为深化数据要素市场化配置改革,加快推动公共数据社会化应用,助力经济社会高质量发展,市数字政府建设领导小组办公室起草了《石家庄市公共数据开发利用安全管理办法(征求意见稿)》《石家庄市公共数据产品合规审查管理办法(征求意见稿)》《石家庄市公共数据运营纠纷管理办法(征求意见稿)》,现面向社会公开征求意见,欢迎社会各界提出宝贵的意见建议。
附件1
石家庄市公共数据开发利用安全管理办法
(征求意见稿)
第一章 总则
第一条 为了规范公共数据处理活动,保障公共数据安全,促进数据资源有序开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《河北省数字经济促进条例》等有关法律法规规定,结合本市实际,制定本办法。
第二条 本市行政区域内公共管理服务机构和市场主体开展公共数据处理活动及其安全监管,适用本办法。
涉及国家秘密的公共数据及相关处理活动,按照有关法律、法规的规定执行。
第三条 本办法所称公共数据开发利用,是指基于可信的安全环境,对公共数据进行存储、使用、加工、传输以实现公共数据价值挖掘的相关活动。
第四条 公共数据开发利用安全管理应当坚持安全与发展并重,遵循统筹规划、权责统一、综合防范的原则,保障公共数据在依法合规地前提下进行开发利用和价值挖掘。
第五条 公共数据开发利用按照“谁管理谁负责、谁运营谁负责、谁使用谁负责”的原则,加强公共数据全生命周期安全和合法利用管理,确保数据来源可溯、去向可查,行为留痕、责任可究。
第二章 安全要求
第六条 本市公共数据运营平台是本市依法合规开展公共数据开发利用的统一基础设施。
运营单位和应用单位应依托公共数据运营平台提供的安全可信环境进行公共数据的开发利用。
第七条 在公共数据开发利用过程中,运营单位、应用单位应当加强人员管理,明确在人员任用、人员培训、人员考核、保密协议、离岗离职、外部人员管理等方面的管理规定并严格落实。运营单位、应用单位委托第三方服务机构开展公共数据处理活动的,运营单位、应用单位应当对受托的第三方服务机构加强监督,受托的第三方服务机构应当与相关人员签订保密协议,严格实施权限管理,定期进行人员活动审查。
第八条 在公共数据开发利用过程中,开展公共数据存储活动时,应当根据需要采取脱敏、加密、校验等措施,保障公共数据的存储安全。针对重要数据和核心数据,应当建立数据容灾备份及恢复机制。
应当依法或按照约定的方式和期限存储数据。超过存储期限的数据,应当利用不可恢复手段及时清除。
第九条 在公共数据开发利用过程中,开展公共数据传输活动时,应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。公共数据数据传输应当采取校验技术、密码技术、安全传输通道等措施,保障公共数据传输过程可信、可控。
第十条 在公共数据开发利用过程中,开展公共数据加工时,应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使用加工数据,应当采取管控措施确保数据使用加工合规,过程安全可控、可溯源。使用加工重要数据和核心数据的,还应当加强访问控制,建立登记、审批机制并留存记录。
第十一条 使用数据挖掘、关联分析等技术手段开展公共数据加工处理活动时,应当采取安全技术措施防止敏感个人信息、商业秘密等信息的泄露。
第十二条 在公共数据使用过程中,不得超出合理范围使用,不得滥用公共数据侵犯公共利益或者他人合法权益。
第三章 安全责任
第十三条 运营单位和应用单位应当加强网络安全和数据安全管理统筹规划,强化制度建设、经费投入、技术保障、人员管理,建立健全数据安全管理制度,落实数据安全管理责任制,实施数据安全技术防护,加强权限管理,组织开展数据安全教育和培训。
第十四条 运营单位和应用单位应当建立健全公共数据开发利用日常监测、安全测评、风险评估、安全审查等机制,确保公共数据管理、需求审核、开发利用、技术支撑等全流程安全可控。
第十五条 运营单位和应用单位应当建立合规管理机制,对数据存储、传输、使用、加工等全流程进行合规管理,定期进行合规评估。
第十六条 运营单位和应用单位应当制定数据安全事件应急处置预案,发生数据泄露、毁损、丢失等数据安全事件或重大风险时,应当立即启动数据安全事件应急处置预案,并向市公共数据主管部门报告。
第十七条 运营单位和应用单位应当遵守相关规定,建立个人信息授权使用机制,并通过必要的技术防控措施,加强对信息主体和第三方合法权益的保护,防范国家秘密、商业秘密和个人隐私被泄露、非法获取或者不当利用。
第十八条 运营单位和应用单位在公共数据开发利用过程中不得损害国家利益、社会公共利益和他人合法权益。如违反网络安全、数据安全、个人信息保护有关法律法规规定的,由相关单位依法予以查处,将相关违规违法行为纳入征信记录。
第四章 安全监管
第十九条 公共数据主管部门应当建立健全安全监督管理机制,对公共数据开发利用安全合规监督检查,并督促整改落实。
运营单位和应用单位在开展公共数据开发利用过程中,应当记录全生命周期数据处理、权限管理、配置管理等信息,并对异常操作行为进行监控和告警,保障重要操作行为可溯源。信息留存时间不少于六个月,并定期进行安全审计,运营单位和应用单位应当配合公共数据主管部门组织的数据安全监督检查活动。
第二十条 运营单位和应用单位委托第三方服务机构开展公共数据加工的,应当对受托的第三方服务机构数据安全保护能力、资质进行核实,确保符合国家、行业主管部门的相关要求。
第五章 附则
第二十一条 本办法自印发之日起施行。国家或本省对公共数据开发利用安全管理有新规定的,从其规定。
第二十二条 本办法由市数据局承担具体解释工作。
附件2
石家庄市公共数据产品合规审查管理办法
(征求意见稿)
第一章 总则
第一条 为进一步加强公共数据产品交易合规审查管理,引导各类主体合规、安全开展公共数据产品流通交易,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《河北省数字经济促进条例》以及行业性、地方性法律法规政策,结合本市实际,制定本办法。
第二条 本市行政区域内开展公共数据运营过程中、运营单位、应用单位依法开发形成的公共数据产品的流通交易,适用于本办法。
第三条 本办法所称公共数据产品,是指本市公共数据运营活动中,运营单位、应用单位经依法合规获得公共数据运营授权后,使用公共数据或将公共数据与社会数据融合,开发形成的公共数据产品及服务。
第四条 市公共数据主管部门负责统筹规划、综合协调全市公共数据产品合规审查管理,组织相关领域专家或委托第三方专业服务机构开展公共数据产品的合规审查。
网信、公安、国家安全、保密等部门根据各自职责做好公共数据产品合规流通的监督管理。
第二章 主体合规要求
第五条 公共数据产品的运营单位、应用单位应满足以下要求:
1.信用记录良好,企业及其法定代表人无重大违法记录,未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单等。
2.财务状况良好,具有持续盈利能力,资产负债和杠杆水平适度,具备与经营业务相匹配的持续资本补充能力;
3.股东中应当无外国投资者,实际控制人不得为外国投资者,外国投资者在母公司中的出资比例穿透不得超过20%;
4.以数据和信息技术开发、信息服务、数据服务、金融科技服务等为主营业务;
5.有合格的经营场所和业务设施;
6.具备专业的研发机构或团队;从事数据产品开发的人员及团队经过培训,具备必要的保密知识和技能;
7.具备完善的数据产品、服务开发管理相关制度。
第三章 数据来源合规要求
第六条 运营单位、应用单位开发公共数据产品所使用公共数据,经过市公共数据主管部门审核,并确保公共数据产品在规定的应用场景范围内。
不得使用下述公共数据进行公共数据产品加工:
1.危及或者可能危及国家安全的公共数据;
2.可能损害公共利益的公共数据;
3.法律、法规规定不能运营的公共数据。
第七条 运营单位、应用单位所开发的公共数据产品,若涉及公共数据与社会数据融合的,所使用的社会数据应满足相应的合规要求。
第八条 运营单位、应用单位采集的公开数据,应说明采集来源、采集方式、采集周期、应用范围,不得以不正当竞争为目的,采用非法入侵、技术破解等方式获取数据,干扰被访问网站的正常运营或者妨碍计算机信息系统正常运行。未征得相关主体同意的,不得收集涉及他人知识产权、商业秘密或者非公开的个人信息的数据。
第九条 运营单位、应用单位在生产经营活动中产生的或通过自身信息系统生产的数据,应确保数据的生产和处理行为合法,不存在侵犯第三方合法权益的情形。
第十条 运营单位、应用单位通过协议获取的数据,需提交明确相关权益的数据采购协议、共享或授权许可文件。若通过协议获取的数据为法律法规及相关政策明确规定开展该类数据采集应当取得特殊资质、许可、认证或备案的,还需提交该数据提供方已经取得特殊资质、许可、认证或备案的相关证明以及满足法律法规规定的其他要求。
第十一条 运营单位、应用单位所加工公共数据产品涉及使用个人数据的,需满足相关法律法规要求,确保个人信息的收集具有明确、合理的目的,并遵循合法正当、最小必要、告知同意等原则,并应取得个人授权或同意。同时,采用去隐私计算、匿名化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改和丢失。
第四章 数据产品加工合规要求
第十二条 运营单位、应用单位应当按照应用场景申请公共数据,遵循“一场景一清单一审核”原则,并满足下列要求:
1.应用场景明确,使用范围明确,且具有社会价值或经济价值;
2.应用场景具有较强的可实施性,在运营期限内有明确目标和计划,能够取得显著成效;
3.申请使用公共数据应当符合最小必要的原则。
第十三条运营单位、应用单位应当依托公共数据运营平台对公共数据进行加工处理,形成公共数据产品。加工处理公共数据应满足下列要求:
1.运营单位、应用单位所有参与数据加工处理的人员须经实名认证、备案与审查,签订保密协议,操作行为应当做到有记录、可审查;
2.原始数据对数据加工人员不可见。运营单位、应用单位使用经抽样、脱敏后公共数据进行数据产品的模型训练与验证;
3.经市数据主管部门审核批准后,运营单位、应用单位可以将依法合规获取的社会数据导入公共数据运营平台,与公共数据进行融合计算。
第十四条 原始数据不得导出公共数据运营平台;可通过可逆模型或算法还原出原始数据的,不得导出公共数据运营平台。导出运营平台的公共数据产品,不得用于或变相用于未经审批的应用场景。
第十五条 运营单位、应用单位使用公共数据或将公共数据与社会数据融合加工形成的数据产品不得含有危害国家安全、违反公序良俗或侵害他人合法权益的违法信息。
第五章 交易渠道合规要求
第十六条 运营单位、应用单位使用本市公共数据加工形成的数据产品仅可在本市运营平台或国内依法合规设立的数据交易场所的官方交易平台进行流通交易。
第十七条 除满足本办法相关规定外,运营单位、应用单位在国内依法设立的数据交易场所进行交易时,还应遵循该交易场所合规审查相关规定。
第六章 法律责任
第十八条 参与公共数据产品加工的运营单位、应用单位不得损害国家利益、社会公共利益和他人合法权益。如违反网络安全、数据安全、个人信息保护有关法律法规规定的,由相关部门按照职责依法予以查处,将相关违规违法行为纳入征信记录。
第七章 附则
第十九条 本办法自印发之日起施行。国家或本省对公共数据产品合规审查管理有新规定的,从其规定。
第二十条 本办法由市数据局承担具体解释工作。
附件3
石家庄市公共数据运营纠纷管理办法
(征求意见稿)
第一章 总 则
第一条 为保障本市数据要素市场主体的合法权益,促进本市公共数据开发利用和价值化释放,根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、法规,结合本市实际,制定本办法。
第二条 本办法中相关术语定义:
本办法所称公共数据运营,是指符合条件的企事业单位(以下简称运营单位),在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下,依法合规地对公共数据进行加工处理,开发形成公共数据产品和服务,并向社会提供的行为。
本办法所称公共数据应用单位(以下简称应用单位),是指具备良好的数据安全管理、保障能力,使用运营单位提供的数据产品和服务,在依法合规的前提下开展数据产品应用、新产品及服务研发或开展经济活动的企事业单位和社会组织。
本办法所称公共数据产品,是指本市公共数据运营活动中,运营单位、应用单位经依法合规获得公共数据运营授权后,使用公共数据或将公共数据与社会数据融合,开发形成的公共数据产品及服务。
第三条 建立公平公开、常态化的纠纷处置机制,市公共数据主管部门作为公共数据运营的主管单位,负责组织、协调纠纷双方协商处理公共数据运营过程中的相关纠纷。
第二章纠纷类型
第四条 个人权益纠纷,主要指自然人发现公共数据产品在产品加工及市场化应用过程中涉及侵害个人隐私和个人权益的情况。
第五条 组织权益纠纷,主要指法人、非法人组织发现公共数据产品在产品加工及市场化应用过程中涉及侵害商业机密、组织权益的情况。
第六条 协议纠纷,主要指运营单位与应用单位对双方就公共数据产品签署的协议或合约的内容条款,在实际执行过程中认为存在争议或未按相关条款履行的情况。
第三章 纠纷处理
第七条 自然人认为运营单位或应用单位在公共数据产品加工和市场化应用过程中,存在侵犯其个人隐私和个人权益情况的,可与运营单位或应用单位进行协商解决,协商无法达成一致的,可提交相关材料至市公共数据主管部门申请解决,材料包括:
1.个人身份证明材料;
2.存在侵犯个人隐私和个人权益的情况说明;
3.相关情况的证明材料。
第八条 法人、非法人组织认为运营单位或应用单位在公共数据产品加工和市场化应用过程中,存在侵犯其商业机密和组织权益的情况的,可与运营单位或应用单位进行协商解决,协商无法达成一致的,可提交相关材料至市公共数据主管部门申请解决,材料包括:
1.组织机构代码证;
2.存在侵犯商业机密和组织权益的情况说明;
3.相关情况的证明材料。
第九条 市公共数据主管部门在收到自然人、法人提交的相关申请后,应在3个工作日内予以受理,对涉及的相关公共数据产品进行核查,若确实存在侵害自然人个人隐私、个人权益或组织商业机密和组织权益的,应立即责令运营单位或应用单位进行整改,停止侵权行为,下架相关公共数据产品。运营单位或应用单位拒不整改的或整改未达到预期效果的,公共数据主管部门有权停止其就公共数据产品的相关合作。
第十条 市公共数据主管部门对于相关申请,应在受理后10个工作日内予以答复。
第十一条 运营单位与应用单位对双方就公共数据产品签署的协议或合约的内容条款,在实际执行过程中认为存在争议或未按相关条款履行的,由双方进行协商解决,协商无法达成一致的,可通过法律途径解决。
第四章 附则
第十二条 本办法自印发之日起施行。国家或本省对公共数据运营纠纷管理有新规定的,从其规定。
第十三条 本办法由市数据局承担具体解释工作。