宁波市公***数据安全管理暂行规定
第一条 为了保障公***数据安全,促进和规范公***数据使用,根据《中华人民***和国网络安全法》《浙江省公***数据和电子政务管理办法》《浙江省公***数据开放与安全管理暂行办法》等规定,结合本市实际,制定本规定。第二条 本市行政区域内公***数据的安全管理活动,适用本规定。法律、法规和浙江省人民政府规章另有规定的,从其规定。
本规定所称的公***数据,是指行政机关以及履行公***管理和服务职能的事业单位(以下统称公***管理和服务机构)在依法履行职责过程中获得的各类数据资源。第三条 公***数据安全管理应当坚持政府主导、综合防范、保护隐私、兼顾发展的原则。
公***数据安全管理应当贯穿于公***数据的采集、归集、清洗、***享、开放、使用、传输和销毁等生命周期全过程。第四条 市大数据发展管理部门是本市公***数据安全管理工作的主管部门,负责本市公***数据安全的组织协调、统筹规划和监督管理工作。区县(市)人民政府确定的大数据发展管理部门是本行政区域内公***数据安全管理工作的主管部门,负责公***数据安全的相关监督管理工作。
市、区县(市)网信、公安、通信、保密、密码管理等部门按照各自职责做好公***数据安全的监督管理工作。第五条 公***管理和服务机构对职责范围内的公***数据安全管理承担主体责任,履行下列职责:
(一)明确本机构安全管理责任组织和人员,负责公***数据安全管理工作;
(二)编制本机构公***数据目录,明确数据***享和开放属性,落实分类分级管理制度;
(三)制定本机构公***数据安全管理制度和操作规程,落实网络安全等级保护制度;
(四)采取防范计算机病毒和危害网络安全行为、日志记录和监测、数据备份和加密等技术措施,定期开展公***数据安全风险评估:
(五)制定公***数据安全应急处置预案,定期组织应急演练;
(六)发生数据安全事件时,立即采取处置措施,并及时向公安机关等部门报告;
(七)对本机构公***数据服务外包活动开展安全审查;
(八)定期开展公***数据安全教育和技术培训;
(九)其他公***数据安全管理工作。第六条 公***管理和服务机构应当遵循合法、必要、正当的原则采集各类数据;无法律、法规依据,不得采集公民、法人和其他组织的相关数据;采集公***数据应当限定在必要范围内,不得超出公***管理和服务需要采集数据,可以通过***享方式获得的数据不得重复采集。
公***管理和服务机构应当对数据采集的环境、设施、网络、系统等采取必要的安全防护措施,不得利用私人设备采集公***数据。第七条 除法律、法规另有规定外,公***管理和服务机构采集公***数据时涉及个人信息的,应当告知其采集的目的、方式和范围。
除法律、法规另有规定外,公***管理和服务机构在公***场所设置数据采集设施、设备采集信息的,应当设置明显标识。
个人可以向公***管理和服务机构查阅或者复制涉及本人信息的数据,发现存在错误的,有权提出异议并要求公***管理和服务机构及时采取更正等必要措施。第八条 公***管理和服务机构在公***数据处理过程中应当遵守下列规定:
(一)未经数据提供单位或者被采集人同意,不得改变原始数据值;
(二)在公***数据汇聚、挖掘等处理过程中获得的数据或者得出的结论,可能涉密、涉敏或者危害国家安全、损害国家利益、公***利益的,应当进行安全风险评估。
公***管理和服务机构不得对外使用、传播前款第二项获得的数据或者得出的结论。第九条 公***管理和服务机构应当按照公***数据的***享属性将其分为无条件***享类、受限***享类、非***享类,并实行分级管理。其中,对非***享类公***数据实行负面清单管理制度,具体由市大数据发展管理部门会同有关部门另行制定。第十条 公***管理和服务机构应当按照公***数据的开放属性将其分为无条件开放类、受限开放类和禁止开放类,并实行分级管理。
公***管理和服务机构拟将公***数据对外开放的,应当按照规定进行安全风险评估。
公民、法人和其他组织认为开放的公***数据侵犯其商业秘密、个人隐私等合法权益的,有权要求提供公***数据开放服务的公***管理和服务机构按照规定中止、撤回开放的数据。第十一条 公***管理和服务机构通过***享获得的公***数据,除用于本机构履行职责外,不得用于其他用途。
公***管理和服务机构应当采取必要的电子签名、权限控制、访问控制、日志审计等技术管控措施确保公***数据在使用中安全可控、可溯源。
鼓励高等院校、科研机构和市场主体开展数据安全与隐私保护等技术研究,提高公***数据使用安全管理水平。