各設區市、楊凌示范區��、韓城市工業和信息化主管部門����,省級各部門、各有關單位:
經省政府同意��,現將《陜西省關于加強信息保護的若干規定》印發你們��,請遵照執行��。執行過程中的有關情況請及時反饋我廳��。
陜西省工業和信息化廳
2014年3月18日
?。撓等耍嚎芟怖る娫挘?7292045)
陜西省關于加強信息保護的若干規定
第一章 總則
第一條 為加強我省信息保護與管理,規范信息處理行為,保障信息安全�,維護國家安全和社會公共利益,保護公民����、法人和其它組織的合法權益,根據有關法律�、法規和規章,結合我省實際�,制定本規定。
第二條 本省內數據處理過程中的信息收集�、轉移、存儲����、恢復、加工����、使用、刪除��、銷毀等活動適用本規定����。法律、法規另有規定的�,從其規定����。本規定所稱信息是指為特定主體所持有的��,適合于通過網絡與信息系統或其它電子媒介制作�、存儲、加工����、處理、發送��、傳輸����、接收的數據、圖像�、聲音等。
本規定所稱的個人信息是指上述信息中能夠識別公民個人身份和涉及公民個人隱私的信息��。
第三條 本省數據處理過程中的信息保護,應遵循合法�、公正、必要的原則����。
合法原則是指信息處理應遵守我國現有的法律法規的規定����,不得侵害它人合法權益�,不得損害國家利益和社會公共利益�;
公正原則是指信息處理必須征得相關政府機關、企業或個人的許可或同意�;
必要原則是指收集的信息的數量應在達到處理目的條件下最小化,不得收集與信息使用目的無關的信息����。
第二章 部門職責
第四條 下列部門按照各自職責做好信息保護的相關工作:
(一)工信部門負責信息保護的綜合協調��、指導�、監督工作。依法制定信息保護管理制度�。組織制定相關行業的從業規范及標準。對從業人員開展安全教育和管理�。協調處置與信息保護相關的投訴與質詢。
?�。ǘ└鞑块T��、各機構����、各單位負責本部門����、本行業����、本機構、本單位內的信息保護工作�。
(三)公安��、安全����、保密和機要等部門負責對信息收集、處理和使用過程中出現的非法信息買賣����、轉移、泄露等違法犯罪活動進行打擊和查處����。
(四)工商部門在企業年度報告時,應將從事數據恢復行業的法人��、其它組織遵守行業的從業標準和規范情況列為報告事項�。
第三章 信息處理
第五條 信息收集必須具有明確、合法的目的�,信息的收集方法與范圍必須合法、正當����。
第六條 收集地理����、人口、統計等國家基礎信息和企事業單位的重要商業信息或敏感信息����,應當依法履行相關手續。
第七條 收集個人信息����,應當符合下列要求:
(一)個人明確同意��;
?���。ǘ┡c個人存在合同關系或類似關系����,為完成合同義務必須進行個人信息收集��;
?�。ㄈ楸Wo個人的重要利益�、第三人的合法權益或社會公共利益;
第八條 收集個人信息應明確將個人信息收集者的身份與住所��、個人信息的使用目的����、使用范圍、留存期限及個人信息文件的公開方式與地點等重要事項告知該個人����。個人信息收集者應該確保所收集的個人信息的完整正確,并規定“個人”對于本人信息具有確認����、修訂和停止利用的權利。
第九條 未經主管部門審批��,法人、其它組織及個人不得向第三方轉移收集國家基礎信息��;未經法人��、其它組織及個人同意�,不得向第三方轉移個人信息及企業重要商業信息或敏感信息。
第十條 在轉移信息前��,應當評估信息接收者是否具有信息安全保障能力��,并應當通過合同方式明確信息接收者的信息保護責任����,避免信息受到未經授權的訪問����、篡改、泄露�、刪除、毀損��。
第十一條 禁止向境外轉移國家基礎信息����。境外包括位于境外的個人或境外注冊的組織和機構。
第十二條 對存有國家基礎信息資源、企業重要商業信息或敏感信息����、個人信息的計算機信息系統和存儲介質要確保安全。對重要信息應當進行備份�,備份介質必須保存在安全環境中,非常重要的信息應異地存儲�。
第十三條 未經主管部門審批,法人����、其它組織及個人不得擅自加工和使用國家基礎信息;未經法人����、其它組織及個人同意,不得擅自加工和使用個人信息�、企業重要商業信息或敏感信息。
第十四條 不得超出信息收集時所披露的使用目的和范圍加工或使用信息�。
第十五條 加工和使用信息時,應當采取下列措施��,確保信息安全:
?���。ㄒ唬┍苊馊魏螌π畔⑽唇浭跈嗟脑L問����;
?�。ǘ┍苊馊魏螌π畔⑽唇浭跈嗟呐?�、復制����、修改、刪除��;
?。ㄈ┖藢嵦幚聿僮鞯暮戏ㄐ浴?
第十六條 發生或者可能發生信息泄露��、毀損����、丟失時�,應立即采取補救措施,防止損失擴大��;造成或者可能造成嚴重后果的��,應在24小時之內向主管部門報告,主管部門作出處理決定前����,可要求相關組織或個人暫停信息收集和處理工作。
第十七條 未經主管部門審批��,法人�、其它組織及個人不得超過留存期限或無法實現信息處理目的時擅自留存國家基礎信息;未經法人��、其它組織及個人同意�,不得超過留存期限或無法實現信息處理目的時擅自留存個人信息、企業重要商業信息或敏感信息��。執法機構調查取證時����,應采取適當的存儲和屏蔽措施。
第十八條 收集�、轉移、存儲��、恢復����、加工��、使用����、刪除��、銷毀涉密信息時����,應嚴格按照保密法規定執行。
第四章 數據恢復服務管理
第十九條 從事數據恢復業務的單位和個人應當嚴格遵守上述信息安全規定�,禁止未經授權處理信息,對進行恢復的信息應當采取必要的技術和管理措施�,防止未經授權的訪問、傳播����、披露、更改和刪除��。
第二十條 從事數據恢復業務的法人�、其它組織和個人�,應當符合相關的從業標準和規范的要求。
第二十一條 數據恢復行業的從業人員應當符合相關從業標準和規范的要求��,并與從業機構簽訂聘用合同及保密協議,承擔保密義務��。
第二十二條 對保存在臺式機硬盤��、筆記本硬盤����、服務器硬盤、存儲磁帶庫��、移動硬盤����、U盤、數碼存儲卡����、MP3等存貯介質上丟失的數據進行恢復時應遵守如下規定:
(一)數據恢復前應對信息持有者的有效身份證明存檔�,并確認信息持有者合法持有恢復數據;
應得到信息持有者的明確同意����,并與其簽訂保密協議;
恢復法人或其他組織的數據����,須經該法人或其他組織負責人同意�。
?�。ǘ祿謴瓦^程中��,應建立專人負責制�,保證設備專機專用,未經信息所有者授權不得使用�、處理、泄露客戶數據�,信息持有者有權全程監督;
?。ㄈ祿謴屯戤吅螅畔⒊钟姓哂袡嘧约候炞C數據�、監督數據拷貝,數據恢復單位或個人應及時銷毀恢復數據�,并應提供手段供數據所有者查證存儲介質無其它備份;
?。ㄋ模祿謴蜆I務不得轉包。
第五章 監督與檢查
第二十三條 任何組織或個人發現非法收集����、轉移、存儲、恢復����、加工����、使用、刪除國家基礎信息資源����、企業重要商業信息或敏感信息、個人信息時����,可向工信部門或行業協會進行舉報或者投訴。
第二十四條 工信部門或行業協會接到舉報或者投訴后����,應及時協調相關部門對舉報或者投訴內容進行核實,督促其依法作出處理或者移送有權部門處理�。
第二十五條 工信部門可綜合協調各行政管理部門檢查從事數據處理過程中的信息安全防范工作,協調開展相關檢查活動�,處置突發事件和重大問題。
第二十六條 實施監督檢查時����,可以要求從事數據處理的機構和人員提供相關材料����,進入其生產經營場所調查情況����,從事數據處理的機構和人員應當予以配合。
第二十七條 違反本《規定》的行為����,依照相關法律法規予以處罰。構成犯罪的����,依法追究刑事責任。侵害他人民事權益的�,依法承擔民事責任。
第六章 附則
第二十八條 本規定不適用于國家機關為保障國家安全����、打擊犯罪、執行公務而進行的數據處理�;不適用于公民在純粹的個人或家庭活動中所進行的數據處理;不適用于法人或其它組織所處理的數據數量較少�,不會對國家安全����、公共利益或個體權利造成侵害的數據處理����。
第二十九條 本規定自2014年4月1日起施行��,至2017年4月1日起廢止�。
