各縣、市人民政府,州級各有關單位:
《大理州數據安全管理辦法》已經州人民政府同意,現印發給你們,請認真抓好貫徹執行。
大理白族自治州人民政府
2023年9月26日
(此件公開發布)
大理州數據安全管理辦法
第一章 總則
第一條 背景和依據。為全面貫徹落實《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(中發〔2022〕32號)關于強化數據安全管理要求,維護國家安全、公共利益,保護自然人、法人和非法人組織的合法權益,根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規的規定,結合大理州實際,制定本辦法。
第二條 適用范圍。大理州數據資源歸集、數據元件開發和交易、數據產品開發和交易等活動的數據安全保障及監督管理,適用本辦法。
第三條 基本原則。大理州數據要素安全管理堅持“發展與安全并重、預防與治理結合、制度與技術兼顧、政府與市場協同”的原則,加快建設數據要素安全治理體系,保障數據要素依法有序流動。
第四條 術語定義。本辦法所稱的數據金庫,是由政府主管部門監管,統一標準、自主可控、軟硬一體、安全可靠的數據基礎設施,用于核心數據、重要數據和數據元件的存儲計算和互聯互通,定位于解決目前關鍵數據過于分散、安全保障不足等難題。
數據元件是指通過對數據脫敏處理后,根據需要由若干相關字段形成的數據集或由數據的關聯字段通過建模形成的數據特征。
第二章 職責分工
第五條 網信部門。州網信部門負責統籌協調數據要素安全監督管理工作,牽頭建立數據安全跨部門綜合監管機制,指導各行業主管部門在各自職責范圍內開展數據分類分級、監督檢查、監測預警、應急處置等工作。
第六條 相關監管部門。機要和保密、公安、國家安全等部門按各自職責履行數據安全管理工作。
第七條 數據管理行政主管部門。州數據管理行政主管部門負責組織、指導和協調本級公共數據安全管理工作,各縣市、州級各單位、各部門對工作中收集和產生的數據及數據安全負責,匯聚后由州數據管理行政主管部門及數據運營單位負責相應數據安全。
第八條 行業主管部門。工業和信息化、交通運輸、財政、自然資源和規劃、衛生健康、教育體育、科技、信息通信建設管理等行業主管部門負責建立本行業數據安全管理制度,開展行業數據分類分級保護,完善數據要素安全保障體系,督促、指導本行業數據監測預警處置工作。
第九條 市場主體。公共數據授權運營主體負責具體執行數據金庫的建設與運營、數據存儲、數據歸集治理與運營等工作,配合開展數據要素服務商管理、合規審查等工作。
數據交易機構提供滿足數據元件、數據產品和數據服務交易活動功能性、安全性、合法性要求的電子交易平臺及其他必要的設施,對基于交易平臺開展數據交易活動負有安全合規監管責任。
數據元件開發商和數據產品開發商應當按照數據安全相關法律法規規章和文件規定,落實企業主體責任,強化數據安全保護與合理利用,自覺接受政府部門監督管理。
第三章 基礎制度建設
第十條 信息登記制度。州數據管理行政主管部門負責建立數據安全信息登記制度,明確登記內容和流程,指導數據運營服務中心組織公共數據授權運營主體、市場主體等對數據安全保護情況進行登記,確保數據安全管理責任明晰、過程規范、全程可追溯。
第十一條 信息登記內容。數據運營服務中心應當按照規定做好數據安全信息登記工作,登記內容包括下列內容:
(一)公共數據授權運營主體、市場主體的數據安全負責人、管理機構等信息;
(二)承載數據處理活動的基礎設施、平臺系統、應用、密碼設備等信息;
(三)數據安全管理制度規范及防護措施;
(四)網絡安全等級保護、數據安全評估、數據安全審計相關報告等。
第十二條 數據分類分級。州網信部門負責建立數據分類分級保護制度,制定數據分類分級指南,明確數據分類分級的原則與規則。各行業主管部門應當根據國家、省、州數據分類分級有關規定,完善本行業、本領域的數據分類分級規則。
各級各部門按照數據分類分級原則,開展數據分類分級保護工作,建立重要數據、核心數據目錄,報送州委網信部門和州數據管理行政主管部門,并對重要數據、核心數據進行重點保護。
第十三條 數據金庫管理。數據運營服務中心負責制定數據金庫和數據存儲管理制度,指導數據金庫運營商、公共數據授權運營主體加強數據金庫建設運營管理和數據存儲管理,保障關鍵信息基礎設施和數據安全。
第十四條 數據安全審查。州數據管理行政主管部門負責會同網信、公安、國家安全等部門建立數據安全審查制度,依據《網絡安全審查辦法》明確審查對象、范圍、內容、方式和流程,建立多部門聯合審查機制,對影響或者可能影響國家安全的數據處理活動進行安全性、合規性審查,確保數據合規使用。
第四章 數據全生命周期安全管理
第十五條 數據采集安全。數據運營服務中心應當組織制定數據采集安全管理制度,明確從個人信息主體、第三方數據供應方獲取數據應遵循的安全管理要求和采取的保護措施。
公共數據授權運營主體及其他進行數據采集的機構應當遵循合法合規、正當必要的原則,明確數據收集的目的、范圍、用途、渠道等,采取必要的安全管控措施,確保環境、設施、人員等安全可控,不得損害相關單位、組織和個人的合法權益。
第十六條 數據存儲安全。公共數據授權運營主體及數據元件開發商開展數據存儲活動時,應當采用加密存儲、身份鑒別和訪問控制等措施,將核心數據、重要數據、敏感個人數據和所有數據元件存儲在數據金庫內。
數據運營服務中心應當組織制定數據存儲備份和恢復策略,落實災備措施并定期進行災難恢復演練。
第十七條 數據傳輸安全。各類主體開展數據傳輸活動時,應當根據傳輸的數據類型、級別和應用場景,制定安全策略并采取保護措施。數據傳輸應當采取校驗技術、密碼技術、安全傳輸通道等措施,確保數據傳輸過程可信、可控。
第十八條 數據開發應用安全。公共數據授權運營主體應當綜合利用數據沙箱、隱私計算、區塊鏈等技術為數據元件開發商提供安全開發環境,建立數據脫敏規范,明確數據脫敏的范圍、方式和要求,組織開展對數據元件的安全審核,防止數據泄漏。
數據元件開發商和數據產品開發商應當具備相應的數據安全保護能力,做出數據安全使用承諾,在承諾范圍內實施開發應用活動。
第十九條 數據流通安全。數據交易機構應當建立規范透明、安全可控、可追溯的數據要素交易服務環境,制定交易服務流程與管理規則,應當記錄數據來源信息,審核交易雙方身份,監測交易異常情況,并留存審核信息與交易記錄,保證數據流通交易安全。
第二十條 數據銷毀安全。數據運營服務中心應當制定數據銷毀策略和管理制度,明確銷毀對象、流程和技術等要求,監督落實銷毀管理。重要數據和核心數據依法依規銷毀后,不得以任何理由、任何方式恢復。
第二十一條 數據出境安全。個人和組織確需向境外提供數據的,應當嚴格遵照數據、信息出境安全管理相關法律法規規定執行。
第五章 安全支撐保障
第二十二條 安全監測評估。州網信部門負責建立數據安全監管平臺,組織開展數據安全態勢綜合感知、監測預警、評估分析,或者委托第三方專業機構開展風險評估,對發現的問題及時采取防護和補救措施。
州數據管理行政主管部門指導數據運營服務中心、公共數據授權運營主體定期開展數據安全評估,排查安全隱患,采取必要的措施防范數據安全風險,市場主體每年至少依托第三方機構進行一次安全檢測與評估。
數據安全評估可與關鍵信息基礎設施安全檢測評估、網絡安全等級保護測評、商用密碼應用安全性評估相銜接,避免重復評估、測評。
第二十三條 應急處置演練。州網信部門會同數據管理行政主管部門建立數據安全應急處置機制,指導政府各部門、數據運營服務中心、公共數據授權運營主體、市場主體制定本單位安全應急處置預案,定期開展應急演練,并對演練情況進行評估,針對演練中發現的問題補充修訂應急預案。
州網信部門會同數據管理行政主管部門、公安、機要和保密、市場監管等部門建立數據安全報告機制,要求市場主體在出現重大數據安全、信息系統安全事件時,及時上報數據安全監管相關部門,并配合進行事件調查、處置、通報。
第二十四條 安全審計。州數據管理行政主管部門會同有關部門建立數據安全審計制度,對數據采集、脫敏、開放、交易和利用等行為進行審計追蹤。
數據運營服務中心、公共數據授權運營主體應當建立數據處理各環節透明化、可審計、可追溯管理和風險研判機制,對數據全生命周期處理、權限管理、配置管理等進行日志記錄,日志留存時間不少于6個月,并配合有關部門審計。
第二十五條 監督檢查。州數據管理行政主管部門會同網信、機要和保密、公安、國家安全等部門共同建立健全數據安全監督檢查工作機制,明確檢查工作內容、目標、方式和標準,檢查數據要素市場相關主體履行數據安全責任、落實安全管理制度和保護技術措施等方面的情況。安全審查由有關部門自行組織開展。
第二十六條 投訴舉報。州數據管理行政主管部門負責建立實時暢通的群眾投訴舉報渠道,鼓勵支持自然人、法人和非法人組織對違反數據安全相關法律規定的行為進行投訴舉報。
相關部門應當及時依法處理,對投訴舉報人的個人信息予以保密,保護相關主體的合法權益。
第二十七條 標準制定推廣。州數據管理行政主管部門會同標準主管部門和其他有關部門,推動國家、省、行業數據安全相關標準有效實施,鼓勵支持教育、科研機構、數據要素企業參與數據安全國家標準、行業標準和地方標準的研究制定,加強數據安全標準的宣傳、培訓、實施,鼓勵引導市場主體實施數據安全管理認證,探索數據流通安全保障技術、標準、方案,提高數據安全管理水平和防護能力。
第二十八條 宣傳培訓。州數據管理行政主管部門負責建立公共數據安全培訓制度和首席數據官制度,定期對從事數據安全工作的政府人員進行安全教育、技術培訓,并將相關內容納入公務員培訓或其他相關培訓工作體系,提升政府數字素養和數字技能。
州數據管理行政主管部門聯合宣傳、網信、公安等部門,組織教育機構、新聞廣電、社會媒體、協會聯盟等,做好數據安全宣傳教育工作,提升社會整體數據安全意識和防護水平。
州數據管理行政主管部門聯合人力資源社會保障、教育體育等部門加強數據安全管理人才引進和培育,推動形成“產教學研用”一體的人才聯合培養機制,制定激勵和培訓計劃。
第六章 法律責任
第二十九條 違法處理。對于在數據要素市場化配置過程中違反本辦法規定的單位和個人,由有權機關責令整改;情節嚴重的,對有關責任人員依法給予處分;構成犯罪的,依法承擔相應的法律責任。
第三十條 特殊情況。對違反本辦法規定的行為,法律、法規已經規定法律責任的,適用其規定。
第七章 附則
第三十一條 其他要求。法律法規規章和國家政策文件對數據安全管理有規定的,從其規定。
第三十二條 解釋權歸屬。本辦法由州數據管理行政主管部門負責解釋。
第三十三條 生效日期。本辦法自2023年11月1日起施行,有效期至2028年10月31日。
