立法先行:给数据安全上把"法律锁"

文章来源:人大论坛杂志社 发布时间:2019年09月05日 16:27:25 打印本页 关闭 【字体:

  大数据安全是大数据发展应用的前提和保障,作为首个国家级大数据综合实验区,大数据成为贵州推动经济社会发展的强劲动力。然而,在大数据产业快速发展的同时,大数据安全问题日益显现。

  8月1日,贵州省十三届人大常委会第十一次会议表决通过《贵州省大数据安全保障条例》(以下简称《条例》),通过立法为全省大数据发展安装一把“安全锁”,为保障大数据安全和个人信息安全、明确大数据安全责任、促进大数据发展应用提供了坚实的法律支撑。

 

  大数据安全保障责任到人

  《条例》对大数据安全保障作出明确规定,是指采取预防、管理、处置等策略和措施,防范大数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故,保障大数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

  大数据安全保障实行安全责任制,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。

  《条例》明确:大数据安全责任人是指在大数据全生命周期过程中对大数据安全产生或者可能产生影响的单位和个人,包括大数据所有人、持有人、管理人、使用人以及其他从事大数据采集、存储、清洗、开发、应用、交易、服务等的单位和个人。

  大数据安全责任人是单位的,应当履行下列职责:依法成立安全管理机构或者明确安全管理负责人,定期对从业人员进行安全教育、技术培训和技能考核;制定安全管理制度、操作规程、应急预案,明确不同岗位安全管理责任;加强数据采集、使用、处理权限管理,对批量导出、复制、脱敏、销毁数据等实行审查批准;加强网络运行、访问监测管理,定期开展数据安全检查;采取数据分类、备份和加密等安全措施;按照规定期限留存相关的网络日志;发生数据安全事件时,立即采取措施,保存证据,并及时向行业主管部门和公安机关报告;发现违法发布或者传输信息的,立即停止发布、传输或者采取阻断、拦截等措施,保留有关记录,并及时向行业主管部门和公安机关报告。

 

  数据信息不再网上“裸奔”

  长期以来,用户下载或使用手机APP时,企业常常在不必要的情况下过度获取用户隐私权限和采集个人信息,要求授权获取通讯录、短消息、摄像头、麦克风、地理位置等,用户一旦拒绝,就无法使用APP。意味着用户在获取互联网工具使用权时,必须无条件地服从企业所提出的个人信息让渡条件,明显带有“霸王条款”性质。

  “采集数据应当具有合法目的和用途,遵循最小且必要和正当原则,禁止过度采集。”针对数据信息采集,《条例》明确规定,要科学确定采集对象、范围、内容、方式,依法进行采集。同时,采集数据不得侵犯国家秘密、商业秘密和个人信息,不得损害被采集人和他人合法权益。

 

省十三届人大代表们在国家大数据(贵州)综合试验区展示中心调研。

  《条例》还明确,除法律、法规另有规定外,任何单位和个人在公共场所设置数据采集设施、设备采集信息的,应当设置明显标识,并报当地公安机关备案。留存的数据应当用于合法目的,不得非法向他人提供、查阅、复制和传播。

  除了数据采集,数据被滥用导致用户被频繁骚扰也是社会的一大“痛点”。用手机搜索某个关键词,相关的商品推荐就出现在购物网站的页面上;打开外卖APP,系统自动推荐曾经浏览过美食页面;打开旅游APP,系统自动推荐酒店机票……一些网络软件运营商,利用采集到的海量信息进行大数据分析,熟悉用户的网页浏览记录和购物情况等,用户在网上就成了“透明人”。

  对此,《条例》也作出明确的规定,“使用数据不得用于非法目的和用途。明知是通过攻击、窃取、恶意访问等非法方式获取的数据,不得使用”“使用数据开展广告宣传、营销推广等活动,不得干扰被采集人正常生产生活,不得损害被采集人及他人合法权益”。违反规定,由有关部门或者县级以上公安机关责令改正,给予警告,没收违法所得,可处以违法所得1倍以上5倍以下罚款;没有违法所得的,处以5万元以上50万元以下罚款。。

  《条例》还对数据存储进行规定:存储数据应当根据数据类型、规模、用途、安全等级、重要程度等因素,选择相应安全性能和防护级别的系统、介质、设施设备,采取技术和管理措施,保障存储系统和数据安全。

  对于数据传输处理,《条例》规定:传输数据应当合理选择传输渠道,采取必要的安全措施,防止数据被窃取、泄露、篡改。处理数据应当保护原始数据,不得随意更改、伪造,不得通过恶意处理导致数据毁灭性更改和永久性丢失。

 

  保障数据安全有力度

  大数据安全监督管理涉及多个部门,明确各部门职责权限,有利于避免相互推诿扯皮,提高监管效率和水平。

  根据《条例》,省人民政府应当根据大数据发展应用总体规划,编制大数据安全保障规划;建立统一的大数据安全监管平台,负责大数据安全信息收集、分析评估和通报,监测大数据安全状况,发布大数据安全监测预警信息,统筹协调大数据安全事件处置。

  关键信息基础设施运营者、公共数据平台、企业数据中心等集中式大数据存储中心以及其他重要大数据安全责任单位,应当建立大数据安全监测预警平台,负责监测本单位大数据安全状况,发布相关信息。

  建立大数据安全情况报告制度。关键信息基础设施经营者、公共数据平台、企业数据中心等集中式大数据存储中心以及其他重要单位大数据安全责任人,应当定期向行业主管部门和县级以上公安机关报告大数据安全情况。

  县级以上社会信用管理部门应当建立大数据安全诚信档案,记录大数据安全责任人数据采集、管理、使用等信用信息,并按照有关规定纳入社会信用体系。

  同时,《条例》对大数据人才建设提出了要求,明确县级以上人民政府应当加强大数据安全监督管理人才队伍建设,鼓励和支持大数据安全及相关领域专业人才的培养、引进。支持高等院校、科研机构大数据安全学科、专业等建设,开设大数据安全相关课程;创新教育培养模式,开展校企合作办学,实行订单式培养,为大数据安全提供人才支撑。(人大论坛全媒体记者  吕跃)

相关信息

X