中共德阳市委办公室
德阳市人民政府办公室
2021年11月22日
德阳市公共数据安全管理暂行办法
第一章 总 则
第一条 为维护国家安全及社会公共利益,保护组织及个人的合法数据权益,规范公共数据处理活动,加强公共数据安全管理,促进公共数据开放与应用,提升政府治理能力和公共服务水平,推动数字经济高质量发展,根据有关法律法规和规定,结合我市实际,制定本办法。
第二条 在本市行政区域内开展公共数据安全管理及相关活动,应当遵守本办法。
涉及国家秘密及其他不宜公开数据的安全管理,应当遵守《中华人民共和国保守国家秘密法》等法律法规的规定。
第三条 本办法所称公共数据,是指本市各级行政机关以及履行公共管理和服务职能的组织(以下统称公共管理和服务机构)在依法履职过程中,采集和产生的各类数据资源。
公共数据安全管理,是指采取预防、监测、管理、处置等策略和措施,防范公共数据被攻击、侵入、干扰、破坏、窃取、篡改、删除、非法使用以及发生意外事故,保护数据的真实性、完整性、保密性、有效性、可控性并处于安全状态的活动。
公共数据安全管理要贯穿公共数据处理全过程。公共数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
第四条 公共数据安全管理,应坚持总体国家安全观,按照政府主导、主体负责,统筹规划、突出重点,预防为主、综合防范,保护隐私、兼顾发展的原则,维护好公共数据总体和动态安全。
第五条 保护组织、个人与数据有关的合法权益,鼓励依法合理有效利用数据,引导数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
第六条 开展公共数据处理活动,应遵守法律、法规的规定,尊重社会公德,不得从事危害公共数据安全的活动,不得利用公共数据从事危害国家安全、社会公共利益,以及损害个人、组织合法权益的活动。
有关主管部门收到对危害公共数据安全或利用公共数据从事违法犯罪活动行为的投诉和举报后,要及时依法处理,并对投诉、举报人的相关信息予以保密,保护其合法权益。
第二章 安全责任
第七条 公共管理和服务机构对职责范围内的公共数据安全承担主体责任,履行以下职责:
(一)设立公共数据安全管理岗位或明确安全管理责任人,建立数据安全从业人员教育、培训和考核机制;
(二)编制本单位公共数据目录,明确数据共享、开放属性,落实分类分级管理制度;
(三)制定本单位公共数据安全管理制度和操作流程,定期开展数据安全检查和安全风险评估;
(四)落实网络安全等级保护制度和密码应用要求,加强网络运行监测管理,采取必要的电子签名、权限限制、访问控制、日志审计、加密保护等技术管控措施,确保公共数据在使用中安全、可控、可溯源;
(五)加强公共数据采集、传输、使用等的权限管理,对批量导出、复制、销毁数据等实行审查批准;
(六)制定公共数据安全应急处置预案,定期开展演练;
(七)发生公共数据安全事件时,立即采取处置措施,并及时向行业主管部门和公安机关报告。
第八条 公共数据安全管理实行责任制,涉及公共数据采集、存储、清洗、共享、开放、使用、传输、销毁等环节和流程的组织和个人,均应承担公共数据安全责任。
第九条 公共管理和服务机构应遵循合法、必要、正当的原则,采集各类数据;采集公共数据应限定在必要范围内,不得超出公共管理和服务需要采集数据;采集公共数据应坚持一数一源,可以通过共享方式获得的数据原则上不得重复采集。
公共管理和服务机构采集个人数据的,应明确告知其使用的目的和范围,并经被采集人同意,法律、法规另有规定的除外。
采集公共数据不得侵犯国家秘密、商业秘密和个人隐私,不得损害被采集人和他人合法权益。
第十条 存储公共数据应根据数据类型、规模、用途、安全等级、重要程度等因素,选择与安全性能和防护级别相匹配的系统、介质、设施设备。其中,涉及个人信息等事项的重要数据应采用加密存储、身份鉴别和访问控制等措施,保障系统和数据安全。
公共数据平台等集中式数据存储中心,应根据国家相关技术标准、规范要求和保障数据安全需要,科学选址、规范建设,建立容灾备份、安全评价、日常巡查、防火防盗等安全管理制度,加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。
第十一条 传输公共数据应合理选择传输渠道,采取必要的安全措施,防止数据被窃取、泄露和篡改。
第十二条 加工使用公共数据应保护原始数据,不得随意更改、伪造,不得通过恶意处理导致数据毁灭性更改和永久性丢失。
第十三条 使用公共数据不得用于非法目的和用途,不得使用明知是通过攻击、窃取、恶意访问等非法方式获取的数据。
第十四条 销毁公共数据应根据数据安全管理需要,合理确定销毁方式和销毁要求。涉及商业秘密和个人信息等重要数据的,由销毁单位进行涵盖安全内容的风险评估,并向有关主管部门报送风险评估报告备案。
第十五条 公共管理和服务机构在使用公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、涉敏数据的,应进行涵盖安全内容的风险评估,征求公共数据开放专家委员会的意见,并根据评估和征求意见情况采取相应的安全措施。
第十六条 公共管理和服务机构依法通过委托方式开展数据活动的,应对服务提供方进行审查,与其签订安全保护和保密协议。
服务提供方应按照协议要求开展数据活动,不得违反规定将公共数据扩散或传播,不得泄露、篡改、损毁、出售或者非法向他人提供公共数据。
第十七条 从事公共数据处理相关服务的机构,法律、行政法规规定应取得行政许可的,服务提供者应依法取得许可。
第三章 监督管理
第十八条 政府要建立统一的公共数据安全监管平台,监测数据安全状况,收集数据安全信息,分析评估并发布公共数据安全监测预警信息,统筹协调处置公共数据重大安全事件。
第十九条 网信部门要负责会同公安、密码管理等具有网络安全管理职能的部门建立健全公共数据安全监督机制,组织对数据安全进行监督检查。
第二十条 公安机关要加强数据安全风险分析、预测、评估,收集相关信息,发现可能出现较大范围黑客攻击、病毒蔓延或者其他导致大范围数据泄露、损毁、丢失、篡改等安全事件时,应及时发布预警信息,提出防范应对措施,指导、监督公共数据安全责任主体做好安全防范工作。
第二十一条 密码管理部门要建立公共数据密码应用监管平台,按照法律、法规要求,加强对关键信息基础设施、政务信息化系统、网络安全等级保护三级以上系统及其他重要信息系统密码应用的指导、监督和检查,确保管理和技术防范措施正常运行,公共数据安全得到保障。
第二十二条 行业主管部门要负责监测本行业、本领域公共数据安全状况,及时收集相关信息,开展安全分析评估,发布风险预警,采取措施避免或减轻危害。
第四章 支持与保障
第二十三条 政府要依法依规支持数据安全技术创新,推进数字安全产业园区或基地建设,支持研发、生产、检测、应用、培训等全链条数据安全产业发展。
第二十四条 市级相关部门要依法依规对数据安全产业发展提供政策支撑。
科技部门要支持科研机构和企事业单位加大数据安全研发投入,开展数据安全技术创新和关键技术攻关,形成一批数据安全产业重大科技成果转化。支持企业在德阳设立数据安全重点实验室。
经信部门要鼓励相关部门和企业建立全方位、立体型数据安全防护体系,支持其采用先进商用密码算法对核心数据进行加密存储,确保数据可靠性、完整性和可用性得到保护。引入业内网络安全龙头企业定期开展漏洞检测,及时解决数据安全隐患,防止发生重大数据安全事件。
发改部门要支持数据安全监测平台、容灾备份系统、安全保障体系等项目建设。对重要信息系统建设项目,要求建设单位在立项审批环节明确密码应用方案,并就可行性研究报告征求密码管理部门意见。
大数据管理部门要加强城市公共数据平台的安全管理,保障平台运行安全可靠;明确数据开放主体和数据使用主体在开放平台上的行为规范,对公共数据的存储、传输、使用等环节建立透明化、可审计、可追溯的全过程管理机制;结合公共数据安全管理、个人信息保护和应用等要求,制定本市公共数据分类分级规则;对已经开放的公共数据使用情况进行跟踪和服务,收集有关数据开放的意见建议,并将其反馈给数据开放主体。
符合国家税收优惠政策规定的数据安全企业,依法享受税收优惠。
第二十五条 加强网络信息及数据安全人才的培养和引进,鼓励高等院校、科研院所开设数据安全专业课程;创新教育培养模式,鼓励校企联合、产学研结合,实行订单式培养,为数据安全提供人才支撑。
第二十六条 鼓励和支持开展数据安全知识宣传普及、教育培训,增强全市公共数据安全保护意识,推动有关部门、行业组织、科研机构、企业和个人共同参与数据安全保护工作,提高数据安全风险管理能力。
第二十七条 鼓励和支持行业组织、机构和企业成立安全联盟、行业协会等社会组织,开展行业自律、安全技术研究,指导加强数据安全保护工作,提高数据安全保护水平,促进数据安全产业健康发展。
第五章 法律责任
第二十八条 网信、公安、密码管理等部门及其工作人员未按照规定履行公共数据安全监督管理职责的,由同级人民政府或上级主管部门责令整改;情节严重的,由有权机关对直接负责的主管人员和直接责任人依法给予处分。
第二十九条 公共管理和服务机构及其工作人员未按照规定履行公共数据安全管理责任的,由同级人民政府或上级主管部门责令整改;情节严重的,对直接负责的主管人员和直接责任人依法给予处分;构成犯罪的,依法追究法律责任。
第三十条 其他从事公共数据采集、存储、清洗、共享、开放、使用、传输和销毁业务的企事业单位及其工作人员,未履行公共数据安全管理责任的,由有权机关责令整改;构成犯罪的,依法追究法律责任。
第六章 附 则
第三十一条 本办法自印发之日起施行。
文章内容来自网络,如有侵权,联系删除、联系电话:023-85238885
龙智造旗下工业资讯
