第三章 数据全生命周期安全管理
第十二条 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据安全管理制度,针对不同级别数据,制定数据全生命周期各环节的具体分级防护要求和操作规程。
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作。
(三)利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。
(四)应当采取相应技术措施和其他必要措施保障数据安全,防范数据被篡改、破坏、泄露或者非法获取、非法利用等风险。
(五)合理确定数据处理活动的操作权限,严格实施人员权限管理。
(六)根据应对数据安全事件的需要,制定应急预案, 并开展应急演练。
(七)定期对从业人员开展数据安全知识和技能相关教育培训。
(八)法律法规等规定的其他措施。
重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系, 明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或主要负责人是数据安全第一责任人,领导班子中分管数据安全的班子成员是直接责任人,其他成员对职责范围内的数据安全工作负领导责任,履行数据安全保护义务,接受监督。
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。应当按照业务工作需要和最小授权原则,依据岗位职责设定数据处理权限,控制重要数据接触范围,人员变动时应及时调整权限。涉及核心数据的相关关键岗位人员、信息系统建设和运维单位等,提交公安机关、国家安全机关进行国家安全背景审查。
(三)建立内部登记、审批机制,对重要数据和核心数据的处理活动进行严格管理并留存记录不少于六个月。
(四)在数据全生命周期的各环节,应当综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护。
(五)涉重要数据信息系统建设、运维项目未经委托方批准不得转包、分包。建设运维人员未经委托方明确授权,不得处理委托方的重要数据。在提供涉重要数据信息系统建设、运维过程中收集、产生的数据,不得用于其他用途,服务完成后按照与委托方约定处理或及时删除。
(六)应当加强人员和经费保障。
第十三条 数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。法律法规对收集数据的目的、范围有规定的,应当在法律法规规定的目的和范围内收集。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集生产人员、设备的管理, 并对收集来源、时间、类型、数量、精度、区域、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十四条 数据处理者应当依据法律法规规定的方式和期限存储数据,可以从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面,加强数据存储安全管控,保障存储数据的完整性、保密性、真实性和可用性。
存储重要数据的,要落实第三级及以上网络安全等级保护要求。存储核心数据的,要落实关键信息基础设施安全保护要求或第四级网络安全等级保护要求。
第十五条 数据处理者开展数据加工使用处理活动,应当采取访问控制、数据防泄露、操作审计等管控措施,确保过程安全、合规、可控、可溯源,防范数据关联挖掘、分析过程中有价值信息和个人隐私泄露的安全风险,明确数据使用加工过程中的相关责任,保证数据的正当加工使用。加工使用过程中,应当按照数据级别采取相应的措施保护数据的安全性,所使用的数据必须是真实可靠的,数据来源、收集过程须经过审查和核实。涉及利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。加工使用重要数据和核心数据,还应当实施严格的访问控制,建立数据可信可控、日志留存审计、风险监测评估、实时监控、应急处置、数据溯源等相关技术和管理机制。
第十六条 数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十七条 数据处理者应当按照有关规定安全有序提供数据,明确提供的范围、类别、条件、程序等,提供的数据应当限于实现数据接收方处理目的的最小范围,并告知数据接收方按照对应级别进行分类分级保护,采取必要的安全保护措施,涉及重要数据的,与数据接收方签订数据安全协议。重要数据在共享、调用过程中应当加强安全管控,采取技术措施定期监测数据共享、调用的情况,并配备风险隔离、认证鉴权、威胁告警等安全保护措施。涉及提供、共享核心数据的,应当采取必要的安全保护措施,并上报自然资源部,自本年度1月1日起可能累计达到总量30%及以上的,应当经自然资源部报国家数据安全工作协调机制组织风险评估。涉及国家机关依法履职或单位内部流动的除外。
第十八条 数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在显著负面影响或风险的,不得公开。政府机关部门应当遵守公正、公平、便民的原则,按照规定及时、准确地公开政务数据,依法不予公开的除外。
第十九条 数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。依据法律法规规定、合同约定等请求销毁的,数据处理者应当销毁相应数据。
销毁重要数据和核心数据的,要采取必要的安全保护措施,并事前向行业监管部门报告数据销毁方案。引起重要数据和核心数据目录变化的,应当及时向行业监管部门报备,不得以任何理由、任何方式对销毁数据进行恢复。
第二十条 数据处理者在中华人民共和国境内收集和产生的重要数据,应当在境内存储,确需向境外提供的,数据处理者应当落实国家网信部门数据出境安全评估有关规定。
第二十一条 数据处理者因重组等原因需要转移数据的,应当明确数据转移方案。涉及重要数据的,应当采取必要的安全保护措施,事前向行业监管部门报告数据转移方案。引起重要数据目录发生变化的,应当及时向行业监管部门报备。
第二十二条 数据处理者委托他人处理、与他人共同处理数据的,数据安全责任不因委托而改变,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。涉及重要数据的,委托方要把安全作为重要考虑因素,应当对受托方的数据安全保护能力、资质进行评估或核实,经过严格的审批程序,明确受托方的数据处理权限和保护责任,并监督受托方履行数据安全保护义务。
除法律法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。
第二十三条 数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。其中,一般数据的日志留存时间不少于六个月,涉及重要数据安全事件处置、溯源的,相关日志留存时间不少于一年;涉及向他人提供、委托处理、共同处理重要数据的,相关日志留存时间不少于三年。涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年。