Shenzhen Audit Bureau Measures for the Protection of Personal Information and Important Data

深审〔2022〕91号第一章 总则 第一条 为保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《深圳经济特区数据条例》等法律法规，制定本办法。 第二条 本办法中下列用语的含义： （一）数据，是指任何以电子或者其他方式对信息的记录； （二）个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息； （三）重要数据，是指列入重要数据目录，或者与国家安全、经济发展以及公共利益密切相关，一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据； （四）数据脱敏，是指通过对敏感信息采用脱敏方式进行匿名化，利用变换、修改等技术措施实现对数据去隐私化或数据变形，防止敏感数据泄漏。 第三条 本办法目的是规范市审计局机关及直属单位在收集、存储、使用、加工、传输、提供、公开和销毁等数据处理环节中的相关行为，遏制个人信息和重要数据的非法收集、滥用、泄漏等问题，最大程度地保障个人、组织的合法权益，社会公共利益和国家安全。 第四条 本办法适用于深圳市审计局机关和直属单位在开展收集、存储、使用、加工、传输、提供、公开和销毁个人信息与重要数据各个环节中应遵循的原则和安全要求。 本办法适用于非涉密数据，涉密数据按相关规定执行 第五条 开展个人信息和重要数据处理活动，应当遵守法律法规，尊重社会公德和伦理，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。第二章 管理机构和职责 第六条 局网络安全和信息化领导小组（以下简称“领导小组”）是个人信息和重要数据保护工作的领导机构，主要职责是贯彻落实上级有关部门关于个人信息与重要数据保护工作的发展战略、宏观规划、重大政策和工作部署，统一领导市审计局个人信息和重要数据保护工作，统筹协调和决策市审计局个人信息和重要数据保护工作中的重大问题等。 第七条 局网络安全和信息化领导小组办公室主要负责组织落实领导小组的各项决议与工作部署，研究制定个人信息与重要数据保护工作发展规划、工作计划、制度和标准规范，建立覆盖数据收集、存储、使用、加工、传输、提供、公开和销毁等全生命周期的数据安全保障和监督检查机制，协调处理数据安全重大突发事件有关应急工作等。 第八条 各部门负责人是本部门个人信息和重要数据保护工作第一责任人，按照“谁收集，谁负责”“谁使用，谁负责”“谁发布、谁负责”的原则，落实本部门在处理个人信息和重要数据过程中的安全防护措施，保障数据安全。 第九条 大数据审计处是数据安全的技术支撑单位和个人信息以及重要数据的管理单位，负责组织数据安全保障工作。 第十条 接触个人信息和重要数据岗位人员，应按如下要求进行管理与培训： （一）应对接触大量个人信息和重要数据的人员进行背景审查； （二）应要求个人信息和重要数据处理岗位上的相关人员在调离岗位或终止劳动合同时，继续履行保密义务； （三）应明确可能访问个人信息和重要数据的购买服务人员应遵守的个人信息安全要求，与其签署保密协议，并进行监督； （四）大数据审计处应对全体工作人员定期组织信息安全相关培训。第三章 个人信息和重要数据分级分类 第十一条 根据数据的敏感程度，个人信息和重要数据分为公开数据、内部数据和敏感数据三类。 第十二条 应根据数据的重要性、敏感性和对业务的影响程度对现有的数据进行分级。具体个人信息和重要数据的分级分类细则根据相关法律法规及规定另行确定。第四章 个人信息和重要数据收集 第十三条 收集个人信息和重要数据时，应当遵循合法、正当、必要、最小化的原则，不得窃取或者以其他非法方式获取个人信息和重要数据。 法律、行政法规对收集、使用个人信息和重要数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用。 第十四条 数据收集过程中按法律法规规定需向自然人履行告知义务的，按相关法律法规执行。 第十五条 收集个人信息和重要数据的信息系统应符合网络安全等级保护2.0（二级以上）标准。 第十六条 在个人信息和重要数据收集过程中应采取管理和技术措施防止数据泄露。采集个人信息和重要数据应通过内部流程审批。第五章 个人信息和重要数据传输 第十七条 通过网络传输个人信息和重要数据时，应采用加密传输信道或专线等手段确保数据传输过程中的机密性和完整性。 第十八条 采用专人报送个人信息和重要数据的，应将数据加密保存，并确保途中数据的安全保密。第六章 个人信息和重要数据存储 第十九条 个人信息和重要数据必须存储于市审计局大数据中心，不得存放于个人电脑及商业云中。审计项目中采集的个人信息和重要数据，审计人员应在项目结束后30日内将数据迁移至市审计局大数据中心存储。 第二十条 应当对数据存储进行分域分级管理，选择安全性能、防护级别与安全等级相匹配的存储载体；对敏感个人数据和重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。 第二十一条 存储个人信息和重要数据的介质发生损坏或丢失时，安全管理员应立即上报相关负责人，并按照相关规定开展应急处置措施。 第二十二条 应当对数据处理过程实施安全技术防护，并建立个人信息和重要数据的备份制度。第七章 个人信息和重要数据处理 第二十三条 在处理个人信息和重要数据时，不得非法篡改、假冒、转让、泄露、出售等。 第二十四条 应做好个人信息和重要数据的授权访问控制，对被授权访问个人信息和重要数据的人员，应按照最小授权的原则，使其只能访问职责所需的最少的个人信息和重要数据，且仅具备完成职责所需的最少的数据操作权限。 第二十五条 应对个人信息和重要数据的重要操作设置内部审批流程，如批量修改、拷贝、下载等。 第二十六条 依法履行法定职责处理个人信息，应该依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。 第二十七条 应通过数据库审计等技术，详细记录个人信息和重要数据处理过程，确保数据处理过程可追溯。第八章 个人信息和重要数据共享与公开 第二十八条 审计工作中采集的个人信息和重要数据原则上不予共享和公开。 第二十九条 因审计结果公告等工作原因确需公开的，涉及个人信息的数据应脱敏后公开。第九章 个人信息和重要数据销毁 第三十条 存储个人信息和重要数据的电子介质销毁时，必须要经过物理消磁或交由具备相关资质的机构进行处理。 第三十一条 存储个人信息和重要数据的纸质介质销毁时，必须物理粉碎，并有人员全程参与。第十章 数据安全 第三十二条 应按照法律、法规规定，建立健全数据分类分级制度，不断提升技术手段，确保数据安全。 第三十三条 应按要求建立数据安全应急处置机制，制定数据安全应急预案。 第三十四条 应对数据泄露、毁坏、篡改等异常情况进行监测和预警。发生数据安全事件时，应及时启动数据安全应急处置机制，立即采取补救措施，妥善处置，降低影响。第十一章 自查与责任追究 第三十五条 按照“谁收集，谁负责”“谁使用，谁负责”“谁发布、谁负责”的原则，各部门应对个人信息和重要数据的安全情况定期进行自查。 第三十六条 各部门应对自查中发现的问题及时整改，认真做好整改落实工作。未及时整改或整改不力导致严重后果的，将予以通报并追究部门负责人的责任。第十二章 附则 第三十七条 本制度由局网络安全和信息化领导小组办公室负责制定、修订和解释。 第三十八条 本制度自发布之日起生效执行。