一、《条例》制定的背景及意义

(一)背景

近年来，国务院《关于积极推进“互联网+”行动的指导意见》《促进大数据发展行动纲要》《“十三五”国家信息化规划》和贵州省《大数据产业发展应用规划纲要(2014-2020年)》《关于加快大数据产业发展应用若干政策的意见》以及市委、市政府《关于以大数据为引领加快打造创新型中心城市的意见》《关于加快建成 “中国数谷”的实施意见》等国家、省、市的一系列文件，对大数据安全管理的风险防范、安全保护、法规制度建设等提出了具体要求。2016年3月，国家明确我省建设国家大数据(贵州)综合试验区，我市作为国家大数据(贵州)综合试验区的核心区，一批新技术、新产品、新模式不断涌现，形成了创业创新、产业生态等一批示范基地和集聚区，我市深入推进大数据政用、商用、民用，在41家市直部门实施“数据铁笼”，在贵阳筑民生综合平台上向市民提供社区服务、教育等8个试点领域100项以上服务等，在大数据发展及创新应用方面取得了显著成效，积累了较为丰富的经验。

数据技术的不断成熟和数据共享开放的日益增速，数据安全也面临着严重挑战，推进政府数据共享开放的同时伴随着安全风险。《贵阳市政府数据共享开放条例》2017年5月1日起施行，全市已实现对54家单位、211个系统、1176项数据目录字典的集中存储和统一管理，已有52个部门2685个数据集、API 303个、612万条数据实现了深度关联开放;防攻击、防泄露、防窃取、防篡改、防非法使用等风险与危害，确保数据安全成为贯穿政府数据共享开放全过程的前提。有必要采取相应的安全保障措施，有效维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，确保数据共享开放在安全有序的环境下运行。

我市作为国家大数据(贵州)综合试验区核心区，肩负着制度创新、率先作为的重任，将“开展大数据制度创新试验”作为七大系统性试验任务之一;同时，公安部批复在我市建设国家大数据及网络安全示范试点城市和大数据安全靶场，打造大数据及网络安全自主创新中心、应用示范中心和政府监管中心，搭建“块数据指挥中心”“核心数据平台”“大数据安全监管服务平台”等多个综合防护平台，总结提炼有关大数据及网络安全建设、管理的成果，研究国家有关技术标准规范，上升为地方性法规内容，可以为国家大数据安全保障探索可复制的经验。因此，制定大数据安全地方性法规，切实依法保障大数据安全，对于推动实施国家大数据战略、建设国家大数据(贵州)综合试验区、促进我市大数据产业发展应用尤为重要，十分必要。

(二)意义

作为全国首部大数据安全管理地方法规，《条例》的制定:

一是贯彻落实中央、省、市要求，引领推动实施大数据安全保护工作的具体体现。近年来，国家、省、市相继出台一系列大数据、互联网建设实施文件，对大数据安全管理的风险防范、安全保护、法规制度建设等提出了具体要求。我市作为国家大数据(贵州)综合试验区的核心区，肩负着制度创新、率先作为的重任。

二是促进大数据发展应用，为建设大数据及网络安全示范试点城市提供法治保障。作为国家大数据(贵州)综合试验区的核心区，我市近年来在大数据发展及创新应用方面取得了显著成效，积累了较为丰富的经验。《条例》是在研究分析学习目前国家信息安全技术国家标准规范、行政法规草案以及有关数据安全方面的研究成果的基础上，并总结提炼地方大数据及网络安全建设、管理的实际经验做法，上升为地方法规予以固化，也为国家大数据安全保障探索可复制的经验。

三是《条例》的制定是为政府数据、公共数据、个人数据安全提供法治保障。随着数据技术的不断成熟和数据共享开放的日益增速，推进政府数据共享开放的同时伴随着安全风险，防攻击、防泄露、防窃取、防篡改、防非法使用等风险与危害，确保数据安全成为贯穿政府数据共享开放全过程的前提。《条例》规定相应的大数据安全保障措施，有力维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，确保数据共享开放在安全有序的环境下运行。

(三)关于《条例》与《中华人民共和国网络安全法》的关系

《条例》是落实和细化《中华人民共和国网络安全法》的有关规定和要求，也是推动《中华人民共和国网络安全法》等法律有效实施的具体措施。《条例》根据《网络安全法》的有关规定，明晰数据安全监督管理的部门职责，明确安全责任单位采取安全措施的原则、落实大数据安全保护责任，将上位法和有关政策中原则性的规定通过地方立法的方式细化为更具有可操作性的具体措施和方法，既坚持了基本原则和基本规则的指导，又结合实际，使法律法规更具针对性和实操性。

二、《条例》部分重点条文解读

(一)适用范围和相关概念

第二条 本条例适用于本市行政区域内大数据发展应用中的安全保护、监督管理以及相关活动。

涉及国家秘密的大数据安全保护，按照有关保密法律法规的规定执行。

本条例所称大数据安全，是指大数据发展应用中，数据的所有者、管理者、使用者和服务提供者(以下简称安全责任单位)采取保护管理的策略和措施，防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害的能力、状态和行动。

本条例所称大数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。

本条例所称数据，是指通过计算机或者其他信息终端及相关设备组成的系统收集、存储、传输、处理和产生的各种电子化的信息。

解读:本条把《条例》调整范围确定为对本市行政区域内大数据发展应用中数据的安全保护、监督管理以及相关活动的规范。本条第三款围绕大数据安全的责任主体类型、风险危害表现形式，将大数据安全定义为:“大数据发展应用中，数据的所有者、管理者、使用者和服务提供者(以下简称安全责任单位)采取保护管理的策略和措施，防范数据伪造、泄露或者被窃取、篡改、非法使用等风险与危害的能力、状态和行动。”同时还对大数据和数据的概念进行了明确。

(二)明确政府及相关部门职责

第五条 市网信部门负责统筹协调全市大数据安全监督管理工作，组织开展全市关键信息基础设施监管等工作。区(市、县)网信部门按照职责负责综合协调本辖区大数据安全监督管理工作。

市公安机关负责开展大数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作。区(市、县)公安机关按照职责负责本辖区大数据安全监督管理工作。

市大数据主管部门统筹协调本市大数据安全保障体系建设。区(市、县)大数据主管部门按照职责负责本辖区大数据安全管理的相关工作。

保密、国家安全、密码管理、通信管理等主管部门按照各自职责，做好大数据安全管理的相关工作。

解读:为了落实和细化《中华人民共和国网络安全法》的有关规定，明晰数据安全监督管理的部门职责，《条例》第五条分别明确规定了网信部门、公安机关、大数据主管部门的各自职责，以及保密、国家安全、密码管理、通信管理等主管部门按照各自职责做好数据安全管理的相关工作。并进一步在第四章监督检查中对有关主管部门的监管职责作了细化，以避免大数据安全管理权责不清、各自为战、执法推诿、效率低下等问题，防止出现“九龙治水”、多头管理等现象。

(三)关于宣传培训规范要求

第七条 县级以上人民政府以及网信、公安、大数据等主管部门和安全责任单位、大众传播媒介按照各自职责，做好大数据安全宣传教育工作。

解读:增强网络以及大数据安全意识，是一项极其重要的基础工程。《条例》坚持发展与安全、建设与安全、使用与安全并重，在第七条明确:“县级以上人民政府以及网信、公安、大数据等主管部门和安全责任单位、大众传播媒介按照各自职责，做好大数据安全宣传教育工作”;同时，第十七条明确行业组织“组织开展大数据安全教育、业务培训”，第二十二条明确相关主管部门“加强大数据安全的国家标准、行业标准和地方标准的宣传、培训”，第二十四条明确政府和有关主管部门对“公众以及大数据安全重点领域、重点行业、重点单位、重点人群等组织开展大数据安全法律法规、形势政策和知识技能的宣传培训”，安全责任单位对“员工、用户以及本单位的重点部位、重点设施、重点岗位安全工作人员开展大数据安全法律法规、知识技能等教育、培训和考核”等作了具体规范。

(四)明确大数据安全责任单位内部职责

第十条安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人。

安全责任单位应当根据数据的生命周期、规模、重要性和本单位的性质、类别、规模等因素，建立安全管理内控制度和支撑保障机制，明确安全管理负责人，落实不同岗位的安全管理职责;关键信息基础设施的运营者还应当设置专门安全管理机构。

解读:为落实《中华人民共和国网络安全法》第二十一条等级保护制度要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改等进行了规定。《条例》第十条规定:安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人;建立安全管理内控制度和支撑保障机制，明确和落实不同岗位的安全管理职责，落实大数据安全保护责任。

(五)关于安全审计等保护措施

第十四条 安全责任单位应当建立大数据安全审计制度，规定审计工作流程，记录并保存数据分类、采集、清洗、转换、加载、传输、存储、复制、备份、恢复、查询和销毁等操作过程，定期进行安全审计分析。

解读:大数据安全审计既是安全管理措施、也是技术规范要求，即通过严格程序、按照技术规范，详细记录数据全生命周期活动，防止数据泄露或者被窃取、篡改情况，达到数据溯源追踪的目的;通过定期进行安全审计分析，防范数据伪造、泄露或者被窃取、篡改、非法使用等风险，以保障数据安全。同时还在《条例》第十一条、第十二条、第十三条、第十五条对采取防范危害大数据安全行为技术措施、采取数据分类、备份和加密措施、增强大数据系统安全功能配置、存储和销毁数据等作出了相应规范。

(六)建立统一投诉举报平台

第二十一条 市公安机关负责大数据安全投诉举报平台的运行、维护和管理工作，公布投诉举报方式等信息，即时受理投诉举报，按照规定时限回复;对不属于本部门职责的，移送有关部门处理。有关部门处理后，应当按照规定时限反馈市公安机关。

安全责任单位应当建立大数据安全投诉举报制度，公布投诉举报方式等信息，接受和处理用户及相关利害关系人的投诉举报。

解读:数据信息被窃取、隐私被泄露等违法行为时有发生，被害人投诉无门、部门之间推诿扯皮，是全国人大常委会网络安全执法检查指出的一个突出问题。为了解决大数据安全的举报难、投诉难、立案难的现象，《条例》在第八条第一款规定“市人民政府设立统一的大数据安全监管服务、投诉举报平台，建立相应的工作机制”的基础上，本条进一步明确了市公安机关负责大数据安全投诉的受理，安全责任单位应当建立大数据安全投诉举报制度，公布投诉举报方式等信息，接受和处理用户及相关利害关系人的投诉举报。

(七)建立大数据监测预警、应急处置机制

第二十六条 县级以上人民政府应当根据国家和省的规定，落实大数据安全应急工作机制，明确工作责任、程序和规范;制定大数据安全事件应急预案，明确应急处置组织机构及其职责、事件分级、响应程序、保障手段和处置措施;定期组织演练，评估演练效果，分析存在问题，总结处置经验，提出改进和完善应急预案的意见。

发生大数据安全事件时，县级以上人民政府应当依法按程序启动应急预案，组织网信、公安、大数据等主管部门针对事件的性质和特点，采取应急措施处置。

解读:大数据安全风险具有很强的隐蔽性，安全态势感知是做好大数据安全最基本、最基础的工作。《条例》第三章细化《中华人民共和国网络安全法》监测预警与应急处置的相关规定，第二十五条、第二十六条和第二十七条通过平台对监测信息、监督检查信息和上级通报信息的分析、安全形势研判和风险评估，发布安全风险预警或者信息通报，实现对重要数据安全风险的全天候实时、动态监测。市、区(市、县)人民政府、市公安机关、安全责任单位等责任主体在监测预警与应急处置方面应当各司其职，履行好大数据安全预警及应急处理的义务。

(八)关于法律责任

第三十四条 安全责任单位不履行本条例第十条、第十一条、第十二条、第十三条、第十四条和第二十七条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害大数据安全等后果的，处1万元以上10万元以下罚款，对直接负责的主管人员处5000元以上5万元以下罚款。

解读:依据《网络安全法》第五十九条第一款的规定，《条例》第三十四条对国家机关以外的安全责任单位不履行第十条至第十四条、第二十七条规定的安全保护义务的行为，设置了具体明确法律责任。同时，根据《网络安全法》第七十二条、第七十三条第二款的规定，《条例》第三十六条还明确:安全责任单位中的国家机关不履行规定的大数据安全保护义务，大数据安全监督管理有关主管部门的工作人员玩忽职守、滥用职权、徇私舞弊尚不构成犯罪等行为，规定了依法给予处分的法律责任。