目前各省市推出数据安全政策,从其中的责任制度描述来看,主要分为三类责任制度定义方法。第一类是使用最多的定义方式,将数据生命周期中的各个环节分别定义安全责任,例如《安徽省大数据发展条例》就定义为“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”,其他类别数据政策描述略有不同,但是本质不变。
第二类以《上海市数据条例》和《重庆市数据条例》为例,将数据处理者定义为数据安全责任主体,聚焦责任主体。第三类以《深圳经济特区数据条例》为代表,没有明确指出谁进行负责,但是明确了各个数据处理角色对应的职责。
《重庆市数据条例》相比其他同时期数据政策,没有给出多项数据安全责任要求,而是加大了数据处理者的责任要求,弱化了使用者、收集者等角色的数据安全责任要求,和《上海市数据条例》较为相似。
数据安全政策-安全制度一览
| 政策名称 | 安全责任原则(三大类) | 时间 |
| 《山西省政务数据安全管理办法》 | 谁提供、谁负责,谁流转、谁负责,谁使用、谁负责(类别1) | 2023年7月1日施行 |
| 《贵州省政务数据资源管理办法》 | 谁提供、谁负责,谁使用、谁负责(类别1) | 2023年4月26日通过 |
| 《重庆市数据条例》 | 数据处理者是数据安全责任主体,同时存在多个数据处理者的,分别承担各自安全责任(类别2) | 2022年4月5日发布 |
| 《郑州市政务数据安全管理实施细则》 | 谁主管谁负责、谁运行谁负责、谁使用谁负责(类别1) | 2023年3月2日下发 |
| 《浙江省公共数据条例》 | 谁收集谁负责、谁使用谁负责、谁运行谁负责(类别1) | 2022年3月1日施行 |
| 《山东省大数据发展促进条例》 | 谁收集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定(类别1) | 2021年9月30日 |
| 《安徽省大数据发展条例》 | 谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责(类别1) | 2021年5月1日施行 |
| 《深圳经济特区数据条例》 | 没有明确指出谁进行负责,但是明确了各个数据处理角色对应的职责(类别3) | 2021年6月29日通过 |
| 《上海市数据条例》 | 数据处理者是数据安全责任主体,数据同时存在多个处理者的,各数据处理者承担相应的安全责任(类别2) | 2021年11月25日通过 |
- 山西省
《山西省政务数据安全管理办法》-2023年7月1日施行
在安全制度方面,政务数据安全管理遵循“谁提供、谁负责,谁流转、谁负责,谁使用、谁负责”的原则,将安全管理贯穿于数据处理活动中。政务部门应当明确本部门负责政务数据安全管理的机构,建立健全政务数据安全管理制度,落实安全保护责任,定期开展数据安全意识教育和专项技能培训。
- 贵州省
《贵州省政务数据资源管理办法》-2023年4月26日通过
按照“谁提供、谁负责,谁使用、谁负责”的原则,政府部门负责本地区、本部门内容审核、保密审查等保障政务数据资源安全。数据提供部门应加强本部门政务数据资源的安全管理,落实数据采集、归集、整合共享、开放等环节安全责任,防范政务数据资源泄露和被非法获取。数据使用方要加强共享数据授权管理,强化对重要敏感等数据使用的监管,按需申请共享数据,严格控制共享范围,确保共享数据规范使用,不被泄露、滥用、篡改。
- 重庆市
《重庆市数据条例》-2022年4月5日发布
第八条本市实行数据安全责任制。数据处理者是数据安全责任主体,同时存在多个数据处理者的,分别承担各自安全责任。
开展数据处理活动应当依法履行下列数据安全保护义务:
(一)建立健全全流程数据安全管理制度;
(二)组织开展数据安全教育培训;
(三)制定数据安全应急预案,开展应急演练;
(四)发生数据安全事件时,立即采取处置措施,启动应急预案,及时告知可能受到影响的用户,并按照规定向有关主管部门报告;
(五)加强风险监测,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;
(六)采取安全保护技术措施,对数据进行分类分级管理,防止数据丢失、篡改、破坏和泄露,保障数据安全;
(七)利用互联网等信息网络开展数据处理活动时,落实网络安全等级保护制度,保障数据安全;
(八)法律、法规规定的其他安全保护义务。
重要数据的处理者应当明确数据安全责任人和管理机构,定期对其数据处理活动开展风险评估,并向有关主管部门报送风险评估报告。
国家核心数据的管理按照法律、行政法规以及国家有关规定执行。
- 郑州市
《郑州市政务数据安全管理实施细则》-2023年3月2日下发
第一章 第五条 实行政务数据安全责任制,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,保障政务数据全生命周期安全。基于复制、流通、交换等同时存在多个政务数据安全责任人的,分别承担各自安全责任。
- 浙江省
《浙江省公共数据条例》-2022年3月1日施行
数据安全事关国家安全与经济社会发展,条例在上位法基础做出了补充规定。一是确立了谁收集谁负责、谁使用谁负责、谁运行谁负责的数据安全责任制,二是建立数据处理安全评估制度,规定因数据汇聚、关联分析等原因,可能产生涉密、敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。
- 山东省
《山东省大数据发展促进条例》-2021年9月30日山东省常务委员会通过
第五章 第三十三条 本省实行数据安全责任制
数据安全责任按照谁收集谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责的原则确定。
- 安徽省
《安徽省大数据发展条例》-2021年5月1日施行
“数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责的思路确定。”《条例》规定实行数据安全责任制,保障数据全生命周期安全。
《安徽省大数据发展条例》相比其他省市数据条例在责任制度方面增加了“谁所有谁负责”的要求。
- 深圳
《深圳经济特区数据条例》-2021年6月29日通过
第七十五条 数据处理者应当对其数据处理全流程进行 记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
第七十七条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
第七十八条 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
第七十九条 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制
《深圳经济特区数据条例》没有明确指出谁进行负责,但是明确了各个数据处理角色对应的职责,职责的明确粒度较为细致,已经对应到了具体技术实施环节。
- 上海市
《上海市数据条例》-2021年11月25日通过
第七十八条 本市实行数据安全责任制,数据处理者是数据安全责任主体。
数据同时存在多个处理者的,各数据处理者承担相应的安全责任。
数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。
《上海市数据条例》强调了多数据处理者的情况下如何明确数据安全责任,还明确了数据处理者变更情况下的数据安全保护责任。
