涉及國家秘密的大數據安全管理,按照相關保密法律法規的規定執行。
本條例所稱大數據安全,是指數據所有人、管理人、使用人和服務提供者(以下簡稱安全責任單位)為防範數據偽造、泄露或者竊取、篡改、非法使用等風險和危害而采取的保護和管理策略和措施的能力、狀態和行為。
本條例所稱大數據,是指容量大、類型多、訪問速度快、應用價值高的數據集合。它是對數量龐大、來源分散、形式多樣的數據進行收集、存儲和分析,發現新知識、創造新價值、提升新能力的新壹代信息技術和服務業態。
本條例所稱數據,是指通過計算機或者其他信息終端及相關設備采集、存儲、傳輸、處理、生成的各種電子信息。第三條實施大數據安全管理應當堅持正確的網絡安全觀,遵循統壹領導、政府管理、行業自律、社會監督、風險防控、權責統壹、包容審慎、支持創新的原則。第四條市人民政府統壹領導本市大數據安全管理工作。區(市、縣)人民政府領導本轄區大數據安全管理工作。第五條市網信部門負責統籌全市大數據安全監督管理工作,組織全市關鍵信息基礎設施監管。區(市、縣)網信部門根據職責負責綜合協調本轄區大數據安全監督管理工作。
市公安機關負責大數據安全的等級保護、日常巡查、執法檢查、信息通報和應急處置等監督管理工作。區(市、縣)公安機關按照職責負責本轄區的大數據安全監督管理工作。
市大數據主管部門統籌本市大數據安全體系建設。區(市、縣)大數據主管部門按照職責負責本轄區大數據安全管理的相關工作。
保密、國家安全、密碼管理、通信管理等主管部門應當按照各自職責,做好大數據安全管理工作。第六條安全責任單位應當加強大數據安全能力建設,履行大數據安全保護職責,接受相關主管部門的監督管理和社會監督。第七條縣級以上人民政府以及網信、公安、大數據等主管部門、安全責任單位和大眾媒體應當按照各自職責,做好大數據安全宣傳教育工作。第八條市人民政府應當建立統壹的大數據安全監管服務和投訴舉報平臺,並建立相應的工作機制。
任何單位和個人有權投訴、舉報危害大數據安全的行為;有關部門應當為投訴人保密。第二章安全保障第九條安全責任單位應當按照職責明確、符合意圖、保證質量、數據最小化、最小授權操作、分類分級保護、可審計的原則,采取有效措施保護數據的機密性、完整性、真實性、可控性、可靠性和可驗證性。第十條安全責任單位法定代表人或者主要負責人是本單位大數據安全第壹責任人。
安全責任單位應當根據資料的生命周期、規模和重要性以及本單位的性質、類別和規模,建立安全管理內控體系和支持保障機制,明確安全管理責任人,落實不同崗位的安全管理責任;關鍵信息基礎設施的運營者也應設立專門的安全管理機構。第十壹條安全責任單位應當根據數據類型、級別、敏感程度和數據安全能力成熟度的要求,制定安全規則、管理規範和操作規程,采取相應的安全管理策略、管理措施和技術手段,實施有效管理。第十二條安全責任單位應當按照大數據安全等級保護要求配置系統安全功能,制定並實施系統配置技術管理規定、軟件采購使用限制政策和外部組件使用安全政策,規定配置管理的審批和操作流程,提供符合標準的管理和服務,及時更新重要系統配置。第十三條安全責任單位應當制定和完善訪問控制策略,采取授權訪問、身份認證等技術措施,防止未經授權查詢、復制、修改或者傳輸數據。對個人信息和重要數據實行加密保護,對涉及國家安全、社會利益、商業秘密和個人信息的數據依法進行脫敏解密。第十四條安全責任單位應當建立大數據安全審計制度,規定審計工作流程,記錄和保存數據分類、采集、清理、轉換、加載、傳輸、存儲、復制、備份、恢復、查詢和銷毀等情況,定期進行安全審計分析。