贵州省人民代表大会常务委员会 公 告 (2019 第 9 号) 《贵州省大数据安全保障条例》已于 2019 年 8 月 1 日经贵州省第十三届人民代表大会 常务委员会第十一次会议通过，现予公布，自 2019 年 10 月 1 日起施行。 贵州省人民代表大会常务委员会 2019 年 8 月 1 日 贵州省大数据安全保障条例 (2019 年 8 月 1 日贵州省第十三届人民代表大会常务委员会第十一次会议通过) 目 录 第一章 总 则 第二章 安全责任 第三章 监督管理 第四章 支持与保障 第五章 法律责任 第六章 附 则 第一章 总 则 第一条 为了保障大数据安全和个人信息安全，明确大数据安全责任，促进大数据发展 应用，根据《中华人民共和国网络安全法》和有关法律、法规的规定，结合本省实际，制定 本条例。 第二条 本省行政区域内大数据安全保障及相关活动，应当遵守本条例。 涉及国家秘密的大数据安全保障，还应当遵守《中华人民共和国保守国家秘密法》等法 律、法规的规定。 第三条 本条例所称大数据安全保障，是指采取预防、管理、处置等策略和措施，防范 大数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故，保障大数 据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。 本条例所称大数据是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据 集合，是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析，发现新知识、 创造新价值、提升新能力的新一代信息技术和服务业态。 本条例所称大数据安全责任人，是指在大数据全生命周期过程中对大数据安全产生或者 可能产生影响的单位和个人，包括大数据所有人、持有人、管理人、使用人以及其他从事大 数据采集、存储、清洗、开发、应用、交易、服务等的单位和个人。 第四条 大数据安全保障工作坚持总体国家安全观，树立正确的网络安全观，按照政府 主导、责任人主体，统筹规划、突出重点，预防为主、综合治理，包容审慎、支持创新，安 全与发展、监管与利用并重的原则，维护大数据总体和动态安全。 第五条 大数据安全保障工作应当围绕国家大数据战略和省大数据战略行动实施，建立 健全大数据安全管理制度，建设大数据安全地方标准体系、大数据安全测评体系、大数据安 全保障体系等，采取大数据安全攻防演练等安全保障措施，推动大数据安全技术、制度、管 理创新和发展。 第六条 省人民政府负责全省大数据安全保障工作，市、州和县级人民政府负责本行政 区域内大数据安全保障工作。 开发区、新区管理机构根据设立开发区、新区的人民政府的授权，负责本辖区大数据安 全保障的具体工作。 第七条 县级以上有关部门按照下列规定，履行大数据安全保障职责： (一)网信部门负责统筹协调、检查指导和相关监督管理等工作; (二)公安机关负责安全保护和管理、风险评估、监测预警、应急处置和违法行为查处等 监督管理工作; (三)大数据发展管理部门负责与大数据安全相关的数据管理、产业发展、技术应用等工 作; (四)通信管理部门负责电信网、公共互联网运行安全监督管理等工作; (五)保密行政管理部门负责保密监督管理等工作; (六)密码管理部门负责密码监督管理等工作; (七)其他部门按照有关法律、法规的规定和各自职责做好大数据安全保障工作。 第八条 省人民政府应当根据大数据发展应用总体规划，编制大数据安全保障规划;网信、 公安、大数据发展管理等部门应当根据大数据安全保障规划，编制本部门、本行业大数据安 全保障专项规划。 第九条 县级以上人民政府应当建立大数据安全保障工作领导协调机制和责任机制，协 调和指导本行政区域内大数据安全保障有关事项。 公安机关应当按照网络安全等级保护要求，会同有关部门制定大数据风险测评、应急防 范等安全制度，加强对大数据安全技术、设备和服务提供商的风险评估和安全管理。 第十条 任何单位和个人都有维护大数据安全的义务，不得从事危害大数据安全的活动， 不得利用大数据从事危害国家安全以及损害国家利益、社会公共利益和他人合法权益的活动。 对危害大数据安全或者利用大数据从事违法犯罪活动的行为，任何单位和个人都有权劝 阻、制止、投诉、举报。收到投诉举报的部门应当依法及时查处，保护举报人的合法权益; 不属于本部门职责的，应当及时移送有权处理的部门。 第十一条 鼓励开展大数据安全知识宣传普及、教育培训，增强全社会大数据安全意识， 提高大数据安全风险防范能力。 第十二条 鼓励、支持成立大数据安全联盟、行业协会等社会组织，开展行业自律、交 流合作和安全技术研究等大数据安全工作。 第二章 安全责任 第十三条 实行大数据安全责任制，保障大数据全生命周期安全。 大数据安全责任，按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以 及谁采集谁负责的原则确定。 大数据基于复制、流通、交换等同时存在的多个安全责任人，分别承担各自安全责任。 第十四条 大数据安全责任人是单位的(以下简称单位大数据安全责任人)，应当履行下 列职责： (一)依法成立安全管理机构或者明确安全管理负责人，定期对从业人员进行安全教育、 技术培训和技能考核; (二)制定安全管理制度、操作规程、应急预案，明确不同岗位安全管理责任; (三)加强数据采集、使用、处理权限管理，对批量导出、复制、脱敏、销毁数据等实行 审查批准; (四)加强网络运行、访问监测管理，定期开展数据安全检查; (五)采取数据分类、备份和加密等安全措施; (六)按照规定期限留存相关的网络日志; (七)发生数据安全事件时，立即采取措施，保存证据，并及时向行业主管部门和公安机 关报告; (八)发现违法发布或者传输信息的，立即停止发布、传输或者采取阻断、拦截等措施， 保留有关记录，并及时向行业主管部门和公安机关报告; (九)法律、法规规定的其他职责。 大数据安全责任人是个人的(以下简称个人大数据安全责任人)，应当依法采取安全管理 措施，妥善存储、保管，合理使用，保障大数据安全。 第十五条 单位大数据安全责任人采集、存储、传输、处理、交换、应用、销毁大数据 等，应当根据网络安全等级保护要求，建立大数据安全防护管理制度、大数据安全审计制度， 制定大数据安全应急预案，落实安全管理责任，并定期开展安全评测、风险评估和应急演练; 采取安全保护技术措施，防止数据丢失、毁损、泄露和篡改。 前款规定活动涉及个人信息的，还应当遵守法律、法规关于个人信息保护的规定。 第十六条 采集数据应当具有合法目的和用途，遵循最小且必要和正当原则，禁止过度 采集;科学确定采集对象、范围、内容、方式，依法进行采集，并保证数据的真实性、完整 性、保密性。 国家机关采集数据应当经被采集人同意，法律、法规另有规定的除外。 采集数据不得侵犯国家秘密、商业秘密和个人信息，不得损害被采集人和他人合法权益。 除法律、法规另有规定外，向不特定公众提供普遍信息、接入、浏览、访问、营销、推 广等网络服务的经营者，不得采集与其提供服务无关的数据，不得以使用人拒绝提供相关信 息而限制或者拒绝其享受普遍服务。 第十七条 除法律、法规另有规定外，任何单位和个人在公共场所设置数据采集设施、 设备采集信息的，应当设置明显标识，并报当地公安机关备案。留存的数据应当用于合法目 的，不得非法向他人提供、查阅、复制和传播。 第十八条 存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素，选 择相应安全性能和防护级别的系统、介质、设施设备，采取技术和管理措施，保障存储系统 和数据安全。 公共数据平台、企业数据中心等集中式大数据存储中心，应当根据国家相关技术标准、 规范要求和保障数据安全需要，科学选址，规范建设，建立容灾备份、安全评价、日常巡查 管理、防火防盗等安全管理制度，加强存储环境、供电、通信和存储系统、介质、设施设备 安全审查。 第十九条 传输数据应当合理选择传输渠道，采取必要的安全措施，防止数据被窃取、 泄露、篡改。 第二十条 处理数据应当保护原始数据，不得随意更改、伪造，不得通过恶意处理导致 数据毁灭性更改和永久性丢失。 第二十一条 交换数据应当维护数据的完整性、可用性。交换数据应当合法进行，交换 双方不得假冒他人或者以其他方式骗取数据交换。 第二十二条 使用数据不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等 非法方式获取的数据，不得使用。 使用数据开展广告宣传、营销推广等活动，不得干扰被采集人正常生产生活，不得损害 被采集人及他人合法权益。 第二十三条 销毁数据应当根据大数据安全保护管理需要，合理确定销毁方式和销毁要 求。销毁公共数据、涉及商业秘密和个人信息等重要数据的，应当进行安全风险评估。 第二十四条 单位大数据安全责任人应当加强数据内容管理，定期清理、审查数据内容， 发现其持有、管理、发布的数据含有违法内容的，应当及时予以处理，并采取相关补救措施; 超出自身处理权限的，应当立即停止使用，告知数据提供人并向公安机关报告。 第二十五条 为他人提供基础网络、互联网数据中心或者系统服务的网络运营者，应当 建立安全监测预警平台，加强对服务对象的数据安全管理，督促其建立安全管理制度，落实 安全监测保护技术措施。 开展互联网平台和数据空间等租赁业务的，出租人应当将租赁信息依法报通信管理部门 备案，通信管理部门应当将备案信息与公安机关共享。未经出租人同意，承租人不得擅自转 租。涉及互联网数据中心业务和互联网接入服务业务的，应当遵守有关法律、法规的规定。 第二十六条 各级人民政府及有关部门和公共机构、公共服务企业因信息公开、数据开 放以及公示、公告等需要公布企业、个人数据的，应当采取脱密、脱敏等措施，防止泄露国 家秘密、商业秘密和个人信息。 第二十七条 银行、保险、房地产、航空、铁路、公路、供电、供水、供气、邮政、通 信、快递、电子商务、旅游服务等经营者和学校、医疗机构、社保、户籍管理、车辆登记、 公积金、社会信用管理等单位，应当加强内部管理，建立数据接触、访问审查等制度，明确 数据提供、调用、分析、处理等权限。 前款规定单位在经营、服务活动中获取的用户数据，除依法共享开放外，单位及其工作 人员不得泄露，不得出售或者非法向他人提供。 第二十八条 禁止发布、传播下列信息： (一)危害国家主权、安全和发展利益; (二)损害社会公共利益和他人合法权益; (三)煽动民族仇恨、民族歧视; (四)黄、赌、毒等违法犯罪信息; (五)法律、法规禁止的其他信息。 第二十九条 禁止非法采集、窃取、存储、传输、使用、买卖个人信息。 第三十条 采集、存储、使用、处理人脸、指纹、基因、疾病等生物特征数据，应当遵 守法律、法规的规定，不得危害国家安全、公共安全，不得侵犯个人合法权益。 第三十一条 单位大数据安全责任人因公共数据共享开放提供数据，基于提供时的合理 预见无安全风险的，提供人不承担