《大理州数据分类分级管理办法》
大理白族自治州发展和改革委员会关于印发大理州数据分类分级管理办法的通知
大发改数字 〔 2023〕 355号
州级各有关部门:
《大理州数据分类分级管理办法》已经州数字经济发展领导小组第七次会议研究同意,州数字经济发展领导小组办公室审查通过,现印发给你们,请结合实际认真抓好贯彻落实。
2023年10月17日
大理州数据分类分级管理办法
第一章 总则
第一条 编制依据。为加强和规范大理州数据分类分级管理,促进数据流通、开发和利用,释放数据价值,依据《中华人民共和国数据安全法》,结合大理州实际,制定本办法。
第二条 适用范围。本办法适用于大理州各级行政机关、法律法规规章授权的具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等公共服务运营单位(以下简称“各类主体”)在存储、传输、共享、开放、加工、交易、销毁等活动中的数据分类分级管理活动。
涉及国家秘密、商业秘密、个人隐私等事项的数据,按照相关法律法规规定办理。
第三条 原则。分类分级管理以提升数据归集、数据元件加工和交易安全合规保障能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导、政府监管相结合,分类标识、逐类定级和分级管理相结合的原则。
第四条 主体职责。州数据管理行政主管部门应根据国家和大理州数据分类分级制度,指导和监督各类主体做好数据分类分级工作。
数据运营服务中心指导监督各类主体按要求编制本单位数据分类分级具体规定,对自身持有的数据实施分类分级管理,确保数据安全。
第五条 分类分级思路。各类主体开展数据分类分级,应当遵循“先分类、再分级”的基本思路,通过梳理数据,开展数据分类及评估定级,形成分类分级目录,报州数据管理行政主管部门审核,并动态更新。
第二章 数据分类管理
第六条 分类规则。各类主体应当根据数据的行业属性特征,先按照行业领域明确数据的一级分类,然后按照本行业领域的业务属性进行数据二级分类。
第七条 特殊分类。各类主体对本单位具有特别要求的数据,按照特殊要求进行数据分类。
第八条 分类清单。各类主体应当编制数据分类清单,并向州数据管理行政主管部门报备。
第九条 分类变更与调整。各类主体应结合实际,明确本单位数据资源的维护周期,定期安排专人检查、编制数据新增、删减、变更等情况,及时调整数据分类清单。
第十条 个人信息数据。个人信息分为个人基本资料、个人身份信息、个人健康生理信息等类别,参考《信息安全技术 个人信息安全规范》(GB/T 35273—2020)进行个人信息数据分类。
第三章 数据分级管理
第十一条 分级原则。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据进行级别划分。
第十二条 分级规则。数据运营服务中心指导监督各类主体按照分级原则将数据分为一般数据、重要数据和核心数据3个级别。
重要数据、核心数据按照国家和行业的重要数据目录、核心数据目录划分。目录不明确时,可参考其他有关规定或标准。
第十三条 分级步骤。各类主体可按照确定分级对象、识别分级要素、分析数据影响、综合确定级别等步骤开展数据评估定级。
第十四条 数据目录。各行业主管部门应当根据数据分级要求,编制本行业一般数据、重要数据、核心数据目录,对列入目录的数据进行重点保护。
第十五条 定级变更与调整。经定级的数据,出现下列情形之一的,应当重新定级:
(一)数据内容发生变化,导致数据安全级别发生变化的;
(二)数据内容未发生变化,但数据时效性、规模、应用场景等发生变化,需要重新定级的;
(三)因业务需要将相同或不同级别的数据汇聚并进行分析、处理的;
(四)国家、省、州相关定级标准规范发生变化;
(五)其他需要重新定级的情形。
数据级别发生变更的,有关主体应当及时调整目录,并重新报备。
第十六条 个人信息数据。涉及个人数据的,各类主体应当参照国家有关法律法规和标准,分别制定敏感个人信息和一般个人信息目录。
第四章 数据分级安全管理
第十七条 设施要求。各类主体应当根据国家和州数据分类分级相关规定,在数据存储、传输、共享、开放、加工、交易、销毁等环节,采用符合对应安全等级的信息系统、存储设施和传输设备,并建立完善对应等级的安全保护机制。
第十八条 重要、核心数据管理制度建设。重要数据、核心数据的持有主体应当制定本单位重要数据、核心数据保护制度,采取严格保护措施,按照规定对其数据处理活动定期开展风险评估。
使用重要数据、核心数据的单位应当成立数据安全管理机构,明确数据安全负责人;数据安全负责人应当具备相关管理工作经验或相应数据安全保护资质,并及时向州数据管理行政主管部门报备数据的用途、场景、使用方式、安全情况等信息。
第十九条 敏感个人信息保护。个人信息的持有主体,应按照国家个人信息保护相关法律法规进行保护。使用敏感个人数据的,应按照相应规定进行特别保护,明确使用规定、流程、应用场景等,不得随意使用。
第二十条 预警监测。各类主体开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向州数据管理行政主管部门等有关主管部门报告。
第二十一条 规范性检查。州数据管理行政主管部门应当依照国家法律法规组织对涉及重要数据、核心数据和敏感个人数据的各类主体,进行数据安全检查。
第二十二条 应急管理。发生安全事件时,有关单位应当立刻采取措施防止危害扩大,及时消除安全隐患;涉嫌犯罪的,应当按照规定向公安机关报案。
第五章 监督与考核
第二十三条 责任追究。各类主体及其工作人员在进行数据分类分级过程中违反本办法规定或涉嫌侵犯数据相关主体权益的,应当予以改正;拒不改正或者情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第二十四条 绩效考核。州数据管理行政主管部门组织制定各类主体数据分类分级工作考核制度,数据运营服务中心具体负责数据分类分级考核,重点考核重要数据、核心数据和敏感个人数据的定级管理。
第二十五条 举报与投诉。数据运营服务中心应当设立数据安全投诉、举报受理途径,及时查证处理投诉举报内容,并对投诉、举报人的个人信息予以保密,保护投诉、举报人的合法权益。
受到投诉、举报的各类主体应当及时依法处理,并及时公布处理结果。
第六章 附则
第二十六条 其他要求。法律、法规、规章和国家政策对数据分类分级管理有规定的,从其规定。
第二十七条 解释权归属。本办法由州数据管理行政主管部门负责解释。
第二十八条 生效日期。本办法自2023年11月1日起施行,有效期至2028年10月31日。
