《智慧文旅数据合规管理细则（试行）》

《智慧文旅数据合规管理细则（试行）》第一章总则第一条为规范智慧文旅领域数据处理活动，保障数据安全，促进数据依法有序自由流动，保护个人、组织合法权益，维护国家主权、安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规及相关国家标准，结合智慧文旅行业实际特点，制定本细则。第二条本细则适用于中华人民共和国境内，包括但不限于各级文化和旅游行政部门、公共文化服务机构、A级旅游景区、星级旅游饭店、旅行社、在线旅游服务平台（OTA）、智慧文旅解决方案提供商等，在开展智慧文旅建设、运营、管理及服务过程中开展的数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动。第三条智慧文旅数据合规管理应当坚持安全与发展并重、分类分级管理、全生命周期管控、权责统一以及合规最小化的原则。确保数据处理活动合法、正当、必要，并采取必要措施保障数据安全，防止数据泄露、篡改、丢失、滥用或非法访问。第四条智慧文旅数据处理者（以下简称“数据处理者”）应当建立健全数据合规管理制度和组织架构，明确数据安全负责人和管理机构，落实数据安全保护责任。数据处理的主要负责人对本单位的数据安全工作全面负责。第五条本细则所指智慧文旅数据，是指在智慧文旅服务过程中产生和收集的电子数据。主要包括：（一）游客个人信息：包括身份信息、行踪轨迹、生物识别信息、住宿信息、消费记录等；（二）业务运营数据：包括票务数据、景区客流数据、场馆使用数据、演出排期数据等；（三）资源与环境数据：包括地理空间数据、文物数字化数据、环境监测数据等；（四）系统与网络数据：包括系统日志、安全审计日志、网络流量数据等。第二章管理组织与职责第六条数据处理者应当设立数据安全管理委员会或类似决策机构，负责统筹和决策本单位数据安全重大事项，包括审议数据安全管理制度、审定数据分类分级目录、批准重大数据共享与出境活动等。第七条数据处理者应当设立数据安全管理部门或指定专职人员，负责数据合规管理的日常执行工作，具体职责包括：（一）组织制定和修订数据安全管理制度、操作规程和应急预案；（二）组织实施数据分类分级管理和数据全生命周期安全管控；（三）组织开展数据安全风险评估、合规审计和教育培训；（四）负责数据安全事件的监测、预警、应急处置和上报；（五）管理数据脱敏、去标识化及加密等技术工具的配置与使用。第八条智慧文旅业务部门在开展业务活动时，应当遵循“谁经手、谁负责”的原则，在数据收集、使用等环节承担直接合规责任，配合数据安全管理部门落实各项保护措施。业务部门在引入新的智慧文旅应用或系统前，应当进行数据安全影响评估（DPIA）。第九条涉及处理达到规定数量个人信息的处理者，应当按照法律法规要求，指定个人信息保护负责人，负责监督个人信息保护情况，并向监管部门报送个人信息保护负责人联系方式。第三章数据分类分级管理第十条数据处理者应当建立数据分类分级制度，并制定数据分类分级清单。数据分类应当遵循科学性、稳定性、实用性和扩展性原则；数据分级应当遵循数据遭篡改、破坏、泄露或者非法获取、非法利用后，对国家安全、公共利益或者个人、组织合法权益造成的危害程度进行定级。第十一条智慧文旅数据按照属性通常分为游客个人信息、公共管理数据、文化旅游资源数据、企业经营数据等类别。按照敏感程度和数据遭到破坏后的影响范围，将数据从高到低划分为核心数据、重要数据和一般数据。第十二条核心数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行安全、社会稳定的重要数据。在智慧文旅领域，涉及国家重点保护的珍贵文物数字化高精度三维数据、未公开的国家级涉密档案数据、特定敏感时期的重大活动安保数据等，应识别为核心数据。第十三条重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接影响公共利益、行业稳定或导致较大范围个人信息泄露的数据。在智慧文旅领域，包括但不限于：（一）持有或处理超过十万量级的游客个人信息及敏感个人信息汇总；（二）A级及以上景区的实时客流监控数据及热力图分布数据；（三）涉及大型节庆活动、重大演出的票务实名数据及安检数据；（四）关键信息基础设施运行日志、安全审计日志。第十四条一般数据是指除核心数据、重要数据以外的其他数据。此类数据遭泄露或破坏后，对个人、组织或公共利益的影响较小。例如：已公开的文旅宣传资料、脱敏后的统计数据、非实名制的浏览记录等。第十五条数据处理者应当依据分类分级结果，对数据实施差异化防护措施。对于核心数据，应当实施最高级别的严格管控，原则上不得在境内非授权环境传输，严禁出境；对于重要数据，应当采取加密、脱敏、访问控制、安全审计等保护措施；对于一般数据，应当采取基本的安全保护措施，防止数据滥用。第四章数据收集合规第十六条数据处理者收集数据应当遵循“合法、正当、必要”和“告知同意”原则。仅限于实现处理目的的最小范围，不得过度收集数据。第十七条收集个人信息，应当通过单独弹窗、附带勾选框等形式，以清晰易懂的语言真实、准确、完整地向个人信息主体告知下列事项：（一）数据处理者的名称或者姓名和联系方式；（二）处理个人信息的目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。第十八条处理敏感个人信息（如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等），应当取得个人的单独同意。在智慧文旅场景中，采集人脸识别信息用于入园核验、支付等场景时，必须具有特定的目的和充分的必要性，并采取严格的保护措施。应当向个人告知处理生物识别信息的必要性以及对个人权益的影响。第十九条智慧文旅服务提供者不得因为用户不同意提供非必要信息，而拒绝用户使用基本服务功能。例如，不得因用户拒绝提供非必需的通讯录权限或营销偏好，而拒绝提供景区电子导览或在线购票服务。第二十条数据处理者应当直接从个人信息主体处收集个人信息。如确需通过第三方间接获取个人信息，应当核实第三方的数据来源合法性，并要求第三方提供数据来源的合法性证明，确保个人信息主体已知情同意且同意范围涵盖本单位的处理目的。第二十一条禁止通过诱导、欺诈、胁迫等不正当方式收集个人信息。禁止通过“一揽子授权”方式要求用户同意与其提供服务无关的信息收集请求。第五章数据存储与备份合规第二十二条数据处理者应当根据数据分类分级要求，选择安全的数据存储介质和存储方式。核心数据和重要数据应当存储在中华人民共和国境内。第二十三条存储个人信息，应当采取加密、去标识化等安全技术措施。对于游客身份证号、手机号、护照号等个人敏感信息，在数据库底层存储时必须采用强加密算法（如SM4、AES-256）进行加密存储，密钥管理应当符合国家密码管理相关规定。第二十四条智慧文旅系统应当合理设定数据保存期限。保存期限应当为实现处理目的所必要的最短时间，超出保存期限后应当对个人信息进行删除或匿名化处理。法律法规另有规定的（如《旅游法》对旅游合同、交易记录的保存要求除外）。第二十五条数据处理者应当建立数据备份机制。对核心数据和重要数据实施异地实时备份，对一般数据实施定期备份。备份数据应当同样符合相应的安全保护要求，并定期进行恢复演练，确保备份数据的可用性和完整性。第二十六条在物理环境安全方面，存放核心数据和重要数据的机房应当符合国家相关计算机机房安全标准，实施物理访问控制，监控并记录进出人员信息。第六章数据使用与加工合规第二十七条数据处理者使用数据应当限于已明确告知并取得授权的范围。超出原范围使用数据的，应当再次向个人信息主体告知并取得同意。严禁在未经授权的情况下，将游客个人信息用于商业画像、精准营销或提供给其他商业机构。第二十八条内部人员访问数据应当实施严格的权限控制（最小权限原则）。根据岗位职责分配数据访问权限，严格限制高敏感数据的访问范围。系统管理员、安全员、审计员权限应当分离。第二十九条数据处理者应当对数据访问行为进行日志记录，记录内容包括但不限于：操作人、操作时间、操作对象、操作类型、操作结果等。审计日志应当保存至少六个月，并支持定期审计分析，及时发现异常访问行为。第三十条在进行数据分析、挖掘、统计等加工处理时，原则上应当使用去标识化或匿名化后的数据。确需使用明文敏感数据进行处理的，应当在安全可控的封闭环境中进行，并建立数据使用审批流程。第三十一条涉及利用个人信息进行自动化决策（如旅游产品推荐、价格歧视算法）的，应当保证决策的透明度和结果公平公正，不得在交易条件上对个人实行不合理的差别待遇。同时，应当向个人提供不针对其个人特征的选项，或者提供便捷的拒绝自动化决策的方式。第七章数据传输与共享合规第三十二条数据处理者向境内第三方提供个人信息或重要数据时，应当开展数据安全影响评估，并与数据接收方签署数据共享协议或数据处理合同。协议中应当明确双方的数据安全保护责任、数据使用范围、保密义务、违约责任等。第三十三条通过网络传输敏感个人信息或重要数据时，应当采用加密通道（如HTTPS、VPN、专网）进行传输，并对传输数据进行完整性校验，防止数据在传输过程中被窃听、篡改。第三十四条智慧文旅平台与政府部门进行数据共享（如景区客流数据上报、实名购票信息核验）时，应当通过政府指定的安全接口或共享交换平台进行，确保数据传输的可追溯和安全可控。第三十五条未经个人信息主体单独同意，不得向第三方提供其个人信息。法律、行政法规另有规定的除外。如果接收方发生变更或处理目的发生变更，应当再次向个人信息主体告知并取得同意。第三十六条数据处理者公开数据（如发布旅游年度报告、大数据白皮书）前，应当对数据进行严格的脱敏处理和去标识化处理，确保无法通过公开数据识别特定个人且无法复原。严禁公开任何未脱敏的个人信息、核心数据及未授权的重要数据。第八章数据出境合规第三十七条智慧文旅数据处理者应当在境内存储收集和产生的个人信息和重要数据。确需向境外提供的，应当严格遵守国家网信部门和相关主管部门的规定。第三十八条向境外提供个人信息，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并合同生效之日起10日内向所在地省级网信部门备案；（四）法律、行政法规或者国家网信部门规定的其他条件。第三十九条关键信息基础设施运营者（CIIO）和处理个人信息达到规定数量（通常指累计向境外提供100万人以上个人信息或1万人以上敏感个人信息）的处理者，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。第四十条在进行数据出境前，数据处理者应当自行开展或委托专业机构开展数据出境风险自评估，重点评估以下内容：（一）数据出境的合法性、正当性、必要性；（二）境外接收方的数据保护能力、所在国家或地区的政治法律环境；（三）数据出境及出境后对国家安全、公共利益及个人权益的风险；（四）数据安全保护措施的有效性。第九章个人信息主体权利保障第四十一条个人信息主体享有查阅、复制其个人信息权利。数据处理者应当提供便捷的查阅、复制途径，如在线客服中心、自助查询页面等。在技术可行且成本合理范围内，还应提供数据转移至其他平台的途径。第四十二条个人信息主体发现其个人信息不准确或不完整的，有权要求数据处理者更正或补充。数据处理者应当核实后及时予以更正或补充，并通知所有已获知该信息的第三方。第四十三条在特定情形下（如收集目的已实现、无法实现或为实现目的不再必要；个人信息主体撤回同意；数据处理者停止提供产品或服务等），个人信息主体有权要求删除个人信息。数据处理者应当及时删除，如因法律法规规定需要留存的，可以停止除存储和采取必要安全保护措施之外的处理。第四十四条个人信息主体有权撤回对处理其个人信息的同意。数据处理者应当提供便捷的撤回同意的方式（如关闭授权开关、注销账号等）。撤回同意不影响撤回前基于同意已进行的合法数据处理活动的效力。第四十五条个人信息主体有权限制处理或拒绝自动化决策。数据处理者应当设置相应的功能入口，保障用户的自主选择权。第十章安全技术与应急响应第四十六条数据处理者应当落实网络安全等级保护制度。智慧文旅系统应当根据其重要程度，定级为二级或以上网络安全等级，并定期开展等级保护测评。第四十七条数据处理者应当部署防病毒、防入侵、防篡改、防泄密等技术手段。在应用开发阶段应当遵循安全编码规范，上线前进行代码审计和渗透测试，修复高危漏洞。第四十八条建立数据安全监测预警机制。利用大数据分析、态势感知等技术手段，实时监测数据异常流动、批量导出、高频查询等行为，发现异常情况及时发出预警。第四十九条制定数据安全事件应急预案。应急预案应当包括应急组织架构、响应流程、处置措施、事后恢复等内容。预案应当定期（至少每年一次）进行演练，并根据演练结果和实际情况进行修订。第五十条发生数据泄露、篡改、丢失等安全事件时，数据处理者应当立即启动应急预案，采取补救措施，并按照规定在72小时内向省级网信部门和相关主管部门报告，同时告知可能受影响的个人信息主体。报告内容包括事件涉及数据种类、原因、可能造成的危害、已采取的补救措施等。第十一章合规审计与教育培训第五十一条数据处理者应当定期开展数据合规审计。审计工作可由内部审计部门或委托第三方专业机构进行，审计频率至少每年一次。对于核心数据和重要数据的处理活动，应当增加审计频次。审计内容应包括制度执行情况、技术防护措施有效性、权限管理合规性、日志留存情况等。第五十二条数据处理者应当建立数据合规考核机制，将数据安全保护工作纳入内部绩效考核和评价体系，对违反数据安全管理制度的行为进行问责，对在数据安全保护工作中做出突出贡献的给予奖励。第五十三条数据处理者应当定期组织开展数