第十三条 实行大数据安全责任制,保障大数据全生命周期安全。
大数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。
大数据基于复制、流通、交换等同时存在的多个安全责任人,分别承担各自安全责任。
第十四条 大数据安全责任人是单位的(以下简称单位大数据安全责任人),应当履行下列职责:
(一)依法成立安全管理机构或者明确安全管理负责人,定期对从业人员进行安全教育、技术培训和技能考核;
(二)制定安全管理制度、操作规程、应急预案,明确不同岗位安全管理责任;
(三)加强数据采集、使用、处理权限管理,对批量导出、复制、脱敏、销毁数据等实行审查批准;
(四)加强网络运行、访问监测管理,定期开展数据安全检查;
(五)采取数据分类、备份和加密等安全措施;
(六)按照规定期限留存相关的网络日志;
(七)发生数据安全事件时,立即采取措施,保存证据,并及时向行业主管部门和公安机关报告;
(八)发现违法发布或者传输信息的,立即停止发布、传输或者采取阻断、拦截等措施,保留有关记录,并及时向行业主管部门和公安机关报告;
(九)法律、法规规定的其他职责。
大数据安全责任人是个人的(以下简称个人大数据安全责任人),应当依法采取安全管理措施,妥善存储、保管,合理使用,保障大数据安全。
第十五条 单位大数据安全责任人采集、存储、传输、处理、交换、应用、销毁大数据等,应当根据网络安全等级保护要求,建立大数据安全防护管理制度、大数据安全审计制度,制定大数据安全应急预案,落实安全管理责任,并定期开展安全评测、风险评估和应急演练;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改。
前款规定活动涉及个人信息的,还应当遵守法律、法规关于个人信息保护的规定。
第十六条 采集数据应当具有合法目的和用途,遵循最小且必要和正当原则,禁止过度采集;科学确定采集对象、范围、内容、方式,依法进行采集,并保证数据的真实性、完整性、保密性。
国家机关采集数据应当经被采集人同意,法律、法规另有规定的除外。
采集数据不得侵犯国家秘密、商业秘密和个人信息,不得损害被采集人和他人合法权益。
除法律、法规另有规定外,向不特定公众提供普遍信息、接入、浏览、访问、营销、推广等网络服务的经营者,不得采集与其提供服务无关的数据,不得以使用人拒绝提供相关信息而限制或者拒绝其享受普遍服务。
第十七条 除法律、法规另有规定外,任何单位和个人在公共场所设置数据采集设施、设备采集信息的,应当设置明显标识,并报当地公安机关备案。留存的数据应当用于合法目的,不得非法向他人提供、查阅、复制和传播。
第十八条 存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素,选择相应安全性能和防护级别的系统、介质、设施设备,采取技术和管理措施,保障存储系统和数据安全。
公共数据平台、企业数据中心等集中式大数据存储中心,应当根据国家相关技术标准、规范要求和保障数据安全需要,科学选址,规范建设,建立容灾备份、安全评价、日常巡查管理、防火防盗等安全管理制度,加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。
第十九条 传输数据应当合理选择传输渠道,采取必要的安全措施,防止数据被窃取、泄露、篡改。
第二十条 处理数据应当保护原始数据,不得随意更改、伪造,不得通过恶意处理导致数据毁灭性更改和永久性丢失。
第二十一条 交换数据应当维护数据的完整性、可用性。交换数据应当合法进行,交换双方不得假冒他人或者以其他方式骗取数据交换。
第二十二条 使用数据不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等非法方式获取的数据,不得使用。
使用数据开展广告宣传、营销推广等活动,不得干扰被采集人正常生产生活,不得损害被采集人及他人合法权益。
第二十三条 销毁数据应当根据大数据安全保护管理需要,合理确定销毁方式和销毁要求。销毁公共数据、涉及商业秘密和个人信息等重要数据的,应当进行安全风险评估。
第二十四条 单位大数据安全责任人应当加强数据内容管理,定期清理、审查数据内容,发现其持有、管理、发布的数据含有违法内容的,应当及时予以处理,并采取相关补救措施;超出自身处理权限的,应当立即停止使用,告知数据提供人并向公安机关报告。
第二十五条 为他人提供基础网络、互联网数据中心或者系统服务的网络运营者,应当建立安全监测预警平台,加强对服务对象的数据安全管理,督促其建立安全管理制度,落实安全监测保护技术措施。
开展互联网平台和数据空间等租赁业务的,出租人应当将租赁信息依法报通信管理部门备案,通信管理部门应当将备案信息与公安机关共享。未经出租人同意,承租人不得擅自转租。涉及互联网数据中心业务和互联网接入服务业务的,应当遵守有关法律、法规的规定。
第二十六条 各级人民政府及有关部门和公共机构、公共服务企业因信息公开、数据开放以及公示、公告等需要公布企业、个人数据的,应当采取脱密、脱敏等措施,防止泄露国家秘密、商业秘密和个人信息。
第二十七条 银行、保险、房地产、航空、铁路、公路、供电、供水、供气、邮政、通信、快递、电子商务、旅游服务等经营者和学校、医疗机构、社保、户籍管理、车辆登记、公积金、社会信用管理等单位,应当加强内部管理,建立数据接触、访问审查等制度,明确数据提供、调用、分析、处理等权限。
前款规定单位在经营、服务活动中获取的用户数据,除依法共享开放外,单位及其工作人员不得泄露,不得出售或者非法向他人提供。
第二十八条 禁止发布、传播下列信息:
(一)危害国家主权、安全和发展利益;
(二)损害社会公共利益和他人合法权益;
(三)煽动民族仇恨、民族歧视;
(四)黄、赌、毒等违法犯罪信息;
(五)法律、法规禁止的其他信息。
第二十九条 禁止非法采集、窃取、存储、传输、使用、买卖个人信息。
第三十条 采集、存储、使用、处理人脸、指纹、基因、疾病等生物特征数据,应当遵守法律、法规的规定,不得危害国家安全、公共安全,不得侵犯个人合法权益。
第三十一条 单位大数据安全责任人因公共数据共享开放提供数据,基于提供时的合理预见无安全风险的,提供人不承担相关责任。
通过大数据分析、挖掘、整合等取得的数据或者得出的结论,可能危害国家安全、损害国家利益、社会公共利益的,不得使用、传播,并应当立即停止相关活动,报公安机关依法予以处理。(……待续)
编辑/范永波
审核/骆世明 袁春灵
原标题:《【大数据学习】贵州省大数据安全保障条例(二)》
