深圳首个公共数据安全领域地方标准出炉
2022-12-02 来源: 21世纪经济报道
分享到:
近日,深圳发布《公共数据安全要求》(下称《要求》),这是深圳首个公共数据安全领域的地方标准。在深圳市政务服务数据管理局指导下,《要求》由深圳市信息安全管理中心牵头起草,将于2022年12月1日起实施。
伴随着数字经济产业的快速发展,如何平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,成为了产业健康发展的重点之一。
今年《数据安全法》和《个人信息保护法》陆续发布。《深圳经济特区数据条例》于2021年6月29日发布,自2022年1月1日起实施,其中全面规范公共数据的开放和使用,并对公共数据安全也提出了明确的要求。
数字化时代下,数据无处不在,其中哪些属于公共数据?《要求》明确,公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。据此,《要求》适用于公共管理和服务机构数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。
划分安全等级
为规范公共数据安全的基本要求,防范和抵御数据可能面临的各类安全风险,《要求》明确,公共管理和服务机构在处理数据过程中,应遵循以下总体安全原则:合法正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态调整、全程可控。
《要求》明确,公共管理和服务机构应对数据进行分类管理,在数据分类基础上,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者被非法获取、非法利用,对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据分级。
定级要素包括受侵害的客体以及对客体的侵害程度。其中受侵害的客体分为:个人信息主体及公共管理和服务机构的合法权益、社会秩序和公共利益、国家安全。对客体的侵害程度分为:无损害、一般损害、严重损害、特别严重损害。两者结合,形成对应的安全等级与安全要求。
图源:《公共数据安全要求》
《要求》指出,数据处理活动过程中,数据级别发生变更的,应及时对变更后数据重新级别判定,数据级别可能发生变更的场景包括但不限于数据汇聚融合、加工、脱敏、超过时效等。此外,当不同级别的数据同时被处理且无法精细化管控时,应“就高不就低”,按照数据对象安全等级最高的要求实施保护。
明确数据交易、数据出境等安全要求
实现公共数据安全要求的落地,既要从合规性出发,遵从国家政策法规、标准规范及《深圳经济特区数据条例》中的安全要求,也要从可操作性出发,实现真正落地。《要求》在进行安全管理要求分解和细化的同时,提供相应的技术及数据处理活动安全能力要求,为落地提供标准参考和指导。
以机构管理为例,根据《要求》的基本安全要求,机构管理应设立数据安全管理机构,明确数据安全责任人,落实数据安全保护责任,并应按照相关法律、法规、规章的要求编制公共数据资源目录,加强数据安全保护。在三级增强安全要求下,机构管理应针对重大数据处理活动建立逐级审批机制,以及定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
关于数据合作安全,《要求》也作出了指引。在基本安全要求下,涉及数据合作方的机构,应与数据合作方签订合作协议及数据安全保密协议,明确双方数据安全保密责任与义务,宜定期审核数据合作方资质背景、数据安全保障能力等,并组织动态合规评估。
针对数据处理活动安全,围绕数据收集、数据存储、数据传输、数据使用、数据加工、数据开放共享、数据交易、数据出境、数据销毁与删除9个过程,《要求》一一进行了分级阐述。
数据交易方面,《要求》明确应按照相关法律、法规、规章的要求开展数据交易,加强交易过程的数据安全保护。
数据出境方面,《要求》规定的基本安全要求包括:应明确数据出境业务场景,严格遵守国家法律、行政法规数据出境安全监管要求,符合国家法律、行政法规规定情形的,应提前开展数据出境安全评估及网络安全审查工作,严禁未授权数据出境行为;境内用户在境内访问境内网络的,其流量不应路由至境外;应建立跨境数据的评估、审批及监管控制流程,并依据流程实施相关控制并记录过程。
编辑:钟旭惠
伴随着数字经济产业的快速发展,如何平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,成为了产业健康发展的重点之一。
今年《数据安全法》和《个人信息保护法》陆续发布。《深圳经济特区数据条例》于2021年6月29日发布,自2022年1月1日起实施,其中全面规范公共数据的开放和使用,并对公共数据安全也提出了明确的要求。
数字化时代下,数据无处不在,其中哪些属于公共数据?《要求》明确,公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。据此,《要求》适用于公共管理和服务机构数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。
划分安全等级
为规范公共数据安全的基本要求,防范和抵御数据可能面临的各类安全风险,《要求》明确,公共管理和服务机构在处理数据过程中,应遵循以下总体安全原则:合法正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态调整、全程可控。
《要求》明确,公共管理和服务机构应对数据进行分类管理,在数据分类基础上,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者被非法获取、非法利用,对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据分级。
定级要素包括受侵害的客体以及对客体的侵害程度。其中受侵害的客体分为:个人信息主体及公共管理和服务机构的合法权益、社会秩序和公共利益、国家安全。对客体的侵害程度分为:无损害、一般损害、严重损害、特别严重损害。两者结合,形成对应的安全等级与安全要求。
图源:《公共数据安全要求》
《要求》指出,数据处理活动过程中,数据级别发生变更的,应及时对变更后数据重新级别判定,数据级别可能发生变更的场景包括但不限于数据汇聚融合、加工、脱敏、超过时效等。此外,当不同级别的数据同时被处理且无法精细化管控时,应“就高不就低”,按照数据对象安全等级最高的要求实施保护。
明确数据交易、数据出境等安全要求
实现公共数据安全要求的落地,既要从合规性出发,遵从国家政策法规、标准规范及《深圳经济特区数据条例》中的安全要求,也要从可操作性出发,实现真正落地。《要求》在进行安全管理要求分解和细化的同时,提供相应的技术及数据处理活动安全能力要求,为落地提供标准参考和指导。
以机构管理为例,根据《要求》的基本安全要求,机构管理应设立数据安全管理机构,明确数据安全责任人,落实数据安全保护责任,并应按照相关法律、法规、规章的要求编制公共数据资源目录,加强数据安全保护。在三级增强安全要求下,机构管理应针对重大数据处理活动建立逐级审批机制,以及定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
关于数据合作安全,《要求》也作出了指引。在基本安全要求下,涉及数据合作方的机构,应与数据合作方签订合作协议及数据安全保密协议,明确双方数据安全保密责任与义务,宜定期审核数据合作方资质背景、数据安全保障能力等,并组织动态合规评估。
针对数据处理活动安全,围绕数据收集、数据存储、数据传输、数据使用、数据加工、数据开放共享、数据交易、数据出境、数据销毁与删除9个过程,《要求》一一进行了分级阐述。
数据交易方面,《要求》明确应按照相关法律、法规、规章的要求开展数据交易,加强交易过程的数据安全保护。
数据出境方面,《要求》规定的基本安全要求包括:应明确数据出境业务场景,严格遵守国家法律、行政法规数据出境安全监管要求,符合国家法律、行政法规规定情形的,应提前开展数据出境安全评估及网络安全审查工作,严禁未授权数据出境行为;境内用户在境内访问境内网络的,其流量不应路由至境外;应建立跨境数据的评估、审批及监管控制流程,并依据流程实施相关控制并记录过程。
编辑:钟旭惠
新闻排行榜
1一周数据扫描:国家数据局局长首次亮相;《北京市首席数据官制度试点工作方案》发布(10.16-10.20)
2“人民德育百城万校”行动暨中国西部人才开发基金会——家校社协同育人公益行动启动
3言必有数 | 国家大数据局招聘信息告诉你啥?——数据领域需要综合型人才
4人民数据五周年历史瞬间:金色的十月收获精彩
5数说今日 | 2023年第1000亿件快件产生;2022年中国创新指数同比增长5.9%
6国家数据局正式揭牌!
7人民网·人民数据武清大数据中心:“人民系”又一个数字基础设施项目
8人民数据关于公开征集代理合作伙伴的公告
9数说今日 | 第六届进博会的参展商已超3400家;到2025年户外运动产业总规模将达3万亿元
10数据要素流通交易的创新发展新路径