貴州省大數據安全保障條例
(2019年8月1日貴州省第十三屆人民代表大會常務委員會第十一次會議通過)
目 錄
第一章 總 則
第二章 安全責任
第三章 監(jiān)督管理
第四章 支持與保障
第五章 法律責任
第六章 附 則
第一章 總 則
第一條 為了保障大數據安全和個人信息安全����,明確大數據安全責任���,促進大數據發(fā)展應用���,根據《中華人民共和國網絡安全法》和有關法律���、法規(guī)的規(guī)定,結合本省實際�,制定本條例。
第二條 本省行政區(qū)域內大數據安全保障及相關活動���,應當遵守本條例�����。
涉及國家秘密的大數據安全保障�����,還應當遵守《中華人民共和國保守國家秘密法》等法律�、法規(guī)的規(guī)定�。
第三條 本條例所稱大數據安全保障,是指采取預防�、管理����、處置等策略和措施,防范大數據被攻擊、侵入���、干擾��、破壞����、竊取��、篡改�����、刪除和非法使用以及意外事故���,保障大數據的真實性���、完整性、有效性��、保密性��、可控性并處于安全狀態(tài)的活動���。
本條例所稱大數據是指以容量大����、類型多、存取速度快�����、應用價值高為主要特征的數據集合���,是對數量巨大����、來源分散��、格式多樣的數據進行采集���、存儲和關聯分析�����,發(fā)現新知識�、創(chuàng)造新價值��、提升新能力的新一代信息技術和服務業(yè)態(tài)�����。
本條例所稱大數據安全責任人����,是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的單位和個人,包括大數據所有人�、持有人、管理人��、使用人以及其他從事大數據采集�����、存儲�����、清洗��、開發(fā)�����、應用、交易�����、服務等的單位和個人���。
第四條 大數據安全保障工作堅持總體國家安全觀�,樹立正確的網絡安全觀��,按照政府主導�、責任人主體,統(tǒng)籌規(guī)劃�����、突出重點���,預防為主����、綜合治理����,包容審慎���、支持創(chuàng)新,安全與發(fā)展�����、監(jiān)管與利用并重的原則��,維護大數據總體和動態(tài)安全����。
第五條 大數據安全保障工作應當圍繞國家大數據戰(zhàn)略和省大數據戰(zhàn)略行動實施��,建立健全大數據安全管理制度����,建設大數據安全地方標準體系、大數據安全測評體系����、大數據安全保障體系等,采取大數據安全攻防演練等安全保障措施�����,推動大數據安全技術、制度���、管理創(chuàng)新和發(fā)展���。
第六條 省人民政府負責全省大數據安全保障工作,市�����、州和縣級人民政府負責本行政區(qū)域內大數據安全保障工作�。
開發(fā)區(qū)、新區(qū)管理機構根據設立開發(fā)區(qū)���、新區(qū)的人民政府的授權�,負責本轄區(qū)大數據安全保障的具體工作����。
第七條 縣級以上有關部門按照下列規(guī)定,履行大數據安全保障職責:
(一)網信部門負責統(tǒng)籌協(xié)調���、檢查指導和相關監(jiān)督管理等工作�����;
(二)公安機關負責安全保護和管理�、風險評估、監(jiān)測預警�、應急處置和違法行為查處等監(jiān)督管理工作;
(三)大數據發(fā)展管理部門負責與大數據安全相關的數據管理����、產業(yè)發(fā)展����、技術應用等工作;
(四)通信管理部門負責電信網���、公共互聯網運行安全監(jiān)督管理等工作���;
(五)保密行政管理部門負責保密監(jiān)督管理等工作
(六)密碼管理部門負責密碼監(jiān)督管理等工作;
(七)其他部門按照有關法律����、法規(guī)的規(guī)定和各自職責做好大數據安全保障工作。
第八條 省人民政府應當根據大數據發(fā)展應用總體規(guī)劃��,編制大數據安全保障規(guī)劃;網信��、公安�����、大數據發(fā)展管理等部門應當根據大數據安全保障規(guī)劃��,編制本部門����、本行業(yè)大數據安全保障專項規(guī)劃。
第九條 縣級以上人民政府應當建立大數據安全保障工作領導協(xié)調機制和責任機制����,協(xié)調和指導本行政區(qū)域內大數據安全保障有關事項。
公安機關應當按照網絡安全等級保護要求��,會同有關部門制定大數據風險測評��、應急防范等安全制度���,加強對大數據安全技術�、設備和服務提供商的風險評估和安全管理���。
第十條 任何單位和個人都有維護大數據安全的義務���,不得從事危害大數據安全的活動���,不得利用大數據從事危害國家安全以及損害國家利益、社會公共利益和他人合法權益的活動�����。
對危害大數據安全或者利用大數據從事違法犯罪活動的行為��,任何單位和個人都有權勸阻���、制止、投訴�����、舉報���。收到投訴舉報的部門應當依法及時查處��,保護舉報人的合法權益��;不屬于本部門職責的��,應當及時移送有權處理的部門�����。
第十一條 鼓勵開展大數據安全知識宣傳普及��、教育培訓�,增強全社會大數據安全意識,提高大數據安全風險防范能力��。
第十二條 鼓勵�����、支持成立大數據安全聯盟�、行業(yè)協(xié)會等社會組織,開展行業(yè)自律�、交流合作和安全技術研究等大數據安全工作。
第二章 安全責任
第十三條 實行大數據安全責任制���,保障大數據全生命周期安全�����。
大數據安全責任����,按照誰所有誰負責、誰持有誰負責����、誰管理誰負責、誰使用誰負責以及誰采集誰負責的原則確定��。
大數據基于復制��、流通�����、交換等同時存在的多個安全責任人����,分別承擔各自安全責任�。
第十四 條大數據安全責任人是單位的(以下簡稱單位大數據安全責任人),應當履行下列職責:
(一)依法成立安全管理機構或者明確安全管理負責人��,定期對從業(yè)人員進行安全教育�����、技術培訓和技能考核;
(二)制定安全管理制度����、操作規(guī)程、應急預案�,明確不同崗位安全管理責任;
(三)加強數據采集�、使用、處理權限管理�����,對批量導出����、復制、脫敏�����、銷毀數據等實行審查批準���;
(四)加強網絡運行����、訪問監(jiān)測管理,定期開展數據安全檢查��;
(五)采取數據分類����、備份和加密等安全措施;
(六)按照規(guī)定期限留存相關的網絡日志����;
(七)發(fā)生數據安全事件時,立即采取措施���,保存證據�����,并及時向行業(yè)主管部門和公安機關報告���;
(八)發(fā)現違法發(fā)布或者傳輸信息的�����,立即停止發(fā)布、傳輸或者采取阻斷�、攔截等措施,保留有關記錄���,并及時向行業(yè)主管部門和公安機關報告���;
(九)法律、法規(guī)規(guī)定的其他職責����。
大數據安全責任人是個人的(以下簡稱個人大數據安全責任人),應當依法采取安全管理措施�����,妥善存儲�����、保管�����,合理使用,保障大數據安全�。
第十五條 單位大數據安全責任人采集、存儲�����、傳輸����、處理、交換�����、應用����、銷毀大數據等,應當根據網絡安全等級保護要求���,建立大數據安全防護管理制度����、大數據安全審計制度�����,制定大數據安全應急預案���,落實安全管理責任�����,并定期開展安全評測����、風險評估和應急演練�;采取安全保護技術措施,防止數據丟失���、毀損��、泄露和篡改���。
前款規(guī)定活動涉及個人信息的,還應當遵守法律����、法規(guī)關于個人信息保護的規(guī)定。
第十六條 采集數據應當具有合法目的和用途,遵循最小且必要和正當原則�,禁止過度采集;科學確定采集對象�����、范圍����、內容、方式�����,依法進行采集��,并保證數據的真實性�、完整性、保密性�����。
國家機關采集數據應當經被采集人同意��,法律����、法規(guī)另有規(guī)定的除外����。
采集數據不得侵犯國家秘密����、商業(yè)秘密和個人信息��,不得損害被采集人和他人合法權益�。
除法律、法規(guī)另有規(guī)定外���,向不特定公眾提供普遍信息���、接入、瀏覽���、訪問�、營銷��、推廣等網絡服務的經營者��,不得采集與其提供服務無關的數據,不得以使用人拒絕提供相關信息而限制或者拒絕其享受普遍服務���。
第十七條 除法律���、法規(guī)另有規(guī)定外,任何單位和個人在公共場所設置數據采集設施�、設備采集信息的,應當設置明顯標識�����,并報當地公安機關備案����。留存的數據應當用于合法目的,不得非法向他人提供�����、查閱����、復制和傳播。
第十八條 存儲數據應當根據數據類型��、規(guī)模、用途��、安全等級�、重要程度等因素,選擇相應安全性能和防護級別的系統(tǒng)�、介質、設施設備�,采取技術和管理措施,保障存儲系統(tǒng)和數據安全����。
公共數據平臺�����、企業(yè)數據中心等集中式大數據存儲中心�����,應當根據國家相關技術標準����、規(guī)范要求和保障數據安全需要,科學選址�,規(guī)范建設�����,建立容災備份��、安全評價�����、日常巡查管理��、防火防盜等安全管理制度�,加強存儲環(huán)境��、供電�、通信和存儲系統(tǒng)、介質�、設施設備安全審查。
第十九條 傳輸數據應當合理選擇傳輸渠道�,采取必要的安全措施,防止數據被竊取���、泄露�����、篡改����。
第二十條 處理數據應當保護原始數據,不得隨意更改����、偽造,不得通過惡意處理導致數據毀滅性更改和永久性丟失��。
第二十一條 交換數據應當維護數據的完整性�、可用性。交換數據應當合法進行���,交換雙方不得假冒他人或者以其他方式騙取數據交換。
第二十二條 使用數據不得用于非法目的和用途���。明知是通過攻擊�、竊取��、惡意訪問等非法方式獲取的數據��,不得使用�����。
使用數據開展廣告宣傳、營銷推廣等活動���,不得干擾被采集人正常生產生活����,不得損害被采集人及他人合法權益���。
第二十三條 銷毀數據應當根據大數據安全保護管理需要��,合理確定銷毀方式和銷毀要求����。銷毀公共數據��、涉及商業(yè)秘密和個人信息等重要數據的���,應當進行安全風險評估�。
第二十四條 單位大數據安全責任人應當加強數據內容管理�,定期清理、審查數據內容,發(fā)現其持有���、管理�、發(fā)布的數據含有違法內容的����,應當及時予以處理,并采取相關補救措施�����;超出自身處理權限的�����,應當立即停止使用�����,告知數據提供人并向公安機關報告�����。
第二十五條 為他人提供基礎網絡���、互聯網數據中心或者系統(tǒng)服務的網絡運營者�,應當建立安全監(jiān)測預警平臺�,加強對服務對象的數據安全管理,督促其建立安全管理制度�,落實安全監(jiān)測保護技術措施。
開展互聯網平臺和數據空間等租賃業(yè)務的���,出租人應當將租賃信息依法報通信管理部門備案�,通信管理部門應當將備案信息與公安機關共享��。未經出租人同意��,承租人不得擅自轉租���。涉及互聯網數據中心業(yè)務和互聯網接入服務業(yè)務的���,應當遵守有關法律、法規(guī)的規(guī)定�����。
第二十六條 各級人民政府及有關部門和公共機構��、公共服務企業(yè)因信息公開、數據開放以及公示����、公告等需要公布企業(yè)、個人數據的��,應當采取脫密�����、脫敏等措施���,防止泄露國家秘密�����、商業(yè)秘密和個人信息�。
第二十七條 銀行���、保險���、房地產���、航空����、鐵路、公路�、供電、供水�、供氣、郵政��、通信�����、快遞����、電子商務、旅游服務等經營者和學校��、醫(yī)療機構���、社保����、戶籍管理、車輛登記�����、公積金�、社會信用管理等單位,應當加強內部管理���,建立數據接觸���、訪問審查等制度,明確數據提供�、調用、分析�、處理等權限。
前款規(guī)定單位在經營����、服務活動中獲取的用戶數據,除依法共享開放外�,單位及其工作人員不得泄露,不得出售或者非法向他人提供�。
第二十八條 禁止發(fā)布、傳播下列信息:
(一)危害國家主權��、安全和發(fā)展利益;
(二)損害社會公共利益和他人合法權益����;
(三)煽動民族仇恨����、民族歧視;
(四)黃��、賭���、毒等違法犯罪信息����;
(五)法律�����、法規(guī)禁止的其他信息�����。
第二十九條 禁止非法采集����、竊取�����、存儲�、傳輸�、使用、買賣個人信息����。
第三十條 采集、存儲�、使用、處理人臉�����、指紋�����、基因���、疾病等生物特征數據����,應當遵守法律、法規(guī)的規(guī)定���,不得危害國家安全��、公共安全,不得侵犯個人合法權益����。
第三十一條 單位大數據安全責任人因公共數據共享開放提供數據,基于提供時的合理預見無安全風險的����,提供人不承擔相關責任。
通過大數據分析�����、挖掘����、整合等取得的數據或者得出的結論,可能危害國家安全����、損害國家利益����、社會公共利益的��,不得使用��、傳播�����,并應當立即停止相關活動��,報公安機關依法予以處理��。
第三章 監(jiān)督管理
第三十二條 省人民政府應當建立統(tǒng)一的大數據安全監(jiān)管平臺�,負責大數據安全信息收集、分析評估和通報���,監(jiān)測大數據安全狀況�����,發(fā)布大數據安全監(jiān)測預警信息����,統(tǒng)籌協(xié)調大數據安全事件處置。
行業(yè)主管部門負責監(jiān)測本行業(yè)��、本領域大數據安全狀況�,發(fā)布相關信息,督促���、指導本行業(yè)����、本領域的大數據監(jiān)測預警處置工作���。
關鍵信息基礎設施運營者、公共數據平臺��、企業(yè)數據中心等集中式大數據存儲中心以及其他重要大數據安全責任單位�,應當建立大數據安全監(jiān)測預警平臺,負責監(jiān)測本單位大數據安全狀況��,發(fā)布相關信息����。
第三十三條 縣級以上公安機關應當加強大數據安全風險分析��、預測��、評估�����,收集相關信息�;發(fā)現可能導致較大范圍黑客攻擊���、病毒蔓延等大數據安全事件的���,應當及時發(fā)布預警信息,提出防范應對措施�,指導、監(jiān)督大數據安全責任人做好安全防范工作��。
第三十四條 行業(yè)主管部門���、關鍵信息基礎設施和重要信息系統(tǒng)運營單位發(fā)現本行業(yè)����、本單位大數據安全事件發(fā)生的風險增大時,應當加強監(jiān)測���,及時收集相關信息��,開展安全風險分析評估����,發(fā)布風險預警���,并采取避免�����、減輕危害的措施�。
第三十五條 單位大數據安全責任人的應急預案應當包括大數據安全事件應急處置的組織機構及其職責�、安全事件分級���、應急響應程序���、處置措施等內容,并定期組織演練��。
關鍵信息基礎設施運營者、公共數據平臺��、企業(yè)數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人的應急預案����,應當報行業(yè)主管部門和縣級以上公安機關備案。
第三十六條 發(fā)生大數據安全事件時�����,安全責任人應當及時啟動應急預案����,采取相應處置措施,防止危害擴大����,告知可能受到影響的用戶,并向行業(yè)主管部門和縣級以上公安機關報告�����。行業(yè)主管部門和縣級以上公安機關應當根據事件的性質和特點���,及時予以處置并依法發(fā)布相關信息����。
處置大數據安全事件時應當保護現場,記錄并留存相關數據信息��。
第三十七條 縣級以上公安機關應當建立大數據安全日常監(jiān)測制度��,加強對大數據安全責任人履行安全職責情況的巡查���、檢查����,指導��、監(jiān)督安全責任人建立安全管理制度�����,加強安全風險防范��,落實安全保障責任���。
縣級以上公安機關發(fā)現有關單位和個人安全管理責任落實不到位,存在較大安全風險或者可能發(fā)生安全事件的�,應當及時提出整改意見并督促落實���。
第三十八 條建立大數據安全情況報告制度。關鍵信息基礎設施經營者���、公共數據平臺�����、企業(yè)數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人�����,應當定期向行業(yè)主管部門和縣級以上公安機關報告大數據安全情況�。
第三十九條 有關部門因履行職責需要����,按照有關法律、法規(guī)的規(guī)定要求提供掌握的宏觀經濟����、社會管理、網絡安全等數據的�����,有關單位和個人應當及時提供。
除依法共享開放外���,有關部門不得將前款規(guī)定的數據用于與履行職責無關的用途�。
第四十條 大數據安全責任人應當協(xié)助公安機關����、國家安全機關依法查處危害國家安全、公共安全及其他犯罪行為����,為預防、偵查危害國家安全�、公共安全及其他犯罪活動提供相關資料、數據和技術接口等支持�����。
大數據安全責任人按照前款規(guī)定或者公安機關����、國家安全機關的要求采集的數據,未經公安機關����、國家安全機關同意,不得自行處理�����、使用或者向他人提供�����。
第四十一條 縣級以上社會信用管理部門應當建立大數據安全誠信檔案�,記錄大數據安全責任人數據采集、管理��、使用等信用信息�����,并按照有關規(guī)定納入社會信用體系����。
第四章 支持與保障
第四十二條 省人民政府應當支持大數據安全技術創(chuàng)新,推進大數據安全產業(yè)基地����、園區(qū)和大數據安全城市建設,推動形成大數據安全產品研發(fā)����、生產����、應用的大數據安全產業(yè)鏈��。
市���、州和縣級人民政府應當采取相應措施��,引導�、扶持���、推動大數據安全相關產業(yè)���、技術、產品發(fā)展應用���。
鼓勵高等院校�、科研機構和企業(yè)事業(yè)單位加大大數據安全技術研發(fā)投入�����,開展大數據安全技術創(chuàng)新研究和大數據安全關鍵技術攻關,形成自主知識產權��,推動科技成果轉化�����。
第四十三條 省人民政府標準化部門應當會同有關部門制定并適時修訂有關大數據安全以及大數據產品�����、服務和運行安全的地方標準���,建立和完善大數據安全地方標準體系。
鼓勵和支持企業(yè)���、科研機構�、高等院校和相關行業(yè)組織開展大數據安全相關標準的研究��、制定和協(xié)同攻關��,推動形成國家�����、行業(yè)和地方標準。
第四十四條 縣級以上人民政府設立的大數據發(fā)展應用專項資金�、大數據發(fā)展基金、科技成果轉化資金等�,對大數據安全技術研發(fā)及成果轉化應用、安全規(guī)范和安全標準制定����、安全監(jiān)測預警平臺建設、安全保障體系建設���、容災備份體系建設�����、安全意識培訓等�,應當給予支持��。
符合國家稅收優(yōu)惠政策規(guī)定的大數據安全企業(yè)����,依法享受稅收優(yōu)惠。
鼓勵金融機構創(chuàng)新金融產品��,完善金融服務,支持大數據安全相關產業(yè)���、技術�����、產品發(fā)展應用���。
第四十五條 縣級以上人民政府應當加強大數據安全監(jiān)督管理人才隊伍建設����,鼓勵和支持大數據安全及相關領域專業(yè)人才的培養(yǎng)、引進�����。
支持高等院校���、科研機構大數據安全學科�、專業(yè)等建設�����,開設大數據安全相關課程;創(chuàng)新教育培養(yǎng)模式�����,開展校企合作辦學����,實行訂單式培養(yǎng),為大數據安全提供人才支撐�。
第四十六條 縣級以上人民政府應當加強實體經濟企業(yè)大數據安全體系建設引導,支持實體經濟企業(yè)與大數據深度融合�,加強實體經濟企業(yè)信息化、大數據應用系統(tǒng)的安全保障能力和安全防護意識����。
第四十七條 縣級以上人民政府推進大數據安全社會化服務體系建設,鼓勵和支持企業(yè)開展安全測評��、電子認證�����、數據加密����、容災備份等數據安全服務�。
第四十八條 鼓勵企業(yè)事業(yè)單位使用符合大數據安全要求的產品�、技術、服務�����,并依法享受優(yōu)惠政策����。
第四十九條 鼓勵和支持建立大數據安全實驗室、大數據安全靶場��、技術驗證基地等���,開展大數據及網絡安全攻防演練,對大數據安全新技術�����、新應用�、新產品進行測試、檢驗�����。
第五章 法律責任
第五十條 違反本條例第十四條第一款、第十五條第一款�、第二十四條、第二十七條第一款��、第三十一條第二款的�,由有關部門或者縣級以上公安機關責令改正,給予警告��;拒不改正或者導致危害大數據安全等后果的�����,處以1萬元以上10萬元以下罰款�����,對直接負責的主管人員處以5000元以上5萬元以下罰款����。
第五十一條 違反本條例第十六條第一款、第二款規(guī)定�,過度采集數據或者采集數據未經被采集人同意的,由有關部門或者縣級以上公安機關責令改正��,給予警告��;拒不改正的,處以5000元以上5萬元以下罰款����,對直接負責的主管人員處以1000元以上1萬元以下罰款;造成損失的�,依法予以賠償。
違反本條例第十六條第三款規(guī)定的�����,由有關部門或者縣級以上公安機關責令改正�����,給予警告����;拒不改正的���,處以1萬元以上10萬元以下罰款�����,對直接負責的主管人員處以5000元以上5萬元以下罰款����。
第五十二條 違反本條例第十七條規(guī)定的,由有關部門或者縣級以上公安機關責令改正���,給予警告����;拒不改正��,或者擅自向他人提供����、查閱、復制�����、傳播留存的數據且情節(jié)嚴重的���,可處以5000元以上5萬元以下罰款�,對直接負責的主管人員處以1000元以上1萬元以下罰款�。
第五十三條 違反本條例第十八條、第十九條、第二十條�、第二十一條規(guī)定的,由有關部門或者縣級以上公安機關責令改正���,給予警告��。
違反本條例第十八條第二款規(guī)定����,拒不改正或者導致危害大數據安全等后果的���,由有關部門或者縣級以上公安機關處以10萬元以上100萬元以下罰款�����,對直接負責的主管人員處以1萬元以上10萬元以下罰款�����。
第五十四條 違反本條例第二十二條規(guī)定的��,由有關部門或者縣級以上公安機關責令改正,給予警告���,沒收違法所得�����,可處以違法所得1倍以上5倍以下罰款��;沒有違法所得的����,處以5萬元以上50萬元以下罰款。
第五十五條 違反本條例第二十三條規(guī)定�,銷毀數據未進行安全風險評估的,由有關部門或者縣級以上公安機關責令改正�,給予警告,可處以5000元以上5萬元以下罰款�。
第五十六條 違反本條例第二十五條第二款規(guī)定未備案或者擅自轉租的,由通信管理部門責令改正�,給予警告;拒不改正的����,可處以5000元以上5萬元以下罰款。
第五十七條 違反本條例第二十七條第二款����、第二十九條規(guī)定的,由有關部門或者縣級以上公安機關責令改正,給予警告����,沒收違法所得,并可處以違法所得1倍以上10倍以下罰款�����;沒有違法所得的���,處以100萬元以下罰款�,對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下罰款�;情節(jié)嚴重的,責令暫停相關業(yè)務�����、停業(yè)整頓���,或者吊銷相關業(yè)務許可證����、營業(yè)執(zhí)照��。
第五十八條 違反本條例第四十條規(guī)定的,由縣級以上公安機關責令改正�;拒不改正或者情節(jié)嚴重的�,處以5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員����,處以1萬元以上10萬元以下罰款。
第五十九條 國家機關及其工作人員違反本條例規(guī)定����,或者玩忽職守、濫用職權���、徇私舞弊���,妨礙大數據安全保障工作,尚不構成犯罪的���,由其上級主管部門或者監(jiān)察機關對直接負責的主管人員和其他直接責任人員依法予以處分�。
第六十條 違反本條例規(guī)定的其他行為���,法律��、法規(guī)有處罰規(guī)定的�����,從其規(guī)定�。
第六章 附 則
第六十一條 本條例自2019年10月1日起施行。
修改情況的說明
省人大常委會:
省十三屆人大常委會第八次會議對《貴州省大數據安全保障條例(草案)》(以下簡稱《條例草案》)進行了審議����,常委會組成人員認為,為了明確大數據安全責任���,保障大數據安全和個人信息安全�����,促進大數據發(fā)展應用����,制定該條例是必要的�。同時,常委會組成人員提出了一些修改意見��。
會后����,法工委將《條例草案》分送各級人大常委會和省人大常委會基層立法聯系點征求意見��,并在省人大常委會網站全文公布征求意見稿��,廣泛征求意見;2019年3月�,法工委赴北京專門征求公安部網絡安全部門的意見。5月9日�,法制委員會召開會議并邀請省人大財政經濟委員會、監(jiān)察和司法委員會參加�����,對《條例草案》進行了審議��,并對省十三屆人大常委會第八次會議的審議意見以及各有關方面提出的修改意見進行了認真研究�,對《條例草案》進行了修改。現將有關情況說明如下:
1.刪除第六條第三款�����。
2.增加一條作為第七條��,內容為:“縣級以上有關部門按照下列規(guī)定��,履行大數據安全保障職責:
“(一)網信部門負責統(tǒng)籌協(xié)調、檢查指導和相關監(jiān)督管理等工作�����;
“(二)公安機關負責安全保護和管理�����、風險評估�、監(jiān)測預警、應急處置和違法行為查處等監(jiān)督管理工作�����;
“(三)大數據發(fā)展管理部門負責政府部門����、重點行業(yè)數據資源安全保障的監(jiān)督管理等工作;
“(四)通信管理部門負責通信行業(yè)安全監(jiān)督管理等工作����;
“(五)保密行政管理部門負責保密監(jiān)督管理等工作;
“(六)密碼管理部門負責密碼監(jiān)督管理等工作���;
“(七)其他部門按照有關法律�����、法規(guī)的規(guī)定和各自職責做好大數據安全保障工作����。”
3.增加一條作為第八條����,內容為:“網信部門�、公安機關、大數據發(fā)展管理部門以及行業(yè)主管部門為履行監(jiān)督管理職責的需要����,經部門負責人批準,可以對大數據安全責任人采取下列措施:
“(一)檢查生產��、經營��、管理�����、服務等情況�����;
“(二)查閱、復制相關文件和資料����;
“(三)開展約談;
“(四)法律��、法規(guī)規(guī)定的其他措施�。”
4.原第七條改為第九條���,將“縣級以上人民政府大數據安全主管部門及其他有關部門”修改為“縣級以上網信����、公安���、大數據發(fā)展管理等部門”����。
5.原第八條改為第十條����,第二款和原第十三條第六項���、原第二十三條、原第二十八條第二款�����、原第三十條�、原第三十四條、原第三十八條中的“主管部門”統(tǒng)一修改為“公安機關”�����。
6.原第九條改為第十一條����,第二款中的“有關行政主管部門收到投訴舉報應當依法及時查處�,保護舉報人的合法權益”修改為“收到投訴舉報的部門應當依法及時查處,保護舉報人的合法權益��;不屬于本部門職責的�����,應當及時移送有權處理的部門”。
7.原第十三條改為第十五條��,第七項修改為:“發(fā)現違法發(fā)布或者傳輸信息的�����,立即停止發(fā)布���、傳輸或者采取阻斷�、攔截等措施�,保留有關記錄,并及時向公安機關報告”�����。
8.原第十四條改為第十六條���,第一款調整為原第十二條第一款���,并修改為:“實行大數據安全責任制,保障大數據全生命周期安全��?�!?
9.原第二十一條改為第二十三條,修改為:“使用數據�,應當通過合法方式獲取數據,并保護數據所有人���、提供人�、采集人合法權益��,不得用于非法目的和用途����。明知是通過攻擊、竊取���、惡意訪問等非法方式獲取的數據�����,不得使用����。
“使用數據開展廣告宣傳��、營銷推廣等活動��,不得干擾被采集人正常生產生活����,不得損害被采集人及他人合法權益?��!?
10.原第二十四條改為第二十六條����,在第二款末尾增加“涉及互聯網數據中心業(yè)務和互聯網接入服務業(yè)務的經營者應當遵守有關法律�����、法規(guī)的規(guī)定”�。
11.原第二十七條第一款單列一條作為第三十條。
12.增加一條作為第三十一條��,內容為:“采集���、存儲����、使用��、處理人臉、指紋�����、基因�����、疾病等生物特征數據����,應當遵守法律、法規(guī)的規(guī)定��,不得危害國家安全�、公共安全,損害個人身體健康���?����!?
13.原第二十八條改為第三十二條����,第一款修改為:“單位大數據安全責任人因公共數據共享開放提供數據�,基于提供時的合理預見無安全風險的,提供人不承擔相關責任�。”
14.原第三十七條改為第四十一條���,刪除第一款中的“全量數據”�����;增加一款作為第二款��,內容為:“大數據安全責任人按照前款規(guī)定或者公安機關����、國家安全機關的要求采集的數據���,未經公安機關����、國家安全機關同意���,不得自行處理����、使用或者向他人提供?!?
15.第四章章名修改為“支持與保障”。
16.原第四十條改為第四十四條�����,第一款修改為:“省人民政府標準化部門應當會同有關部門制定并適時修訂有關大數據安全以及大數據產品���、服務和運行安全的地方標準�,建立和完善大數據安全地方標準體系�。”
17.刪除原第四十七條��、原第四十八條���。
18.增加一條作為第五十一條���,內容為:“違反本條例第十五條第一款、第十六條第一款���、第二十五條�、第二十八條第一款、第三十二條第二款的��,由縣級以上公安機關或者有關部門責令改正���,給予警告;拒不改正或者導致危害大數據安全等后果的���,處以1萬元以上10萬元以下罰款�����,對直接負責的主管人員處以5000元以上5萬元以下罰款�?�!?
19.增加一條作為第五十二條�,內容為:“違反本條例第十七條第一款、第二款規(guī)定���,過度采集數據或者采集數據未經被采集人同意的�����,由縣級以上公安機關或者有關部門責令改正�����,給予警告�����;拒不改正的�����,處以5000元以上5萬元以下罰款���,對直接負責的主管人員處以1000元以上1萬元以下罰款���;造成損失的,依法予以賠償��。
“違反本條例第十七條第三款規(guī)定的���,由縣級以上公安機關或者有關部門責令改正�,給予警告�����;拒不改正的,處以1萬元以上10萬元以下罰款����,對直接負責的主管人員處以5000元以上5萬元以下罰款?��!?
20.增加一條作為第五十三條,內容為:“違反本條例第十八條規(guī)定的��,由縣級以上公安機關或者有關部門責令改正��,給予警告�����;拒不改正����,或者擅自向他人提供、查閱��、復制�����、傳播留存的數據且情節(jié)嚴重的,可以處以5000元以上5萬元以下罰款��,對直接負責的主管人員處以1000元以上1萬元以下罰款����。”
21.增加一條作為第五十四條����,內容為:“違反本條例第十九條、第二十條�、第二十一條、第二十二條規(guī)定的�,由縣級以上公安機關或者有關部門責令改正,給予警告���。
“違反本條例第十九條第二款規(guī)定��,拒不改正或者導致危害大數據安全等后果的����,由縣級以上公安機關或者有關部門處以10萬元以上100萬元以下罰款�,對直接負責的主管人員處以1萬元以上10萬元以下罰款��?����!?
22.增加一條作為第五十五條���,內容為:“違反本條例第二十三條規(guī)定的,由縣級以上公安機關或者有關部門責令改正�����,給予警告��,沒收違法所得����,可以處以違法所得1倍以上5倍以下罰款���;沒有違法所得的�����,處以5萬元以上50萬元以下罰款��?!?
23.增加一條作為第五十六條,內容為:“違反本條例第二十四條規(guī)定���,銷毀數據未進行安全風險評估的�����,由縣級以上公安機關或者有關部門責令改正���,給予警告,可以處以5000元以上5萬元以下罰款�。”
24.增加一條作為第五十七條�,內容為:“違反本條例第二十六條規(guī)定的,由縣級以上公安機關或者有關部門責令改正�,給予警告;拒不改正的�����,可以處以5000元以上5萬元以下罰款�。”
25.增加一條作為第五十八條��,內容為:“違反本條例第二十八條第二款、第三十條規(guī)定的����,由縣級以上公安機關或者有關部門責令改正,給予警告�����,沒收違法所得��,并可處以違法所得1倍以上10倍以下罰款����;沒有違法所得的,處以100萬元以下罰款�����,對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下罰款�;情節(jié)嚴重的����,責令暫停相關業(yè)務、停業(yè)整頓�,或者吊銷相關業(yè)務許可證����、營業(yè)執(zhí)照�����?���!?
26.增加一條作為第五十九條,內容為:“違反本條例第四十一條規(guī)定的��,由縣級以上公安機關責令改正��;拒不改正或者情節(jié)嚴重的�,處以5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員�,處以1萬元以上10萬元以下罰款?���!?
此外,還對《條例草案》的部分條款作了文字技術處理��,條文順序作了相應調整���。
條例草案二次審議修改稿已按照上述意見作了修改���,法制委員會建議提請本次常委會會議繼續(xù)審議����。
條例草案二次審議修改稿和以上說明是否妥當��,請審議��。
修改情況的報告
省人大常委會:
本次會議對《貴州省大數據安全保障條例(草案三次審議修改稿)》(以下簡稱《條例草案三次審議修改稿》)和省人大法制委員會的審議結果報告進行了審議���,常委會組成人員認為����,《條例草案三次審議修改稿》吸收了省十三屆人大常委會第十次會議審議時常委會組成人員提出的意見��,符合有關法律�、法規(guī)的規(guī)定和我省實際,同意省人大法制委員會的審議結果報告���,同意按本次會議審議的意見修改后提交會議表決。同時����,常委會組成人員提出了一些修改意見�。省人大法制委員會對這些意見進行了認真研究��,提出了修改意見?��,F將有關情況報告如下:
1.第八條修改為:“省人民政府應當根據大數據發(fā)展應用總體規(guī)劃�,編制大數據安全保障規(guī)劃���;網信��、公安���、大數據發(fā)展管理等部門應當根據大數據安全保障規(guī)劃,編制本部門��、本行業(yè)大數據安全保障專項規(guī)劃�。”
2.刪除第十四條第一款第三項中的“制度”�����、第四項中的“防范網絡侵入等危害數據安全”、第五項中的“防止數據丟失�����、損毀�、泄露、篡改”��、第七項中的“防止危害和損失擴大”��。
3.第十七條中的“擅自”修改為“非法”���。
4.刪除第二十條中的“留存”�。
5.第三十三條中的“發(fā)生”修改為“導致”�。
6.第四十二條第一款中的“省人民政府建立大數據安全技術創(chuàng)新中心、應用示范中心和科研培訓��、產業(yè)孵化等基地”修改為“省人民政府應當支持大數據安全技術創(chuàng)新”��。
7.第五十六條中的“規(guī)定”后增加“未備案或者擅自轉租”�����。
8.條例的施行日期明確為“2019年10月1日”���。
此外��,還對《條例草案三次審議修改稿》的部分條款作了文字技術處理����。
草案表決稿已按照上述意見作了修改����,法制委員會建議本次常委會會議審議通過。
以上報告是否妥當��,請審議����。
審議結果的報告
省人大常委會:
省十三屆人大常委會第十次會議對《貴州省大數據安全保障條例(草案二次審議修改稿)》(以下簡稱《條例草案二次審議修改稿》)和《貴州省人民代表大會法制委員會關于〈貴州省大數據安全保障條例(草案)〉修改情況的說明》進行了審議,常委會組成人員認為�����,《條例草案二次審議修改稿》吸納了常委會第八次會議的審議意見并進一步完善了相關內容�。同時,常委會組成人員提出了一些修改意見���。
會后����,法工委組織召開省直有關部門和常委會咨詢專家參加的論證會;今年貴陽數博會期間��,省大數據政策法律創(chuàng)新研究中心聯合中國法學會網絡與信息法學研究會����、法治研究所在貴陽對《條例草案二次審議修改稿》進行論證。2019年7月9日���,法制委員會召開會議并邀請省人大財政經濟委員會��、監(jiān)察和司法委員會參加�����,對《條例草案二次審議修改稿》進行審議���,并對省十三屆人大常委會第十次會議的審議意見和各有關方面提出的修改意見進行了認真研究。法制委員會認為�,《條例草案二次審議修改稿》的內容符合有關法律、法規(guī)的規(guī)定����,符合我省實際�,文本基本成熟�����。同時����,提出以下主要修改意見:
1.第七條第三項修改為:“大數據發(fā)展管理部門負責與大數據安全相關的數據管理�����、產業(yè)發(fā)展�����、技術應用等工作”��;第四項修改為:“通信管理部門負責電信網����、公共互聯網運行安全監(jiān)督管理等工作”。
2.刪除第八條��。
3.原第十五條改為第十四條�����,第一款增加一項作為第六項,內容為:“按照規(guī)定期限留存相關的網絡日志”�。
4.原第十七條改為第十六條,第二款修改為:“國家機關采集數據應當經被采集人同意����,法律、法規(guī)另有規(guī)定的除外�。”
5.原第十八條改為第十七條�,“除涉及國家安全、社會公共安全外”修改為“除法律���、法規(guī)另有規(guī)定外”��。
6.原第二十二條改為第二十一條���,修改為:“交換數據應當維護數據的完整性、可用性��。交換數據應當合法進行�����,交換雙方不得假冒他人或者以其他方式騙取數據交換?�!?
7.原第二十三條改為第二十二條�����,第一款中的“使用數據��,應當通過合法方式獲取數據���,并保護數據所有人、提供人��、采集人合法權益���,不得用于非法目的和用途”修改為“使用數據不得用于非法目的和用途”�����。
8.原第二十六條改為第二十五條����,第二款修改為:“開展互聯網平臺和數據空間等租賃業(yè)務的���,出租人應當將租賃信息依法報通信管理部門備案�,通信管理部門應當將備案信息與公安機關共享。未經出租人同意�����,承租人不得擅自轉租���。涉及互聯網數據中心業(yè)務和互聯網接入服務業(yè)務的�����,應當遵守有關法律���、法規(guī)的規(guī)定?��!?
9.原第三十六條改為第三十五條����,刪除第一款���。
10.原第三十九條改為第三十八條��,刪除“具體范圍由省公安機關會同有關部門確定”�。
11.原第四十一條改為第四十條,第一款中的“大數據安全�、國家安全”修改為“國家安全、公共安全及其他”����,“技術接口”前增加“數據”。
12.原第四十二條改為第四十一條�����,“公安機關應當會同有關部門”修改為“社會信用管理部門應當”�����。
13.原第四十九條改為第四十八條��,刪除第一款�。
14.原第五十七條改為第五十六條���,修改為:“違反本條例第二十五條第二款規(guī)定的����,由通信管理部門責令改正,給予警告����;拒不改正的,可處以5000元以上5萬元以下罰款�����?!?
此外,還對《條例草案二次審議修改稿》的部分條款作了文字技術處理�����,條文順序作了相應調整�。
草案文本已按照上述意見作了修改,法制委員會建議提請本次常委會會議審議通過��。
條例草案三次審議修改稿文本和以上報告是否妥當����,請審議。
解讀
近年來��,隨著大數據技術的發(fā)展及數據的快速增長,大數據安全問題日益凸顯����。日前,貴州出臺《貴州省大數據安全保障條例》�,對大數據安全責任人的安全責任、監(jiān)督管理���、法律責任等進行了明確���。
8月1日,貴州省十三屆人大常委會第十一次會議表決通過了該條例�����,將于2019年10月1日起施行�����。
條例明確���,大數據安全責任人,是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的個人或單位�,包括大數據所有人、持有人、管理人���、使用人以及其他從事大數據采集�����、存儲����、清洗����、開發(fā)、應用�、交易、服務等的個人和單位���。
根據條例���,使用數據應當通過合法方式獲取,并保護數據所有人��、提供人�����、采集人合法權益,不得用于非法目的和用途��。明知是通過攻擊�、竊取、惡意訪問等非法方式獲取的數據���,不得使用��。違者由縣級以上公安機關或者有關部門責令改正�����,給予警告����,沒收違法所得�,可處違法所得1倍以上5倍以下罰款;沒有違法所得的��,處5萬元以上50萬元以下罰款����。
此外,條例規(guī)定�,公共數據平臺、企業(yè)數據中心等集中式大數據存儲中心���,沒有根據國家相關技術標準�、規(guī)范要求和保障數據安全需要���,科學選址�����,規(guī)范建設�,建立容災備份�、安全評價、日常巡查管理����、防火防盜等安全管理制度,拒不改正或者導致危害大數據安全等后果的��,由縣級以上公安機關或者有關部門處以10萬元以上100萬元以下罰款�,對直接負責的主管人員處以1萬元以上10萬元以下罰款。
