寧波市公共數據安全管理暫行規定

第一條 為了保障公共數據安全，促進和規範公共數據使用，根據《中華人民共和國網路安全法》《浙江省公共數據和電子政務管理辦法》《浙江省公共數據開放與安全管理暫行辦法》等規定，結合本市實際，制定本規定。

第二條 本市行政區域內公共數據的安全管理活動，適用本規定。法律、法規和浙江省人民政府規章另有規定的，從其規定。

本規定所稱的公共數據，是指行政機關以及履行公共管理和服務職能的事業單位（以下統稱公共管理和服務機構）在依法履行職責過程中獲得的各類數據資源。

第三條 公共數據安全管理應當堅持政府主導、綜合防範、保護隱私、兼顧發展的原則。

公共數據安全管理應當貫穿於公共數據的採集、歸集、清洗、共享、開放、使用、傳輸和銷毀等生命周期全過程。

第四條 市大數據發展管理部門是本市公共數據安全管理工作的主管部門，負責本市公共數據安全的組織協調、統籌規劃和監督管理工作。區縣（市）人民政府確定的大數據發展管理部門是本行政區域內公共數據安全管理工作的主管部門，負責公共數據安全的相關監督管理工作。

市、區縣（市）網信、公安、通信、保密、密碼管理等部門按照各自職責做好公共數據安全的監督管理工作。

第五條 公共管理和服務機構對職責範圍內的公共數據安全管理承擔主體責任，履行下列職責：

（一）明確本機構安全管理責任組織和人員，負責公共數據安全管理工作；

（二）編制本機構公共數據目錄，明確數據共享和開放屬性，落實分類分級管理制度；

（三）制定本機構公共數據安全管理制度和操作規程，落實網路安全等級保護制度；

（四）採取防範計算機病毒和危害網路安全行為、日誌記錄和監測、數據備份和加密等技術措施，定期開展公共數據安全風險評估；

（五）制定公共數據安全應急處置預案，定期組織應急演練；

（六）發生數據安全事件時，立即採取處置措施，並及時向公安機關等部門報告；

（七）對本機構公共數據服務外包活動開展安全審查；

（八）定期開展公共數據安全教育和技術培訓；

（九）其他公共數據安全管理工作。

第六條 公共管理和服務機構應當遵循合法、必要、正當的原則採集各類數據；無法律、法規依據，不得採集公民、法人和其他組織的相關數據；採集公共數據應當限定在必要範圍內，不得超出公共管理和服務需要採集數據，可以通過共享方式獲得的數據不得重複採集。

公共管理和服務機構應當對數據採集的環境、設施、網路、系統等採取必要的安全防護措施，不得利用私人設備採集公共數據。

第七條 除法律、法規另有規定外，公共管理和服務機構採集公共數據時涉及個人信息的，應當告知其採集的目的、方式和範圍。

除法律、法規另有規定外，公共管理和服務機構在公共場所設定數據採集設施、設備採集信息的，應當設定明顯標識。

個人可以向公共管理和服務機構查閱或者複製涉及本人信息的數據，發現存在錯誤的，有權提出異議並要求公共管理和服務機構及時採取更正等必要措施。

第八條 公共管理和服務機構在公共數據處理過程中應當遵守下列規定：

（一）未經數據提供單位或者被採集人同意，不得改變原始數據值；

（二）在公共數據匯聚、挖掘等處理過程中獲得的數據或者得出的結論，可能涉密、涉敏或者危害國家安全、損害國家利益、公共利益的，應當進行安全風險評估。

公共管理和服務機構不得對外使用、傳播前款第二項獲得的數據或者得出的結論。

第九條 公共管理和服務機構應當按照公共數據的共享屬性將其分為無條件共享類、受限共享類、非共享類，並實行分級管理。其中，對非共享類公共數據實行負面清單管理制度，具體由市大數據發展管理部門會同有關部門另行制定。

第十條 公共管理和服務機構應當按照公共數據的開放屬性將其分為無條件開放類、受限開放類和禁止開放類，並實行分級管理。

公共管理和服務機構擬將公共數據對外開放的，應當按照規定進行安全風險評估。

公民、法人和其他組織認為開放的公共數據侵犯其商業秘密、個人隱私等合法權益的，有權要求提供公共數據開放服務的公共管理和服務機構按照規定中止、撤回開放的數據。

第十一條 公共管理和服務機構通過共享獲得的公共數據，除用於本機構履行職責外，不得用於其他用途。

公共管理和服務機構應當採取必要的電子簽名、許可權控制、訪問控制、日誌審計等技術管控措施確保公共數據在使用中安全可控、可溯源。

鼓勵高等院校、科研機構和市場主體開展數據安全與隱私保護等技術研究，提高公共數據使用安全管理水平。

第十二條 傳輸公共數據應當合理選擇傳輸渠道，採取必要的安全措施防止數據被竊取、泄露或者篡改。

第十三條 公共管理和服務機構應當根據公共數據類型、規模、用途、安全等級、重要程度等因素選擇相應安全性能和防護級別的網路、系統、介質、設施設備。其中，涉及個人信息等事項的重要數據應當採取加密存儲、身份鑑別和訪問控制等措施，保障存儲系統和數據安全。

第十四條 行政機關應當依託省、市政務網路、政務雲、大數據中心和重大基礎性數據資源、套用支撐平台等公共技術平台開展公共數據活動。

公共技術平台的管理維護單位應當根據相關技術標準、規範的要求，建立安全管理制度，加強安全風險評測，保障公共數據安全。

第十五條 公共管理和服務機構對於不需要繼續使用、保存的公共數據，或者損害國家利益、公共利益以及公民、法人和其他組織合法權益的公共數據，應當將其從套用系統或者平台中銷毀；其中涉及存儲介質銷毀的，應當交由保密部門指定的機構處置。

公民、法人和其他組織發現公共管理和服務機構因未履行數據銷毀職責而損害其合法權益的，可以要求公共管理和服務機構刪除相關數據，公共管理和服務機構應當在收到申請後3個工作日內予以答覆或者處理。

第十六條 公共管理和服務機構按照應對突發事件有關法律、法規規定，可以要求相關單位提供具有公共屬性的數據，並向個人採集應對突發事件相關的數據。

突發事件應對結束後，公共管理和服務機構應當對從相關單位和個人獲得的公共數據進行分類評估，將其中涉及國家秘密、商業秘密和個人隱私的公共數據進行封存或者銷毀等安全處理，並關停相關數據套用。

第十七條 任何單位和個人不得泄露、篡改、毀損、出售或者非法向他人提供涉及個人信息的公共數據。

第十八條 公共管理和服務機構依法通過服務外包方式開展數據活動的，應當對服務提供方進行審查，與其簽訂安全保護及保密協定。公共數據服務外包協定示範文本由市大數據發展管理部門會同有關部門制定。

服務提供方應當按照服務外包協定的要求開展相關數據活動，不得違反規定將公共數據擴散或者傳播；服務結束後，應當立即清除公共管理和服務機構提供的賬號、密碼及數據。

第十九條 市、區縣（市）大數據發展管理部門應當會同網信、公安等部門建立健全數據安全監督檢查工作機制，明確監督檢查的內容、目標、方式和標準，對監督檢查中發現的安全隱患和問題，及時提出整改意見並予以督促落實。

市、區縣（市）網信部門、公安機關、大數據發展管理部門應當定期通報監督檢查過程中發現的安全隱患及安全事件查處等情況, 提高公共數據安全的協同防護能力和預警能力。

第二十條 公共管理和服務機構及其工作人員未按照規定履行公共數據安全監督管理職責的，由同級人民政府或者上級主管部門責令整改；情節嚴重的，對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

第二十一條 公共管理和服務機構及其工作人員按照有關法律、法規、規章和本規定進行公共數據安全管理，並履行了監督管理職責和合理注意義務，由於難以預見或者難以避免的因素導致公共數據使用主體或者其他第三方損失的，對有關單位和個人不作負面評價，依法不承擔或者免予承擔相關責任。

第二十二條 水務、電力、燃氣、通信、公共運輸、民航、鐵路等公用事業運營單位涉及公共屬性數據的安全管理，參照適用本規定。

第二十三條 本規定自2020年12月1日起施行。