2018年8月16日,市人大常委会召开新闻发布会,宣布全国首部大数据安全管理地方性法规《贵阳市大数据安全管理条例》将于10月1日起正式施行。会上,记者就《条例》的出台背景、内容亮点、监管职责和实施细则等热点问题,采访了相关负责人。
记者:《条例》出台的背景是什么?
市人大法制委主任委员陈寿宇:科学规划利用大数据,必须切实保障数据安全,这是《国务院促进大数据发展行动纲要》等的明确政策要求。近年来,国家、省、市相继出台了一系列文件,对大数据安全管理的风险防范、安全支撑、安全保障体系建设、法规制度建设等提出了具体要求,有必要运用立法形式加以转化、固化和规范化。加强数据安全立法规范,既是综合试验区建设的重大任务,也是规范示范试点的需要。贵阳市作为国内首家大数据及网络安全示范试点城市,也有必要开展大数据安全管理的地方立法。
2017年,贵阳市出台《贵阳市政府数据共享开放条例》,在推进政府数据共享开放的同时,也伴随着安全风险,为确保政府数据共享开放乃至整个遥相呼应数据的应用发展在安全的法治环境下运行,及时出台《贵阳市大数据安全管理条例》也十分必要。
此外,在立法权限范围内实现对法律的细化,是设区市人大常委会立法的职责与使命。根据全国人大常委会法工委的意见,《贵阳市大数据安全管理条例》是根据本市实际对《中华人民共和国网络安全法》的落实、细化、完善、补充。
记者:《条例》主要规范了哪些内容,有什么亮点?
市人大财经委主任委员钟文生:《条例》主要从大数据安全管理的适用范围和相关概念以及遵循的原则、政府部门的职责与分工、数据安全责任单位履行数据安全保护的职责义务、监测预警与应急处置、监督检查和法律责任等方面作了明确规定。
其中的亮点在于,现有的涉网法律法规更多侧重于对系统功能、网络载体等方面的保护,在数据安全监管与保护方面比较缺乏明确的法律支撑,在数据的采集、存储、挖掘、传输、交易、应用等环节没有专门的法律法规和相关制度。作为地方性法规,《条例》在这些方面实现了探索性创新,形成可借鉴、可复制的经验。比如,《条例》明确数据安全是指在大数据发展应用中,数据的所有者、管理者、使用者和服务提供者采取安全保护策略和措施,防范数据被攻击、泄漏、窃取、篡改、非法使用的能力、状态和行动。
此外,《条例》对数据的采集、存储、流通、应用等环节的安全管理作了进一步细化,重点在于保障数据的完整性、保密性和可用性以及真实性、可控性,明确了安全管理协同机制、安全诚信档案等相关内容,厘清了政府职能部门对数据安全的管理职责。
记者:《条例》对政府各部门的监督管理职责是怎么明确的,具体是哪些单位呢?
市法制局局长付涛:数据安全涉及各级各部门、各行各业,其专业性、技术性、协同性都很强,既需要有关职能部门依法履职,又需要各级各有关部门协同形成合力,齐抓共管,才能真正确保数据安全。
《条例》第五条规定了网信部门、公安机关、大数据主管部门等的具体监管职责,还原则性规定了保密、国家安全、密码管理、通信管理等部门的职责。其中,市网信部门负责统筹协调全市大数据安全监督管理工作,组织开展全市关键信息基础设施监管等工作;区(市、县)网信部门按照职责负责综合协调本辖区大数据安全监督管理工作;市公安机关负责开展大数据安全的等级保护、日常巡查、执法检查、信息通报、应急处置等监督管理工作;区(市、县)公安机关按照职责负责本辖区大数据安全监督管理工作;市大数据主管部门统筹协调本市大数据安全保障体系建设;区(市、县)大数据主管部门按照职责负责本辖区大数据安全管理的相关工作;保密、国家安全、密码管理、通信管理等主管部门按照各自职责,做好大数据安全管理的相关工作。
同时,《条例》第二十一条、第二十二条、第二十三条、第二十五条、第三十条、第三十一条、第三十三条对公安机关、大数据主管部门等的相关职责进行了细化。
记者:《条例》对数据安全的监测预警与应急处置是怎么规定的呢?
市公安局副局长李乐启:大数据安全风险具有很强的隐蔽性,感知安全态势是做好数据安全最基本、最基础的工作。目前,市政府成立了贵阳市网络与信息安全通报中心,由市公安局代管,并开展日常执法检查和信息通报工作。该中心依托大数据安全监管服务平台开展日常检测、预警、通报工作,主要是对监测信息、监督检查信息和上级通报信息的分析研判和风险评估,发布安全风险预警或者信息通报,并对监测中发现的重保单位和重要信息系统的数据漏洞、安全隐患等下发《网络安全隐患告知书》,实现对重要领域数据安全风险的全天候实时、动态监测。
根据《条例》,市公安机关负责大数据安全监管服务平台的日常维护管理,加强对平台监测信息、监督检查信息和上级通报信息的分析、安全形势研判和风险评估,按照规定发布安全风险预警或者信息通报。区(市、县)公安机关应当及时落实上级公安机关通过大数据安全监管服务平台发布的各项指令。在发生大数据安全事件时,县级以上人民政府应当依法按程序启动应急预案,组织网信、公安、大数据等主管部门针对事件的性质和特点,采取应急措施处置。发生大数据安全事件时,安全责任单位应当依法按程序启动应急预案,采取相应措施防止危害扩大,保存相关记录,告知可能受到影响的用户,按照规定向有关主管部门报告。
记者:《条例》规定“市大数据主管部门统筹协调本市大数据安全保障体系建设。”那么,我市在建设大数据安全保障体系方面做了哪些工作?
市大数据委主任唐振江:作为国家首个大数据综合试验区核心区,贵阳市始终以总体国家安全观为指导,坚持大数据发展与安全并重,统筹规划建立健全大数据安全保障体系。
在强化大数据安全保障顶层设计方面,编制《贵阳市大数据安全保障体系及发展规划》,从政策、标准、规范、产业、技术、人才等方面入手,全面加强全市大数据安全工作部署,初步形成了大数据及网络安全产业体系,率先建设大数据安全产业示范区。目前,已聚集大数据安全企业、机构41家,一批国内领先的大数据及网络安全技术在示范区诞生。同时,启动大数据安全靶场建设,围绕军民融合创新、关键信息基础设施和大数据安全防御体系建设等方面,建设集战略、战役、战术靶场为一体,公共、专业、特种靶场相结合的国家级大数据安全靶场。成立贵州大数据安全工程研究中心,围绕数据安全成熟度模型开展研究和推广应用工作,在政府、企事业单位中选取15家试点单位组织开展第一批DSMM测评工作。
此外,大数据及网络安全防护体系和大数据及网络安全治理体系正逐步完善。目前,监测平台对全市306家党政机关重点网站实现了实时监测,并形成通报预警工作制度,对333家党政机关、重点单位主站和子域名实施24小时全程监控,并对异常事件及时响应。
目前,贵阳市通过建造一座全国大数据及网络安全示范试点城市、建设一个贵阳国家大数据安全靶场、建立大数据及网络安全监管保护中心、技术创新中心和应用示范中心三个中心、打造N个应用平台,构建起了“1+1+3+N”大数据及网络安全保障体系,提升了大数据及网络安全总体水平,为高一格、快一步、深一层推进大数据综合试验区建设,为促进“中国数谷”建设迈上新台阶,提供了有力的安全保障。