附件：

貴州省大數據安全保障條例

（2019年8月1日貴州省第十三屆人民代表大會常務委員會第十一次會議通過）

目 錄

第一章 總 則

第二章 安全責任

第三章 監督管理

第四章 支持與保障

第五章 法律責任

第六章 附 則

第一章 總 則

第一條 為了保障大數據安全和個人信息安全，明确大數據安全責任，促進大數據發展應用，根據《中華人民共和國網絡安全法》和有關法律、法規的規定，結合本省實際，制定本條例。

第二條 本省行政區域内大數據安全保障及相關活動，應當遵守本條例。

涉及國家秘密的大數據安全保障，還應當遵守《中華人民共和國保守國家秘密法》等法律、法規的規定。

第三條 本條例所稱大數據安全保障，是指采取預防、管理、處置等策略和措施，防範大數據被攻擊、侵入、幹擾、破壞、竊取、篡改、删除和非法使用以及意外事故，保障大數據的真實性、完整性、有效性、保密性、可控性并處于安全狀态的活動。

本條例所稱大數據是指以容量大、類型多、存取速度快、應用價值高為主要特征的數據集合，是對數量巨大、來源分散、格式多樣的數據進行采集、存儲和關聯分析，發現新知識、創造新價值、提升新能力的新一代信息技術和服務業态。

本條例所稱大數據安全責任人，是指在大數據全生命周期過程中對大數據安全産生或者可能産生影響的單位和個人，包括大數據所有人、持有人、管理人、使用人以及其他從事大數據采集、存儲、清洗、開發、應用、交易、服務等的單位和個人。

第四條 大數據安全保障工作堅持總體國家安全觀，樹立正确的網絡安全觀，按照政府主導、責任人主體，統籌規劃、突出重點，預防為主、綜合治理，包容審慎、支持創新，安全與發展、監管與利用并重的原則，維護大數據總體和動态安全。

第五條 大數據安全保障工作應當圍繞國家大數據戰略和省大數據戰略行動實施，建立健全大數據安全管理制度，建設大數據安全地方标準體系、大數據安全測評體系、大數據安全保障體系等，采取大數據安全攻防演練等安全保障措施，推動大數據安全技術、制度、管理創新和發展。

第六條 省人民政府負責全省大數據安全保障工作，市、州和縣級人民政府負責本行政區域内大數據安全保障工作。

開發區、新區管理機構根據設立開發區、新區的人民政府的授權，負責本轄區大數據安全保障的具體工作。

第七條 縣級以上有關部門按照下列規定，履行大數據安全保障職責：

（一）網信部門負責統籌協調、檢查指導和相關監督管理等工作；

（二）公安機關負責安全保護和管理、風險評估、監測預警、應急處置和違法行為查處等監督管理工作；

（三）大數據發展管理部門負責與大數據安全相關的數據管理、産業發展、技術應用等工作；

（四）通信管理部門負責電信網、公共互聯網運行安全監督管理等工作；

（五）保密行政管理部門負責保密監督管理等工作；

（六）密碼管理部門負責密碼監督管理等工作；

（七）其他部門按照有關法律、法規的規定和各自職責做好大數據安全保障工作。

第八條 省人民政府應當根據大數據發展應用總體規劃，編制大數據安全保障規劃；網信、公安、大數據發展管理等部門應當根據大數據安全保障規劃，編制本部門、本行業大數據安全保障專項規劃。

第九條 縣級以上人民政府應當建立大數據安全保障工作領導協調機制和責任機制，協調和指導本行政區域内大數據安全保障有關事項。

公安機關應當按照網絡安全等級保護要求，會同有關部門制定大數據風險測評、應急防範等安全制度，加強對大數據安全技術、設備和服務提供商的風險評估和安全管理。

第十條 任何單位和個人都有維護大數據安全的義務，不得從事危害大數據安全的活動，不得利用大數據從事危害國家安全以及損害國家利益、社會公共利益和他人合法權益的活動。

對危害大數據安全或者利用大數據從事違法犯罪活動的行為，任何單位和個人都有權勸阻、制止、投訴、舉報。收到投訴舉報的部門應當依法及時查處，保護舉報人的合法權益；不屬于本部門職責的，應當及時移送有權處理的部門。

第十一條 鼓勵開展大數據安全知識宣傳普及、教育培訓，增強全社會大數據安全意識，提高大數據安全風險防範能力。

第十二條 鼓勵、支持成立大數據安全聯盟、行業協會等社會組織，開展行業自律、交流合作和安全技術研究等大數據安全工作。

第二章 安全責任

第十三條 實行大數據安全責任制，保障大數據全生命周期安全。

大數據安全責任，按照誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責以及誰采集誰負責的原則确定。

大數據基于複制、流通、交換等同時存在的多個安全責任人，分别承擔各自安全責任。

第十四條 大數據安全責任人是單位的（以下簡稱單位大數據安全責任人），應當履行下列職責：

（一）依法成立安全管理機構或者明确安全管理負責人，定期對從業人員進行安全教育、技術培訓和技能考核；

（二）制定安全管理制度、操作規程、應急預案，明确不同崗位安全管理責任;

（三）加強數據采集、使用、處理權限管理，對批量導出、複制、脫敏、銷毀數據等實行審查批準；

（四）加強網絡運行、訪問監測管理，定期開展數據安全檢查;

（五）采取數據分類、備份和加密等安全措施;

（六）按照規定期限留存相關的網絡日志；

（七）發生數據安全事件時，立即采取措施，保存證據，并及時向行業主管部門和公安機關報告；

（八）發現違法發布或者傳輸信息的，立即停止發布、傳輸或者采取阻斷、攔截等措施，保留有關記錄，并及時向行業主管部門和公安機關報告；

（九）法律、法規規定的其他職責。

大數據安全責任人是個人的（以下簡稱個人大數據安全責任人），應當依法采取安全管理措施，妥善存儲、保管，合理使用，保障大數據安全。

第十五條 單位大數據安全責任人采集、存儲、傳輸、處理、交換、應用、銷毀大數據等，應當根據網絡安全等級保護要求，建立大數據安全防護管理制度、大數據安全審計制度，制定大數據安全應急預案，落實安全管理責任，并定期開展安全評測、風險評估和應急演練；采取安全保護技術措施，防止數據丢失、毀損、洩露和篡改。

前款規定活動涉及個人信息的，還應當遵守法律、法規關于個人信息保護的規定。

第十六條 采集數據應當具有合法目的和用途，遵循最小且必要和正當原則，禁止過度采集；科學确定采集對象、範圍、内容、方式，依法進行采集，并保證數據的真實性、完整性、保密性。

國家機關采集數據應當經被采集人同意，法律、法規另有規定的除外。

采集數據不得侵犯國家秘密、商業秘密和個人信息，不得損害被采集人和他人合法權益。

除法律、法規另有規定外，向不特定公衆提供普遍信息、接入、浏覽、訪問、營銷、推廣等網絡服務的經營者，不得采集與其提供服務無關的數據，不得以使用人拒絕提供相關信息而限制或者拒絕其享受普遍服務。

第十七條 除法律、法規另有規定外，任何單位和個人在公共場所設置數據采集設施、設備采集信息的，應當設置明顯标識，并報當地公安機關備案。留存的數據應當用于合法目的，不得非法向他人提供、查閱、複制和傳播。

第十八條 存儲數據應當根據數據類型、規模、用途、安全等級、重要程度等因素，選擇相應安全性能和防護級别的系統、介質、設施設備，采取技術和管理措施，保障存儲系統和數據安全。

公共數據平台、企業數據中心等集中式大數據存儲中心，應當根據國家相關技術标準、規範要求和保障數據安全需要，科學選址，規範建設，建立容災備份、安全評價、日常巡查管理、防火防盜等安全管理制度，加強存儲環境、供電、通信和存儲系統、介質、設施設備安全審查。

第十九條 傳輸數據應當合理選擇傳輸渠道，采取必要的安全措施，防止數據被竊取、洩露、篡改。

第二十條 處理數據應當保護原始數據，不得随意更改、僞造，不得通過惡意處理導緻數據毀滅性更改和永久性丢失。

第二十一條 交換數據應當維護數據的完整性、可用性。交換數據應當合法進行，交換雙方不得假冒他人或者以其他方式騙取數據交換。

第二十二條 使用數據不得用于非法目的和用途。明知是通過攻擊、竊取、惡意訪問等非法方式獲取的數據，不得使用。

使用數據開展廣告宣傳、營銷推廣等活動，不得幹擾被采集人正常生産生活，不得損害被采集人及他人合法權益。

第二十三條 銷毀數據應當根據大數據安全保護管理需要，合理确定銷毀方式和銷毀要求。銷毀公共數據、涉及商業秘密和個人信息等重要數據的，應當進行安全風險評估。

第二十四條 單位大數據安全責任人應當加強數據内容管理，定期清理、審查數據内容，發現其持有、管理、發布的數據含有違法内容的，應當及時予以處理，并采取相關補救措施；超出自身處理權限的，應當立即停止使用，告知數據提供人并向公安機關報告。

第二十五條 為他人提供基礎網絡、互聯網數據中心或者系統服務的網絡運營者，應當建立安全監測預警平台，加強對服務對象的數據安全管理，督促其建立安全管理制度，落實安全監測保護技術措施。

開展互聯網平台和數據空間等租賃業務的，出租人應當将租賃信息依法報通信管理部門備案，通信管理部門應當将備案信息與公安機關共享。未經出租人同意，承租人不得擅自轉租。涉及互聯網數據中心業務和互聯網接入服務業務的，應當遵守有關法律、法規的規定。

第二十六條 各級人民政府及有關部門和公共機構、公共服務企業因信息公開、數據開放以及公示、公告等需要公布企業、個人數據的，應當采取脫密、脫敏等措施，防止洩露國家秘密、商業秘密和個人信息。

第二十七條 銀行、保險、房地産、航空、鐵路、公路、供電、供水、供氣、郵政、通信、快遞、電子商務、旅遊服務等經營者和學校、醫療機構、社保、戶籍管理、車輛登記、公積金、社會信用管理等單位，應當加強内部管理，建立數據接觸、訪問審查等制度，明确數據提供、調用、分析、處理等權限。

前款規定單位在經營、服務活動中獲取的用戶數據，除依法共享開放外，單位及其工作人員不得洩露，不得出售或者非法向他人提供。

第二十八條 禁止發布、傳播下列信息：

（一）危害國家主權、安全和發展利益；

（二）損害社會公共利益和他人合法權益；

（三）煽動民族仇恨、民族歧視；

（四）黃、賭、毒等違法犯罪信息；

（五）法律、法規禁止的其他信息。

第二十九條 禁止非法采集、竊取、存儲、傳輸、使用、買賣個人信息。

第三十條 采集、存儲、使用、處理人臉、指紋、基因、疾病等生物特征數據，應當遵守法律、法規的規定，不得危害國家安全、公共安全，不得侵犯個人合法權益。

第三十一條 單位大數據安全責任人因公共數據共享開放提供數據，基于提供時的合理預見無安全風險的，提供人不承擔相關責任。

通過大數據分析、挖掘、整合等取得的數據或者得出的結論，可能危害國家安全、損害國家利益、社會公共利益的，不得使用、傳播，并應當立即停止相關活動，報公安機關依法予以處理。

第三章 監督管理

第三十二條 省人民政府應當建立統一的大數據安全監管平台，負責大數據安全信息收集、分析評估和通報，監測大數據安全狀況，發布大數據安全監測預警信息，統籌協調大數據安全事件處置。

行業主管部門負責監測本行業、本領域大數據安全狀況，發布相關信息，督促、指導本行業、本領域的大數據監測預警處置工作。

關鍵信息基礎設施運營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要大數據安全責任單位，應當建立大數據安全監測預警平台，負責監測本單位大數據安全狀況，發布相關信息。

第三十三條 縣級以上公安機關應當加強大數據安全風險分析、預測、評估，收集相關信息；發現可能導緻較大範圍黑客攻擊、病毒蔓延等大數據安全事件的，應當及時發布預警信息，提出防範應對措施，指導、監督大數據安全責任人做好安全防範工作。

第三十四條 行業主管部門、關鍵信息基礎設施和重要信息系統運營單位發現本行業、本單位大數據安全事件發生的風險增大時，應當加強監測，及時收集相關信息，開展安全風險分析評估，發布風險預警，并采取避免、減輕危害的措施。

第三十五條 單位大數據安全責任人的應急預案應當包括大數據安全事件應急處置的組織機構及其職責、安全事件分級、應急響應程序、處置措施等内容，并定期組織演練。

關鍵信息基礎設施運營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人的應急預案，應當報行業主管部門和縣級以上公安機關備案。

第三十六條 發生大數據安全事件時，安全責任人應當及時啟動應急預案，采取相應處置措施，防止危害擴大，告知可能受到影響的用戶，并向行業主管部門和縣級以上公安機關報告。行業主管部門和縣級以上公安機關應當根據事件的性質和特點，及時予以處置并依法發布相關信息。

處置大數據安全事件時應當保護現場，記錄并留存相關數據信息。

第三十七條 縣級以上公安機關應當建立大數據安全日常監測制度，加強對大數據安全責任人履行安全職責情況的巡查、檢查，指導、監督安全責任人建立安全管理制度，加強安全風險防範，落實安全保障責任。

縣級以上公安機關發現有關單位和個人安全管理責任落實不到位，存在較大安全風險或者可能發生安全事件的，應當及時提出整改意見并督促落實。

第三十八條 建立大數據安全情況報告制度。關鍵信息基礎設施經營者、公共數據平台、企業數據中心等集中式大數據存儲中心以及其他重要單位大數據安全責任人，應當定期向行業主管部門和縣級以上公安機關報告大數據安全情況。

第三十九條 有關部門因履行職責需要，按照有關法律、法規的規定要求提供掌握的宏觀經濟、社會管理、網絡安全等數據的，有關單位和個人應當及時提供。

除依法共享開放外，有關部門不得将前款規定的數據用于與履行職責無關的用途。

第四十條 大數據安全責任人應當協助公安機關、國家安全機關依法查處危害國家安全、公共安全及其他犯罪行為，為預防、偵查危害國家安全、公共安全及其他犯罪活動提供相關資料、數據和技術接口等支持。

大數據安全責任人按照前款規定或者公安機關、國家安全機關的要求采集的數據，未經公安機關、國家安全機關同意，不得自行處理、使用或者向他人提供。

第四十一條 縣級以上社會信用管理部門應當建立大數據安全誠信檔案，記錄大數據安全責任人數據采集、管理、使用等信用信息，并按照有關規定納入社會信用體系。

第四章 支持與保障

第四十二條 省人民政府應當支持大數據安全技術創新，推進大數據安全産業基地、園區和大數據安全城市建設，推動形成大數據安全産品研發、生産、應用的大數據安全産業鍊。

市、州和縣級人民政府應當采取相應措施，引導、扶持、推動大數據安全相關産業、技術、産品發展應用。

鼓勵高等院校、科研機構和企業事業單位加大大數據安全技術研發投入，開展大數據安全技術創新研究和大數據安全關鍵技術攻關，形成自主知識産權，推動科技成果轉化。

第四十三條 省人民政府标準化部門應當會同有關部門制定并适時修訂有關大數據安全以及大數據産品、服務和運行安全的地方标準，建立和完善大數據安全地方标準體系。

鼓勵和支持企業、科研機構、高等院校和相關行業組織開展大數據安全相關标準的研究、制定和協同攻關，推動形成國家、行業和地方标準。

第四十四條 縣級以上人民政府設立的大數據發展應用專項資金、大數據發展基金、科技成果轉化資金等，對大數據安全技術研發及成果轉化應用、安全規範和安全标準制定、安全監測預警平台建設、安全保障體系建設、容災備份體系建設、安全意識培訓等，應當給予支持。

符合國家稅收優惠政策規定的大數據安全企業,依法享受稅收優惠。

鼓勵金融機構創新金融産品，完善金融服務，支持大數據安全相關産業、技術、産品發展應用。

第四十五條 縣級以上人民政府應當加強大數據安全監督管理人才隊伍建設，鼓勵和支持大數據安全及相關領域專業人才的培養、引進。

支持高等院校、科研機構大數據安全學科、專業等建設，開設大數據安全相關課程；創新教育培養模式，開展校企合作辦學，實行訂單式培養，為大數據安全提供人才支撐。

第四十六條 縣級以上人民政府應當加強實體經濟企業大數據安全體系建設引導，支持實體經濟企業與大數據深度融合，加強實體經濟企業信息化、大數據應用系統的安全保障能力和安全防護意識。

第四十七條 縣級以上人民政府推進大數據安全社會化服務體系建設，鼓勵和支持企業開展安全測評、電子認證、數據加密、容災備份等數據安全服務。

第四十八條 鼓勵企業事業單位使用符合大數據安全要求的産品、技術、服務，并依法享受優惠政策。

第四十九條 鼓勵和支持建立大數據安全實驗室、大數據安全靶場、技術驗證基地等，開展大數據及網絡安全攻防演練，對大數據安全新技術、新應用、新産品進行測試、檢驗。

第五章 法律責任

第五十條 違反本條例第十四條第一款、第十五條第一款、第二十四條、第二十七條第一款、第三十一條第二款的，由有關部門或者縣級以上公安機關責令改正，給予警告；拒不改正或者導緻危害大數據安全等後果的，處以1萬元以上10萬元以下罰款，對直接負責的主管人員處以5000元以上5萬元以下罰款。

第五十一條 違反本條例第十六條第一款、第二款規定，過度采集數據或者采集數據未經被采集人同意的，由有關部門或者縣級以上公安機關責令改正，給予警告；拒不改正的，處以5000元以上5萬元以下罰款，對直接負責的主管人員處以1000元以上1萬元以下罰款；造成損失的，依法予以賠償。

違反本條例第十六條第三款規定的，由有關部門或者縣級以上公安機關責令改正，給予警告；拒不改正的，處以1萬元以上10萬元以下罰款，對直接負責的主管人員處以5000元以上5萬元以下罰款。

第五十二條 違反本條例第十七條規定的，由有關部門或者縣級以上公安機關責令改正，給予警告；拒不改正，或者擅自向他人提供、查閱、複制、傳播留存的數據且情節嚴重的，可處以5000元以上5萬元以下罰款，對直接負責的主管人員處以1000元以上1萬元以下罰款。

第五十三條 違反本條例第十八條、第十九條、第二十條、第二十一條規定的，由有關部門或者縣級以上公安機關責令改正，給予警告。

違反本條例第十八條第二款規定，拒不改正或者導緻危害大數據安全等後果的，由有關部門或者縣級以上公安機關處以10萬元以上100萬元以下罰款，對直接負責的主管人員處以1萬元以上10萬元以下罰款。

第五十四條 違反本條例第二十二條規定的，由有關部門或者縣級以上公安機關責令改正，給予警告，沒收違法所得，可處以違法所得1倍以上5倍以下罰款；沒有違法所得的，處以5萬元以上50萬元以下罰款。

第五十五條 違反本條例第二十三條規定，銷毀數據未進行安全風險評估的，由有關部門或者縣級以上公安機關責令改正，給予警告，可處以5000元以上5萬元以下罰款。

第五十六條 違反本條例第二十五條第二款規定未備案或者擅自轉租的，由通信管理部門責令改正，給予警告；拒不改正的，可處以5000元以上5萬元以下罰款。

第五十七條 違反本條例第二十七條第二款、第二十九條規定的，由有關部門或者縣級以上公安機關責令改正，給予警告，沒收違法所得，并可處以違法所得1倍以上10倍以下罰款；沒有違法所得的，處以100萬元以下罰款，對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下罰款；情節嚴重的，責令暫停相關業務、停業整頓，或者吊銷相關業務許可證、營業執照。

第五十八條 違反本條例第四十條規定的，由縣級以上公安機關責令改正；拒不改正或者情節嚴重的，處以5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員，處以1萬元以上10萬元以下罰款。

第五十九條 國家機關及其工作人員違反本條例規定，或者玩忽職守、濫用職權、徇私舞弊，妨礙大數據安全保障工作，尚不構成犯罪的，由其上級主管部門或者監察機關對直接負責的主管人員和其他直接責任人員依法予以處分。

第六十條 違反本條例規定的其他行為，法律、法規有處罰規定的，從其規定。

第六章 附 則

第六十一條 本條例自2019年10月1日起施行。