大數(shù)據(jù)安全管理實(shí)施辦法第一章總則第一條目的與依據(jù)為規(guī)范大數(shù)據(jù)安全管理工作，保障數(shù)據(jù)資源的完整性、保密性和可用性，維護(hù)國(guó)家安全、社會(huì)公共利益和公民合法權(quán)益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于中華人民共和國(guó)境內(nèi)數(shù)據(jù)處理者開(kāi)展大數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)的安全管理。國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、重要數(shù)據(jù)處理者及處理個(gè)人信息的數(shù)據(jù)處理者，應(yīng)當(dāng)嚴(yán)格遵守本辦法。第三條基本原則大數(shù)據(jù)安全管理應(yīng)當(dāng)遵循**“預(yù)防為主、綜合治理、權(quán)責(zé)統(tǒng)一、分級(jí)分類(lèi)”**的原則，堅(jiān)持安全與發(fā)展并重，推動(dòng)數(shù)據(jù)安全與信息化發(fā)展相適應(yīng)。第四條職責(zé)分工國(guó)家網(wǎng)信部門(mén)：統(tǒng)籌協(xié)調(diào)全國(guó)大數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院公安、國(guó)家安全、工業(yè)和信息化、財(cái)政、金融監(jiān)管、市場(chǎng)監(jiān)管、教育、衛(wèi)生健康等部門(mén)：在各自職責(zé)范圍內(nèi)負(fù)責(zé)大數(shù)據(jù)安全相關(guān)監(jiān)督管理工作。地方各級(jí)網(wǎng)信部門(mén)及有關(guān)部門(mén)：按照國(guó)家有關(guān)規(guī)定，負(fù)責(zé)本行政區(qū)域內(nèi)大數(shù)據(jù)安全相關(guān)監(jiān)督管理工作。數(shù)據(jù)處理者：承擔(dān)大數(shù)據(jù)安全主體責(zé)任，建立健全安全管理制度，落實(shí)安全保護(hù)措施。第二章數(shù)據(jù)分類(lèi)分級(jí)第五條數(shù)據(jù)分類(lèi)數(shù)據(jù)處理者應(yīng)當(dāng)按照數(shù)據(jù)的來(lái)源、性質(zhì)、用途等，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)管理。常見(jiàn)分類(lèi)包括：個(gè)人信息類(lèi)：包含自然人姓名、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、健康信息、行蹤信息等。企業(yè)經(jīng)營(yíng)類(lèi)：包含商業(yè)秘密、財(cái)務(wù)數(shù)據(jù)、客戶(hù)信息、知識(shí)產(chǎn)權(quán)等。公共服務(wù)類(lèi)：包含政務(wù)數(shù)據(jù)、交通數(shù)據(jù)、氣象數(shù)據(jù)、醫(yī)療數(shù)據(jù)等。其他類(lèi)：無(wú)法歸入上述類(lèi)別的數(shù)據(jù)。第六條數(shù)據(jù)分級(jí)數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)的重要程度、敏感程度以及一旦泄露、篡改、破壞可能造成的危害程度，對(duì)數(shù)據(jù)進(jìn)行分級(jí)。通常分為以下三級(jí)：|級(jí)別|定義|示例||:---|:---|:---||一級(jí)（一般數(shù)據(jù)）|泄露、篡改、破壞后對(duì)國(guó)家安全、公共利益和個(gè)人權(quán)益影響較小的數(shù)據(jù)。|公開(kāi)的新聞資訊、非敏感的公開(kāi)數(shù)據(jù)。||二級(jí)（重要數(shù)據(jù)）|泄露、篡改、破壞后可能對(duì)國(guó)家安全、公共利益和個(gè)人權(quán)益造成較大影響的數(shù)據(jù)。|企業(yè)內(nèi)部經(jīng)營(yíng)數(shù)據(jù)、非核心的政務(wù)數(shù)據(jù)。||三級(jí)（核心數(shù)據(jù)/敏感數(shù)據(jù)）|泄露、篡改、破壞后可能對(duì)國(guó)家安全、公共利益和個(gè)人權(quán)益造成嚴(yán)重影響的數(shù)據(jù)。|國(guó)家秘密、個(gè)人敏感信息（如生物識(shí)別信息、健康記錄）、關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行數(shù)據(jù)。|第七條分級(jí)管理要求數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)級(jí)別，采取相應(yīng)的安全保護(hù)措施：一級(jí)數(shù)據(jù)：采取基本的安全防護(hù)措施，如訪問(wèn)控制、日志記錄。二級(jí)數(shù)據(jù)：在一級(jí)措施基礎(chǔ)上，增加數(shù)據(jù)加密、定期備份、安全審計(jì)等措施。三級(jí)數(shù)據(jù)：在二級(jí)措施基礎(chǔ)上，實(shí)施最嚴(yán)格的保護(hù)，如物理隔離、多因素認(rèn)證、實(shí)時(shí)監(jiān)控、數(shù)據(jù)脫敏等。第三章數(shù)據(jù)收集與存儲(chǔ)第八條數(shù)據(jù)收集原則數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循**“合法、正當(dāng)、必要”**原則：合法性：收集數(shù)據(jù)應(yīng)當(dāng)符合法律法規(guī)規(guī)定，不得非法收集。正當(dāng)性：收集數(shù)據(jù)的目的應(yīng)當(dāng)明確、合理，與數(shù)據(jù)處理者的業(yè)務(wù)活動(dòng)相關(guān)。必要性：收集數(shù)據(jù)的范圍應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集。第九條個(gè)人信息收集特別要求收集個(gè)人信息時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)：向個(gè)人告知收集、使用個(gè)人信息的目的、方式和范圍，并取得個(gè)人的同意。不得通過(guò)欺詐、脅迫等方式收集個(gè)人信息。不得收集與處理目的無(wú)關(guān)的個(gè)人信息。第十條數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)處理者應(yīng)當(dāng)采取以下措施保障數(shù)據(jù)存儲(chǔ)安全：存儲(chǔ)介質(zhì)安全：選擇安全可靠的存儲(chǔ)介質(zhì)，定期檢查存儲(chǔ)設(shè)備的運(yùn)行狀態(tài)。數(shù)據(jù)加密：對(duì)存儲(chǔ)的重要數(shù)據(jù)和敏感數(shù)據(jù)進(jìn)行加密處理，加密算法應(yīng)當(dāng)符合國(guó)家相關(guān)標(biāo)準(zhǔn)。備份與恢復(fù)：建立數(shù)據(jù)備份制度，定期對(duì)重要數(shù)據(jù)進(jìn)行備份，并定期測(cè)試備份數(shù)據(jù)的可恢復(fù)性。存儲(chǔ)期限管理：根據(jù)數(shù)據(jù)的性質(zhì)和處理目的，確定數(shù)據(jù)的存儲(chǔ)期限。存儲(chǔ)期限屆滿(mǎn)后，應(yīng)當(dāng)及時(shí)刪除或者匿名化處理。第四章數(shù)據(jù)使用與加工第十一條數(shù)據(jù)使用原則數(shù)據(jù)處理者使用數(shù)據(jù)應(yīng)當(dāng)遵循以下原則：目的限制：數(shù)據(jù)的使用應(yīng)當(dāng)與收集時(shí)告知的目的一致，不得超出范圍使用。確需超出原目的使用的，應(yīng)當(dāng)重新取得個(gè)人同意（針對(duì)個(gè)人信息）或進(jìn)行合規(guī)評(píng)估。最小夠用：使用數(shù)據(jù)時(shí)，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。責(zé)任追溯：建立數(shù)據(jù)使用日志，記錄數(shù)據(jù)使用的人員、時(shí)間、內(nèi)容和目的，確保數(shù)據(jù)使用可追溯。第十二條數(shù)據(jù)加工安全數(shù)據(jù)加工過(guò)程中，數(shù)據(jù)處理者應(yīng)當(dāng)：確保加工環(huán)境的安全性，防止數(shù)據(jù)在加工過(guò)程中泄露、篡改。對(duì)加工后的數(shù)據(jù)進(jìn)行質(zhì)量檢查，確保數(shù)據(jù)的準(zhǔn)確性和完整性。對(duì)于涉及個(gè)人信息的數(shù)據(jù)加工，應(yīng)當(dāng)采取去標(biāo)識(shí)化或匿名化等技術(shù)措施，降低數(shù)據(jù)的敏感性。第十三條數(shù)據(jù)共享與開(kāi)放數(shù)據(jù)處理者共享或開(kāi)放數(shù)據(jù)時(shí)，應(yīng)當(dāng)：安全評(píng)估：在共享或開(kāi)放前，對(duì)數(shù)據(jù)進(jìn)行安全評(píng)估，評(píng)估數(shù)據(jù)共享或開(kāi)放可能帶來(lái)的安全風(fēng)險(xiǎn)。合規(guī)審查：確保數(shù)據(jù)共享或開(kāi)放符合法律法規(guī)規(guī)定，不侵犯他人合法權(quán)益。簽訂協(xié)議：與數(shù)據(jù)接收方簽訂數(shù)據(jù)安全保護(hù)協(xié)議，明確雙方的安全責(zé)任和義務(wù)。個(gè)人信息保護(hù)：共享或開(kāi)放個(gè)人信息時(shí)，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意（法律法規(guī)另有規(guī)定的除外）。第五章數(shù)據(jù)傳輸與銷(xiāo)毀第十四條數(shù)據(jù)傳輸安全數(shù)據(jù)在傳輸過(guò)程中，數(shù)據(jù)處理者應(yīng)當(dāng)：加密傳輸：對(duì)重要數(shù)據(jù)和敏感數(shù)據(jù)的傳輸過(guò)程進(jìn)行加密，防止數(shù)據(jù)在傳輸過(guò)程中被竊取、篡改。傳輸通道安全：選擇安全可靠的傳輸通道，如虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）、加密傳輸協(xié)議（如HTTPS）等。傳輸日志：記錄數(shù)據(jù)傳輸?shù)臅r(shí)間、地點(diǎn)、傳輸內(nèi)容和接收方等信息，確保傳輸過(guò)程可追溯。第十五條數(shù)據(jù)銷(xiāo)毀數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷(xiāo)毀制度，對(duì)不再需要的數(shù)據(jù)進(jìn)行安全銷(xiāo)毀。銷(xiāo)毀方式包括：物理銷(xiāo)毀：對(duì)于存儲(chǔ)在物理介質(zhì)（如硬盤(pán)、U盤(pán)）上的數(shù)據(jù)，采用消磁、粉碎等方式進(jìn)行徹底銷(xiāo)毀。邏輯銷(xiāo)毀：對(duì)于存儲(chǔ)在電子系統(tǒng)中的數(shù)據(jù)，采用數(shù)據(jù)覆蓋、刪除索引等方式進(jìn)行銷(xiāo)毀，確保數(shù)據(jù)無(wú)法被恢復(fù)。銷(xiāo)毀記錄：記錄數(shù)據(jù)銷(xiāo)毀的時(shí)間、方式、人員和數(shù)據(jù)內(nèi)容等信息，確保銷(xiāo)毀過(guò)程可追溯。第六章安全技術(shù)與管理措施第十六條安全技術(shù)措施數(shù)據(jù)處理者應(yīng)當(dāng)采取以下安全技術(shù)措施：訪問(wèn)控制：根據(jù)數(shù)據(jù)級(jí)別和用戶(hù)角色，設(shè)置不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)最小權(quán)限原則。身份認(rèn)證：采用密碼、生物識(shí)別、數(shù)字證書(shū)等方式，對(duì)訪問(wèn)數(shù)據(jù)的用戶(hù)進(jìn)行身份認(rèn)證。對(duì)于三級(jí)數(shù)據(jù)，應(yīng)當(dāng)采用多因素認(rèn)證。入侵檢測(cè)與防御：部署入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），實(shí)時(shí)監(jiān)測(cè)和阻止網(wǎng)絡(luò)攻擊行為。惡意代碼防范：安裝殺毒軟件、防火墻等，定期更新病毒庫(kù)，防止惡意代碼感染系統(tǒng)。數(shù)據(jù)脫敏：對(duì)需要對(duì)外提供或測(cè)試使用的敏感數(shù)據(jù)，進(jìn)行脫敏處理，如替換、刪除、加密等。安全審計(jì)：對(duì)數(shù)據(jù)的訪問(wèn)、使用、修改、刪除等操作進(jìn)行審計(jì)，記錄審計(jì)日志，并定期進(jìn)行審計(jì)分析。第十七條安全管理措施數(shù)據(jù)處理者應(yīng)當(dāng)建立健全以下安全管理制度：安全責(zé)任制：明確數(shù)據(jù)安全管理的負(fù)責(zé)人和各崗位的安全職責(zé)。人員管理：對(duì)接觸敏感數(shù)據(jù)的人員進(jìn)行背景審查，簽訂保密協(xié)議，并定期進(jìn)行安全培訓(xùn)。安全培訓(xùn)：定期對(duì)全體員工進(jìn)行數(shù)據(jù)安全意識(shí)和技能培訓(xùn)，提高員工的安全防護(hù)能力。應(yīng)急響應(yīng)：制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期進(jìn)行應(yīng)急演練，確保在發(fā)生安全事件時(shí)能夠及時(shí)響應(yīng)、處置。定期評(píng)估：定期對(duì)大數(shù)據(jù)安全狀況進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)和整改安全隱患。第七章應(yīng)急處置與事件報(bào)告第十八條應(yīng)急預(yù)案數(shù)據(jù)處理者應(yīng)當(dāng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，內(nèi)容包括：應(yīng)急組織體系及職責(zé)。事件分級(jí)標(biāo)準(zhǔn)。應(yīng)急響應(yīng)流程（包括事件發(fā)現(xiàn)、報(bào)告、研判、處置、恢復(fù)等環(huán)節(jié)）。應(yīng)急保障措施（包括技術(shù)保障、物資保障、人員保障等）。事后評(píng)估與改進(jìn)機(jī)制。第十九條應(yīng)急演練數(shù)據(jù)處理者應(yīng)當(dāng)定期組織數(shù)據(jù)安全事件應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的有效性，提高應(yīng)急處置能力。演練頻率建議每年至少一次。第二十條事件報(bào)告發(fā)生數(shù)據(jù)安全事件后，數(shù)據(jù)處理者應(yīng)當(dāng)：立即處置：采取技術(shù)措施和其他必要措施，防止危害擴(kuò)大，消除安全隱患。及時(shí)報(bào)告：按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。報(bào)告內(nèi)容應(yīng)當(dāng)包括事件發(fā)生的時(shí)間、地點(diǎn)、原因、性質(zhì)、危害程度、影響范圍、已采取的措施、事件發(fā)展趨勢(shì)和下一步工作計(jì)劃等。通知個(gè)人：如果數(shù)據(jù)安全事件可能對(duì)個(gè)人權(quán)益造成損害，應(yīng)當(dāng)及時(shí)告知受影響的個(gè)人，并提供必要的補(bǔ)救措施。第八章監(jiān)督管理與法律責(zé)任第二十一條監(jiān)督檢查有關(guān)主管部門(mén)應(yīng)當(dāng)依法對(duì)數(shù)據(jù)處理者的大數(shù)據(jù)安全工作進(jìn)行監(jiān)督檢查。監(jiān)督檢查的內(nèi)容包括：數(shù)據(jù)安全管理制度的建立和執(zhí)行情況。數(shù)據(jù)分類(lèi)分級(jí)管理情況。數(shù)據(jù)安全技術(shù)措施的落實(shí)情況。數(shù)據(jù)安全事件應(yīng)急處置情況。其他與數(shù)據(jù)安全相關(guān)的事項(xiàng)。第二十二條法律責(zé)任違反本辦法規(guī)定的，由有關(guān)主管部門(mén)依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)的規(guī)定予以處罰。構(gòu)成犯罪的，依法追究刑事責(zé)任。第九章附則第二十三條術(shù)語(yǔ)解釋數(shù)據(jù)處理者：指在數(shù)據(jù)處理活動(dòng)中自主決定處理目的和處理方式的組織、個(gè)人。大數(shù)據(jù)：指無(wú)法在一定時(shí)間范圍內(nèi)用常規(guī)軟件工具進(jìn)行捕捉、管理和處理的數(shù)據(jù)集合，需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長(zhǎng)率和多樣化的信息資產(chǎn)。去標(biāo)識(shí)化：指通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別特定自然人的過(guò)