本規定所稱的公***數據,是指行政機關以及履行公***管理和服務職能的事業單位(以下統稱公***管理和服務機構)在依法履行職責過程中獲得的各類數據資源。第三條 公***數據安全管理應當堅持政府主導、綜合防範、保護隱私、兼顧發展的原則。
公***數據安全管理應當貫穿於公***數據的采集、歸集、清洗、***享、開放、使用、傳輸和銷毀等生命周期全過程。第四條 市大數據發展管理部門是本市公***數據安全管理工作的主管部門,負責本市公***數據安全的組織協調、統籌規劃和監督管理工作。區縣(市)人民政府確定的大數據發展管理部門是本行政區域內公***數據安全管理工作的主管部門,負責公***數據安全的相關監督管理工作。
市、區縣(市)網信、公安、通信、保密、密碼管理等部門按照各自職責做好公***數據安全的監督管理工作。第五條 公***管理和服務機構對職責範圍內的公***數據安全管理承擔主體責任,履行下列職責:
(壹)明確本機構安全管理責任組織和人員,負責公***數據安全管理工作;
(二)編制本機構公***數據目錄,明確數據***享和開放屬性,落實分類分級管理制度;
(三)制定本機構公***數據安全管理制度和操作規程,落實網絡安全等級保護制度;
(四)采取防範計算機病毒和危害網絡安全行為、日誌記錄和監測、數據備份和加密等技術措施,定期開展公***數據安全風險評估:
(五)制定公***數據安全應急處置預案,定期組織應急演練;
(六)發生數據安全事件時,立即采取處置措施,並及時向公安機關等部門報告;
(七)對本機構公***數據服務外包活動開展安全審查;
(八)定期開展公***數據安全教育和技術培訓;
(九)其他公***數據安全管理工作。第六條 公***管理和服務機構應當遵循合法、必要、正當的原則采集各類數據;無法律、法規依據,不得采集公民、法人和其他組織的相關數據;采集公***數據應當限定在必要範圍內,不得超出公***管理和服務需要采集數據,可以通過***享方式獲得的數據不得重復采集。
公***管理和服務機構應當對數據采集的環境、設施、網絡、系統等采取必要的安全防護措施,不得利用私人設備采集公***數據。第七條 除法律、法規另有規定外,公***管理和服務機構采集公***數據時涉及個人信息的,應當告知其采集的目的、方式和範圍。
除法律、法規另有規定外,公***管理和服務機構在公***場所設置數據采集設施、設備采集信息的,應當設置明顯標識。
個人可以向公***管理和服務機構查閱或者復制涉及本人信息的數據,發現存在錯誤的,有權提出異議並要求公***管理和服務機構及時采取更正等必要措施。第八條 公***管理和服務機構在公***數據處理過程中應當遵守下列規定:
(壹)未經數據提供單位或者被采集人同意,不得改變原始數據值;
(二)在公***數據匯聚、挖掘等處理過程中獲得的數據或者得出的結論,可能涉密、涉敏或者危害國家安全、損害國家利益、公***利益的,應當進行安全風險評估。
公***管理和服務機構不得對外使用、傳播前款第二項獲得的數據或者得出的結論。第九條 公***管理和服務機構應當按照公***數據的***享屬性將其分為無條件***享類、受限***享類、非***享類,並實行分級管理。其中,對非***享類公***數據實行負面清單管理制度,具體由市大數據發展管理部門會同有關部門另行制定。第十條 公***管理和服務機構應當按照公***數據的開放屬性將其分為無條件開放類、受限開放類和禁止開放類,並實行分級管理。
公***管理和服務機構擬將公***數據對外開放的,應當按照規定進行安全風險評估。
公民、法人和其他組織認為開放的公***數據侵犯其商業秘密、個人隱私等合法權益的,有權要求提供公***數據開放服務的公***管理和服務機構按照規定中止、撤回開放的數據。第十壹條 公***管理和服務機構通過***享獲得的公***數據,除用於本機構履行職責外,不得用於其他用途。
公***管理和服務機構應當采取必要的電子簽名、權限控制、訪問控制、日誌審計等技術管控措施確保公***數據在使用中安全可控、可溯源。
鼓勵高等院校、科研機構和市場主體開展數據安全與隱私保護等技術研究,提高公***數據使用安全管理水平。