各区(市、县)人民政府,各重点产业功能区,市级各部门:
《德阳市数据要素安全管理暂行办法》已经市政府九届第10次常务会议审议通过,现印发给你们,请认真贯彻执行。
德阳市人民政府办公室
2022年9月1日
德阳市数据要素安全管理暂行办法
第一章 总则
第一条 为维护国家安全、社会公共利益,保护个人、组织的合法权益,加强德阳市数据要素安全管理,建立健全数据要素安全保障体系,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施保护条例》等法律法规的规定,结合本市实际,制定本办法。
第二条 本市数据归集、数据元件开发和交易、数据产品开发和交易等活动中的数据安全保障及监督管理工作,适用本办法。
涉及国家秘密的数据处理活动,按照国家保密法律、法规的规定执行。
第三条 数据要素安全管理应当采取政府主导、分工负责、积极防御、综合防范的方针,坚持安全与发展并重的原则,加快建设数据要素安全保障体系,保障数据要素依法有序流动。
第二章 职责分工
第四条 网信部门负责统筹协调数据要素安全监督管理工作,指导各行业主管部门在各自职责范围内开展分类分级、监督检查、监测预警、应急处置等工作。
第五条 保密机要、公安、国安、大数据等部门依照有关法律法规的规定,按照各自职责,做好数据要素安全的监督管理工作。
第六条 行业主管部门负责建立本行业的数据分类分级管理制度,完善数据要素安全保障体系,监测本行业的数据要素安全状况,督促、指导本行业的数据监测预警处置工作。
第七条 市政务和大数据局作为市数据资源主管部门,指导数据运营管理机构开展数据安全相关工作。
数据运营管理机构是在市数据资源主管部门指导下开展数据资源治理、数据运营管理和市场体系建设等工作的部门,对数据运营服务机构和数据要素交易机构进行安全监督。
数据运营服务机构是开展数据资源归集、运营和要素化开发利用等活动的机构;数据要素交易机构是承担数据资源、数据元件、数据产品交易的机构。
数据元件开发主体是通过数据运营服务机构合法获取公共数据、企业数据、个人数据,或基于自有数据资源开发形成数据元件的市场主体。
数据产品开发主体是利用合法交易获取数据元件和数据资源,通过分析研究、加工处理等形成数据产品的市场主体。
第三章 安全管理
第八条 数据运营管理机构应当组织制定数据归集、开发利用和交易相关的分类分级保护制度,明确针对不同安全等级的数据处理活动,采取相应的保护措施。
第九条 数据运营管理机构应当采用加密存储、身份鉴别和访问控制等措施进行数据存储,将核心数据、重要数据、敏感个人数据和所有数据元件存储在数据金库内;数据运营管理机构应当组织制定数据存储备份和恢复策略,落实灾备措施并定期进行灾难恢复演练。
第十条 数据运营管理机构应当制定数据销毁策略和管理制度,明确销毁对象、流程和技术等要求,监督落实销毁管理。重要数据和核心数据依法依规销毁后,不得以任何理由、任何方式恢复。
第十一条 数据运营服务机构和数据元件开发主体应当建立完善数据安全管理制度,明确数据安全负责人,采取数据安全防护措施,定期开展数据安全培训和数据安全风险评估,依照数据安全相关法律法规的要求开展数据处理活动。
第十二条 数据运营服务机构应当遵循合法合规、正当必要的原则归集各类数据,不得损害相关个人、组织的合法权益。数据运营服务机构应当综合利用数据沙箱、隐私计算、区块链等技术为数据元件开发主体提供安全开发环境;应当制定并执行数据安全传输策略和规程,采用安全可信通道或数据加密等安全控制措施,确保传输的安全性和可靠性;应当建立数据脱敏规范,明确数据脱敏的范围、方式和要求;应当组织开展对数据元件的安全审核,防止数据泄漏。
第十三条 数据元件开发主体或数据产品开发主体应当具备相应的数据安全保护能力,做出数据安全使用承诺,在承诺范围内实施开发活动。
第十四条 数据要素交易机构应当建立规范透明、安全可控、可追溯的数据要素交易服务环境,制定交易服务流程与规范、交易安全管理制度等,应当记录数据来源信息,审核交易双方身份,并留存审核、交易记录,监测交易异常,保证数据要素交易安全。
第十五条 个人和组织凡向境外提供数据的,应当严格遵照数据出境安全管理制度相关法律规定执行。
第十六条 个人信息处理活动应当具有明确合理的目的、范围和方式等,严格遵守相关法律法规的处理规定。
第四章 安全监测和应急处置
第十七条 市数据资源主管部门统筹建立数据要素安全风险监测机制,建设数据要素安全监测预警平台,对数据要素安全风险进行监测和预警。
第十八条 数据要素市场相关主体应当建立数据要素安全应急工作机制,制定数据要素安全事件应急预案,定期开展应急演练,并对演练情况进行评估,针对演练中发现的问题补充修订应急预案。
发生数据要素安全事件,有关主体应当立即启动应急预案并按相关规定上报,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第五章 监督管理
第十九条 网信、大数据、保密机要、公安、国安等部门共同建立健全数据安全监督检查工作机制,明确检查工作内容、目标、方式和标准,检查数据要素市场相关主体履行数据安全责任、落实安全管理制度和保护技术措施等方面的情况。应当进行安全审查的,由有关部门组织开展安全审查。
第二十条 对违反本办法规定的行为,法律、法规已经规定法律责任的,适用其规定。
第二十一条 对于在数据要素市场化配置过程中违反本办法规定的单位和个人,由有权机关责令整改;情节严重的,对直接负责的主管人员和直接责任人依法给予处分;构成犯罪的,移送司法机关依法追究刑事责任。
第六章 附则
第二十二条 本办法自2022年10月8日起施行,有效期2年。
Comments