宁波市公共数据安全管理暂行规定
本规定所称公共* * *数据,是指行政机关和履行公共* * *管理和服务职能的事业单位(以下简称公共* * *管理和服务机构)在依法履行职责过程中获取的各类数据资源。第三条公共数据安全管理应当坚持政府主导、综合防范、保护隐私、促进发展的原则。
公共数据安全管理应当贯穿公共数据采集、收集、清理、共享、开放、使用、传输和销毁的全生命周期。第四条市大数据发展管理部门是本市公共数据安全管理的主管部门,负责本市公共数据安全的组织协调、统筹规划和监督管理。县(市)人民政府确定的大数据发展管理部门是本行政区域内公共数据安全管理的主管部门,负责公共数据安全的相关监督管理。
市、县(市)网信、公安、通信、保密、密码管理等部门应当按照各自职责,做好公共数据安全的监督管理工作。第五条公共* * *管理服务机构对其职责范围内的公共* * *数据安全管理负主要责任,并履行下列职责:
(一)明确负责本机构安全管理的机构和人员,负责公共数据的安全管理;
(二)编制本机构的公共数据目录,明确数据* * *享有和开放属性,实行分级管理制度;
(三)制定本机构公共数据安全的管理制度和操作规程,落实网络安全等级保护制度;
(四)采取防范计算机病毒和危害网络安全行为、日志记录和监控、数据备份和加密等技术措施,定期开展公共数据安全风险评估:
(五)制定公共数据安全应急预案,并定期组织应急演练;
(六)发生数据安全事件时,立即采取措施,并及时向公安机关等部门报告;
(七)对本机构的公共数据服务外包活动进行安全审查;
(八)定期开展公共数据安全教育和技术培训;
(九)其他公共数据安全管理。第六条公共管理和服务机构收集各类数据应当遵循合法、必要、正当的原则;没有法律法规依据,不得收集公民、法人和其他组织的相关数据;对公共* * *数据的收集应当限制在必要的范围内,不得超过公共* * *管理和服务所收集的数据,不得重复收集通过* * *享受可以获得的数据。
公共* * *管理和服务机构应当对数据采集环境、设施、网络和系统采取必要的安全保护措施,不得使用私有设备采集公共* * *数据。第七条除法律法规另有规定外,公共管理和服务机构收集公共数据时,应当告知其收集的目的、方式和范围。
除法律法规另有规定外,公共管理和服务机构在公共场所设置数据采集设施、设备采集信息时,应当设置明显标志。
个人可以向公共管理和服务机构查阅或者复制与自身信息相关的数据。发现错误的,有权提出异议,要求公共管理和服务机构及时采取更正等必要措施。第八条公共* * *管理和服务机构在公共* * *数据处理过程中应当遵守下列规定:
(一)未经数据提供者或者被收集者同意,不得改变原始数据值;
(二)公开数据收集、挖掘过程中获得的数据或者结论可能涉及涉密、敏感或者危害国家安全、损害国家利益和公共利益的,应当进行安全风险评估。
公共* * *管理和服务机构不得使用或者传播前款第二项所获得的数据或者结论。第九条公共* * *管理和服务机构应当根据其* * *享受属性,将公共* * *数据分为无条件* * *享受类、限制* * *享受类和非* * *享受类,实行分级管理。其中,对非* *公开* *数据实行负面清单管理制度,由市大数据发展管理部门会同相关部门另行制定。第十条公共* * *管理和服务机构应当根据公共* * *数据的开放性质,将其分为无条件开放类、限制开放类和禁止开放类,并实行分级管理。
公共* * *管理和服务机构拟公开公共* * *数据的,应当按照规定进行安全风险评估。
公开公共数据侵犯其商业秘密、个人隐私等合法权益的公民、法人和其他组织,有权要求提供公共数据开放服务的公共管理和服务机构按照规定暂停或者撤回公开数据。第十一条公共* * *管理和服务机构通过* * *获取的公共* * *数据,除用于履行职责外,不得用于其他目的。
公共管理和服务机构应当采取电子签名、权限控制、访问控制、日志审计等必要的技术控制措施,确保公共数据在使用中的安全、可控和可追溯。
鼓励高等院校、科研机构和市场主体开展数据安全和隐私保护技术研究,提高公共数据使用安全管理水平。