成都市數(shù)據(jù)安全管理辦法一、總則（一）目的為加強(qiáng)成都市數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，維護(hù)國(guó)家安全、公共利益和公民、法人及其他組織的合法權(quán)益，促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展，依據(jù)國(guó)家有關(guān)法律法規(guī)，結(jié)合本市實(shí)際，制定本辦法。（二）適用范圍本辦法適用于本市行政區(qū)域內(nèi)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)及其相關(guān)數(shù)據(jù)安全管理。本辦法所稱數(shù)據(jù)，是指以電子或者其他方式對(duì)信息的記錄，包括但不限于各類網(wǎng)絡(luò)平臺(tái)、信息系統(tǒng)、數(shù)據(jù)庫(kù)、文件、文檔、郵件、圖像、音頻、視頻等所承載的內(nèi)容。（三）基本原則1.安全可控原則：確保數(shù)據(jù)在全生命周期內(nèi)的安全性、完整性和可用性，有效防范數(shù)據(jù)安全風(fēng)險(xiǎn)，保障數(shù)據(jù)處理活動(dòng)合法、合規(guī)、穩(wěn)健運(yùn)行。2.分類分級(jí)保護(hù)原則：根據(jù)數(shù)據(jù)的敏感程度、影響范圍等因素，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，并采取相應(yīng)的保護(hù)措施，實(shí)現(xiàn)差異化、精準(zhǔn)化的數(shù)據(jù)安全管理。3.預(yù)防為主原則：強(qiáng)化數(shù)據(jù)安全源頭治理，建立健全數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警、處置機(jī)制，及時(shí)發(fā)現(xiàn)和消除數(shù)據(jù)安全隱患，防患于未然。4.協(xié)同共治原則：構(gòu)建政府、企業(yè)、社會(huì)組織和公民等多元主體共同參與的數(shù)據(jù)安全治理體系，形成工作合力，共同維護(hù)數(shù)據(jù)安全。（四）職責(zé)分工1.市網(wǎng)信部門：負(fù)責(zé)統(tǒng)籌協(xié)調(diào)全市數(shù)據(jù)安全工作，指導(dǎo)、監(jiān)督、檢查數(shù)據(jù)安全管理制度和措施的落實(shí)情況，組織開展數(shù)據(jù)安全監(jiān)測(cè)、預(yù)警、應(yīng)急處置等工作。2.市經(jīng)信部門：負(fù)責(zé)指導(dǎo)、協(xié)調(diào)工業(yè)領(lǐng)域的數(shù)據(jù)安全管理工作，推動(dòng)工業(yè)企業(yè)加強(qiáng)數(shù)據(jù)安全保護(hù)，促進(jìn)工業(yè)數(shù)據(jù)的合理開發(fā)利用。3.市公安部門：負(fù)責(zé)依法查處數(shù)據(jù)安全違法犯罪行為，維護(hù)網(wǎng)絡(luò)空間數(shù)據(jù)安全秩序，指導(dǎo)、監(jiān)督數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)。4.市政務(wù)服務(wù)管理和大數(shù)據(jù)部門：負(fù)責(zé)指導(dǎo)、協(xié)調(diào)政務(wù)數(shù)據(jù)安全管理工作，推進(jìn)政務(wù)數(shù)據(jù)共享開放中的安全保障，組織開展政務(wù)數(shù)據(jù)安全評(píng)估等工作。5.其他有關(guān)部門：按照各自職責(zé)，做好本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全管理工作，協(xié)同推進(jìn)全市數(shù)據(jù)安全管理工作。6.數(shù)據(jù)處理者：是指在本市行政區(qū)域內(nèi)開展數(shù)據(jù)處理活動(dòng)的機(jī)關(guān)、企事業(yè)單位、社會(huì)組織和個(gè)體工商戶等，承擔(dān)數(shù)據(jù)安全保護(hù)的主體責(zé)任，應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，采取必要的技術(shù)措施和管理措施，保障數(shù)據(jù)安全。二、數(shù)據(jù)分類分級(jí)（一）分類標(biāo)準(zhǔn)根據(jù)數(shù)據(jù)的性質(zhì)、用途、敏感程度等因素，將數(shù)據(jù)分為以下類別：1.國(guó)家秘密數(shù)據(jù)：涉及國(guó)家安全和利益，依照法定程序確定，在一定時(shí)間內(nèi)只限一定范圍的人員知悉的數(shù)據(jù)。2.工作秘密數(shù)據(jù)：各級(jí)黨政機(jī)關(guān)在履行職能過(guò)程中產(chǎn)生的，不屬于國(guó)家秘密而又不宜公開的工作信息。3.商業(yè)秘密數(shù)據(jù)：不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的涉及商業(yè)經(jīng)營(yíng)、技術(shù)研發(fā)等方面的數(shù)據(jù)。4.個(gè)人信息數(shù)據(jù)：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。5.公共數(shù)據(jù)：本市各級(jí)行政機(jī)關(guān)、事業(yè)單位、社會(huì)組織在履行職責(zé)過(guò)程中收集、產(chǎn)生的，供社會(huì)公眾使用或者開發(fā)利用的數(shù)據(jù)。6.其他數(shù)據(jù)：除上述類別以外的數(shù)據(jù)。（二）分級(jí)標(biāo)準(zhǔn)根據(jù)數(shù)據(jù)的影響范圍、敏感程度等因素，將每類數(shù)據(jù)分為以下級(jí)別：1.一級(jí)數(shù)據(jù)：一旦泄露、篡改、丟失或者被非法獲取、非法利用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公共利益造成特別嚴(yán)重?fù)p害的數(shù)據(jù)。2.二級(jí)數(shù)據(jù)：一旦泄露、篡改、丟失或者被非法獲取、非法利用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公共利益造成嚴(yán)重?fù)p害的數(shù)據(jù)。3.三級(jí)數(shù)據(jù)：一旦泄露、篡改、丟失或者被非法獲取、非法利用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公共利益造成較大損害的數(shù)據(jù)。4.四級(jí)數(shù)據(jù)：一旦泄露、篡改、丟失或者被非法獲取、非法利用，可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公共利益造成一般損害的數(shù)據(jù)。5.五級(jí)數(shù)據(jù)：一旦泄露、篡改、丟失或者被非法獲取、非法利用，對(duì)國(guó)家安全、社會(huì)穩(wěn)定、公共利益造成損害較小的數(shù)據(jù)。（三）分類分級(jí)確定與調(diào)整1.數(shù)據(jù)處理者應(yīng)當(dāng)按照本辦法規(guī)定的分類分級(jí)標(biāo)準(zhǔn)，對(duì)其持有的數(shù)據(jù)進(jìn)行分類分級(jí)，并形成數(shù)據(jù)分類分級(jí)清單。2.數(shù)據(jù)分類分級(jí)清單應(yīng)當(dāng)根據(jù)數(shù)據(jù)的變化情況及時(shí)進(jìn)行調(diào)整。數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)分類分級(jí)發(fā)生變化后的[X]個(gè)工作日內(nèi)，將調(diào)整后的清單報(bào)送至行業(yè)主管部門備案。3.對(duì)于難以確定分類分級(jí)的數(shù)據(jù)，數(shù)據(jù)處理者應(yīng)當(dāng)組織相關(guān)專家進(jìn)行評(píng)估，并將評(píng)估結(jié)果報(bào)行業(yè)主管部門審核確定。三、數(shù)據(jù)安全保護(hù)義務(wù)（一）數(shù)據(jù)處理者的一般義務(wù)1.建立健全數(shù)據(jù)安全管理制度：數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全管理機(jī)構(gòu)和人員職責(zé)，制定數(shù)據(jù)安全操作規(guī)程、數(shù)據(jù)安全審計(jì)制度、數(shù)據(jù)安全應(yīng)急處置預(yù)案等，確保數(shù)據(jù)安全管理工作有章可循。2.采取必要的技術(shù)措施：數(shù)據(jù)處理者應(yīng)當(dāng)采取必要的技術(shù)措施，保障數(shù)據(jù)的保密性、完整性和可用性。技術(shù)措施應(yīng)當(dāng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)和規(guī)范，并定期進(jìn)行評(píng)估和更新。3.加強(qiáng)人員安全管理：數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)對(duì)員工的數(shù)據(jù)安全培訓(xùn)，提高員工的數(shù)據(jù)安全意識(shí)和技能，規(guī)范員工的數(shù)據(jù)處理行為。對(duì)涉及數(shù)據(jù)安全的關(guān)鍵崗位人員，應(yīng)當(dāng)進(jìn)行背景審查，并簽訂保密協(xié)議。4.開展數(shù)據(jù)安全自查：數(shù)據(jù)處理者應(yīng)當(dāng)定期開展數(shù)據(jù)安全自查，及時(shí)發(fā)現(xiàn)和消除數(shù)據(jù)安全隱患。自查報(bào)告應(yīng)當(dāng)報(bào)送至行業(yè)主管部門。5.配合監(jiān)管檢查：數(shù)據(jù)處理者應(yīng)當(dāng)配合有關(guān)部門依法開展的數(shù)據(jù)安全監(jiān)督檢查工作，如實(shí)提供有關(guān)數(shù)據(jù)和資料，不得拒絕、阻礙或者隱瞞。（二）不同類別數(shù)據(jù)處理者的特殊義務(wù)1.國(guó)家秘密數(shù)據(jù)處理者：除履行一般義務(wù)外，還應(yīng)當(dāng)嚴(yán)格遵守國(guó)家保密法律法規(guī)，落實(shí)保密制度，采取加密存儲(chǔ)、專人管理、物理隔離等保密措施，確保國(guó)家秘密數(shù)據(jù)的安全。2.工作秘密數(shù)據(jù)處理者：應(yīng)當(dāng)按照國(guó)家和本市有關(guān)規(guī)定，對(duì)工作秘密數(shù)據(jù)進(jìn)行嚴(yán)格管理，防止工作秘密數(shù)據(jù)泄露。3.商業(yè)秘密數(shù)據(jù)處理者：應(yīng)當(dāng)與知悉商業(yè)秘密數(shù)據(jù)的員工、合作方等簽訂保密協(xié)議，明確保密責(zé)任和義務(wù)。在數(shù)據(jù)共享、轉(zhuǎn)讓等活動(dòng)中，應(yīng)當(dāng)采取必要的保密措施，防止商業(yè)秘密數(shù)據(jù)泄露。4.個(gè)人信息數(shù)據(jù)處理者：應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)個(gè)人同意。應(yīng)當(dāng)對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行加密存儲(chǔ)，保障個(gè)人信息數(shù)據(jù)的安全。應(yīng)當(dāng)建立個(gè)人信息數(shù)據(jù)保護(hù)投訴、舉報(bào)機(jī)制，及時(shí)處理用戶的投訴和舉報(bào)。在發(fā)生個(gè)人信息數(shù)據(jù)泄露等安全事件時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并及時(shí)向用戶告知事件情況和采取的措施。5.公共數(shù)據(jù)處理者：應(yīng)當(dāng)按照國(guó)家和本市有關(guān)規(guī)定，對(duì)公共數(shù)據(jù)進(jìn)行分類分級(jí)管理，確保公共數(shù)據(jù)的安全。應(yīng)當(dāng)建立公共數(shù)據(jù)共享開放安全審查機(jī)制，對(duì)擬共享開放的公共數(shù)據(jù)進(jìn)行安全審查，防止公共數(shù)據(jù)泄露、濫用等安全風(fēng)險(xiǎn)。應(yīng)當(dāng)加強(qiáng)公共數(shù)據(jù)存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)的安全管理，保障公共數(shù)據(jù)的安全。四、數(shù)據(jù)安全監(jiān)測(cè)與預(yù)警（一）監(jiān)測(cè)機(jī)制1.建立監(jiān)測(cè)體系：市網(wǎng)信部門應(yīng)當(dāng)會(huì)同有關(guān)部門建立健全全市數(shù)據(jù)安全監(jiān)測(cè)體系，統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全監(jiān)測(cè)工作。數(shù)據(jù)處理者應(yīng)當(dāng)按照要求接入數(shù)據(jù)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)報(bào)送數(shù)據(jù)處理活動(dòng)相關(guān)信息。2.監(jiān)測(cè)內(nèi)容：數(shù)據(jù)安全監(jiān)測(cè)主要包括數(shù)據(jù)處理活動(dòng)的合法性、合規(guī)性，數(shù)據(jù)的保密性、完整性和可用性，數(shù)據(jù)安全管理制度和技術(shù)措施的落實(shí)情況，以及數(shù)據(jù)安全風(fēng)險(xiǎn)隱患等內(nèi)容。3.監(jiān)測(cè)方式：通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)、數(shù)據(jù)分析、人工檢查等方式，對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和動(dòng)態(tài)分析，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全異常情況。（二）預(yù)警機(jī)制1.風(fēng)險(xiǎn)評(píng)估：市網(wǎng)信部門應(yīng)當(dāng)定期組織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)全市數(shù)據(jù)安全狀況進(jìn)行全面分析和評(píng)估，識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。2.預(yù)警分級(jí)：根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行分級(jí)預(yù)警。預(yù)警級(jí)別分為紅色預(yù)警（重大風(fēng)險(xiǎn)）、橙色預(yù)警（較大風(fēng)險(xiǎn)）、黃色預(yù)警（一般風(fēng)險(xiǎn)）、藍(lán)色預(yù)警（低風(fēng)險(xiǎn)）。3.預(yù)警發(fā)布與處置：市網(wǎng)信部門應(yīng)當(dāng)及時(shí)向相關(guān)數(shù)據(jù)處理者發(fā)布預(yù)警信息，并提出風(fēng)險(xiǎn)處置建議。數(shù)據(jù)處理者應(yīng)當(dāng)按照預(yù)警要求，立即采取相應(yīng)的處置措施，降低數(shù)據(jù)安全風(fēng)險(xiǎn)，并及時(shí)將處置情況報(bào)告市網(wǎng)信部門。五、數(shù)據(jù)安全應(yīng)急處置（一）應(yīng)急預(yù)案制定1.數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，明確應(yīng)急處置流程、責(zé)任分工、應(yīng)急響應(yīng)措施等內(nèi)容。應(yīng)急預(yù)案應(yīng)當(dāng)定期進(jìn)行演練和修訂，確保其有效性和可操作性。2.數(shù)據(jù)處理者的應(yīng)急預(yù)案應(yīng)當(dāng)報(bào)送至行業(yè)主管部門備案。（二）應(yīng)急處置措施1.發(fā)生數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取以下應(yīng)急處置措施：及時(shí)采取技術(shù)措施，阻斷數(shù)據(jù)安全事件的傳播和擴(kuò)散，防止數(shù)據(jù)進(jìn)一步泄露、篡改或者丟失。對(duì)數(shù)據(jù)安全事件進(jìn)行調(diào)查和分析，查明事件原因、影響范圍和損失情況。及時(shí)向行業(yè)主管部門和相關(guān)部門報(bào)告數(shù)據(jù)安全事件情況，不得瞞報(bào)、謊報(bào)、遲報(bào)。采取必要的措施，通知受影響的用戶，并向用戶說(shuō)明事件情況和采取的措施，保障用戶的合法權(quán)益。2.行業(yè)主管部門和相關(guān)部門接到數(shù)據(jù)安全事件報(bào)告后，應(yīng)當(dāng)按照職責(zé)分工，及時(shí)組織開展應(yīng)急處置工作，指導(dǎo)數(shù)據(jù)處理者進(jìn)行事件調(diào)查和恢復(fù)，協(xié)調(diào)有關(guān)方面提供技術(shù)支持和資源保障。（三）后期處置1.數(shù)據(jù)安全事件應(yīng)急處置結(jié)束后，數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)組織對(duì)事件進(jìn)行總結(jié)評(píng)估，分析事件原因，總結(jié)經(jīng)驗(yàn)教訓(xùn)，提出改進(jìn)措施，并將總結(jié)評(píng)估報(bào)告報(bào)送至行業(yè)主管部門。2.行業(yè)主管部門應(yīng)當(dāng)對(duì)數(shù)據(jù)處理者的總結(jié)評(píng)估報(bào)告進(jìn)行審核，針對(duì)事件暴露的問(wèn)題，提出加強(qiáng)數(shù)據(jù)安全管理的要求和建議，督促數(shù)據(jù)處理者整改落實(shí)。六、監(jiān)督管理（一）監(jiān)督檢查1.市網(wǎng)信部門和其他有關(guān)部門應(yīng)當(dāng)依法對(duì)數(shù)據(jù)處理者的數(shù)據(jù)安全管理情況進(jìn)行監(jiān)督檢查。監(jiān)督檢查可以采取現(xiàn)場(chǎng)檢查、網(wǎng)絡(luò)監(jiān)測(cè)、數(shù)據(jù)抽檢、查閱資料、詢問(wèn)有關(guān)人員等方式進(jìn)行。2.數(shù)據(jù)處理者應(yīng)當(dāng)積極配合有關(guān)部門的監(jiān)督檢查工作，如實(shí)提供有關(guān)數(shù)據(jù)和資料，不得拒絕、阻礙或者隱瞞。（二）安全評(píng)估1.市網(wǎng)信部門應(yīng)當(dāng)會(huì)同有關(guān)部門定期組織開展全市數(shù)據(jù)安全評(píng)估工作，對(duì)數(shù)據(jù)處理者的數(shù)據(jù)安全管理情況進(jìn)行全面評(píng)估。2.數(shù)據(jù)處理者應(yīng)當(dāng)按照要求開展數(shù)據(jù)安全自評(píng)估，并將自評(píng)估報(bào)告報(bào)送至行業(yè)主管部門。行業(yè)主管部門可以根據(jù)需要，對(duì)數(shù)據(jù)處理者的自評(píng)估情況進(jìn)行抽查。（三）信用管理1.建立數(shù)據(jù)安全信用管理制度，將數(shù)據(jù)處理者的數(shù)據(jù)安全管理情況納入信用評(píng)價(jià)體系。對(duì)數(shù)據(jù)安全管理工作落實(shí)到位、成效顯著的數(shù)據(jù)處理者，給予信用激勵(lì)；對(duì)存在數(shù)據(jù)安全違法違規(guī)行為的數(shù)據(jù)處理者，依法進(jìn)行信用懲戒。2.信用評(píng)價(jià)結(jié)果可以作為數(shù)據(jù)處理者參與政府項(xiàng)目招投標(biāo)、享受政策扶持等活動(dòng)的重要參考依據(jù)。七、法律責(zé)任（一）行政處罰數(shù)據(jù)處理者違反本辦法規(guī)定，有下列行為之一的，由有關(guān)部門責(zé)令改正，給予警告；拒不改正的，處[X]萬(wàn)元以上[X]萬(wàn)元以下罰款，并可以對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處[X]萬(wàn)元以上[X]萬(wàn)元以下罰款：1.未按照規(guī)定建立健全數(shù)據(jù)安全管理制度的；2.未采取必要的技術(shù)措施保障數(shù)據(jù)安全的；3.未按照規(guī)定開展數(shù)據(jù)安全自查的；4.未按照規(guī)定報(bào)送數(shù)據(jù)分類分級(jí)清單的；5.未按照規(guī)定配合有關(guān)部門監(jiān)督檢查的；6.未按照規(guī)定開展數(shù)據(jù)安全自評(píng)估的；7.發(fā)生數(shù)據(jù)安全事件未及時(shí)報(bào)告或者瞞報(bào)、謊報(bào)、遲報(bào)的；8.未