各區人民政府、各委辦局、各有關單位：

為深入貫徹執行《天津市促進大數據發展應用條例》，加強對全市數據安全工作的統籌協調，建立健全數據安全保障體系，促進國家大數據戰略實施和“數字天津”建設，天津市互聯網信息辦公室制定了《天津市數據安全管理辦法（暫行）》，經市人民政府同意，現印發給你們，請照此執行。

天津市互聯網信息辦公室

2019年6月26日

天津市數據安全管理辦法（暫行）

第一章 總 則

第一條 為維護國家安全、社會公共利益，保護公民、法人和其他組織在網絡空間的合法權益，加強數據安全管理，建立健全數據安全保障體系，促進大數據發展應用，根據《中華人民共和國網絡安全法》《天津市促進大數據發展應用條例》等法律法規的規定，結合本市實際，制定本辦法。

第二條　在本市行政區域內的數據運營者利用網絡開展數據采集、傳輸、存儲、處理、使用等活動（以下簡稱“數據活動”），以及有關部門開展數據安全保護和監督管理工作，應當遵守本辦法。

涉及國家秘密的數據安全管理工作，按照有關法律法規執行。

第三條 數據安全管理應當采取政府主導、分工負責、積極防御、綜合防范的方針，堅持安全與發展并重、管理與技術兼顧的原則，鼓勵研發數據安全保護技術，保障數據依法有序自由流動。

第四條 本市采取主動策略和有效措施，監測、防御、處置來自境內外的數據安全風險和威脅，保護數據免受泄漏、竊取、篡改、毀損、非法使用等，依法懲治危害數據安全的違法犯罪活動。

第五條　市人民政府領導全市數據安全管理工作，區人民政府負責本行政區域內數據安全管理工作。

第六條　互聯網信息主管部門負責統籌協調本行政區域數據安全管理工作，建設數據安全保障體系，采取關鍵信息基礎設施安全防護措施，統籌協調有關部門開展監督檢查、監測預警、信息通報、應急處置等工作。

公安、保密、密碼、通信管理等部門按照各自職責，做好數據安全管理的相關工作。

第七條　數據運營者應當按照相關法律法規的規定，參照數據安全標準，履行數據安全保護義務，建立數據安全管理責任、考核評價制度和數據安全投訴舉報制度，制定數據安全計劃，實施數據安全防護技術措施，開展數據安全風險評估，制定數據安全事件應急預案，及時處置和報告數據安全事件，組織數據安全教育培訓，接受有關部門監管和社會監督。

第八條　市互聯網信息主管部門會同標準化管理等部門加強數據安全的國家標準、行業標準和地方標準的宣傳、培訓，引導、鼓勵數據運營者參照數據安全相關標準，提高數據安全防護能力。

鼓勵支持教育、科研機構和企業參與數據安全的國家標準、行業標準和地方標準的研究、制定。

第九條　市級有關部門和區人民政府應當提供資金和政策支持，促進數據安全產業發展和技術研發創新。

推動高等院校、科研機構、企業開展產學研合作，建設集教學培訓、研發孵化于一體的數據安全產業發展模式，實現數據安全人才培養、技術創新、產業發展的深度融合。鼓勵高校設置數據安全相關專業，建設數據安全人才與創新基地，多種形式培養、引進和使用數據安全人才。

第十條　市級有關部門和區人民政府應當組織數據運營者、教育機構、公眾傳媒，做好數據安全宣傳、教育和培訓工作，提升社會整體數據安全意識和防護水平。

第二章 安全保障

第十一條　市互聯網信息主管部門應當建立本市數據安全信息備案制度，組織個人信息和重要數據的數據運營者對以下信息開展備案工作：

（一）數據運營者主體信息；

（二）數據收集和使用規則；

（三）數據收集的目的、方式、范圍、類型等，不包括數據本身；

（四）其他事關本市數據安全保護工作的信息。

第十二條　數據運營者應當按照等級保護和密碼應用要求，落實安全管理制度和技術措施，確保數據系統的物理環境、通信網絡、區域邊界、計算環境等方面整體安全，加強對數據活動過程中關鍵操作的安全審計。

第十三條　數據運營者應當建立并執行系統資產安全管理規范，實行系統資產登記制度，形成資產清單。

第十四條　數據運營者的法定代表人或者主要負責人是本單位數據安全的第一責任人。

數據運營者應當指定本單位數據安全管理部門，明確數據安全管理崗位和職責。

第十五條　數據運營者應當制定數據安全崗位人員安全管理制度，簽訂安全責任書和保密協議，定期開展安全培訓。

第十六條　數據運營者應當按照相關法律法規的規定，制定并落實安全管理制度，對數據進行分類分級，采取加密、脫敏、備份、審計等措施，加強對個人信息和重要數據采集、傳輸、存儲、處理和使用的保護。

第十七條　數據運營者向境外提供個人信息和重要數據的，應當按照相關法律法規的規定進行安全評估。

第十八條　數據運營者應當按照國家密碼管理相關規定使用密碼技術、管理密碼設施和系統，依規生成、分發、存取、更新、備份和銷毀密鑰。

第十九條　數據運營者應當明確采集數據的目的和用途，確保數據采集的合法性、正當性、必要性。對數據采集的環境、設施和技術采取必要的管控措施，確保數據的完整性、一致性和真實性，保證數據在采集過程中不被泄露。

第二十條　數據運營者應當制定并執行數據安全傳輸策略和規程，根據數據安全等級采取相應的管控措施，確保數據傳輸的安全性和可靠性。

第二十一條　數據運營者應當根據數據安全等級采取相應的管控措施進行存儲，對個人信息和重要數據應當采取加密存儲、身份鑒別和訪問控制等措施，確保數據存儲的安全性和保密性。

第二十二條　數據運營者應當采取管控措施確保數據使用目的合規，使用過程安全可控、可溯源。

第二十三條　數據運營者應當制定數據共享、交換、發布管理制度，采取數據加密、安全通道等管控措施保護數據共享、交換過程中的個人信息和重要數據安全，指定專人審核數據發布的合法合規性，加強對數據共享、交換、發布的監控分析。

第二十四條　數據不需要繼續使用或繼續存儲將妨礙數據主體權益的，數據運營者應當按照相關法律法規的規定及時銷毀。

第二十五條　數據運營者利用服務外包方式開展數據活動的，應當與外包服務提供者簽訂安全保護協議，采取安全保護措施，督促監督外包服務提供者加強數據安全管理。

第三章 信息通報與應急處置

第二十六條　市互聯網信息主管部門統籌協調公安等部門建立數據安全信息通報制度，開展數據安全信息通報工作。

第二十七條　市互聯網信息主管部門應當建設數據安全監測通報平臺，會同公安等部門開展對監測信息、監督檢查信息和上級通報信息的分析研判和風險評估，按照規定發布安全風險預警或信息通報。

區互聯網信息主管部門應當會同同級公安等部門落實上級部門通過數據安全監測通報平臺發布的各項指令。

第二十八條　市級有關部門和區人民政府應當建立數據安全應急工作機制，制定數據安全事件應急預案，定期開展應急演練，并對演練情況進行評估，針對演練中發現的問題補充修訂應急預案。

第二十九條　發生數據安全事件時，市和區互聯網信息主管部門應當按程序迅速啟動應急預案，統籌協調公安、通信管理等有關部門確定安全事件響應級別，采取應急措施妥善處置。

第三十條　數據運營者應當落實數據安全信息通報制度，制定數據安全事件應急預案，定期開展應急演練，建立和保持與有關各方的聯絡、協作。

數據安全事件發生后或發生數據安全事件風險明顯加大時，數據運營者應當立即啟動應急預案，采取相應措施防止危害擴大，保存相關記錄，告知可能受到影響的用戶，按照規定及時向互聯網信息主管部門和公安等部門報告。

第四章 監督檢查

第三十一條　市和區互聯網信息主管部門應當會同公安、密碼等部門建立健全數據安全監督檢查工作機制，明確檢查工作內容、目標、方式和標準。

第三十二條　互聯網信息主管部門應當協調指導公安、密碼等部門檢查數據運營者履行數據安全責任、落實安全管理制度和保護技術措施等方面的情況。在監督檢查中，發現數據運營者存在安全問題和隱患的，應當提出改進要求并督促整改。

數據運營者應當根據有關部門的要求進行整改，并反饋整改情況。

第五章 責任追究

第三十三條　數據運營者不履行本辦法第十一條、第十二條、第十三條、第十四條、第十五條、第十六條、第十七條、第十八條、第三十條、第三十二條規定的數據安全保護義務的，由互聯網信息主管部門、公安和密碼等部門責令限期改正；逾期未改正或造成危害數據安全等嚴重后果的，對直接負責的主管人員和其他直接責任人員按照《中華人民共和國網絡安全法》等法律法規的規定，給予相應處罰；構成犯罪的，依法追究刑事責任。

第三十四條　國家機關及其工作人員在數據安全管理工作中濫用職權、玩忽職守、徇私舞弊的，對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

第六章　附　則

第三十五條　本辦法下列用語的含義：

（一）數據，是指通過網絡采集、傳輸、存儲、處理和產生的各種電子數據。

（二）數據運營者，是指所有、管理、使用數據和提供數據服務的法人和其他組織。

（三）數據安全，是指通過采取必要措施，防范對網絡（系統、數據）的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障數據的完整性、保密性、可用性的能力。

（四）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

（五）重要數據，是指不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據，包括但不限于公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的各類機構在開展業務活動中采集和產生的，不涉及國家秘密，但一旦泄露、篡改或濫用將會對國家安全、經濟社會發展和公共利益造成不利影響的數據。

第三十六條　本辦法自2019年8月1日起施行，有效期2年。

責任編輯：韓希宇