关于数据采集存储使用，《贵州省大数据安全保障条例》这样规定

来源: www.gzrd.gov.cn

　　8月1日，省十三届人大常委会第十一次会议表决通过了《贵州省大数据安全保障条例》，通过立法为数据安全装上一把牢固的“法律锁”，为大数据安全和个人信息安全提供了坚实的法律支撑。

　　《条例》分别从安全责任、监督管理、支持与保障、法律责任等方面对大数据安全保障做了明确的规定。

　　什么是大数据?

　　《条例》所称大数据是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合，是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析，发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。

　　什么是大数据安全保障?

　　《条例》中的大数据安全保障，是指采取预防、管理、处置等策略和措施，防范大数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故，保障大数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

　 　大数据安全责任人应履行什么职责?

　　《条例》所称大数据安全责任人，是指在大数据全生命周期过程中对大数据安全产生或者可能产生影响的单位和个人，包括大数据所有人、持有人、管理人、使用人以及其他从事大数据采集、存储、清洗、开发、应用、交易、服务等的单位和个人。

　　《条例》明确：大数据安全责任，按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。大数据基于复制、流通、交换等同时存在的多个安全责任人，分别承担各自安全责任。

　　 大数据安全责任人是单位的，应当履行下列职责：

　　(一)依法成立安全管理机构或者明确安全管理负责人，定期对从业人员进行安全教育、技术培训和技能考核;

　　(二)制定安全管理制度、操作规程、应急预案，明确不同岗位安全管理责任;

　　(三)加强数据采集、使用、处理权限管理，对批量导出、复制、脱敏、销毁数据等实行审查批准;

　　(四)加强网络运行、访问监测管理，定期开展数据安全检查;

　　(五)采取数据分类、备份和加密等安全措施;

　　(六)按照规定期限留存相关的网络日志;

　　(七)发生数据安全事件时，立即采取措施，保存证据，并及时向行业主管部门和公安机关报告;

　　(八)发现违法发布或者传输信息的，立即停止发布、传输或者采取阻断、拦截等措施，保留有关记录，并及时向行业主管部门和公安机关报告;

　　(九)法律、法规规定的 其他职责。

　　大数据安全责任人是个人的，应当依法采取安全管理措施，妥善存储、保管，合理使用，保障大数据安全。

　　 关于数据采集，《条例》规定：

　　采集数据应当具有合法目的和用途，遵循最小且必要和正当原则，禁止过度采集;科学确定采集对象、范围、内容、方式，依法进行采集，并保证数据的真实性、完整性、保密性。

　　国家机关采集数据应当经被采集人同意，法律、法规另有规定的除外。

　　采集数据不得侵犯国家秘密、商业秘密和个人信息，不得损害被采集人和他人合法权益。

　　除法律、法规另有规定外，向不特定公众提供普遍信息、接入、浏览、访问、营销、推广等网络服务的经营者，不得采集与其提供服务无关的数据，不得以使用人拒绝提供相关信息而限制或者拒绝其享受普遍服务。

　　除法律、法规另有规定外，任何单位和个人在公共场所设置数据采集设施、设备采集信息的，应当设置明显标识，并报当地公安机关备案。留存的数据应当用于合法目的，不得非法向他人提供、查阅、复制和传播。

　　关于数据存储，《条例》规定：

　　存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素，选择相应安全性能和防护级别的系统、介质、设施设备，采取技术和管理措施，保障存储系统和数据安全。

　　公共数据平台、企业数据中心等集中式大数据存储中心，应当根据国家相关技术标准、规范要求和保障数据安全需要，科学选址，规范建设，建立容灾备份、安全评价、日常巡查管理、防火防盗等安全管理制度，加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。

　　 关于数据传输处理使用，《条例》规定：

　　传输数据应当合理选择传输渠道，采取必要的安全措施，防止数据被窃取、泄露、篡改。

　　处理数据应当保护原始数据，不得随意更改、伪造，不得通过恶意处理导致数据毁灭性更改和永久性丢失。

　　交换数据应当维护数据的完整性、可用性。交换数据应当合法进行，交换双方不得假冒他人或者以其他方式骗取数据交换。

　　使用数据不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等非法方式获取的数据，不得使用。

　　使用数据开展广告宣传、营销推广等活动，不得干扰被采集人正常生产生活，不得损害被采集人及他人合法权益。

　　 关于数据销毁，《条例》规定：

　　销毁数据应当根据大数据安全保护管理需要，合理确定销毁方式和销毁要求。销毁公共数据、涉及商业秘密和个人信息等重要数据的，应当进行安全风险评估。

　　 《条例》还明确：

　　省人民政府负责全省大数据安全保障工作，市、州和县级人民政府负责本行政区域内大数据安全保障工作。

　　开发区、新区管理机构根据设立开发区、新区的人民政府的授权，负责本辖区大数据安全保障的具体工作。

　　省人民政府应当根据大数据发展应用总体规划，编制大数据安全保障规划;网信、公安、大数据发展管理等部门应当根据大数据安全保障规划，编制本部门、本行业大数据安全保障专项规划。

　　县级以上人民政府应当建立大数据安全保障工作领导协调机制和责任机制，协调和指导本行政区域内大数据安全保障有关事项。

　　公安机关应当按照网络安全等级保护要求，会同有关部门制定大数据风险测评、应急防范等安全制度，加强对大数据安全技术、设备和服务提供商的风险评估和安全管理。