为维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进和规范本市公共数据的安全管理,市大数据局组织起草了《宁波市公共数据安全管理暂行规定(草案送审稿)》,并已上报市政府,目前正处于市司法局审查、调研论证阶段。为广泛听取社会各界意见和建议,提高立法质量,现向社会公开征求意见,广大市民、社会各界人士可于2020年7月30日前通过以下方式对草案送审稿提出修改意见或建议。
登陆宁波司法行政网( sfj.ningbo.gov.cn),通过网站首页中部的《宁波地方立法草案意见征集系统》,对草案送审稿提出意见。
二、通过信函方式将意见寄至宁波市司法局立法一处(邮政编码:315040,地址:宁波市中兴路746号)。
宁波市司法局
2020年6月30日
附件1
宁波市公共数据安全管理暂行规定(草案送审稿)
第一条【目的和依据】为维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进和规范本市公共数据的安全管理,根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《浙江省公共数据与电子政务管理办法》、《浙江省公共数据开放和安全管理暂行办法》等法律法规规章,结合本市实际,制定本规定。
第二条【适用范围】在本市行政区域内公共管理和服务机构关于公共数据的采集、归集、存储、传输、清洗、加工、共享、开放、利用和销毁等全生命周期内的活动,以及有关部门开展公共数据安全保护和监督管理工作,应当遵守本规定。涉及国家秘密的公共数据安全管理工作,应当遵守保密法律法规的规定予以处理。
本规定所称的公共管理和服务机构,是指本市各级行政机关以及具有公共管理和服务职能的事业单位。本规定所称的公共数据,是指公共管理和服务机构在依法履行职责过程中获得的各类数据资源。
第三条【基本原则】公共数据安全管理应当采取政府主导、分工负责、积极防御、综合防范、保护隐私的方针,坚持安全与发展并重、管理与技术兼顾的原则,保障公共数据依法有序安全管理。
第四条【政府职责】市人民政府统一领导本市公共数据安全管理工作。各区、县(市)人民政府领导本辖区公共数据安全管理工作。
第五条【部门职责】市网信部门负责统筹协调、指导监督本市公共数据安全保护工作。
市大数据局是公共数据行业主管部门,负责市大数据中心平台、公共数据共享和开放平台等基础设施技术防护体系建设,保障公共数据在集中归集、存储、清洗、加工、共享、开放时的安全。
公共管理与服务机构按照“谁持有、谁负责,谁使用、谁负责”原则,做好公共数据安全保护工作。
第六条【安全管理】公共管理与服务机构应当建立本单位所管理和使用公共数据的安全和管理制度,明确安全管理负责人,制定公共数据及相关信息系统的安全应急预案并定期开展安全评测、风险评估和应急演练,采取安全保护技术措施,防止公共数据丢失、毁损、泄露和篡改。发生重大公共数据安全事故时,应当立即启动应急预案,及时采取补救措施,告知可能受到影响的用户,并按照规定向信息安全行政主管部门报告。
除法律、法规另有规定外,采集含有个人信息的公共数据应当向被采集人公开采集利用规则,明示采集、利用的目的、方式和范围,征得被采集人的同意,并不得有下列行为:
(一)采集与其提供的服务无关的个人信息数据;
(二)未经被采集人同意向他人提供个人信息数据;
(三)非法采集、存储、利用的个人信息数据;
(四)其他违法采集、利用个人信息数据的行为。
对采集未成年人个人信息数据法律法规另有规定的,从其规定。个人信息安全、数据安全等领域已有国家、行业相关标准和规范的,依照有关法律、法规和规范执行。
国家和公共安全机关依据有关法律法规,为维护社会秩序和社会公共安全,在依法履职过程中可以在不征求公民、法人和其他组织同意情况下采集相关数据。
第八条【数据归集加工安全】公共管理和服务机构在归集和加工处理公共数据过程中,应当保持原始数据值不变,未经数据提供单位或本人同意,不得改变原始数据值。
公共管理和服务机构在数据关联、分析、挖掘等加工处理过程中取得的数据或得出的结论,可能涉密、涉敏的,应当进行安全评估,并根据评估意见和使用范围进行脱密、脱敏等处理和安全防护。
公共管理和服务机构在数据关联、分析、挖掘等加工处理过程中取得的数据或得出的结论,可能危害国家安全、损害国家和社会公共利益的,不得使用、传播,并应当立即停止相关活动,报公安机关依法予以处理。
第九条【数据共享安全】公共管理和服务机构内部之间对公共数据进行共享时,公共数据主管部门依据数据共享属性实施无条件共享或有条件共享。
通过共享获取的公共数据,应当用于本部门履行职责需要,不得以任何形式提供给第三方,也不得用于或者变相用于其他目的。
第十条【数据开放安全】公共管理和服务机构应当按照国家、省、市相关法律、法规和规章以及其他相关规定,对拟开放的公共数据进行安全风险评估,涉及国家秘密、国家安全、商业秘密和个人隐私的公共数据不得向社会开放,不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。
公民、法人和其他组织认为开放的公共数据侵犯其商业秘密、个人隐私等合法权益的,有权要求提供公共数据开放服务的公共管理和服务机构按规定中止、撤回已开放数据。
第十一条【数据存储安全】公共管理和服务机构应当根据公共数据类型、规模、用途、安全等级、重要程度等因素选择相应安全性能和防护级别的系统、介质、设施设备,并采取相应的管控和安全备份措施。
市大数据中心平台作为全市公共数据集中归集存储中心,应当根据国家相关技术标准、规范要求和保障公共数据安全需要,科学选址,规范建设,建立容灾备份、安全评价、日常巡查管理、防火防盗等安全管理制度,加强存储环境、供电、通信和存储系统、介质、设施设备安全审查。
第十二条【数据传输安全】公共数据主管部门应当制定公共数据安全传输规定。公共管理和服务机构(字体不一致)根据所要传输的公共数据及信息系统安全保护等级采取相应的网络传输策略并执行。
第十三条【数据销毁安全】不需要继续使用或者继续保存特定公共数据,将损害国家、社会、公民、法人、其它组织权益的,公共管理和服务机构应当按照相关法律法规,将特定公共数据及相关存储介质移交保密资料定点销毁机构进行销毁。
第十四条【个人隐私保护】公共管理和服务机构及其工作人员对其在履职过程中知悉的个人信息负有保密义务,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十五条【突发事件中数据安全】县(区)级以上进入应急响应后,公共管理和服务机构按照突发事件应对有关法律、法规规定,可以要求公民、法人和其他组织提供突发事件应对所需的相关数据,包括并不限于自然人的活动轨迹位置等信息。
应急响应取消后,公共管理和服务机构应当对从公民、法人和其他组织获得的公共数据进行分类评估,将其中涉及国家秘密、自然人活动轨迹位置等隐私数据进行封存或者销毁等安全处理,并终止相关数据应用。法律、法规另有规定的,从其规定。
第十六条【服务外包数据安全】公共管理和服务机构将公共数据管理和利用进行服务外包或聘请其它单位人员进行管理和操作时,应当依法与外包服务提供者签订安全责任协议,并采取必要的安全管理保护措施,加强监督管理。
外包服务者对所使用的公共数据不具有所有权和处置权,不得将公共数据进行扩散和传播。外包服务结束后,公共管理和服务机构应立即清除外包服务者相关账号、密码及数据。
第十七条【监督管理】公共管理与服务机构应当履行以下管理职责:
(一)县级以上人民政府应当建立健全公共数据安全工作监督检查机制,明确监督检查的牵头部门、责任分工、内容、重点、目标、方式和标准。监督检查的情况,应当在有关主管部门之间互通和共享。
(二)网信、公安机关应当监督、检查、指导安全责任单位建立、落实公共数据安全管理的各项制度和技术措施,依法查处公共数据安全违法案件。
(三)公共数据主管部门应当结合监督检查公共数据安全责任落实的情况,定期组织开展公共数据安全风险评估,发布评估报告。
(四)有关主管部门在监督检查、风险评估和攻防演练中,发现安全责任单位存在安全问题的,应当及时提出改进建议,发出整改意见并且督促整改。
(五)安全责任单位应当根据有关主管部门的整改意见进行整改,并且反馈整改情况。
第十八条【行政机关及其工作人员责任】公共数据管理部门与其他行政机关及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任:
(一)违法披露所获取的涉及个人信息、商业秘密的公共数据资源的;
(二)泄露、买卖所获取的公共数据资源的;
(三)非法复制、记录、储存公共数据资源的;
(四)未依法履行公共数据安全监管职责的;
(五)其他滥用职权、玩忽职守、徇私舞弊的行为。
第十九条【第三方服务机构法律责任】第三方服务机构违反本规定内容的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
第二十条【容错免责】公共管理与服务机构按照法律法规规章和本规定的规定内容进行公共数据安全管理,并履行了监督管理职责和合理注意义务,由于难以预见或者难以避免的因素导致公共数据利用主体或者其他公民、法人、其他组织损失的,对有关单位和个人不作负面评价,依法不承担或者免予承担相关责任。
第二十一条【法律责任】违反本规定的行为,法律、法规已有法律责任规定的,从其规定。
第二十二条【施行日期】本办法自××年×月×日起施行。
附件2
关于《宁波市公共数据安全管理暂行规定(草案送审稿)》的说明
为完善我市公共数据法规体系,加强公共数据安全管理和依法依规利用,市大数据局根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《浙江省公共数据与电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放和安全管理暂行办法》(省政府令第381号)等法律法规和规章,结合本市实际,组织起草了《宁波市公共数据安全管理规定(草案送审稿)》(以下简称《规定》)。现将《规定》起草情况说明如下:
一、《规定》制定的必要性
信息安全是国家安全的重要组成内容。加强公共数据安全管理是落实国家整体安全观的重要举措,是维护国家安全、社会公共利益,保护公民、法人和其他组织合法权益的必要手段,是推进市域治理体系和治理能力现代化、推动政府数字化转型、促进城市数字化治理的重要保障。《规定》的制定对建立规范化、制度化的公共数据安全体系有着重要意义。
(一)制定《规定》是落实总体国家安全观的具体行动。2014年4月中共中央总书记、国家主席、中央军委主席、中央国家安全委员会主席习近平主持召开中央国家安全委员会第一次会议并发表重要讲话。习近平强调,要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。市委书记郑栅洁高度重视公共数据安全立法工作,多次在不同场合要求加快对公共数据安全进行政府立法。
(二)制定《规定》是解决应用与安全管理矛盾问题的现实需要。在大数据发展的时代背景下,数据共享已经成为必然,但并不意味着可以无视法人、公民和其它组织的合法权益肆意乱采乱用。我市在公共数据安全管理上也面临一些现实困难和矛盾。如政府数字化转型、社会公共秩序管理、应急事件响应等公共管理中急需公共数据全面共享和流通,但缺乏必要的法制保障。同时,公共数据归集共享中会涉及大量的公民、法人和其他组织个人信息,数据全流程管理中的安全责任主体不明确、部门担心数据开放共享后产生风险后被追责,公共数据安全防护措施及规范标准不一、制度不一,同样需要通过政府立法先行规制。
二、《规定》起草过程
市大数据局根据市司法局的《关于印发<宁波市公共数据安全管理规定>立法工作实施方案》,结合市人大大数据立法调研工作,制定了《宁波市公共数据安全管理暂行规定》立法调研方案。梳理了国家、天津、贵州等地的网络数据安全相关法律法规,并着重对近期已出台的《浙江省公共数据开放与安全管理暂行办法》(省政府令381号)政府规章和省人大正在审议的《浙江省数字经济促进条例》(草案)进行了研究,确定了我市公共数据安全管理的边界和内涵。专门组织了二次部门座谈会,分别邀请市应急管理局、市文旅局、市教育局、市交通局、市公安局等二十多个相关部门参加,收集各部门在公共数据安全管理中遇到的问题和建议。完成初稿后,经工作专班讨论修改后形成征求意见稿,向市级有关部门和各区县市征求意见,共收到20个单位的修改意见,经研究后,基本上采纳。
三、立法依据
《规定》主要依据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《浙江省公共数据与电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放和安全管理暂行办法》(省政府令第381号)、《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)、《宁波市公共数据管理办法》(甬政办发〔2019〕72号)等法律法规和政策文件,同时参考借鉴了《天津市数据安全管理办法(暂行)》、《贵州省大数据安全保障条例》、《深圳经济特区数据条例》等其他省市数据安全管理相关地方性法规、规章及实施经验起草而成。
主要内容
《规定》围绕公共数据管理的全生命周期的安全管理,对公民、法人和其他组织的合法权益保障以及公共管理和服务机构的合法合规采集和利用数据提出了具体规定。《规定》主要内容有:
(一)关于术语含义
为明确本《规定》的适用范围,提高《规定》的可操作性,根据《浙江省公共数据与电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放和安全管理暂行办法》(省政府令第381号)定义,本规定所称的公共管理和服务机构,是指本市各级行政机关以及具有公共管理和服务职能的事业单位。本办法所称的公共数据,是指公共管理和服务机构在依法履行职责过程中获得的各类数据资源。
本《规定》明确县级及以上政府统一领导公共数据安全管理。在部门分工上,市网信部门是统筹协调和监督部门;大数据部门是公共数据行业主管部门,负责公共数据支撑平台的安全保障和技术标准制定;其它公共管理与服务机构是公共数据的具体采集、管理、应用等环节安全管理责任主体 。(第四条至第六条)
(三)关于个人信息保护
由于公共管理和服务机构在进行数据采集及处理时,会涉及个人信息,在使用或开放过程中还可能侵害公民隐私权,因此《规定》明确了公共管理和服务机构在采集个人信息时应当遵循合法、必要、正当的原则,并设定了机构及工作人员对依法采集的个人信息所应承担的监护职责。(第七条、第十四条)
(四)关于公共数据安全全生命周期管理
一是规制公共数据采集的相关行为。《规定》强调数据采集的合法、必要、正当三原则;规定了被采集者在公共数据采集过程中的相关权益;规定了执法部门依据有关法律、法规、规章在执行社会秩序维护和社会公共安全管理过程中进行数据采集的相关执法权限。(第七条)
二是规制公共数据加工的相关行为。在数据加工的过程中会涉及数据汇聚、关联、分析等行为,为保障这个过程的公共数据安全,《规定》对因汇聚、关联、分析、挖掘等而得出的数据结果进行安全处理规定。(第八条)
三是规制公共数据共享的相关行为。为使公共数据共享使用安全可控,《规定》明确了数据共享传播的范围,禁止通过共享获取的公共数据以任何形式提供给第三人,以及用于或者变相用于其他目的。(第九条)
四是规制公共数据开放的相关行为。《规定》要求公共管理和服务机构在公共数据开放前对拟开放的数据进行安全风险评估,保证事前的安全性;为保护公民、法人和其他组织的合法权益,公民、法人和其他组织有权要求公共管理和服务机构及时处理公共数据开放中的安全问题。(第十条)
五是规制公共数据存储的相关行为。为保障数据存储过程中的安全,《规定》明确了各公共管理和服务机构在进行公共数据存储时的设施设备、存储环境以及数据备份等要求。对于市大数据中心平台等公共支撑设施,要求市大数据局行业主管部门制定相关技术标准和行为规范。(第十一条)
六是规制公共数据传输的相关行为。针对数据传输过程不规范、安全保障不到位等问题,《规定》要求大数据行业主管部门制定网络传输规定,公共管理和服务机构根据数据属性做好落实。(第十二条)
七是规制公共数据销毁的相关行为。公共数据载体的销毁环节是很容易被忽视的环节,《规定》明确要求数据及载体需在定点销毁机构进行销毁。(第十三条)
八是规制公共数据外包服务机构的相关行为。公共数据的技术处理离不开外包服务机构,《规定》要求公共管理和服务机构应当依法与外包服务提供者签订安全责任协议,并采取必要的安全管理保护措施,加强监督管理。 外包服务者对所使用的公共数据不具有所有权和处置权,不得将公共数据进行扩散和传播。外包服务结束后,公共管理和服务机构应立即清除相关账号、密码及数据。(第十六条)
九是规制突发事件下的相关行为。针对突发事件应对过程中对数据采集、利用等需求,《规定》对公共管理和服务机构在特定情况下的公共数据安全做出了规定,明确在突发事件结束后,应当对涉敏、涉密以及个人特定行为轨迹等隐私数据采取封存或销毁要求。同时也对外包业务涉及收集、存储、传输或者应用公共数据的行为做了相关规制来保障数据安全。 (第十五条)
(五)关于监督管理
《规定》赋予了公共服务与管理机构相应的监督管理职权,要求县级以上人民政府应当建立健全公共数据安全工作监督检查机制,并规定了网信、公安公共数据主管部门及其他相关部门的安全责任。(第十七条)
(六)关于法律责任
《规定》明确公共数据管理部门与其他行政机关及其工作人员存在相关违法行为时, 本级人民政府或者上级主管部门应当采取相应的处置措施。《规定》还对公共数据服务外包机构相关违法行为作出了相关法律责任的规定。另外,考虑到公共数据全流程管理是一项探索性工作,为更好地推动各地的相关工作,《规定》规定了容错免责制度,明确符合法律免责情形与条件,,有关单位和个人,依法不承担或者免予承担相关责任。(第十八条至第二十一条)