附件1

石家莊市公共數(shù)據(jù)開發(fā)利用安全管理辦法

（征求意見稿）

第一章 總則

第一條 為了規(guī)范公共數(shù)據(jù)處理活動，保障公共數(shù)據(jù)安全，促進數(shù)據(jù)資源有序開發(fā)利用，保護個人、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中共中央 國務院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》《河北省數(shù)字經(jīng)濟促進條例》等有關(guān)法律法規(guī)規(guī)定，結(jié)合本市實際，制定本辦法。

第二條 本市行政區(qū)域內(nèi)公共管理服務機構(gòu)和市場主體開展公共數(shù)據(jù)處理活動及其安全監(jiān)管，適用本辦法。

涉及國家秘密的公共數(shù)據(jù)及相關(guān)處理活動，按照有關(guān)法律、法規(guī)的規(guī)定執(zhí)行。

第三條 本辦法所稱公共數(shù)據(jù)開發(fā)利用，是指基于可信的安全環(huán)境，對公共數(shù)據(jù)進行存儲、使用、加工、傳輸以實現(xiàn)公共數(shù)據(jù)價值挖掘的相關(guān)活動。

第四條 公共數(shù)據(jù)開發(fā)利用安全管理應當堅持安全與發(fā)展并重，遵循統(tǒng)籌規(guī)劃、權(quán)責統(tǒng)一、綜合防范的原則，保障公共數(shù)據(jù)在依法合規(guī)地前提下進行開發(fā)利用和價值挖掘。

第五條 公共數(shù)據(jù)開發(fā)利用按照“誰管理誰負責、誰運營誰負責、誰使用誰負責”的原則，加強公共數(shù)據(jù)全生命周期安全和合法利用管理，確保數(shù)據(jù)來源可溯、去向可查，行為留痕、責任可究。

第二章 安全要求

第六條 本市公共數(shù)據(jù)運營平臺是本市依法合規(guī)開展公共數(shù)據(jù)開發(fā)利用的統(tǒng)一基礎(chǔ)設(shè)施。

運營單位和應用單位應依托公共數(shù)據(jù)運營平臺提供的安全可信環(huán)境進行公共數(shù)據(jù)的開發(fā)利用。

第七條 在公共數(shù)據(jù)開發(fā)利用過程中，運營單位、應用單位應當加強人員管理，明確在人員任用、人員培訓、人員考核、保密協(xié)議、離崗離職、外部人員管理等方面的管理規(guī)定并嚴格落實。運營單位、應用單位委托第三方服務機構(gòu)開展公共數(shù)據(jù)處理活動的，運營單位、應用單位應當對受托的第三方服務機構(gòu)加強監(jiān)督，受托的第三方服務機構(gòu)應當與相關(guān)人員簽訂保密協(xié)議，嚴格實施權(quán)限管理，定期進行人員活動審查。

第八條 在公共數(shù)據(jù)開發(fā)利用過程中，開展公共數(shù)據(jù)存儲活動時，應當根據(jù)需要采取脫敏、加密、校驗等措施，保障公共數(shù)據(jù)的存儲安全。針對重要數(shù)據(jù)和核心數(shù)據(jù)，應當建立數(shù)據(jù)容災備份及恢復機制。

應當依法或按照約定的方式和期限存儲數(shù)據(jù)。超過存儲期限的數(shù)據(jù)，應當利用不可恢復手段及時清除。

第九條 在公共數(shù)據(jù)開發(fā)利用過程中，開展公共數(shù)據(jù)傳輸活動時，應當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應用場景，制定安全策略并采取保護措施。公共數(shù)據(jù)數(shù)據(jù)傳輸應當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道等措施，保障公共數(shù)據(jù)傳輸過程可信、可控。

第十條 在公共數(shù)據(jù)開發(fā)利用過程中，開展公共數(shù)據(jù)加工時，應當在其履行法定職責的范圍內(nèi)依照法律、法規(guī)、規(guī)章規(guī)定的條件和程序使用加工數(shù)據(jù)，應當采取管控措施確保數(shù)據(jù)使用加工合規(guī)，過程安全可控、可溯源。使用加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應當加強訪問控制，建立登記、審批機制并留存記錄。

第十一條 使用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段開展公共數(shù)據(jù)加工處理活動時，應當采取安全技術(shù)措施防止敏感個人信息、商業(yè)秘密等信息的泄露。

第十二條 在公共數(shù)據(jù)使用過程中，不得超出合理范圍使用，不得濫用公共數(shù)據(jù)侵犯公共利益或者他人合法權(quán)益。

第三章 安全責任

第十三條 運營單位和應用單位應當加強網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理統(tǒng)籌規(guī)劃，強化制度建設(shè)、經(jīng)費投入、技術(shù)保障、人員管理，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全管理責任制，實施數(shù)據(jù)安全技術(shù)防護，加強權(quán)限管理，組織開展數(shù)據(jù)安全教育和培訓。

第十四條 運營單位和應用單位應當建立健全公共數(shù)據(jù)開發(fā)利用日常監(jiān)測、安全測評、風險評估、安全審查等機制，確保公共數(shù)據(jù)管理、需求審核、開發(fā)利用、技術(shù)支撐等全流程安全可控。

第十五條 運營單位和應用單位應當建立合規(guī)管理機制，對數(shù)據(jù)存儲、傳輸、使用、加工等全流程進行合規(guī)管理，定期進行合規(guī)評估。

第十六條 運營單位和應用單位應當制定數(shù)據(jù)安全事件應急處置預案，發(fā)生數(shù)據(jù)泄露、毀損、丟失等數(shù)據(jù)安全事件或重大風險時，應當立即啟動數(shù)據(jù)安全事件應急處置預案，并向市公共數(shù)據(jù)主管部門報告。

第十七條 運營單位和應用單位應當遵守相關(guān)規(guī)定，建立個人信息授權(quán)使用機制，并通過必要的技術(shù)防控措施，加強對信息主體和第三方合法權(quán)益的保護，防范國家秘密、商業(yè)秘密和個人隱私被泄露、非法獲取或者不當利用。

第十八條 運營單位和應用單位在公共數(shù)據(jù)開發(fā)利用過程中不得損害國家利益、社會公共利益和他人合法權(quán)益。如違反網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護有關(guān)法律法規(guī)規(guī)定的，由相關(guān)單位依法予以查處，將相關(guān)違規(guī)違法行為納入征信記錄。

第四章 安全監(jiān)管

第十九條 公共數(shù)據(jù)主管部門應當建立健全安全監(jiān)督管理機制，對公共數(shù)據(jù)開發(fā)利用安全合規(guī)監(jiān)督檢查，并督促整改落實。

運營單位和應用單位在開展公共數(shù)據(jù)開發(fā)利用過程中，應當記錄全生命周期數(shù)據(jù)處理、權(quán)限管理、配置管理等信息，并對異常操作行為進行監(jiān)控和告警，保障重要操作行為可溯源。信息留存時間不少于六個月，并定期進行安全審計，運營單位和應用單位應當配合公共數(shù)據(jù)主管部門組織的數(shù)據(jù)安全監(jiān)督檢查活動。

第二十條 運營單位和應用單位委托第三方服務機構(gòu)開展公共數(shù)據(jù)加工的，應當對受托的第三方服務機構(gòu)數(shù)據(jù)安全保護能力、資質(zhì)進行核實，確保符合國家、行業(yè)主管部門的相關(guān)要求。

第五章 附則

第二十一條 本辦法自印發(fā)之日起施行。國家或本省對公共數(shù)據(jù)開發(fā)利用安全管理有新規(guī)定的，從其規(guī)定。

第二十二條 本辦法由市數(shù)據(jù)局承擔具體解釋工作。