——2019年1月16日在省十三届人大常委会第八次会议上

　　省人大常委会副主任、秘书长陈鸣明

省人大常委会：

　　我受主任会议的委托，现就《贵州省大数据安全保障条例(草案)》(以下简称《条例草案》)作如下说明：

　　一、制定《条例》的必要性

　　大数据安全是大数据发展应用的前提和保障，没有大数据安全，大数据发展应用就不可持续，大数据产业不可能健康发展。实施大数据战略行动，推动大数据产业持续快速健康发展，必须坚持发展与安全并重。作为首个国家级大数据综合实验区，我省全面贯彻落实党中央决策部署和国家大数据战略，实施大数据战略行动，大数据发展应用和产业发展实现赶超跨越，大数据已经成为推动我省经济社会发展的强劲动力。在快速发展的同时，大数据安全问题也日益显现，引发广泛关注。一是大数据安全风险大量存在。实践中，数据安全管理职责不清、责任不明，数据管理、访问混乱，个人信息泄露严重，非法攻击、侵入、干扰、破坏、窃取、篡改、倒卖数据等情况时有发生，对国家安全、国家利益、社会公共利益和他人合法权益构成较大威胁。二是大数据安全要求与共享开放需求矛盾凸显。随着大数据快速发展应用，一方面对数据共享开放的需求日益增长，另一方面由于数据共享开放安全责任规定缺乏，导致数据共享开放推进困难，不愿、不能、不敢共享开放普遍存在。三是大数据安全法规尚待完善。《网络安全法》主要是从物理层、网络层对网络安全作出了规定，针对数据生产、采集、存储、流通、应用、销毁等环节的安全管理规定较少或比较原则，难以完全满足大数据安全管理的需要。

　　为切实履行国家大数据综合实验区开展先行先试、推进“制度创新”职责，努力形成我省大数据地方法规框架，在《贵州省大数据发展应用促进条例》对大数据安全管理作出的原则性、概括性、指引性规定基础上，制定《条例》，对大数据安全保障的相关问题作出进一步补充、细化、完善规定，是十分必要的。

　　二、《条例草案》的起草过程

　　根据《贵州省第十三届人大常委会立法规划》《贵州省人大常委会2018年立法计划》，2018年5月，省人大常委会法工委组织制定了《条例草案》起草工作方案，成立起草小组，启动起草工作。数博会期间，省人大常委会有关领导组织召开大数据安全地方立法高层咨询论证会，邀请全国知名的大数据专家10余人对《条例草案》起草进行咨询论证。根据工作方案，由起草小组和省公安厅委托的第三方分别起草了两个文本初稿，在此基础上经反复修改，形成《条例草案》征求意见稿。在起草过程中，认真研究了国家有关法律法规和政策，学习借鉴了外省经验做法，听取了有关市州和部门、专家学者、企业负责同志等的意见建议。《条例草案》征求意见稿形成后，起草小组深入贵安新区、贵阳大数据安全产业园等地调研，召开省人大各专门委员会、省直部门(单位)、高等院校、常委会咨询专家、大数据相关企业负责人等参加的论证会，广泛听取意见建议。同时，作为起草小组成员单位，省网信办、省公安厅、省大数据局、省通管局分别征求了各自系统和专家咨询委员会部分专家学者意见。在此基础上，经反复研究修改，形成《条例草案》送审稿。

　　2019年1月14日，省十三届人大常委会主任会议第二十四次会议审议通过了《条例草案》送审稿，形成了提请本次会议审议的《条例草案》。

　　三、《条例草案》的主要内容和需要说明的几个问题

　　《条例草案》共六章五十一条，主要对立法目的和依据，大数据安全保障工作的定位、目标、原则，大数据安全主体责任和监管责任，大数据安全保障支持促进，以及法律责任等，作出了规定。

　　(一)关于立法的总体思路。大数据安全涉及面广，主体众多，法律关系复杂，立法难度较大。起草论证过程中，对《条例草案》的名称、章节结构安排和主要内容提出了很多意见建议，也存在一些分歧。为减少分歧，形成共识，顺利推进，经反复研究，明确立法的总体思路为：坚持总体国家安全观，树立正确网络安全观，全面贯彻落实发展与安全并重、以安全保发展、以发展促安全的要求，坚持问题导向、需求导向，以构建综合保障、综合治理的全方位大数据安全保障体系为目标，以数据全生命周期为主线，以主体责任和监管责任为重点，对大数据安全保障的重点问题和主要方面作出规定。按照这一总体思路，将法规的名称确定为“大数据安全保障条例”，安排了总则、安全责任、监督管理、支持促进、法律责任、附则的章节结构。

　　(二)关于部门职责权限。大数据安全监督管理涉及多个部门，明确各部门职责权限，有利于避免相互推诿扯皮，提高监管效率和水平。但由于目前市州和县级机构改革仍在推进之中，因此《条例草案》暂仅对部门职责权限作了原则性规定。待全省机构改革全部完成后，审议修改过程中再补充、细化、完善这方面的内容。

　　(三)关于大数据安全责任人主体责任。大数据安全是相关各方的共同责任，包括大数据安全责任人的主体责任和政府及其部门的监管责任，《条例草案》以大数据全生命周期为主线，分别明确了安全责任和监管责任。其中大数据安全责任人的主体责任是重中之重。《条例草案》第二章对此作了详细规定。一是规定了大数据安全责任人的确定原则，即谁所有谁负责、谁持有谁负责、谁采集谁负责、谁管理谁负责、谁使用谁负责，并规定同时存在的多个安全责任人，分别承担各自安全责任。二是区分单位和个人，分别规定了大数据安全责任人的职责。三是规定了建立大数据全生命周期安全责任制，明确大数据采集、存储、传输、处理、交换、使用、销毁等各环节的安全责任。

　　(四)关于网络服务经营者数据采集行为规范。实践中，各种各样的APP应用以及形式多样的扫码关注等，极大地便利了人们的衣食住行，但同时也存在过度采集数据甚至主要目的就是为了采集数据等问题，对数据安全特别是个人信息安全构成较大威胁。针对这些问题，《条例草案》规定，除法律、法规另有规定外，向不特定公众提供普遍信息、接入、浏览、访问、营销、推广等网络服务的经营者，不得采集与提供服务无关的数据，不得以使用者拒绝提供相关信息而限制或者拒绝其享受普遍服务。

　　(五)关于公共服务数据安全管理责任。针对个人信息泄露、倒卖等以及由此带来的骚扰电话、广告推销、电信诈骗等公众普遍关注的问题，《条例草案》规定，公共服务提供者应当加强内部管理，建立数据接触、访问审查等制度，明确数据提供、调用、分析、处理等权限;在经营、服务活动中获取的用户数据，除依法共享开放外，单位及其工作人员不得泄露，不得出售或者非法向他人提供。

　　(六)关于提供数据的注意义务及责任免除。为正确处理数据安全管理与数据流动的关系，解除数据提供者出于安全考虑的后顾之忧，促进数据依法有序流动，推动数据共享开放，《条例草案》规定，大数据安全责任人向他人提供数据，提供时无安全风险或者基于提供时的合理预见也无安全风险且尽了合理注意义务的，他人通过对提供的数据进行分析、挖掘、整合等产生的安全风险，提供人不承担相关责任。

　　(七)关于建立统一的大数据安全监管平台。为统筹解决大数据发展应用中的安全监管问题，形成全省统一的大数据安全保障一条线、一张网，提高安全监管能力和效率，《条例草案》规定，省人民政府建立统一的大数据安全监管平台，进行信息收集、分析、研判和评估，及时发布安全风险预警或者信息通报，统筹协调全省大数据安全事件处置。

　　(八)关于支持与促进。大数据安全保障涉及的科研、技术、服务、产业、人才等，需要政府的鼓励、引导、支持、推动。为此，《条例草案》第四章从加快技术创新支持、标准体系建设、资金项目支持、人才培养引进、试验基地建设等方面，对县级以上人民政府及其部门的职责作出了规定。

　　以上说明连同《条例草案》文本，请予审议。