2019年8月1日,贵州省第十三届人民代表大会常务委员会第十一次会议表决通过了《贵州省大数据安全保障条例》,于10月1日起正式施行。《条例》坚持总体国家安全观,树立正确网络安全观,全面贯彻落实发展与安全并重、以安全保发展、以发展促安全的要求,坚持问题导向、需求导向,以构建综合保障、综合治理的全方位大数据安全保障体系为目标,以数据全生命周期为主线,以主体责任和监管责任为重点,对大数据安全保障的重点问题和主要方面作出规定,坚持包容审慎原则设置了相应的法律责任等。《条例》是我国大数据安全保护省级层面的首部地方性法规,是贵州省大数据产业发展制度保障顶层设计的又一项新成果。《条例》的颁布实施,为增强全社会大数据安全意识,形成全社会共同参与大数据安全的良好局面,营造贵州氛围；为贵州大数据产业发展和国家大数据产业发展总结经验,探索贵州模式；为国家大数据安全有关法律法规的制定提供有益借鉴与参考,贡献贵州智慧。

一、《条例》出台背景

2016年1月我省率先在全国出台《贵州省大数据发展应用促进条例》,对大数据安全管理作出原则性、概括性、指引性规定。在快速发展中,大数据安全问题也日益显现,引发广泛关注,主要包括:一是大数据安全风险大量存在,二是大数据安全要求与共享开放需求矛盾凸显,三是大数据安全法规尚待完善。我们认为,大数据安全是大数据发展应用的前提和保障,没有大数据安全,大数据发展应用就不可持续,大数据产业就不可能健康发展。

省委书记、省人大常委会主任孙志刚在省十三届人大常委会立法工作会议上的讲话中指出:“要抓紧研究出台我省大数据安全保障方面的地方性法规”。《条例》是列入省委常委会2019年工作要点的十件法规之一,省人大常委会党组高度重视,及时列入年度立法计划,明确由省人大常委会主任会议提案,法工委负责具体工作,牵头成立由省人大有关专委会、省委网信办、省公安厅、省司法厅、省大数据局、省通管局及贵阳市人大常委会组成的起草小组,分部门、行业、专家等开展调研、论证工作,2018、2019贵阳数博会期间召开会议征求与会知名大数据专家意见,今年3月专门赴北京征求公安部网络安全部门意见,等等,历时两年多完成《条例》出台相关工作。及时制定《条例》,是切实履行国家大数据综合试验区开展先行先试、推进“制度创新”职责,是配合大数据战略行动的具体举措。

二、《条例》的几个重要问题

(一)率先以地方性法规方式,落实习近平总书记网络安全综合治理思想

习近平总书记指出:“要提高网络综合治理能力,形成党委领导,政府管理,企业履责,社会监督,网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局”。贵州率先提出了大数据安全保障的“八大体系”架构,并据此开展大数据安全综合治理的全面规划设计。《条例》有效地体现了“八大体系”的保护组织体系、预防保护体系、监管保护体系、应急处置体系、技术防护体系、技术服务体系、人才教育培训体系、工作支撑体系等内容,全面落实习近平总书记网络安全综合治理思想,形成了全社会参与的大数据安全综合治理网格局。

一是明确大数据安全的保障规划要由省人民政府统一编制,县级以上人民政府建立领导协调机制和责任机制,确保大数据安全的全面发展。

二是对参与大数据安全保护进行了明确,把大数据所有人、持有人、管理人、使用人以及其他从事大数据采集、存储、清洗、开发、应用、交易、服务等的单位和个人纳入大数据安全责任人调整范畴,共同参与大数据安全保护工作。

三是明确了责任主体的安全责任,确立了大数据安全按照“谁所有谁负责,谁管理谁负责,谁持有谁负责,谁使用谁负责,谁采集谁负责”的安全原则,从政府、企业事业单位,到具体的建设运行维护人员,确保每一个环节安全责任到人,承担相应的大数据安全责任。

四是明确了鼓励和支持大数据安全及相关领域专业人才的培养、引进。支持高等院校、科研机构开展大数据安全专业学科建设,开设大数据安全相关课程、创新教育培养模式；鼓励开展校企合作办学,实行订单式培养,为大数据安全提供人才支撑；鼓励开展大数据安全知识宣传普及、教育培训,增强全社会大数据安全意识,提高大数据安全风险防范能力；鼓励并支持社会组织,开展行业自律、交流合作和安全技术研究等大数据安全工作,形成大数据安全人人有责,人人参与的综合治网格局。

(二)具体体现了总体国家安全观

总体国家安全观就是要构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。网络的管控权,核心技术的掌握,特别是电力、金融、电气、航空及军工等涉及政治安全、国防安全、经济安全和民生的关键信息基础设施和重要信息系统都是国家安全的重要组成部分。网络安全就是国家安全,就是老百姓的生命财产安全和公共安全。安全是国家发展的底线和基本保障,安全必须靠国家强制力才能实现。

一是安全保护的涉及面广,保护对象涵盖了银行、保险、供电、供水、航空、铁路、医疗、社保以及大数据中心等各个重要信息系统。

二是从风险评估、数据审查、管理审查以及应急处置等方面强化了单位运营者的责任。要求必须从国家安全、公共安全的角度全力保证本单位本部门信息系统的安全。

三是从监管的角度,公安及主管部门依法对属地或者行业的重要信息系统开展检查,各单位必须履行配合协助和支持的义务。

四是从行政强制力的角度明确不落实相关安全的责任。对不履行相关安全义务,不及时报案、开展现场保护以及造成严重后果的,公安机关依法予以处理。

五是开展互联网平台和数据空间等租赁业务的,出租人应当将租赁信息依法报通信管理部门备案,把最容易出现电信诈骗、黄赌毒等违法犯罪,危害公共安全的领域纳入监管范围。

(三)突出了对数据安全的监管保护

大数据安全的核心是数据的安全。条例首次提出,要对数据的全生命周期的各个环节进行监管和保护。

一是对数据采集进一步规范,除要求遵循最小且必要和正当原则,禁止过度采集外,重点对任何单位和个人在公共场所设置数据采集设施、设备采集信息的,报当地公安机关备案。留存的数据要求用于合法目的,不得非法向他人提供、查阅、复制和传播,对国家机关采集数据也明确要求应当依法进行。

二是明确使用数据的合法性。明知是通过攻击、窃取、恶意访问等非法方式获取的数据,不得使用。对人脸、指纹、基因、疾病等生物特征数据也纳入规范范畴,要求在使用中不得危害国家安全、公共安全,不得侵犯个人合法权益。

三是明确通过大数据分析、挖掘、整合等取得的数据或者得出的结论,可能危害国家安全、损害国家利益、社会公共利益的,不得使用、传播,并应当立即停止相关活动,报公安机关依法予以处理。

四是突出公民个人信息保护,明确了禁止过度采集,应当经被采集人同意,在公共场所设置数据采集设施、设备采集信息的,应当设置明显标识并报备。

(四)强调了技术监管保护的重要性

用技术进行监管,用大数据保护大数据是安全保障的核心和发展趋势。

一是明确单位大数据安全责任人在数据全生命周期中,应当根据网络安全等级保护要求,建立大数据安全防护管理制度,采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改。

二是关键信息基础设施运营者以及其他重要大数据安全责任单位,应当建立大数据安全监测预警平台,负责监测本单位大数据安全状况。

三是明确了对网络或数据中心租赁单位的管理职责,要求为他人提供基础网络、互联网数据中心或者系统服务的网络运营者,应当建立安全监测预警平台,加强对服务对象的数据安全管理,督促其建立安全管理制度,落实安全监测保护技术措施。

(五)体现了促进大数据产业安全发展,贯彻大数据产业发展的安全生态理念

《条例》将大数据产业安全发展的支持与保障进行专章规范,既体现了《条例》对大数据产业安全发展的重视,也彰显了省委大数据产业发展的安全生态理念。《条例》明确规定,县级以上人民政府支持大数据安全创新,推进大数据产业安全基地、园区和城市建设,要从政策上予以支持；对大数据安全相关产业、技术、产品发展应用进行引导、扶持、推动；要求县级以上人民政府设立的大数据发展应用等专项资金对大数据安全技术研发及成果转化应用、安全监测预警平台建设等应当给予支持；支持高等院校、科研机构大数据安全学科、专业等建设,开设大数据安全相关课程从产业、人才、技术等各个方面形成安全生态环境,为贵州省大数据产业发展创造良好的环境。

(六)回应了大数据产业发展过程中的核心问题

一是正视大数据产业发展以来,注重产业发展促进而忽视安全保障的问题,在已有大数据产业发展与应用相关政策、法规的基础上,专门对大数据安全保障进行立法,充分体现了贵州坚持大数据产业发展与大数据安全保障协同共进的理念。

二是正视大数据产业发展与应用过程中监管层面存在的“九龙治水”问题,明确了大数据安全监管主体及其具体职责,对网信部门、公安机关、大数据发展管理部门、通信管理部门、保密行政管理部门、密码管理部门及其他部门职责权限作了相应规定,构建了大数据安全保护体系。

三是明确了共享开放与安全保障的关系。为了解决数据提供者基于安全考虑导致的不愿、不能、不敢共享开放的情形,促进数据依法有序流动,推动数据共享开放,明确了单位大数据安全责任人因公共数据共享开放提供数据,基于提供时的合理预见无安全风险的,提供人不承担相关责任。