《天津市数据安全管理办法(暂行)》

天津市互联网信息办公室关于印发《天津市数据安全管理办法（暂行）》的通知

各区人民政府、各委办局、各有关单位：

为深入贯彻执行《天津市促进大数据发展应用条例》，加强对全市数据安全工作的统筹协调，建立健全数据安全保障体系，促进国家大数据战略实施和“数字天津”建设，天津市互联网信息办公室制定了《天津市数据安全管理办法（暂行）》，经市人民政府同意，现印发给你们，请照此执行。

天津市互联网信息办公室

2019年6月26日

天津市数据安全管理办法（暂行）

第一章总则

第一条为维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，加强数据安全管理，建立健全数据安全保障体系，促进大数据发展应用，根据《中华人民共和国网络安全法》《天津市促进大数据发展应用条例》等法律法规的规定，结合本市实际，制定本办法。

第二条在本市行政区域内的数据运营者利用网络开展数据采集、传输、存储、处理、使用等活动（以下简称“数据活动”），以及有关部门开展数据安全保护和监督管理工作，应当遵守本办法。

涉及国家秘密的数据安全管理工作，按照有关法律法规执行。

第三条数据安全管理应当采取政府主导、分工负责、积极防御、综合防范的方针，坚持安全与发展并重、管理与技术兼顾的原则，鼓励研发数据安全保护技术，保障数据依法有序自由流动。

第四条本市采取主动策略和有效措施，监测、防御、处置来自境内外的数据

安全风险和威胁，保护数据免受泄漏、窃取、篡改、毁损、非法使用等，依法惩治危害数据安全的违法犯罪活动。

第五条市人民政府领导全市数据安全管理工作，区人民政府负责本行政区域内数据安全管理工作。

第六条互联网信息主管部门负责统筹协调本行政区域数据安全管理工作，建设数据安全保障体系，采取关键信息基础设施安全防护措施，统筹协调有关部门开展监督检查、监测预警、信息通报、应急处置等工作。

公安、保密、密码、通信管理等部门按照各自职责，做好数据安全管理的相关工作。

第七条数据运营者应当按照相关法律法规的规定，参照数据安全标准，履行数据安全保护义务，建立数据安全管理责任、考核评价制度和数据安全投诉举报制度，制定数据安全计划，实施数据安全防护技术措施，开展数据安全风险评估，制定数据安全事件应急预案，及时处置和报告数据安全事件，组织数据安全教育培训，接受有关部门监管和社会监督。

第八条市互联网信息主管部门会同标准化管理等部门加强数据安全的国家标准、行业标准和地方标准的宣传、培训，引导、鼓励数据运营者参照数据安全相关标准，提高数据安全防护能力。

鼓励支持教育、科研机构和企业参与数据安全的国家标准、行业标准和地方标准的研究、制定。

第九条市级有关部门和区人民政府应当提供资金和政策支持，促进数据安全产业发展和技术研发创新。

推动高等院校、科研机构、企业开展产学研合作，建设集教学培训、研发孵化于一体的数据安全产业发展模式，实现数据安全人才培养、技术创新、产业发展的深度融合。鼓励高校设置数据安全相关专业，建设数据安全人才与创新基地，多种形式培养、引进和使用数据安全人才。

第十条市级有关部门和区人民政府应当组织数据运营者、教育机构、公众传媒，做好数据安全宣传、教育和培训工作，提升社会整体数据安全意识和防护水

平。

第二章安全保障

第十一条市互联网信息主管部门应当建立本市数据安全信息备案制度，组织个人信息和重要数据的数据运营者对以下信息开展备案工作：

（一）数据运营者主体信息；

（二）数据收集和使用规则；

（三）数据收集的目的、方式、范围、类型等，不包括数据本身；

（四）其他事关本市数据安全保护工作的信息。

第十二条数据运营者应当按照等级保护和密码应用要求，落实安全管理制度和技术措施，确保数据系统的物理环境、通信网络、区域边界、计算环境等方面整体安全，加强对数据活动过程中关键操作的安全审计。

第十三条数据运营者应当建立并执行系统资产安全管理规范，实行系统资产登记制度，形成资产清单。

第十四条数据运营者的法定代表人或者主要负责人是本单位数据安全的第一责任人。

数据运营者应当指定本单位数据安全管理部门，明确数据安全管理岗位和职责。

第十五条数据运营者应当制定数据安全岗位人员安全管理制度，签订安全责任书和保密协议，定期开展安全培训。

第十六条数据运营者应当按照相关法律法规的规定，制定并落实安全管理制度，对数据进行分类分级，采取加密、脱敏、备份、审计等措施，加强对个人信息和重要数据采集、传输、存储、处理和使用的保护。

第十七条数据运营者向境外提供个人信息和重要数据的，应当按照相关法律法规的规定进行安全评估。

第十八条数据运营者应当按照国家密码管理相关规定使用密码技术、管理密

码设施和系统，依规生成、分发、存取、更新、备份和销毁密钥。

第十九条数据运营者应当明确采集数据的目的和用途，确保数据采集的合法性、正当性、必要性。对数据采集的环境、设施和技术采取必要的管控措施，确保数据的完整性、一致性和真实性，保证数据在采集过程中不被泄露。

第二十条数据运营者应当制定并执行数据安全传输策略和规程，根据数据安全等级采取相应的管控措施，确保数据传输的安全性和可靠性。

第二十一条数据运营者应当根据数据安全等级采取相应的管控措施进行存储，对个人信息和重要数据应当采取加密存储、身份鉴别和访问控制等措施，确保数据存储的安全性和保密性。

第二十二条数据运营者应当采取管控措施确保数据使用目的合规，使用过程安全可控、可溯源。

第二十三条数据运营者应当制定数据共享、交换、发布管理制度，采取数据加密、安全通道等管控措施保护数据共享、交换过程中的个人信息和重要数据安全，指定专人审核数据发布的合法合规性，加强对数据共享、交换、发布的监控分析。

第二十四条数据不需要继续使用或继续存储将妨碍数据主体权益的，数据运营者应当按照相关法律法规的规定及时销毁。

第二十五条数据运营者利用服务外包方式开展数据活动的，应当与外包服务提供者签订安全保护协议，采取安全保护措施，督促监督外包服务提供者加强数据安全管理。

第三章信息通报与应急处置

第二十六条市互联网信息主管部门统筹协调公安等部门建立数据安全信息通报制度，开展数据安全信息通报工作。

第二十七条市互联网信息主管部门应当建设数据安全监测通报平台，会同公安等部门开展对监测信息、监督检查信息和上级通报信息的分析研判和风险评估，