天津市互联网信息办公室关于

《天津市数据安全管理办法(暂行)》(征求意见稿)

 公开征求意见的公告

为加强我市数据安全管理工作,建立健全数据安全保障体系,促进大数据发展应用,根据《中华人民共和国网络安全法》《天津市促进大数据发展应用条例》等法律法规,结合我市实际,我办起草了《天津市数据安全管理办法(暂行)》(征求意见稿),现向社会公开征求意见。有关单位和各界人士可于2019年5月15日前,通过以下方式提出意见:

一、通过信函方式将意见寄至:天津市河西区梅江道20号天津市互联网信息办公室,邮编:300221,并在信封上注明“征求意见”。

二、通过传真方式将意见发送至:022-88355103。

三、通过邮件方式将意见发送至:tjwxbdsjc@126.com。

逾期视为无意见。

附件:《天津市数据安全管理办法(暂行)》(征求意见稿)

天津市互联网信息办公室

2019年5月8日

附件:

天津市数据安全管理办法(暂行)(征求意见稿)

第一章 总 则

第一条【目的依据】 为维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,加强数据安全管理,建立健全数据安全保障体系,促进大数据发展应用,根据《中华人民共和国网络安全法》《天津市促进大数据发展应用条例》等法律法规的规定,结合本市实际,制定本办法。

第二条【适用范围】 在本市行政区域内利用网络开展数据采集、传输、存储、处理、使用等活动(以下简称“数据活动”),以及数据安全的保护和监督管理,应当遵守本办法。

涉及国家秘密的数据安全保护管理工作,按照有关法律法规的规定执行。

第三条【方针原则】 数据安全管理应当采取政府主导、分工负责、积极防御、综合防范的方针,坚持保障数据安全与发展并重、管理与技术兼顾的原则,鼓励研发数据安全保护技术,保障数据依法有序自由流动。

第四条【工作措施】 本市采取主动策略和有效措施,监测、防御、处置来自境内外的数据安全风险和威胁,保护数据免受泄漏、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。

第五条【工作领导】 市人民政府领导全市数据安全管理工作,区人民政府负责本行政区域内数据安全管理工作。

第六条【职责分工】 互联网信息主管部门负责统筹协调本行政区域数据安全保护管理工作,建设数据安全保障体系,采取关键信息基础设施安全防护措施,统筹协调有关部门开展监督检查、监测预警、信息通报、应急处置等工作。

公安、保密、密码、通信管理等有关部门按照各自职责,做好数据安全管理的相关工作。

第七条【单位责任】 数据运营者应当按照有关法律法规的规定,依照数据安全标准,履行数据安全保护义务,建立数据安全管理责任、考核评价制度和数据安全投诉举报制度,制定数据安全计划,实施数据安全防护技术措施,开展数据安全风险评估,制定数据安全事件应急预案,及时处置和报告数据安全事件,组织数据安全教育培训,接受有关部门监管和社会监督。

第八条【标准制定】 市互联网信息主管部门会同标准化管理等部门加强数据安全的国家标准、行业标准和地方标准的宣传、培训,引导、鼓励数据运营者依照数据安全相关标准,提高数据安全防护能力。

鼓励支持教育、科研机构和企业参与数据安全的国家标准、行业标准和地方标准的研究、制定。

第九条【产学研支持】 市级有关部门和区人民政府应当提供资金和政策支持,促进数据安全产业发展和技术研发创新。

推动高等院校、科研机构、企业开展产学研合作,建设集教学培训、研发孵化于一体的数据安全产业发展模式,实现数据安全人才培养、技术创新、产业发展的深度融合。鼓励高校设置数据安全相关专业,建设数据安全人才与创新基地,多种形式培养、引进和使用数据安全人才。

第十条【宣传教育】 市级有关部门和区人民政府应当组织数据运营者、教育机构、公众传媒,做好数据安全宣传、教育和培训工作,提升整体数据安全意识和防护水平。

第二章 安全保障

第十一条【信息备案】 市互联网信息主管部门应当建立本市数据安全信息备案制度,会同有关部门组织重要数据和个人信息的数据运营者对以下信息开展备案工作:

(一)数据运营者主体信息;

(二)数据收集和使用规则;

(三)数据收集的目的、方式、范围、类型等,不包括数据本身;

(四)采集、传输、存储、处理、使用、保护个人信息和重要数据的应用、系统、平台等资产信息;

(五)提供数据安全服务的企业及其人员、产品、技术等信息;

(六)其他事关本市数据安全保护工作的信息。

第十二条【基础安全】 数据运营者应当按照等级保护要求,落实安全管理制度和技术措施,确保数据系统的物理环境、通信网络、区域边界、计算环境等方面整体安全,加强对数据活动过程中关键操作的安全审计。

第十三条【数据和系统资产管理】 数据运营者应当建立并执行数据资产和系统资产安全管理规范,实行数据和系统资产登记制度,形成资产清单,按照有关规定向互联网信息主管部门备案相关信息。

第十四条【组织管理】 数据运营者的法定代表人或者主要负责人是本单位数据安全的第一责任人。

数据运营者应当按照法律法规和相关标准,指定本单位数据安全管理部门,明确数据安全管理岗位和职责。

第十五条【人员管理】 数据运营者应当制定数据安全岗位人员安全管理制度,逐一签订安全责任书和保密协议,定期开展安全培训。

数据运营者应当建立第三方人员安全管理制度,逐一签订保密协议,定期对其行为进行安全审查。

第十六条【个人信息和重要数据保护】 数据运营者应当制定并落实安全管理制度,对数据进行分类分级,采取加密、脱敏、备份、审计等措施,加强对个人信息和重要数据采集、传输、存储、处理和使用的保护。

第十七条【数据跨境传输】 数据运营者向境外提供个人信息和重要数据的,应当按照相关法律法规和标准,制定并落实审批制度,开展安全评估,确保数据跨境传输的合法性和安全性。

第十八条【密码管理】 数据运营者应当按照国家密码管理规定使用和管理密码技术和设施,依规生成、分发、存取、更新、备份和销毁密钥。

第十九条【数据采集】 数据运营者应当明确采集数据的目的和用途,确保数据采集的合法性、正当性、必要性和业务关联性。对数据采集的环境、设施和技术采取必要的管控措施,确保数据的完整性、一致性和真实性,保证数据在采集过程中不被泄露。

第二十条【数据传输】 数据运营者应当制定并执行数据安全传输策略和规程,采用安全可信通道或数据加密等安全控制措施,确保数据传输的安全性和可靠性。

第二十一条【数据存储】 数据运营者应当根据数据的安全等级采取相应的管控措施进行存储,对个人信息和重要数据应当采取加密存储、身份鉴别和访问控制等措施,确保数据存储的安全性和保密性。

第二十二条【数据使用】 数据运营者应当采取管控措施确保数据使用目的合规,使用过程安全可控、可溯源。

第二十三条【数据交换】 数据运营者应当制定数据共享、交换、发布管理制度,采取数据加密、安全通道等管控措施保护数据共享、交换过程中的个人信息和重要数据安全,指定专人审核数据发布的合法合规性,加强对数据共享、交换、发布的监控分析。

第二十四条【数据销毁】 数据不需要继续使用或继续存储将妨碍数据主体权益的,数据运营者应当立即销毁。

销毁数据,应当建立相应的管理制度和审批机制,明确销毁对象、流程、方式、方法和技术等要求,设置相关监督岗位人员,确保以不可逆方式销毁数据。

第二十五条【服务外包】 数据运营者利用服务外包方式开展数据活动的,应当与外包服务提供者签订安全保护协议,采取安全保护措施,对外包服务提供者开展的数据活动进行监督。

第三章 信息通报与应急处置

第二十六条【信息通报】 市互联网信息主管部门统筹协调有关部门建立数据安全信息通报制度,开展数据安全信息通报工作。

第二十七条【监测平台】 市互联网信息主管部门应当建设数据安全监测通报平台,会同有关部门开展对监测信息、监督检查信息和上级通报信息的分析研判和风险评估,按照规定发布安全风险预警或信息通报。

区互联网信息主管部门应当会同同级有关部门落实上级部门通过数据安全监测通报平台发布的各项指令。

第二十八条【预案编制】 市级政务部门和区人民政府应当建立数据安全应急工作机制,制定数据安全事件应急预案,定期开展应急演练,并对演练情况进行评估,针对演练中发现的问题补充修订应急预案。

第二十九条【事件处置】 发生数据安全事件时,市和区互联网信息主管部门应当按程序迅速启动应急预案,统筹协调公安、通信管理等有关部门确定安全事件响应级别,采取应急措施妥善处置。

第三十条【数据运营者责任】 数据运营者应当落实数据安全信息通报制度,制定数据安全事件应急预案,定期开展应急演练,建立和保持与有关各方的联络、协作。

数据安全事件发生后或发生数据安全事件风险明显加大时,数据运营者应当立即启动应急预案,采取相应措施防止危害扩大,保存相关记录,告知可能受到影响的用户,按照规定及时向有关部门报告。

第四章 监督检查

第三十一条【检查机制】 市和区互联网信息主管部门应当会同有关部门建立健全数据安全监督检查工作机制,明确检查工作内容、目标、方式和标准。

第三十二条【检查要求】 互联网信息主管部门应当协调指导有关部门检查数据运营者履行数据安全责任、落实安全管理制度和保护技术措施等方面的情况。在监督检查中,发现数据运营者存在安全问题和隐患的,应当提出改进要求并督促整改。

数据运营者应当根据有关部门的要求进行整改,并反馈整改情况。

第五章 责任追究

第三十三条 数据运营者不履行本办法第十二条、第十三条、第十四条、第十五条、第十六条、第十七条、第十八条、第三十条、第三十二条规定的数据安全保护义务的,由有关部门责令限期改正;逾期未改正或造成危害数据安全等严重后果的,对直接负责的主管人员和其他直接责任人员依照《中华人民共和国网络安全法》等法律法规的规定,给予相应处罚;构成犯罪的,依法追究刑事责任。

第三十四条 国家机关及其工作人员在数据安全管理工作中滥用职权、玩忽职守、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。

第六章 附 则

第三十五条 本办法下列用语的含义:

(一)数据,是指通过网络采集、传输、存储、处理和产生的各种电子数据。

(二)数据运营者,是指所有、管理、使用数据和提供数据服务的法人和其他组织。

(三)数据安全,是指通过采取必要措施,防范对网络(系统、数据)的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障数据的完整性、保密性、可用性的能力。

(四)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

(五)重要数据,是指我国机构和个人在境内采集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据,包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的,不涉及国家秘密,但一旦泄露、篡改或滥用将会对国家安全、经济发展和社会公共利益造成不利影响的数据。

第三十六条 本办法自2019年 月 日起施行,有效期5年。

声明:本文来自网信天津,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。