为维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进和规范本市公共数据的安全管理,市大数据局组织起草了《宁波市公共数据安全管理暂行规定(草案送审稿)》,并已上报市政府,目前正处于市司法局审查、调研论证阶段。为广泛听取社会各界意见和建议,提高立法质量,现向社会公开征求意见,广大市民、社会各界人士可于2020年7月30日前通过以下方式对草案送审稿提出修改意见或建议。
登陆宁波司法行政网( sfj.ningbo.gov.cn),通过网站首页中部的《宁波地方立法草案意见征集系统》,对草案送审稿提出意见。
二、通过信函方式将意见寄至宁波市司法局立法一处(邮政编码:315040,地址:宁波市中兴路746号)。
宁波市司法局
2020年6月30日
附件1
宁波市公共数据安全管理暂行规定(草案送审稿)
第一条【目的和依据】为维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进和规范本市公共数据的安全管理,根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《浙江省公共数据与电子政务管理办法》、《浙江省公共数据开放和安全管理暂行办法》等法律法规规章,结合本市实际,制定本规定。
第二条【适用范围】在本市行政区域内公共管理和服务机构关于公共数据的采集、归集、存储、传输、清洗、加工、共享、开放、利用和销毁等全生命周期内的活动,以及有关部门开展公共数据安全保护和监督管理工作,应当遵守本规定。涉及国家秘密的公共数据安全管理工作,应当遵守保密法律法规的规定予以处理。
本规定所称的公共管理和服务机构,是指本市各级行政机关以及具有公共管理和服务职能的事业单位。本规定所称的公共数据,是指公共管理和服务机构在依法履行职责过程中获得的各类数据资源。
第三条【基本原则】公共数据安全管理应当采取政府主导、分工负责、积极防御、综合防范、保护隐私的方针,坚持安全与发展并重、管理与技术兼顾的原则,保障公共数据依法有序安全管理。
第四条【政府职责】市人民政府统一领导本市公共数据安全管理工作。各区、县(市)人民政府领导本辖区公共数据安全管理工作。
第五条【部门职责】市网信部门负责统筹协调、指导监督本市公共数据安全保护工作。
市大数据局是公共数据行业主管部门,负责市大数据中心平台、公共数据共享和开放平台等基础设施技术防护体系建设,保障公共数据在集中归集、存储、清洗、加工、共享、开放时的安全。
公共管理与服务机构按照“谁持有、谁负责,谁使用、谁负责”原则,做好公共数据安全保护工作。
第六条【安全管理】公共管理与服务机构应当建立本单位所管理和使用公共数据的安全和管理制度,明确安全管理负责人,制定公共数据及相关信息系统的安全应急预案并定期开展安全评测、风险评估和应急演练,采取安全保护技术措施,防止公共数据丢失、毁损、泄露和篡改。发生重大公共数据安全事故时,应当立即启动应急预案,及时采取补救措施,告知可能受到影响的用户,并按照规定向信息安全行政主管部门报告。
第七条【数据采集安全】公共管理和服务机构在依法履行职责过程中应当遵循合法、必要、正当的原则,在公共管理和服务范围内采集各类数据时,所采集的方式、要素、周期等内容应随同信息系统信息向公共数据主管部门报备。公民、法人和其他组织可以选择提供信息的方式,公共管理和服务机构不得强制采用特定方式验证。
除法律、法规另有规定外,采集含有个人信息的公共数据应当向被采集人公开采集利用规则,明示采集、利用的目的、方式和范围,征得被采集人的同意,并不得有下列行为:
(一)采集与其提供的服务无关的个人信息数据;
(二)未经被采集人同意向他人提供个人信息数据;
(三)非法采集、存储、利用的个人信息数据;
(四)其他违法采集、利用个人信息数据的行为。
对采集未成年人个人信息数据法律法规另有规定的,从其规定。个人信息安全、数据安全等领域已有国家、行业相关标准和规范的,依照有关法律、法规和规范执行。
国家和公共安全机关依据有关法律法规,为维护社会秩序和社会公共安全,在依法履职过程中可以在不征求公民、法人和其他组织同意情况下采集相关数据。
第八条【数据归集加工安全】公共管理和服务机构在归集和加工处理公共数据过程中,应当保持原始数据值不变,未经数据提供单位或本人同意,不得改变原始数据值。
公共管理和服务机构在数据关联、分析、挖掘等加工处理过程中取得的数据或得出的结论,可能涉密、涉敏的,应当进行安全评估,并根据评估意见和使用范围进行脱密、脱敏等处理和安全防护。
公共管理和服务机构在数据关联、分析、挖掘等加工处理过程中取得的数据或得出的结论,可能危害国家安全、损害国家和社会公共利益的,不得使用、传播,并应当立即停止相关活动,报公安机关依法予以处理。
第九条【数据共享安全】公共管理和服务机构内部之间对公共数据进行共享时,公共数据主管部门依据数据共享属性实施无条件共享或有条件共享。
通过共享获取的公共数据,应当用于本部门履行职责需要,不得以任何形式提供给第三方,也不得用于或者变相用于其他目的。
第十条【数据开放安全】公共管理和服务机构应当按照国家、省、市相关法律、法规和规章以及其他相关规定,对拟开放的公共数据进行安全风险评估,涉及国家秘密、国家安全、商业秘密和个人隐私的公共数据不得向社会开放,不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。
公民、法人和其他组织认为开放的公共数据侵犯其商业秘密、个人隐私等合法权益的,有权要求提供公共数据开放服务的公共管理和服务机构按规定中止、撤回已开放数据。
第十一条【数据存储安全】公共管理和服务机构应当根据公共数据类型、规模、用途、安全等级、重要程度等因素选择相应安全性能和防护级别的系统、介质、设施设备,并采取相应的管控和安全备份措施。
市大数据中心平台作为全市公共数据集中归集存储中心,应当根据国家相关技术标准、规范要求和保障公共数据安全需要,科学选址,规范建设,建立容灾备份、安全评价、日常巡查管理、防火防盗等安全管理制度,加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。
第十二条【数据传输安全】公共数据主管部门应当制定公共数据安全传输规定。公共管理和服务机构(字体不一致)根据所要传输的公共数据及信息系统安全保护等级采取相应的网络传输策略并执行。
第十三条【数据销毁安全】不需要继续使用或者继续保存特定公共数据,将损害国家、社会、公民、法人、其它组织权益的,公共管理和服务机构应当按照相关法律法规,将特定公共数据及相关存储介质移交保密资料定点销毁机构进行销毁。
第十四条【个人隐私保护】公共管理和服务机构及其工作人员对其在履职过程中知悉的个人信息负有保密义务,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十五条【突发事件中数据安全】县(区)级以上进入应急响应后,公共管理和服务机构按照突发事件应对有关法律、法规规定,可以要求公民、法人和其他组织提供突发事件应对所需的相关数据,包括并不限于自然人的活动轨迹位置等信息。
应急响应取消后,公共管理和服务机构应当对从公民、法人和其他组织获得的公共数据进行分类评估,将其中涉及国家秘密、自然人活动轨迹位置等隐私数据进行封存或者销毁等安全处理,并终止相关数据应用。法律、法规另有规定的,从其规定。
第十六条【服务外包数据安全】公共管理和服务机构将公共数据管理和利用进行服务外包或聘请其它单位人员进行管理和操作时,应当依法与外包服务提供者签订安全责任协议,并采取必要的安全管理保护措施,加强监督管理。
外包服务者对所使用的公共数据不具有所有权和处置权,不得将公共数据进行扩散和传播。外包服务结束后,公共管理和服务机构应立即清除外包服务者相关帐号、密码及数据。
第十七条【监督管理】公共管理与服务机构应当履行以下管理职责:
(一)县级以上人民政府应当建立健全公共数据安全工作监督检查机制,明确监督检查的牵头部门、责任分工、内容、重点、目标、方式和标准。监督检查的情况,应当在有关主管部门之间互通和共享。
(二)网信、公安机关应当监督、检查、指导安全责任单位建立、落实公共数据安全管理的各项制度和技术措施,依法查处公共数据安全违法案件。
(三)公共数据主管部门应当结合监督检查公共数据安全责任落实的情况,定期组织开展公共数据安全风险评估,发布评估报告。
(四)有关主管部门在监督检查、风险评估和攻防演练中,发现安全责任单位存在安全问题的,应当及时提出改进建议,发出整改意见并且督促整改。
(五)安全责任单位应当根据有关主管部门的整改意见进行整改,并且反馈整改情况。
第十八条【行政机关及其工作人员责任】公共数据管理部门与其他行政机关及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任:
(一)违法披露所获取的涉及个人信息、商业秘密的公共数据资源的;
(二)泄露、买卖所获取的公共数据资源的;
(三)非法复制、记录、储存公共数据资源的;
(四)未依法履行公共数据安全监管职责的;
(五)其他滥用职权、玩忽职守、徇私舞弊的行为。
