回顾 | 2020各地大数据开放及应用措施中的网络安全要求

随着公共数据的逐渐开放和大数据应用的不断铺开，2020年各地区公共数据开放及大数据应用条例不断推出，自上而下规范理顺管理体制、扩容数据开放范围、提升数据质量等，而各地政策条例中标配的网络风险防控与数据安全防护方面的相关要求无疑将对大数据开放利用、个人信息保护、数据安全等产生良性推动。

第三十一条 省人民政府应当建立数据安全工作领导协调机制，研究解决数据安全工作的重大事项，加强对大数据技术、服务、应用安全的风险评估和管理。

网信部门负责统筹协调大数据安全和相关监督管理工作；大数据发展应用、政务信息化、公安、国家安全、保密、密码管理、通信管理等主管部门按照各自职责，负责大数据安全相关监督管理工作。

第三十二条 数据采集、存储、开发、应用、服务、管理等单位应当按照国家网络安全等级保护、关键信息基础设施保护制度的要求，落实相关安全保护制度、标准和技术措施等。

产生、使用数据的程序、软件、系统和平台，在开发阶段应当进行安全可控修复手段的检测，保障数据的安全。

第三十三条 省人民政府政务信息管理部门应当建立健全大数据共享机制和分享流程，明确数据安全责任制。对数据流失、泄露、损毁的单位和个人由有关部门依法追究责任。

第四章 数据安全

第三十条 公共管理和服务机构应当将安全管理贯穿于公共数据采集、归集、清洗、共享、开放、利用和销毁的全过程,按照公共数据全生命周期管理,制定并实施有针对性的公共数据安全管理措施,防止公共数据被非法获取、篡改、泄露或者不当利用。

公共管理和服务机构应当落实公共数据安全管理要求,采取措施保护国家秘密、商业秘密和个人隐私。

第三十一条 公共管理和服务机构应当遵循合法、必要、正当的原则,采集各类数据;没有法律、法规依据,不得采集公民、法人和其他组织的相关数据;采集公共数据应当限定在必要范围内,不得超出公共管理和服务需要采集数据。

自然人向公共管理和服务机构申请办理各类事项时,有权选择核验身份信息的方式,公共管理和服务机构不得强制要求采用多种方式重复验证或者特定方式验证;已经通过身份证明文件验证身份的,不得强制通过采集人像等生物信息重复认证其身份。法律、法规、规章和国家另有规定或者自然人同意的除外。

第三十二条 公共管理和服务机构按照突发事件应对有关法律、法规规定,可以要求相关单位提供具有公共属性的数据,并向自然人采集应对突发事件相关的数据。

突发事件应对结束后,公共管理和服务机构应当对从其他单位和个人获得的公共数据进行分类评估,将其中涉及国家秘密、商业秘密和个人隐私的公共数据进行封存或者销毁等安全处理,并关停相关数据应用。法律、法规另有规定的,从其规定。

第三十三条 公共管理和服务机构在使用和处理公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、涉敏数据的,应当进行安全评估,征求专家委员会的意见,并根据评估和征求意见情况采取相应的安全措施。

第三十四条 公共数据开放主体应当按照国家和省有关规定完善公共数据开放安全措施,并履行下列公共数据安全管理职责:

(一)建立公共数据开放的预测、预警、风险识别、风险控制等管理机制;

(二)制定公共数据开放安全应急处置预案并定期组织应急演练;

(三)建立公共数据安全审计制度,对数据开放和利用行为进行审计追踪;

(四)对受限开放类公共数据的开放和利用全过程进行记录。省公共数据、网信主管部门应当会同同级有关部门制定公共数据开放安全规则。

第三十五条 公民、法人和其他组织认为开放的公共数据侵犯其商业秘密、个人隐私等合法权益的,有权要求公共数据开放主体中止、撤回已开放数据。

公共数据开放主体收到相关事实材料后,应当立即进行初步核实,认为必要的,应当立即中止开放;并根据最终核实结果,分别采取撤回数据、恢复开放或者处理后再开放等措施,有关处理结果应当及时告知当事人。

公共数据开放主体在日常监督管理过程中发现开放的公共数据存在安全风险的,应当立即采取中止、撤回开放等措施。

第三十六条 公共数据利用主体应当按照《中华人民共和国网络安全法》等法律、法规的规定,完善数据安全保护制度,履行公共数据开放利用协议约定的数据安全保护义务,建立公共数据利用风险评估和反馈机制,及时向公共数据开放主体报告公共数据利用过程中发现的各类数据安全问题。

第五章  安全管理

第三十七条 各级人民政府及其部门应当树立数据安全意识，提高数据安全保护能力，维护数据安全。

第三十八条 网信部门、公安部门、电信管理部门和其他有关部门依照有关法律、法规的规定，在各自职责范围内做好大数据安全保护工作，保障数据安全。

县级以上人民政府有关部门应当加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设，保障数据安全。

第三十九条 县级以上人民政府有关部门应当建立数据安全管理制度，明确数据采集、传输、存储、共享、开放、应用、删除和销毁等各环节保障数据安全的范围边界、责任主体和具体要求，加强公共数据资源的安全保护。第三十九条  县级以上人民政府有关部门应当建立数据安全管理制度，明确数据采集、传输、存储、共享、开放、应用、删除和销毁等各环节保障数据安全的范围边界、责任主体和具体要求，加强公共数据资源的安全保护。

第四十条 数据采集、存储、清洗、开发、应用、交易、发布、服务等单位应当履行下列安全保护义务：

（一）建立健全数据安全防护管理制度；

（二）制定数据安全应急预案，定期开展安全评测、风险评估和应急演练；

（三）采取安全保护技术措施，防止数据丢失、毁损、泄露和篡改，保障数据安全；

（四）发生重大数据安全事件时，应当立即启动应急预案，及时采取补救措施，告知可能受到影响的用户，并按照规定向有关主管部门报告；

（五）法律、法规规定的其他安全保护义务。

第四十一条 收集、存储、使用、加工、传输、提供、公开个人信息的数据，应当符合法律、行政法规的规定，不得泄露或者篡改其收集的个人信息；未经被收集者同意，不得向他人非法提供其个人信息。但是经过处理无法识别特定个人且不能复原的除外。

数据采集人、持有人、管理人和使用人应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第五章 数据安全管理

第八十九条【数据安全责任】

数据收集、处理者应当采取必要的安全措施保护个人数据和重要数据，防止数据泄露、毁损、丢失。在发生或者可能发生个人数据或重要数据泄露、毁损、丢失的情况时，数据收集、处理者应当立即采取补救措施，按照规定及时告知该自然人并向有关主管部门和市网络安全主管部门报告。

数据收集、处理者应当对数据收集、处理过程实施数据安全技术防护，并建立重要系统和核心数据的容灾备份制度。数据收集、处理者还应当对数据存储过程中身份鉴别、安全策略、异地备份、恢复等重要内容及相关操作进行安全审计。

数据收集、处理者委托第三方代为处理数据的，应当选取符合法律、法规及本条例的规定、满足相关国家标准的主体。

第九十条【数据收集安全】

数据收集者应当对数据源进行身份鉴别和记录，并对收集的数据进行分类分级编码标识，按照数据级别确定并实施必要的安全管理策略和保障措施。

第九十一条【数据处理安全】

数据收集、处理者应根据相关国家标准的要求，对所获取的个人数据予以去标识化处理，并与可恢复识别的个人数据分开存储。数据收集、处理者还应针对隐私数据、重要数据制定脱敏安全策略，并对数据脱敏处理过程进行记录。

第九十二条【数据开放共享安全】

数据开放、共享机构应建立数据开放、共享安全管理制度，建立健全对外数据接口的安全管理机制。

第九十三条【数据销毁安全】

数据收集、处理者应建立数据销毁规程,实现对数据的有效销毁，并应对数据销毁过程的相关操作予以记录。

数据收集、处理者委托第三方代为处理数据的，受托方处理完成后，应当对存储的数据及时有效销毁，法律、法规另有规定的除外。数据收集、处理者终止或解散的，没有数据承接方的，应当对数据及时有效销毁，法律、法规另有规定的除外。

第九十四条【数据跨境安全】

自然人、法人和非法人组织在中国境内收集的个人数据的处理活动应当在中国境内进行。因业务需要，确需向境外提供个人数据的应当获得该自然人明示同意，并向市网络安全主管部门申请个人数据出境安全评估。经安全评估认定个人数据出境可能影响国家安全、损害公共利益，或者难以有效保障个人数据安全的，不得出境。法律、法规另有规定的从其规定。

对于重要数据的出境，数据收集、处理者经行业主管部门同意后报市网络安全主管部门批准。

第九十五条【监测预警与应急处置】

数据收集、处理者应落实与数据级别相适应的监测预警措施，对隐私数据、重要数据泄漏等异常情况进行监测和预警。

数据收集、处理者应建立应急处置机制，数据安全应急预案应当按照数据安全事件发生后的危害程度、影响范围等因素对数据安全事件进行分级，并规定相应的应急处置措施。

当监测到发生数据泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，数据收集、处理者应当立即启动应急预案，采取相应的补救措施，并在72小时内向有关主管部门和市网络安全主管部门报告。

第九十六条【安全评估与认证】

市网络安全主管部门应当建立数据安全评估和认证制度，推动数据安全合规性认证，提升数据安全保护水平。

鼓励数据收集、处理者自愿接受数据安全合规性检测认证，提升市场竞争力。

第六章 交易安全

第二十七条【安全风险评估】 数据供方应对交易数据进行安全风险评估，出具安全风险评估报告。数据交易服务机构应对交易数据的安全风险评估报告进行审核，确保交易数据不包含禁止交易的数据。

第二十八条【安全防护】 数据交易服务机构应依照法律、行政法规和国家标准的强制性要求，建立健全全流程数据安全管理制度，组织开展安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

第二十九条【交易数据保护】 数据交易服务机构应为数据供需双方提供匿名、泛化、随机、加密等脱敏机制与措施，保护重要数据和个人敏感信息。数据交易服务机构应为数据供需双方提供数据销毁措施和第三方监督机制，确保数据可按照约定在交易结束后被完全销毁。

第三十条【事件应急】 数据交易服务机构应制定数据安全事件应急预案，定期组织应急演练，提升数据安全事件应对能力。发生泄露、篡改、损毁等数据安全事件，或者数据安全风险明显加大时，数据交易服务机构应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知数据供需双方，并向有关部门报告。

第五章 监督保障

第二十五条 根据法律法规和信息安全相关标准要求，市大数据管理中心应加强开放平台的安全管理，建立健全安全防护措施，保障安全可靠运行。

第二十六条 资源提供单位负责制定本部门资源开放安全管理制度，结合相关法律法规要求，做好资源开放前的保密审查和安全风险评估。

第二十七条 资源提供单位应对有条件开放的公共数据资源使用情况进行跟踪，核实资源利用主体的履约情况。

第二十八条 资源利用主体应遵守开放平台使用要求和公共数据资源使用协议规定，在利用开放资源的过程中，采取必要的安全保障措施，并接受有关部门的监督检查。

第二十二条 行政机关在开放政府数据前，应当对拟开放的敏感数据进行脱敏处理，防止泄露国家秘密、商业秘密、个人信息和隐私。

第三十条 政府数据开发利用应当遵循合法、正当、安全的原则，不得损害国家利益、社会公共利益和第三方合法权益。

第三十三条 县级以上人民政府及其部门应当加强政府数据共享开放的安全管理，做好政府数据保密审查和风险防范，定期开展安全培训、风险评估等工作。

行政机关为提升政府数据质量委托第三方开展政府数据规范治理等工作的，应当履行安全管理责任，通过签订保密协议、技术监测等措施，保障政府数据安全。

第三十四条 政府数据共享平台、开放平台应当具备数据调度溯源功能，调度与操作记录应当长期保存，每年定期进行安全检测评估。

第三十五条 法人或者其他组织对政府数据开展脱敏、清洗、加工、建模、分析等数据服务时，应当构建安全可靠的数据开发环境，依照法律、法规履行安全管理责任，保护政府数据免受泄露、窃取、篡改、毁损与非法使用。