1. 首页
  2. 资料
  3. 政策报告

大理州数据安全管理办法

大政规 〔2023〕 6号

各县、市人民政府,州级各有关单位:

《大理州数据安全管理办法》已经州人民政府同意,现印发给你们,请认真抓好贯彻执行。

                      

大理白族自治州人民政府

 2023年9月26日

(此件公开发布)

大理州数据安全管理办法

第一章 总则

第一条 背景和依据。为全面贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(中发〔2022〕32号)关于强化数据安全管理要求,维护国家安全、公共利益,保护自然人、法人和非法人组织的合法权益,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规的规定,结合大理州实际,制定本办法。

第二条 适用范围。大理州数据资源归集、数据元件开发和交易、数据产品开发和交易等活动的数据安全保障及监督管理,适用本办法。

第三条 基本原则。大理州数据要素安全管理坚持“发展与安全并重、预防与治理结合、制度与技术兼顾、政府与市场协同”的原则,加快建设数据要素安全治理体系,保障数据要素依法有序流动。

第四条 术语定义。本办法所称的数据金库,是由政府主管部门监管,统一标准、自主可控、软硬一体、安全可靠的数据基础设施,用于核心数据、重要数据和数据元件的存储计算和互联互通,定位于解决目前关键数据过于分散、安全保障不足等难题。

数据元件是指通过对数据脱敏处理后,根据需要由若干相关字段形成的数据集或由数据的关联字段通过建模形成的数据特征。

第二章 职责分工

 网信部门。州网信部门负责统筹协调数据要素安全监督管理工作,牵头建立数据安全跨部门综合监管机制,指导各行业主管部门在各自职责范围内开展数据分类分级、监督检查、监测预警、应急处置等工作。

 相关监管部门。机要和保密、公安、国家安全等部门按各自职责履行数据安全管理工作。

 数据管理行政主管部门。州数据管理行政主管部门负责组织、指导和协调本级公共数据安全管理工作,各县市、州级各单位、各部门对工作中收集和产生的数据及数据安全负责,汇聚后由州数据管理行政主管部门及数据运营单位负责相应数据安全。

 行业主管部门。工业和信息化、交通运输、财政、自然资源和规划、卫生健康、教育体育、科技、信息通信建设管理等行业主管部门负责建立本行业数据安全管理制度,开展行业数据分类分级保护,完善数据要素安全保障体系,督促、指导本行业数据监测预警处置工作。

 市场主体。公共数据授权运营主体负责具体执行数据金库的建设与运营、数据存储、数据归集治理与运营等工作,配合开展数据要素服务商管理、合规审查等工作。

数据交易机构提供满足数据元件、数据产品和数据服务交易活动功能性、安全性、合法性要求的电子交易平台及其他必要的设施,对基于交易平台开展数据交易活动负有安全合规监管责任。

数据元件开发商和数据产品开发商应当按照数据安全相关法律法规规章和文件规定,落实企业主体责任,强化数据安全保护与合理利用,自觉接受政府部门监督管理。

第三章 基础制度建设

 信息登记制度。州数据管理行政主管部门负责建立数据安全信息登记制度,明确登记内容和流程,指导数据运营服务中心组织公共数据授权运营主体、市场主体等对数据安全保护情况进行登记,确保数据安全管理责任明晰、过程规范、全程可追溯。

第十 信息登记内容。数据运营服务中心应当按照规定做好数据安全信息登记工作,登记内容包括下列内容:

(一)公共数据授权运营主体、市场主体的数据安全负责人、管理机构等信息;

(二)承载数据处理活动的基础设施、平台系统、应用、密码设备等信息;

(三)数据安全管理制度规范及防护措施;

(四)网络安全等级保护、数据安全评估、数据安全审计相关报告等。

第十 数据分类分级。州网信部门负责建立数据分类分级保护制度,制定数据分类分级指南,明确数据分类分级的原则与规则。各行业主管部门应当根据国家、省、州数据分类分级有关规定,完善本行业、本领域的数据分类分级规则。

各级各部门按照数据分类分级原则,开展数据分类分级保护工作,建立重要数据、核心数据目录,报送州委网信部门和州数据管理行政主管部门,并对重要数据、核心数据进行重点保护。

第十 数据金库管理。数据运营服务中心负责制定数据金库和数据存储管理制度,指导数据金库运营商、公共数据授权运营主体加强数据金库建设运营管理和数据存储管理,保障关键信息基础设施和数据安全。

第十 数据安全审查。州数据管理行政主管部门负责会同网信、公安、国家安全等部门建立数据安全审查制度,依据《网络安全审查办法》明确审查对象、范围、内容、方式和流程,建立多部门联合审查机制,对影响或者可能影响国家安全的数据处理活动进行安全性、合规性审查,确保数据合规使用。

第四章 数据全生命周期安全管理

第十 数据采集安全。数据运营服务中心应当组织制定数据采集安全管理制度,明确从个人信息主体、第三方数据供应方获取数据应遵循的安全管理要求和采取的保护措施。

公共数据授权运营主体及其他进行数据采集的机构应当遵循合法合规、正当必要的原则,明确数据收集的目的、范围、用途、渠道等,采取必要的安全管控措施,确保环境、设施、人员等安全可控,不得损害相关单位、组织和个人的合法权益。

第十 数据存储安全。公共数据授权运营主体及数据元件开发商开展数据存储活动时,应当采用加密存储、身份鉴别和访问控制等措施,将核心数据、重要数据、敏感个人数据和所有数据元件存储在数据金库内。

数据运营服务中心应当组织制定数据存储备份和恢复策略,落实灾备措施并定期进行灾难恢复演练。

第十 数据传输安全。各类主体开展数据传输活动时,应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。数据传输应当采取校验技术、密码技术、安全传输通道等措施,确保数据传输过程可信、可控。

第十 数据开发应用安全。公共数据授权运营主体应当综合利用数据沙箱、隐私计算、区块链等技术为数据元件开发商提供安全开发环境,建立数据脱敏规范,明确数据脱敏的范围、方式和要求,组织开展对数据元件的安全审核,防止数据泄漏。

数据元件开发商和数据产品开发商应当具备相应的数据安全保护能力,做出数据安全使用承诺,在承诺范围内实施开发应用活动。

第十 数据流通安全。数据交易机构应当建立规范透明、安全可控、可追溯的数据要素交易服务环境,制定交易服务流程与管理规则,应当记录数据来源信息,审核交易双方身份,监测交易异常情况,并留存审核信息与交易记录,保证数据流通交易安全。

二十 数据销毁安全。数据运营服务中心应当制定数据销毁策略和管理制度,明确销毁对象、流程和技术等要求,监督落实销毁管理。重要数据和核心数据依法依规销毁后,不得以任何理由、任何方式恢复。

第二十 数据出境安全。个人和组织确需向境外提供数据的,应当严格遵照数据、信息出境安全管理相关法律法规规定执行。

第五章 安全支撑保障

第二十 安全监测评估。州网信部门负责建立数据安全监管平台,组织开展数据安全态势综合感知、监测预警、评估分析,或者委托第三方专业机构开展风险评估,对发现的问题及时采取防护和补救措施。

州数据管理行政主管部门指导数据运营服务中心、公共数据授权运营主体定期开展数据安全评估,排查安全隐患,采取必要的措施防范数据安全风险,市场主体每年至少依托第三方机构进行一次安全检测与评估。

数据安全评估可与关键信息基础设施安全检测评估、网络安全等级保护测评、商用密码应用安全性评估相衔接,避免重复评估、测评。

第二十 应急处置演练。州网信部门会同数据管理行政主管部门建立数据安全应急处置机制,指导政府各部门、数据运营服务中心、公共数据授权运营主体、市场主体制定本单位安全应急处置预案,定期开展应急演练,并对演练情况进行评估,针对演练中发现的问题补充修订应急预案。

州网信部门会同数据管理行政主管部门、公安、机要和保密、市场监管等部门建立数据安全报告机制,要求市场主体在出现重大数据安全、信息系统安全事件时,及时上报数据安全监管相关部门,并配合进行事件调查、处置、通报。

第二十 安全审计。州数据管理行政主管部门会同有关部门建立数据安全审计制度,对数据采集、脱敏、开放、交易和利用等行为进行审计追踪。

数据运营服务中心、公共数据授权运营主体应当建立数据处理各环节透明化、可审计、可追溯管理和风险研判机制,对数据全生命周期处理、权限管理、配置管理等进行日志记录,日志留存时间不少于6个月,并配合有关部门审计。

第二十 监督检查。州数据管理行政主管部门会同网信、机要和保密、公安、国家安全等部门共同建立健全数据安全监督检查工作机制,明确检查工作内容、目标、方式和标准,检查数据要素市场相关主体履行数据安全责任、落实安全管理制度和保护技术措施等方面的情况。安全审查由有关部门自行组织开展。

第二十 投诉举报。州数据管理行政主管部门负责建立实时畅通的群众投诉举报渠道,鼓励支持自然人、法人和非法人组织对违反数据安全相关法律规定的行为进行投诉举报。

相关部门应当及时依法处理,对投诉举报人的个人信息予以保密,保护相关主体的合法权益。

第二十 标准制定推广。州数据管理行政主管部门会同标准主管部门和其他有关部门,推动国家、省、行业数据安全相关标准有效实施,鼓励支持教育、科研机构、数据要素企业参与数据安全国家标准、行业标准和地方标准的研究制定,加强数据安全标准的宣传、培训、实施,鼓励引导市场主体实施数据安全管理认证,探索数据流通安全保障技术、标准、方案,提高数据安全管理水平和防护能力。

第二十 宣传培训。州数据管理行政主管部门负责建立公共数据安全培训制度和首席数据官制度,定期对从事数据安全工作的政府人员进行安全教育、技术培训,并将相关内容纳入公务员培训或其他相关培训工作体系,提升政府数字素养和数字技能。

州数据管理行政主管部门联合宣传、网信、公安等部门,组织教育机构、新闻广电、社会媒体、协会联盟等,做好数据安全宣传教育工作,提升社会整体数据安全意识和防护水平。

州数据管理行政主管部门联合人力资源社会保障、教育体育等部门加强数据安全管理人才引进和培育,推动形成“产教学研用”一体的人才联合培养机制,制定激励和培训计划。

第六章 法律责任

第二十 违法处理。对于在数据要素市场化配置过程中违反本办法规定的单位和个人,由有权机关责令整改;情节严重的,对有关责任人员依法给予处分;构成犯罪的,依法承担相应的法律责任。

三十 特殊情况。对违反本办法规定的行为,法律、法规已经规定法律责任的,适用其规定。

第七章 附则

第三十 其他要求。法律法规规章和国家政策文件对数据安全管理有规定的,从其规定。

第三十 解释权归属。本办法由州数据管理行政主管部门负责解释。

第三十 生效日期。本办法自2023年11月1日起施行,有效期至2028年10月31日。