保障工作。
(四)国家安全、保密、密码管理、通信管理等主管部门按照各自职责范围,负责大数据安全相关监督管理。
第四十五条 政务部门和大数据生产经营单位应当制定数据安全等级、数据安全风险测评等管理制度,建立大数据安全重大风险识别处置机制,加强对大数据安全技术、设备和服务提供商的风险评估和安全管理。
第四十六条 政务部门和大数据生产经营单位应当制定数据安全应急预案,采取有效的安全保护措施,防止数据丢失、毁损、泄露和篡改,确保数据安全。发生重大数据安全事故时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
第四十七条 政务部门和大数据生产经营单位存储数据,应当选择安全性能、防护级别与其安全等级相匹配的存储载体,并且依法进行管理和维护。
政务部门和大数据生产经营单位销毁数据,应当明确销毁对象、流程和技术等要求,以不可逆方式销毁数据内容。
第四十八条 在电子政务、电子商务、公共服务等领域推广使用电子签名、密码技术,鼓励电子签名认证数字证书在互联网上应用。
第四十九条 任何单位和个人有责任保护其采集的公民、法人和其他组织数据的安全。
在商业经营活动中采集的数据,未经被采集人同意,不得向他人提供,但是经过处理后无法识别特定单位和个人且不能复原的除外。
第五十条 省大数据管理机构应当会同有关部门建立大数据生产经营单位信用档案,记录数据生产、交易、应用、管理、安全等方面的信息,并按照有关规定纳入社会信用体系。
NO.4
吉林省促进大数据发展应用条例-第五章数据安全与保护
第四十六条 各级人民政府及有关部门,公民、法人和其他组织应当树立数据安全意识,提高数据安全保护能力,维护数据安全。
第四十七条 县级以上网络安全和信息化部门依据职责,统筹推进网络安全保障体系建设,督促落实网络安全和信息化重大事项,协调处理网络安全和信息化重大突发事件与有关应急工作,指导监督本行政区域内个人信息和重要数据安全保护工作。行政机关以及具有公共事务管理职能的组织应当建立数据安全管理制度,加强数据安全保障,推进关键信息基础设施安全保护工作。省人民政府政务服务和数字化建设管理部门应当加强对公共数据平台的安全管理,建立实施公共数据管控体系。
第四十八条 行政机关以及具有公共事务管理职能的组织应当按照国家网络安全等级保护管理规范和技术标准建立和完善数据安全保护制度,经其主管部门审核同意后,确定本单位的安全保护等级,按照网络安全等级保护有关规定向公安机关备案,落实等级评测、数据安全建设整改等要求。
第四十九条 省人民政府政务服务和数字化建设管理部门应当定期组织开展重要应用系统和公共数据资源安全风险评估。行政机关以及具有公共事务管理职能的组织应当确定专门的数据安全管理机构,并确定数据安全管理责任人,定期组织开展系统安全测评,保障信息系统安全。有关行业组织应当建立健全本行业的数据安全保护规范和协作机制,加强对数据风险的分析评估,定期向会员进行风险警示,支持、协助会员应对数据安全风险。
第五十条 县级以上网络安全和信息化部门统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。加强大数据环境下防攻击、防泄露、防窃取的监测、预警能力建设,保障数据安全。
第五十一条 行政机关以及具有公共事务管理职能的组织应当制定数据安全事件应急预案,并定期组织演练。发生数据安全事件时,应当立即启动数据安全事件应急预案,采取技术措施和其他必要措施降低损害程度,防止危害扩大,保存相关记录,按照规定向有关部门报告,并及时向社会发布与公众有关的警示信息。对数据安全事件情况,不得隐瞒不报、谎报或者拖延报告。
第五十二条 任何单位或者个人不得非法采集、利用、交易涉及国家安全、公共安全、个人隐私、商业秘密、军工科研生产等数据。采集数据不得损害被采集人和他人的合法权益。
第五十三条 收集、使用个人信息,应当遵守法律、行政法规和国家有关个人信息保护的规定,并采取必要措施加强对个人信息的安全防护,确保个人信息安全。
网络服务提供者在业务活动中收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得收集与其提供的服务无关的个人信息,不得违反法律法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规规定和双方约定,处理其保存的个人信息。
NO.5
安徽省大数据发展条例-第五章安全管理
NO.6
深圳经济特区数据条例-第五章数据安全
第一节 一般规定
第七十一条 数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全,市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。
第七十二条 数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。
第七十三条 处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。
第七十四条 市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。
第二节 数据安全管理
第七十五条 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
第七十七条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
第七十八条 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
第七十九条 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
第八十条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。
第八十一条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。
第八十二条 数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
第八十三条 数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。
第八十四条 处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。
第八十五条 数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
第八十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
第三节 数据安全监督
第八十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。
第八十八条 市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。
第八十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。
第九十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。
第九十一条 市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
NO.7
上海市数据条例-第八章数据安全
第七十八条 本市实行数据安全责任制,数据处理者是数据安全责任主体。数据同时存在多个处理者的,各数据处理者承担相应的安全责任。数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。
第七十九条 开展数据处理活动,应当履行以下义务,保障数据安全:
(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;
(二)组织开展数据安全教育培训;
(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;
(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;
(七)法律、法规规定的其他数据安全保护义务。
第八十条 本市按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制,并按照规定报送国家有关部门。
第八十一条 重要数据处理者应当明确数据安全责任人和管理机构,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。处理重要数据应当按照法律、行政法规及国家有关规定执行。
第八十二条 市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市数据分类分级相关要求对公共数据进行分级,在数据收集、使用和人员管理等业务环节承担安全责任。属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据等级采取安全防护措施。
第八十三条 本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。
第八十四条 本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第八十五条 本市支持数据安全检测评估、认证等专业机构依法开展服务活动。本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
NO.8
山东省大数据发展促进条例-第五章数据安全
第三十三条 本省实行数据安全责任制。数据安全责任按照谁收集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定。
第三十四条 县级以上人民政府和有关部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第三十五条 国家安全领导机构负责数据安全工作的议事协调,实施国家数据安全战略和有关重大方针政策,建立完善数据安全工作协调机制,研究解决数据安全的重大事项和重要工作,推动落实数据安全责任。公安、国家安全、大数据、保密、密码管理、通信管理等部门和单位按照各自职责,负责数据安全相关监督管理工作。网信部门依照法律、行政法规的规定,负责统筹协调网络数据安全和相关监督管理工作。
第三十六条 数据收集、持有、管理、使用等数据安全责任单位应当建立本单位、本领域数据安全保护制度,落实有关数据安全的法律、行政法规和国家标准以及网络安全等级保护制度;属于关键信息基础设施范围的,还应当落实关键信息基础设施保护有关要求,保障数据安全。自然人、法人和其他组织在数据收集、汇聚等过程中,应当对数据存储环境进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,并对重要数据进行加密存储。
第三十七条 自然人、法人和其他组织开展涉及个人信息的数据活动,应当依法妥善处理个人隐私保护与数据应用的关系,不得泄露或者篡改涉及个人信息的数据,不得过度处理;未经被收集者同意,不得向他人非法提供涉及个人信息的数据,但是经过处理无法识别特定自然人且不能复原的除外。
第三十八条 数据收集、持有、管理、使用等数据安全责任单位应当制定本单位、本领域数据安全应急预案,定期开展数据安全风险评估和应急演练;发生数据安全事件,应当依法启动应急预案,采取相应的应急处置措施,并按照规定向有关主管部门报告。
第三十九条 省人民政府大数据工作主管部门统筹建设全省公共数据灾备体系;设区的市人民政府应当按照统一部署,对公共数据进行安全备份。
第四十条 数据收集、持有、管理、使用等数据安全责任单位向境外提供国家规定的重要数据,应当按照国家有关规定实行数据出境安全评估和国家安全审查。
NO.9
福建省大数据发展条例-第五章数据安全
第三十条 省人民政府应当建立健全数据分类分级保护和安全审查制度,明确各环节中数据安全的范围边界、责任主体和具体要求。县级以上地方人民政府有关部门应当坚持数据安全和数据开发应用并重,建立数据安全工作协调机制,完善风险评估、监测预警以及应急处置机制,加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置、容灾备份能力建设,保障数据采集汇聚、共享应用和开放开发等环节的数据安全。
第三十一条 开展数据采集、使用等活动应当遵守有关数据安全管理的法律、行政法规,维护国家安全和社会公共安全,保守国家秘密,保护商业秘密和个人信息。
任何单位和个人不得非法采集、传播、泄露、篡改、交易涉及国家利益、公共安全、军工科研生产、商业秘密、个人信息等内容的数据。
第三十二条 开展涉及个人信息的数据活动,应当遵守法律、行政法规规定,对所采集的个人信息进行去标识化或者匿名化处理,记录数据处理全流程,不得泄露或者篡改采集的个人信息。
第三十三条 省、设区的市人民政府大数据主管部门应当建立健全数据资源使用的监管制度,并会同本级有关政务部门加强数据资源使用情况的监督检查。对公民、法人或者其他组织未按照要求使用公共数据的,省、设区的市人民政府大数据主管部门应当责令改正,并暂停提供数据服务;拒不改正的,可以终止提供数据服务。
第三十四条 公共管理和服务机构应当制定数据安全事故应急预案,并定期开展安全评测、风险评估和应急演练;发现共享数据使用部门有违规、超范围使用数据等情况,应当向同级大数据主管部门通报,要求暂停或者终止对其提供数据服务;发生重大数据安全事故时,应当按照规定立即启动应急预案,及时采取补救措施,告知可能受到影响的用户,并向同级大数据主管部门和网信等有关部门报告。
第三十五条 公共管理和服务机构在处理和使用公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、涉敏数据的,应当由专家委员会进行安全评估,根据评估意见采取相应的安全措施。政务部门应当会同大数据主管部门按照保密、安全监管等规定,提高风险识别和风险处置能力,定期对开放的数据进行风险评估。有关行业组织应当建立健全本行业的数据安全保护规范和协作机制,加强对数据风险的分析评估,定期进行风险警示。
第三十六条 公共数据汇聚共享、统一开放、开发服务等基础平台的建设、运行、维护管理单位,应当明确数据安全保护的工作责任,加强平台数据安全保护措施,防止数据丢失、毁损、泄露、篡改。任何单位和个人不得非法接触、破坏、侵入公共数据汇聚共享、统一开放、开发服务等基础平台。
NO.10
浙江省公共数据条例-第六章公共数据安全
第三十七条 公共数据安全管理应当坚持统筹协调、分类分级、权责统一、预防为主、防治结合的原则,加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
第三十八条 公共数据、网信、公安、国家安全、密码等部门应当按照各自职责,对下级公共数据主管部门、本级公共管理和服务机构的公共数据安全承担监督管理责任。公共管理和服务机构在公共数据、网信、公安、国家安全、密码等部门指导下,开展本系统、本领域公共数据安全保护工作。
第三十九条 公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的第一责任人。公共数据主管部门、公共管理和服务机构应当强化和落实数据安全主体责任,建立数据安全常态化运行管理机制,具体履行下列职责:
(一)落实网络安全等级保护制度,建立健全本单位数据安全管理制度、技术规范和操作规程;
(二)设置数据安全管理岗位,实行管理岗位责任制,配备安全管理人员和专业技术人员;
(三)定期组织相关人员进行数据安全教育、技术培训;
(四)加强数据安全日常管理和检查,对复制、导出、脱敏、销毁数据等可能影响数据安全的行为,以及可能影响个人信息保护的行为进行监督;
(五)加强平台(系统)压力测试和风险监测,发现数据安全缺陷、漏洞等风险时立即采取补救措施;
(六)制定数据安全事件应急预案,并定期进行演练;
(七)法律、法规、规章规定的其他职责。
第四十条 公共数据主管部门应当会同网信、公安、国家安全、密码等部门建立健全公共数据分类分级、安全审查、风险评估、监测预警、应急演练、安全审计、封存销毁等制度,并督促指导公共管理和服务机构实施。
第四十一条 公共数据主管部门、公共管理和服务机构应当结合公共数据具体应用场景,按照分类分级保护要求,建立健全公共数据安全防护技术标准和规范,采取身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等技术措施,提高数据安全保障能力。
第四十二条 公共数据主管部门、公共管理和服务机构在处理公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。
第四十三条 公共数据主管部门、公共管理和服务机构依法委托第三方服务机构开展平台(系统)建设以及运行维护的,应当按照国家和省有关规定对服务提供方进行安全审查;经安全审查符合条件的,签订服务外包协议时应当同时签订服务安全保护及保密协议,约定违约责任,并监督服务提供方履行数据安全保护义务。服务外包协议不生效、无效、被撤销或者终止的,公共数据主管部门、公共管理和服务机构应当撤销账号或者重置密码,并监督服务提供方以数据覆写、物理销毁等不可逆方式删除相关数据。
第四十四条 自然人、法人或者非法人组织认为开放的公共数据侵犯其合法权益的,有权向公共管理和服务机构提出撤回数据的要求。公共管理和服务机构收到撤回数据要求后,应当立即进行核实,必要时立即中止开放;经核实存在前款规定问题的,应当根据不同情形采取撤回数据或者处理后再开放等措施,并将有关处理结果及时告知当事人。当事人对处理结果有异议的,可以向公共数据主管部门申请复核。公共管理和服务机构在日常监督管理过程中发现开放的公共数据存在安全风险的,应当立即中止开放,并在消除安全风险后开放。
第四十五条 公共数据主管部门、公共管理和服务机构可以组织有关单位、专家或者委托第三方专业机构,对公共数据共享、开放和安全保障等工作开展评估,提升公共数据管理水平
NO.11
重庆市数据条例-第二章数据处理与安全
第七条 开展数据处理活动,应当遵守法律法规和强制性国家标准,遵守公序良俗,不得实施以下行为:
(一)危害国家安全、荣誉和利益,泄露国家秘密;
(二)侵害他人名誉权、隐私权、著作权、商业秘密和其他合法权益;
(三)通过窃取或者其他非法方式获取数据;
(四)非法出售或者以其他非法方式向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
第八条 本市实行数据安全责任制。数据处理者是数据安全责任主体,同时存在多个数据处理者的,分别承担各自安全责任。
开展数据处理活动应当依法履行下列数据安全保护义务:
(一)建立健全全流程数据安全管理制度;
(二)组织开展数据安全教育培训;
(三)制定数据安全应急预案,开展应急演练;
(四)发生数据安全事件时,立即采取处置措施,启动应急预案,及时告知可能受到影响的用户,并按照规定向有关主管部门报告;
(五)加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;
(六)采取安全保护技术措施,对数据进行分类分级管理,防止数据丢失、篡改、破坏和泄露,保障数据安全;
(七)利用互联网等信息网络开展数据处理活动时,落实网络安全等级保护制度,保障数据安全;
(八)法律、法规规定的其他安全保护义务。
重要数据的处理者应当明确数据安全责任人和管理机构,定期对其数据处理活动开展风险评估,并向有关主管部门报送风险评估报告。国家核心数据的管理按照法律、行政法规以及国家有关规定执行。
第九条处理涉及个人信息的数据应当遵循合法、正当、必要原则,遵守法律、行政法规规定的个人信息处理规则,履行个人信息处理者的法定义务。
第十条本市行政区域内涉及个人信息的数据、重要数据向境外提供的,应当按照国家规定开展安全评估。
第十一条政务部门、公共服务组织收集数据应当符合下列要求:
(一)为依法履行公共管理职责或者提供公共服务所必需,且收集数据的种类和范围与其履行的公共管理职责或者提供的公共服务范围相适应;
(二)可以通过共享方式获得的数据,不得通过其他方式重复收集;
(三)自然人数据以有效身份号码作为标识进行收集,法人以及非法人组织数据以统一社会信用代码作为标识进行收集,自然资源和空间地理数据以地理编码作为标识进行收集;
(四)收集程序符合法律、法规相关规定。
法律、行政法规对政务部门、公共服务组织收集数据另有规定的,适用其规定。
第十二条 政务部门、公共服务组织应当建立健全数据质量管控体系,加强数据质量事前、事中和事后监督检查,实现问题数据可追溯、可定责,保证数据及时、准确、完整。自然人、法人、非法人组织发现与其相关的公共数据不准确、不完整的,可以向相关政务部门、公共服务组织提出校核申请,相关政务部门、公共服务组织应当及时依法处理并反馈。
第十三条 发生突发事件,市、区县(自治县)人民政府及有关部门可以依法要求相关自然人、法人、非法人组织提供突发事件应对工作所必需的数据。市、区县(自治县)人民政府及有关部门要求自然人、法人、非法人组织提供突发事件应对工作相关的数据,应当明确数据使用的目的、范围、方式。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第十四条 市数据主管部门组织建立健全数据安全风险评估、报告、信息共享、监测预警、应急处置和分类分级保护制度,加强本市数据安全风险信息的获取、分析、研判、预警工作。市数据主管部门应当会同市网信等部门按照国家规定编制本市重要数据目录,对列入目录的数据进行重点保护。
第十五条 网信部门负责统筹协调有关部门建立健全个人信息保护的投诉、举报制度,公布接受投诉、举报的联系方式,依法调查、处理。
第十六条 数据主管部门应当会同网信、公安、国家安全等部门,建立数据安全监督检查协作机制,依法处理数据安全事件。
第十七条 委托他人建设、维护政务信息系统以及委托他人存储、加工政务数据的,应当依法按照相关规定履行审批程序,监督受托方履行法律法规规定以及合同约定的数据安全保护义务,不得向受托方转移数据安全管理责任、数据归属关系。
第十八条 接受委托开展政务信息系统建设、维护以及存储、加工政务数据的,应当依照法律、法规的规定和合同约定履行数据安全保护义务,建立数据安全管理制度,确定专门的数据安全管理机构和人员,采取必要安全防护措施,确保政务信息系统和政务数据安全,不得擅自留存、使用、泄露或者向他人提供政务数据。法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第十九条 本市支持数据安全检测评估、认证等专业机构依法开展数据服务活动。数据主管部门、网信部门和有关主管部门在履行数据安全监管职责中按照法律、法规的规定,可以委托第三方机构按照相关标准对数据处理者开展数据安全检测评估、认证。
NO.12
黑龙江省促进大数据发展应用条例-第六章安全保护
第六十二条 县级以上网信部门负责组织有关部门加强大数据安全信息收集、分析和通报,按照规定统一发布大数据安全监测预警信息。县级以上政务数据主管部门负责指导、监督公共数据安全管理工作。县级以上公安机关、国家安全机关等依照相关法律、行政法规的规定,在各自职责范围内承担大数据安全监管职责。
第六十三条 自然人、法人和非法人组织从事与大数据发展相关的活动应当遵守法律、法规和社会公德、伦理,遵循合法、正当、必要、诚实守信原则,履行数据安全保护义务,承担社会责任,不得危害国家安全和公共利益,不得损害自然人、法人和非法人组织的合法权益。
第六十四条 数据处理者应当履行下列安全保护义务:
(一)建立健全全流程数据安全管理制度;
(二)组织开展数据安全宣传教育培训;
(三)制定数据安全事件应急预案,定期开展风险评估和应急演练等活动;
(四)采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改;
(五)加强风险监测,发现数据存在安全风险时,立即采取补救措施;发生数据安全事件时,应当依法启动应急预案,采取相应的应急处置措施,并按照规定向有关主管部门报告;
(六)法律、法规规定的其他安全保护义务。
第六十五条 省和设区的市级政务数据主管部门应当建设公共数据灾备体系。鼓励采集非公共数据的自然人、法人和非法人组织建立重要系统和核心数据的灾备机制,定期开展数据恢复性测试。
NO.13
辽宁省大数据发展条例-第六章数据安全
第三十八条 本省实行数据安全责任制。数据安全责任按照谁收集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定。
第三十九条 省、市、县人民政府及其有关部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第四十条 国家安全领导机构负责数据安全工作的议事协调,实施国家数据安全战略和有关重大方针政策,建立完善数据安全工作协调机制,统筹协调数据安全的重大事项和重要工作。公安、国家安全、大数据、保密、密码管理、通信管理等部门和单位按照各自职责,负责数据安全相关监督管理工作。网信部门依照法律、行政法规的规定,负责统筹协调网络数据安全和相关监督管理工作。
第四十一条 数据收集、持有、管理、使用等数据安全责任单位应当建立本单位、本领域数据安全保护制度,落实有关数据安全的法律、行政法规和国家标准以及网络安全等级保护制度;属于关键信息基础设施范围的,还应当落实关键信息基础设施保护有关要求,保障数据安全。
自然人、法人和非法人组织在数据收集、汇聚等过程中,应当对数据存储环境进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,并对重要数据进行加密存储。
第四十二条 数据收集、持有、管理、使用等数据安全责任单位应当制定本单位、本领域数据安全应急预案,定期组织数据安全风险评估和应急演练;发生数据安全事件,应当依法启动应急预案,采取相应的应急处置措施,并按照规定向有关主管部门报告。
第四十三条 省大数据主管部门应当统筹建设全省公共数据灾备体系;市、县人民政府应当按照统一部署,对公共数据进行安全备份。
NO.14
广西壮族自治区大数据发展条例-第六章数据安全
第六十六条 自治区实行数据安全责任制,保障数据全生命周期安全。数据处理者是数据安全的责任主体。同一数据同时存在多个处理者的,各自应当承担相应的安全责任。数据处理者发生变更的,由变更后的数据处理者承担数据安全保护责任。
第六十七条 开展数据处理活动,应当依照法律、法规的规定,履行下列数据安全保护义务:
(一)建立健全全流程数据安全管理制度;
(二)组织开展数据安全教育培训;
(三)采取安全保护技术措施,对数据进行分类分级管理,防止数据丢失、篡改、破坏和泄露;
(四)加强风险监测,发现数据存在安全缺陷、漏洞等风险时,应当立即采取补救措施;
(五)制定数据安全应急预案,开展应急演练;
(六)发生数据安全事件时,立即采取处置措施,启动应急预案,及时告知可能受到影响的用户,并按照规定向有关主管部门报告;
(七)利用互联网等信息网络开展数据处理活动时,落实网络安全等级保护制度;
(八)法律、法规规定的其他数据安全保护义务。
第六十八条 自治区人民政府按照国家规定完善数据分类分级保护制度,推动数据安全治理工作。政务部门、公共服务组织应当根据国家和自治区数据分类分级相关要求对公共数据进行分类分级,在数据收集、使用和人员管理等业务环节承担安全责任。
第六十九条 自治区人民政府大数据主管部门应当会同有关部门按照国家规定建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据处理者应当明确数据管理机构和安全责任人,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。重要数据处理应当按照法律、法规及国家有关规定执行。
第七十条 自治区人民政府大数据主管部门应当按照国家规定完善数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。自治区人民政府大数据主管部门应当会同网信、发展改革、工业和信息化、公安、国家安全、通信管理等相关部门,建立涵盖公共数据存储、流通、开发等环节的安全监管制度,支持公共数据服务地方经济社会发展。
第七十一条 自治区人民政府大数据主管部门统筹指导全区相关部门完善数据安全应急处置机制。发生数据安全事件时,数据安全责任主体应当及时处置并按程序报告,网信部门应当会同公安机关以及数据安全责任主体依照应急预案采取相应措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第七十二条 自治区人民政府大数据主管部门统筹全区公共数据安全存储及灾备体系建设,对公共数据进行安全备份。
第七十三条 自治区人民政府大数据主管部门支持数据安全检测评估、认证等专业机构依法开展服务活动;支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第七十四条 数据安全责任主体应当根据国家数据安全保护有关要求,建立数据销毁处置机制,合理确定销毁方式。销毁涉及国家秘密、商业秘密、个人信息等重要数据的,应当对数据进行安全风险评估。
NO.15
陕西省大数据条例-第六章安全保障
第六十三条 县级以上人民政府及其有关部门应当加强大数据安全的教育和培训,提高全社会大数据安全意识和保护能力,维护大数据安全。
第六十四条 县级以上有关部门按照下列规定,履行大数据安全管理职责:
(一)网信部门负责统筹协调大数据安全相关监督管理;
(二)大数据主管部门负责组织实施本行政区域内政务数据安全体系建设和安全保障工作,指导督促大数据开发应用的安全保障工作;
(三)公安机关负责网络安全等级保护工作和关键信息基础设施安全保护工作的监督管理,依法查处相关违法行为;
(四)国家安全、保密、通信、密码管理等主管部门按照各自职责范围,负责大数据安全相关监督管理;
(五)其他有关部门负责本行业、本领域大数据安全相关监督管理。
第六十五条 网信部门会同大数据主管部门按照国家数据分类分级保护制度,确定本行政区域的重要数据具体目录,对列入目录的数据进行重点保护。
第六十六条 省大数据主管部门会同网信、公安、保密等部门推进政务数据共享安全保障制度建设,明确数据收集、汇聚、存储、共享、开放等各环节安全责任主体,督促各责任主体落实数据安全管理责任;建立数据安全评估制度、安全责任认定机制和重大安全事件应急处理机制,完善数据共享全周期安全保障措施,加强安全可靠技术和产品推广应用,增强数据安全预警和溯源能力,提升整体防护水平,确保数据共享安全可控。
大数据主管部门应当健全相关安全管控体系,建立政务数据安全风险评估、监测预警、应急处置等制度,保障数据共享交换平台安全可靠运行。
数据提供者应当加强对共享数据的分类分级管理,落实数据收集、汇聚、整合、提供等环节安全责任,防范数据泄露和被非法获取。数据使用者要加强共享数据授权管理,强化涉密、重要敏感等数据使用监管,按需申请共享数据,严格控制共享范围,确保共享数据规范使用,不被泄露、滥用、篡改。
第六十七条 政务部门负责管理政府信息化建设过程中收集、产生的数据,不得将数据管理权向企业转移。政务部门应当要求参与政府信息化建设、维护的企业、事业单位按照有关法律、行政法规的规定和合同约定履行数据安全保护义务,对涉及的敏感个人信息等,依法采取脱敏、加密保护等措施。
企业、事业单位不得擅自留存、使用、泄露或者向他人提供获取的政务数据,不得擅自将数据用于商业用途或者向境外提供。
第六十八条 关键信息基础设施运营者依照有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第六十九条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向负责关键信息基础设施安全保护工作的部门、公安机关报告。
第七十条 大数据主管部门和大数据生产运营单位应当制定数据安全应急预案,定期开展安全评测、风险评估和应急演练。
发生数据安全事件,大数据主管部门和大数据生产运营单位应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第七十一条 省大数据主管部门统筹建设全省政务数据灾备体系;设区的市人民政府应当按照统一部署,对政务数据进行安全备份。
政务部门和大数据生产运营单位应当采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,确保数据安全。
第七十二条 数据收集、持有、管理、使用等负有数据安全责任的单位和个人向境外提供数据的,应当依法进行数据出境安全评估和审查。
NO.16
厦门经济特区数据条例-第五章数据安全
第五十四条 开展数据处理活动应当遵守有关数据安全管理的法律、行政法规,维护国家安全和社会公共安全,保守国家秘密,保护个人隐私、个人信息以及商业秘密。
第五十五条 处理涉及个人信息的数据应当遵循合法、正当、必要原则。对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用,不得采取一揽子授权、强制同意等方式过度收集个人信息。
第五十六条 建立数据安全责任制。数据处理者是数据安全责任主体。数据同时存在多个处理者的,各数据处理者分别承担各自的安全责任。数据处理者因合并、分立、并购等方式变更的,由变更后的数据处理者承担数据安全责任。
第五十七条 数据处理者应当建立健全全流程数据安全管理制度和重要系统、核心数据容灾备份制度,保障数据安全。数据处理者应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知相关权利人,并向有关主管部门报告。
第五十八条 在商业、文体、交通、旅游等公共场所及商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著提示标识。所收集的个人图像、身份识别信息,只能用于维护公共安全的目的,取得个人或者其监护人明示同意的除外。前款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
第五十九条 市人民政府组织建立数据分类分级保护制度和数据安全风险评估、报告、监测预警、应急处置机制,加强本市数据安全风险信息的获取、分析、研判、预警工作。数据处理者从事跨境数据活动,应当按照国家数据出境安全监管要求,建立健全相关技术和管理措施,申报数据出境安全评估,防范数据出境安全风险。
第六十条 市数据安全工作协调机制统筹有关部门按照国家规定编制本市重要数据目录,对列入目录的数据进行重点保护;统筹市大数据主管部门以及市网信、公安、国家安全等部门加强数据安全监督检查协作,依法处理数据安全事件。
第六十一条 市网信部门统筹协调市大数据主管部门以及市公安、国家安全等部门建立健全数据保护投诉、举报工作机制,依法处理相关投诉举报。
结语
各地数据条例的出台为数据安全的发展指明了方向,为数据安全治理的思想提供了新视角。也为推动各地发展数字经济,深化中国数字化转型提供强有力的数据安全保障与支撑。
Copyright © 2005-2021 网信安全世界版权所有