《 ， 第三章 数据】全生：命周期安全管理【 ： 第十二条 数！据处理者应当对【数据处理《。活动安全负主—体责任,《对，各类数据实行分级】。防护不同级别—数据：同时被处理且难以】分别：。采取保护措施的【应当按照其中级别最！高的要？求实：施，保护确保数据持【。。续处：于有效保护和合法】。利用的状《态   【  （一）》建立数据安全管理】。制，度针对不同级别数据！制，定数据全生命—周期各环节的具体分！级防护要求和—操作规程 【 ，   ？ （二）《根据需要配备数据】安全管理人员统筹】负责数据处理活动的！安，全监督管理协助行业！监，。管部门开展工作 ！     （三】）利用互《联网等信息网络【开展数据处理—。活动时要落实网络安！全，等级保护、关键信息！基础设施安》全保护、密》。码，保护和保密等—制度要求 》。     （四！）应当采取》相应技？术措施和其他必【要措施保障数—据，安，全防：范数：据被篡改、破坏、】泄露或者非法获【取、非法利用等风险！ ，。 ，     （五】）合理确定数据处】理活动的《操作权限严格实【施人员权限管—理 《   ？  （六）》根据应对数据安全】事，件的需要《制定应急预案 并开！展，应，。急，演练  【  ： （七）定期对从】。业人员开展》数据安全知识—和技能？相关教？育培训  】   （八）法【律法：规等规定的》其他措施 【   ？。。  重要数据和核】心数据处《理者还应当 【 ，     （一【）建立覆盖本单位相！关部门的数据安全工！作体系 明》确数据安全负—责人和管理机构建立！常态化沟《通与协作机制—本，单位：。。法，定代表人或主—。要负责人是数—据安：。全第一责任》人，领导班子《。中分管数据安全的班！子成员是直接责任人！其，他成员对职责范【围内的数据安全工】作负领导责》任，履行数据《。安全保护义务接【受监督 《     （】二）明确《数据处理关键岗位】和岗位？职责并？要求关键《岗位人员签署—数据：安全责任书责任【书，内容包括但》不限于数据安—全岗：位职责？。、义：务、处？罚措施、注意事【项等内容应当按照】业务工作需要和最】小授权原则》依据岗位职责—设定数据处理—权限控制重要数据接！触范围人员变动时应！及时调整《权限涉及核心数据】。的相关关键岗位人】员、信息《系统建设和运维【单，位等提？交公安机关》、国：家安：全机：关进行？国家安全背景审查 ！    — （三）建立内部】登记、审批机制对重！要数据和核心数【据的处理活动进行】严格管？理并：留存记录不少于六个！月 ？     （四】）在：数据全生命周期的】各环节应当综—合运：用加密、鉴权、认】证、脱敏、校验、审！计，等技术手段进行【安全保护,并按照】法律法？规和国家有关规定】要求使用商》用密码进行》保护 ？ ？    《（五）涉《重要数？据信息系统建—设，、运维项目未经委】。托方批准不得转包、！分包建设运维人【员未：。经委托方明》确授权不得处理委托！方的重要数据在【提供涉重要》数据信息系统建【设、运维《过程中收《集、：产生的数据不—得用于其他用—。途服务完成后按照与！委托方约定》处理或及时删—。除 《   ？。。。  ：（六）应当加—强人员？和经费保《障 第十三条！ 数据处理者收集！数据应？当遵：循合法、正当的原则！不，得窃取或者以其他】非法方式收集数据】法律法规对收集数据！的目的、范围有【规定的？应当：在法律法规规定的目！的和：范围内收集》 《。   ？ 数据收集过程【中应当根据数—据安全？级别采取相》应的安全措施加强】重要数据和核心数据！。收集生？产人员、设备的【管理 并对收集来】源、时间、类型【、，数量、精度、区【域、频度、流向等进！行记录 —  ：   通过间—接途径获取重要数】据，和，核心：数据的数《据处理者应当与【数，据提供方通过签署相！关协议、承诺书【等方式？明确双方法律责任】 《第，十四条 《 数据处理者—应当依据法律法规规！定的方式和期限存储！数据可以从物理和】环境安全、网—络，和通信安《。全、设？备和：计算安全、应—用和数据《。安，全等方面加强数【据存储安全管控保障！存储数？据的完整性》、保密性、真—实性和可用性—    【 存储？重要数据的要落实第！。三级及？以上网络安全等级保！护，要求存储核》。心数据的要落—实，关键信息基础设施】安全保护要》求或第？。四级：网络安全等级保护】要，求 第十五条！ ， 数：据处理者开展数【据加工使用处理【活动应当采取访问控！制、数据防泄—露、操作审计等管控！措施确保过程安【。全，、合规、可控、【。可溯：源防范数据关联挖】掘、分析《过程中有价值信【息和个？。人隐私泄露的安全】风险明确数》据使用加工过程【中的相关责任保证数！据的正当加工使用】。加工使用过程中【。应当按照数据级别】采取相应的措施保】护数据的安全—。性所使用的》。数据：必须是真实可—靠的数据来》源、收集《过程须经过审查和核！实涉及利用》数据进行自动化决策！的应当保《证决策？的透：明，度和结果《公平：合理加工使用—重要数据和核心数据！。还，应当实施严格—的访问控制建立【数，。据可信可控》、日：志，留存审？计、风险监测—评估、实时监控、应！急处置、数据溯源】等相关技术和管理】。。机制 第十六！条 数据》处理者应当根—据传输的数据类【型、级别和应—用场：。景制定安全策略并】采取保护措施传【。输重要数《据，和核心数《据的应当采取校验】技术、密《码技术、安全传输】通，道，或者安全传输协【议等措施 【。 第十？七条 《。数据处理者应—当按照有《关规定？。安全：有序提供数据—明，确提供的范围—、类别？、，条件：、程序等提供的数】据应当限于》实现数据接收方处】理目：的的最小范围并【。告知数据接收方按】照对应级别进行分类！。分级保护采取—必要的？安全保护措施涉【及重：要数据的与数据接】收方签订数据安全】协议重要数据在【共享、调用过程【。中应：。当加强安全管—控，采取技术措施—。定，期监测数据共享、调！用的情况并配备风险！隔离、认证》鉴，权、威胁告警等安全！保护措施涉及提【供、共享核心数据】的应：当采取必要的—安全保护措施—并上：报自然？资源部自本年度1】。月1日起可能累【计，达到总？量30？%及以上《的应当？经自然资源部—。报国：家数据？安全工作协调机制】组织风？险评估涉及》。。国家机关依》法履职或单位内【部流动的除外 ！ 第十八条 【数，据处理者应当在数】。据公：开前分析研判可能】对，国家安全、公共利】益产生的《影响存在《显著负面影响—或风：险的不得公开—政府机关《部门应当遵守公正】、公平、便民的原则！按照规定及》时、准确地公开政】务数：据依法不予公开【的，除外 第【十九条 》数据处理者应当建】立数据销毁制度【明，确销毁？对象、规则》、流：程和技术等要求对】销毁：。活动进行记录和留】存依据？法律法规规定—、合同约定等请【求销：毁的数据处理—者应当销毁相应数据！ 《  ：  销毁重要—数据和核心数据的】要采：取必要的《安全保护措施并事前！向行业监管部门【报告数？据销毁方案》引起重要数》据和核心《数，据目录？。变化的应当及时【向行业监管部门报备！不得以任何》。理由、？。任何方式对》销毁数据进》行恢复 — 第二十条》 ：数据处理者》在中华人《民共：和国境内收集和产】生，的重要数据应当【在境内存储确需向境！外提供的数据处理者！应当落实国家网信】部门数据出》境安全评估》有关规定 】第二：十一条？ 数据处理者【因重组？等原因需要转移数据！。的应当明确数—据转移方《。案涉及重要数据【的应当采取必要的】安全保护措》施事前向行业—监，管部：门报告？数据转移方案引起】重要数据目录发生变！化的应当及时—向行业监管部门报备！ ？ 第二十二条 数！据处理者委托他人】处理、与他》人共同处理》数据的数据》安全责任《不因委托而改变应】当通过签订》合同：协议等方式》明确委托《方，。与受：托方的数据安—全责任和义务—涉及重要数据—的委托方要把—安全作为《。重，要考：虑因素应当对受托】方的数据安》全保护能力、—资质：进行评估或核实经过！严格的审批》程序明确受托—。方的数据处理权限】和保护责任并监督】受托方履行》数据安全保》护义务？ 《 ，   除法律法规】等另有？规定外未经委—托方同意受托方【不得将数据提供给】第三方 第二【十三：条 ？数据处理《者应当在数》据全生命周期处理】过程中记录》数据处理、权—限，管理、？人，员操作等日志并采用！商，用密码技术保护【。。日志的完整性其中】一般数？据的日志《留存：时间不少于六个月涉！及，重要数据安全—事件处置、溯—源的相关日志—留存时间不》少于一年；涉及向他！人，提供、委《托处理、共同处理】重要：数据的相关日志留】存时：间不：少于三年《涉及核心数》据，安全：事件处置、溯—。源的相关日志留存时！间不少于三年 】