天津市数据安全管理办法（暂行）

天津市互联网信息办公室关于印发《天津市数据安全管理办法（暂行）》的通知为深入贯彻执行《天津市促进大数据发展应用条例》，加强对全市数据安全工作的统筹协调，建立健全数据安全保障体系，促进国家大数据战略实施和“数字天津”建设，天津市互联网信息办公室制定了《天津市数据安全管理办法（暂行）》，经市人民政府同意，现印发给你们，请照此执行。天津市互联网信息办公室 2019 年 6 月 26 日天津市数据安全管理办法（暂行）第一章总则第一条为维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，加强数据安全管理，建立健全数据安全保障体系，促进大数据发展应用，根据《中华人民共和国网络安全法》《天津市促进大数据发展应用条例》等法律法规的规定，结合本市实际，制定本办法。第二条在本市行政区域内的数据运营者利用网络开展数据采集、传输、存储、处理、使用等活动（以下简称“数据活动”），以及有关部门开展数据安全保护和监督管理工作，应当遵守本办法。涉及国家秘密的数据安全管理工作，按照有关法律法规执行。第三条数据安全管理应当采取政府主导、分工负责、积极防御、综合防范的方针，坚持安全与发展并重、管理与技术兼顾的原则，鼓励研发数据安全保护技术，保障数据依法有序自由流动。第四条本市采取主动策略和有效措施，监测、防御、处置来自境内外的数据安全风险和威胁，保护数据免受泄漏、窃取、篡改、毁损、非法使用等，依法惩治危害数据安全的违法犯罪活动。第五条市人民政府领导全市数据安全管理工作，区人民政府负责本行政区域内数据安全管理工作。第六条互联网信息主管部门负责统筹协调本行政区域数据安全管理工作，建设数据安全保障体系，采取关键信息基础设施安全防护措施，统筹协调有关部门开展监督检查、监测预警、信息通报、应急处置等工作。公安、保密、密码、通信管理等部门按照各自职责，做好数据安全管理的相关工作。第七条数据运营者应当按照相关法律法规的规定，参照数据安全标准，履行数据安全保护义务，建立数据安全管理责任、考核评价制度和数据安全投诉举报制度，制定数据安全计划，实施数据安全防护技术措施，开展数据安全风险评估，制定数据安全事件应急预案，及时处置和报告数据安全事件，组织数据安全教育培训，接受有关部门监管和社会监督。第八条市互联网信息主管部门会同标准化管理等部门加强数据安全的国家标准、行业标准和地方标准的宣传、培训，引导、鼓励数据运营者参照数据安全相关标准，提高数据安全防护能力。鼓励支持教育、科研机构和企业参与数据安全的国家标准、行业标准和地方标准的研究、制定。第九条市级有关部门和区人民政府应当提供资金和政策支持，促进数据安全产业发展和技术研发创新。推动高等院校、科研机构、企业开展产学研合作，建设集教学培训、研发孵化于一体的数据安全产业发展模式，实现数据安全人才培养、技术创新、产业发展的深度融合。鼓励高校设置数据安全相关专业，建设数据安全人才与创新基地，多种形式培养、引进和使用数据安全人才。第十条市级有关部门和区人民政府应当组织数据运营者、教育机构、公众传媒，做好数据安全宣传、教育和培训工作，提升社会整体数据安全意识和防护水平。第二章安全保障第十一条市互联网信息主管部门应当建立本市数据安全信息备案制度，组织个人信息和重要数据的数据运营者对以下信息开展备案工作：（一）数据运营者主体信息；（二）数据收集和使用规则；（三）数据收集的目的、方式、范围、类型等，不包括数据本身；（四）其他事关本市数据安全保护工作的信息。第十二条数据运营者应当按照等级保护和密码应用要求，落实安全管理制度和技术措施，确保数据系统的物理环境、通信网络、区域边界、计算环境等方面整体安全，加强对数据活动过程中关键操作的安全审计。第十三条数据运营者应当建立并执行系统资产安全管理规范，实行系统资产登记制度，形成资产清单。第十四条数据运营者的法定代表人或者主要负责人是本单位数据安全的第一责任人。数据运营者应当指定本单位数据安全管理部门，明确数据安全管理岗位和职责。第十五条数据运营者应当制定数据安全岗位人员安全管理制度，签订安全责任书和保密协议，定期开展安全培训。第十六条数据运营者应当按照相关法律法规的规定，制定并落实安全管理制度，对数据进行分类分级，采取加密、脱敏、备份、审计等措施，加强对个人信息和重要数据采集、传输、存储、处理和使用的保护。第十七条数据运营者向境外提供个人信息和重要数据的，应当按照相关法律法规的规定进行安全评估。第十八条数据运营者应当按照国家密码管理相关规定使用密码技术、管理密码设施和系统，依规生成、分发、存取、更新、备份和销毁密钥。第十九条数据运营者应当明确采集数据的目的和用途，确保数据采集的合法性、正当性、必要性。对数据采集的环境、设施和技术采取必要的管控措施，确保数据的完整性、一致性和真实性，保证数据在采集过程中不被泄露。第二十条数据运营者应当制定并执行数据安全传输策略和规程，根据数据安全等级采取相应的管控措施，确保数据传输的安全性和可靠性。第二十一条数据运营者应当根据数据安全等级采取相应的管控措施进行存储，对个人信息和重要数据应当采取加密存储、身份鉴别和访问控制等措施，确保数据存储的安全性和保密性。第二十二条数据运营者应当采取管控措施确保数据使用目的合规，使用过程安全可控、可溯源。第二十三条数据运营者应当制定数据共享、交换、发布管理制度，采取数据加密、安全通道等管控措施保护数据共享、交换过程中的个人信息和重要数据安全，指定专人审核数据发布的合法合规性，加强对数据共享、交换、发布的监控分析。第二十四条数据不需要继续使用或继续存储将妨碍数据主体权益的，数据运营者应当按照相关法律法规的规定及时销毁。第二十五条数据运营者利用服务外包方式开展数据活动的，应当与外包服务提供者签订安全保护协议，采取安全保护措施，督促监督外包服务提供者加强数据安全管理。第三章信息通报与应急处置第二十六条市互联网信息主管部门统筹协调公安等部门建立数据安全信息通报制度，开展数据安全信息通报工作。第二十七条市互联网信息主管部门应当建设数据安全监测通报平台，会同公安等部门开展对监测信息、监督检查信息和上级通报信息的分析研判和风险评估，按照规定发布安全风险预警或信息通报。区互联网信息主管部门应当会同同级公安等部门落实上级部门通过数据安全监测通报平台发布的各项指令。第二十八条市级有关部门和区人民政府应当建立数据安全应急工作机制，制定数据安全事件应急预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题补充修订应急预案。第二十九条发生数据安全事件时，市和区互联网信息主管部门应当按程序迅速启动应急预案，统筹协调公安、通信管理等有关部门确定安全事件响应级别，采取应急措施妥善处置。第三十条数据运营者应当落实数据安全信息通报制度，制定数据安全事件应急预案，定期开展应急演练，建立和保持与有关各方的联络、协作。数据安全事件发生后或发生数据安全事件风险明显加大时，数据运营者应当立即启动应急预案，采取相应措施防止危害扩大，保存相关记录，告知可能受到影响的用户，按照规定及时向互联网信息主管部门和公安等部门报告。第四章监督检查第三十一条市和区互联网信息主管部门应当会同公安、密码等部门建立健全数据安全监督检查工作机制，明确检查工作内容、目标、方式和标准。第三十二条互联网信息主管部门应当协调指导公安、密码等部门检查数据运营者履行数据安全责任、落实安全管理制度和保护技术措施等方面的情况。在监督检查中，发现数据运营者存在安全问题和隐患的，应当提出改进要求并督促整改。数据运营者应当根据有关部门的要求进行整改，并反馈整改情况。第五章责任追究第三十三条数据运营者不履行本办法第十一条、第十二条、第十三条、第十四条、第十五条、第十六条、第十七条、第十八条、第三十条、第三十二条规定的数据安全保护义务的，由互联网信息主管部门、公安和密码等部门责令限期改正；逾期未改正或造成危害数据安全等严重后果的，对直接负责的主管人员和其他直接责任人员按照《中华人民共和国网络安全法》等法律法规的规定，给予相应处罚；构成犯罪的，依法追究刑事责任。第三十四条国家机关及其工作人员在数据安全管理工作中滥用职权、玩忽职守、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。第六章附第三十五条则本办法下列用语的含义：（一）数据，是指通过网络采集、传输、存储、处理和产生的各种电子数据。（二）数据运营者，是指所有、管理、使用数据和提供数据服务的法人和其他组织。（三）数据安全，是指通过采取必要措施，防范对网络（系统、数据）的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障数据的完整性、保密性、可用性的能力。（四）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。（五）重要数据，是指不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据，包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的，不涉及国家秘密，但一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据。第三十六条本办法自 2019 年 8 月 1 日起施行，有效期 2 年。