21世纪经济报道记者 何柳颖 深圳报道 近日,深圳发布《公共数据安全要求》(下称《要求》),这是深圳首个公共数据安全领域的地方标准。在ç深圳市ˆ政务服务数据Γ管理局指导下,《要求》由深圳市信息安全管理中心牵头起草,将于2022年12月1日起实施。
伴随着数字经济产业的快速发î展,如何平衡发展数字经济与¹保护个人数据、数据开发利用与数据安全之间的关系,成为了产业健康发展的重点之一。&ⓠnbsp;
今年《数据安全法》和《个人信息保护法》陆续发布。《深圳经济特区数据<条例》于 2021 年 ળ6 月29 日发布,自2022年1月1日起实施,其中全面规范公共数据的Ó开放和使用,并对公共数据安全也提出了明确的要求。
数ઙ字化时代下,数据无处不在,其中哪些属于公共数据?《要求》明确,公ⓥ共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。据此,《要求》适用于公共管理和服务机构▥数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。
Ï
划分安全等ટΗ级
为规范公共数据安全的基本要Œτ求,防范和抵御数据可能面临的各类安全风险,《ϖ要求》明确,公共管理和服务机构在处理数据过程中,应遵循以下总体安全原则:合法正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态调整、全程可控。
《要求》明确,公共管理和服务机构应对数据进行分类管理,在数据分类基础上,根据数据在经济社会发展中的重要程度,以›及一旦遭到篡改、破坏、泄露或者被非法获取、非法利用,对国家安全、社会秩序和公£共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据分级。
定级要素包括受侵害的客体以及对客体的侵害程度。 其☻中受侵害的客体分为:个人信息主体及公共管理和服务机构的合法权益、社会秩序和公共利益、ૠ国家安全。对അ客体的侵害程度分为:无损害、一般损害、严重损害、特别严重损害。两者结合,形成对应的安全等级与安全要求。
∈ 图源੭:《公共数据安全要求》⌉
《要求》指出,数据处理活动过程中,数据级别发Ã生变更Ì的,应及时对变更后数据重新级别判定,数据级别可能发生变更的场景包括但不限于数据汇聚融合、加工、脱敏、超过时效等。此外,当不同级别的数据同时被处理且无法精细化管控时,应“Ċc;就高不就低”,按照数据对象安全等级最高的要求实施保护。
࠽明确૮数据交易、数据出境等安全要求
实现公共数据安全要求的落地,ι既á要从合规性出发,遵从国家政策法规、标准规范及《深圳ü经济特区数据条例》中的安全要求,也要从可操作性出发,实现真正落地。《要求》在进行安全管理要求分解和细化的同时,提供相应的技术及数据处理活动安全能力要求,为落地提供标准参考和指导。
以机构管理为例,根据《要求》的基本安全要求,机构管理应设立数据安全管理机构,明确ઝ数据安全责任人,落实数据安全保护责任,并应按照相关法律、法规、规章的要求编制公共数据资源目录,加强数据安全保护。在三级增强安全要求下,机构管理应针对重大数据处理活动建立逐°级审批机制,以及定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息 。
— 关于数据合作安全,《要求》也作出了指引。在基本安全要求下,涉及数据合作方的机构,应与数据合作方签订合作协议及♩数据安全保密协议,明确双方数据安全保密责任与义务,宜定期审核数据合作方资质背景、数据安全保障能力等,并组织动态合规评估。
针对数据处理活动安全,围绕数据收集、数据存储、数据传输、数据使用、数据加工、数据开⊄放共享、数据交易、数据出境、数据销毁与删除9个过程,《要求》一一进ⓨ行了分级阐述。
数据交易方面,ੜક《要求》明确应按照相关法律、法规、规章的要求开展数据交易,加强交易过程的数据安全保护。
数据出境方面,《要求》规定的基本安全要求包括:应明ਮ确数据出境业务场景,严格遵守国家法律、行政法规数据出境安全监管要求,符合国家法律、行政法规规定情形的,应提前开展数据出境安全评估及网络安全审查工作,严禁未授权数据出境行为;境内用户在境内访问境内网络的,其流量不应路由至境外;应建立跨境数据的评≈估、审批及监管控制流∑程,并依据流程实施相关控制并记录过程。
“ë掌”握科技鲜闻 ζ (微信搜索techsina或扫描左侧ⓔ二维码关注)
û新浪科技⋅
新浪科技为你带来♦最¢新Â鲜的科技资讯
ë
苹果汇½ü
苹果汇为ϖ你带½ઐ来最新鲜的苹果产品新闻
新浪Η众¿ó测
☏÷√新酷产品第一时间免费试玩
Σ
Āf;ખ新浪探索
á
提供最新的科学Σ家新ⓣ闻,精彩的震撼图片
新浪科技意见反↵馈☻留言板
All Rights Reserveઙd 新浪公ࢵ司 版权所有
