大数据管理办法

大数据管理办法第一章总则第一条目的与依据为规范大数据的收集、存储、使用、共享、销毁等全生命周期管理，保障数据安全，促进数据要素合理流动与高效利用，推动数字经济健康发展，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，制定本办法。第二条适用范围本办法适用于中华人民共和国境内的数据处理者在开展大数据相关活动时的管理。本办法所称大数据，是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合，包括公共数据、企业数据和个人数据。本办法所称数据处理者，是指在数据处理活动中自主决定处理目的、处理方式的组织或个人。第三条基本原则合法合规原则：数据处理活动必须遵守法律法规，尊重社会公德和伦理，不得损害国家利益、公共利益和他人合法权益。安全可控原则：数据处理者应建立健全数据安全管理制度，采取必要技术措施，确保数据全生命周期的安全。权责统一原则：数据处理者对其数据处理活动的合法性、安全性负责，并承担相应的法律责任。开放共享原则：鼓励数据依法有序开放、共享、交易，充分释放数据价值，促进数据要素市场发展。权益保障原则：依法保护个人信息权益、数据主体合法权益以及数据处理者的合法权益。第二章数据分类分级管理第四条数据分类数据处理者应根据数据的来源、性质、用途、敏感程度等因素，对数据进行科学分类。常见的数据分类包括：公共数据：国家机关、法律法规授权的具有管理公共事务职能的组织（以下统称公共管理和服务机构）在依法履行职责、提供公共服务过程中产生、收集、处理的各类数据。企业数据：各类企业在生产经营活动中产生、收集、处理的各类数据。个人数据：与已识别或可识别的自然人有关的各种信息。重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据，是数据安全的重中之重。第五条数据分级数据处理者应根据数据的重要性、敏感程度、影响范围等因素，对数据进行分级保护。通常分为以下级别：一般数据：不直接涉及个人隐私、商业秘密或国家安全，泄露后影响较小的数据。重要数据：如前所述，涉及国家安全、公共利益的数据。核心数据：如前所述，是数据安全的最高级别。数据分级标准由国家数据安全工作协调机制统筹协调有关部门制定。各行业、各领域可根据自身特点制定具体的分级实施细则。第六条分类分级实施要求数据处理者应建立数据分类分级管理制度，明确责任部门和人员，定期对数据进行梳理、分类、分级，并根据业务变化和安全风险评估结果动态调整。对于重要数据和核心数据，应采取更加严格的管理和保护措施。第三章数据收集与存储第七条数据收集原则数据收集应遵循以下原则：合法性：数据收集必须有合法依据，符合法律法规规定。正当性：数据收集的目的应当明确、合理，与数据处理者的业务活动相关。必要性：数据收集应限于实现处理目的的最小范围，不得过度收集数据。知情同意：收集个人数据时，应当向个人告知数据处理的目的、方式、范围等事项，并取得个人的同意，法律、行政法规另有规定的除外。第八条数据收集规范明确告知：数据处理者应通过隐私政策、用户协议等形式，以清晰、易懂的语言向数据主体告知数据收集的相关信息。自愿选择：数据主体有权自主决定是否提供数据，数据处理者不得因数据主体拒绝提供非必要数据而拒绝提供核心服务或差别对待。来源合法：数据处理者应确保所收集数据的来源合法，不得通过窃取、欺诈、胁迫等非法手段获取数据。质量控制：数据处理者应采取措施确保所收集数据的准确性、完整性和时效性。第九条数据存储要求存储期限：数据存储期限应与数据处理目的相适应，不得超出必要的期限。数据处理目的实现后，应当及时删除或匿名化处理数据。存储安全：数据处理者应采取加密、访问控制、备份恢复等技术措施，保障数据存储安全，防止数据泄露、篡改、丢失。境内存储：重要数据和核心数据原则上应当在境内存储。确需向境外提供的，应当按照国家有关规定进行安全评估。跨境存储：个人数据出境应当符合《个人信息保护法》等相关法律法规的规定。第四章数据使用与加工第十条数据使用原则数据使用应遵循以下原则：目的限制：数据使用应限于实现数据收集时所告知的目的，或与该目的直接相关的目的，确需超出原目的使用的，应当重新取得数据主体的同意或符合法律、行政法规规定的其他情形。最小够用：数据使用应限于实现处理目的所必需的最小范围。安全保障：在数据使用过程中，应采取必要措施保障数据安全。第十一条数据加工规范数据加工是指对原始数据进行清洗、转换、分析、挖掘等处理，以形成新的数据产品或服务。数据加工应遵守以下规范：加工目的合法：数据加工的目的应当合法、正当。保护个人权益：加工个人数据时，应采取必要措施保护个人隐私和个人信息权益，不得通过加工侵害个人合法权益。标注来源：利用他人数据进行加工形成的数据产品或服务，应当注明数据来源（法律法规另有规定或数据来源不可追溯的除外）。质量保证：数据加工过程应确保数据的准确性和可靠性。第十二条数据使用限制禁止以下数据使用行为：利用数据从事危害国家安全、荣誉和利益的活动。利用数据损害公共利益、扰乱社会经济秩序。利用数据侵害他人名誉、隐私、知识产权和其他合法权益。未经授权或超出授权范围使用数据。其他违反法律法规和本办法规定的数据使用行为。第五章数据共享与开放第十三条数据共享原则数据共享应遵循以下原则：依法依规：数据共享活动必须符合法律法规和本办法的规定。安全可控：数据共享应确保数据安全，防范数据泄露风险。互利共赢：数据共享应有利于提升数据价值，实现各方共赢。明确权责：数据共享各方应明确各自的权利和义务。第十四条公共数据开放与共享公共数据开放：公共管理和服务机构应按照“应开放尽开放”的原则，推动公共数据向社会开放。涉及国家安全、商业秘密、个人隐私的数据不得开放。公共数据共享：公共管理和服务机构之间应建立公共数据共享机制，为履行法定职责提供数据支撑。开放平台：国家推动建立统一的公共数据开放平台，促进公共数据有序开放。第十五条企业数据共享企业之间的数据共享应遵循平等自愿、协商一致的原则，签订数据共享协议，明确数据共享的范围、用途、安全责任等事项。鼓励企业通过数据交易所等合法平台进行数据共享和交易。第十六条数据共享安全措施数据共享前，数据提供方和接收方应共同评估数据共享可能带来的安全风险，并采取必要的安全措施。数据接收方应按照约定的用途使用共享数据，并承担相应的安全责任。第六章数据交易与流通第十七条数据交易原则数据交易应遵循以下原则：合法合规：数据交易活动必须符合法律法规和本办法的规定。公平公正：数据交易应遵循市场规则，保障交易各方的合法权益。安全有序：数据交易应确保数据安全，维护数据要素市场秩序。第十八条数据交易主体数据交易主体包括数据卖方、数据买方和数据交易服务机构。数据卖方：拥有数据所有权或合法使用权，依法将数据进行交易的组织或个人。数据买方：通过交易获取数据使用权或所有权的组织或个人。数据交易服务机构：为数据交易提供场所、设施、信息、撮合等服务的中介机构。第十九条数据交易规范交易标的合法：交易的数据应当来源合法、权属清晰，不存在知识产权、隐私权等权利瑕疵。交易合同：数据交易各方应签订书面合同，明确数据的权属、用途、价格、交付方式、违约责任等内容。禁止交易情形：禁止交易危害国家安全、公共利益或侵犯他人合法权益的数据。第二十条数据交易服务机构管理数据交易服务机构应依法设立，具备相应的技术条件和安全保障能力，建立健全交易规则和内部管理制度，对数据交易活动进行审核和监督，维护交易秩序。第七章数据安全与保护第二十一条数据安全责任制数据处理者是数据安全的责任主体，其主要负责人是数据安全第一责任人。数据处理者应建立健全数据安全管理制度，明确数据安全管理部门和岗位职责，保障数据安全投入。第二十二条数据安全技术措施数据处理者应根据数据的分类分级情况，采取以下相应的技术措施：身份认证与访问控制：对数据访问进行严格的身份认证和权限管理，确保“最小权限”原则。数据加密：对敏感数据、重要数据和核心数据进行加密存储和传输。数据备份与恢复：建立完善的数据备份和恢复机制，定期进行数据备份，并能在数据遭受破坏时快速恢复。安全审计：对数据处理活动进行全面审计，记录数据操作日志，以便追溯和调查。入侵检测与防御：部署必要的安全设备，防范黑客攻击、病毒感染等安全威胁。第二十三条数据安全风险评估数据处理者应定期开展数据安全风险评估，识别数据安全风险点，评估风险等级，并采取相应的风险处置措施。对于重要数据和核心数据，应至少每年进行一次安全评估。第二十四条数据安全事件应急处置应急预案：数据处理者应制定数据安全事件应急预案，明确应急处置流程和职责分工。事件报告：发生数据安全事件后，数据处理者应立即启动应急预案，采取补救措施，并按照规定及时向有关主管部门报告。通知义务：因数据安全事件可能造成个人权益损害的，数据处理者应当及时告知受影响的个人。第二十五条个人信息保护特别规定处理个人数据时，除遵守本章规定外，还应严格遵守《个人信息保护法》的相关要求，包括但不限于：保障个人的知情权、决定权、访问权、更正权、删除权等权利。采取更加严格的安全保护措施。个人数据跨境提供的特殊要求。第八章监督管理第二十六条监管职责分工国家数据安全工作协调机制统筹协调全国数据安全和相关监管工作。各行业主管部门负责本行业、本领域的数据安全监管工作。网信部门、公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。第二十七条监督检查措施有关主管部门在履行数据安全监管职责时，可以采取以下措施：进入数据处理者的经营场所进行现场检查。询问有关人员，了解数据处理活动的有关情况。查阅、复制与数据处理活动有关的合同、记录、账簿以及其他有关资料。检查数据安全管理制度、技术措施的落实情况。要求数据处理者对有关问题作出说明。第二十八条社会监督鼓励社会公众、新闻媒体对数据处理活动进行监督。任何组织和个人有权对违反本办法的行为进行投诉、举报。有关主管部门接到投诉、举报后，应当及时处理。第九章法律责任第二十九条行政责任违反本办法规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款：未建立数据分类分级管理制度的。未落实数据安全技术措施的。未按规定开展数据安全风险评估的。发生数据安全事件后未及时报告或未采取有效补救措施的。非法收集、使用、加工、传输他人个人数据的。未经同意向境外提供重要数据的。其他违反本办法规定，情节严重的行为。第三十条民事责任数据处理者违反本办法规定，侵害他人合法权益的，应当依法承担民事责任，包括停止侵害、消除影响、赔偿损失等。第三十一条刑事责任违反本办法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。第十章附则第三十二条术语解释本办法下列用语的含义：数据处理：包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据安全：是指通过采取必要