为进一步激活公共数据的价值,推动高质量数据有序安全开放,深圳于近日发布了《公共数据安全要求》(以下简称《要求》),这也是深圳首个公共数据安全领域的地方标准。
《要求》在深圳市政务服务数据管理局指导下,由深圳市信息安全管理中心牵头起草。《要求》全文共九章,全面覆盖数据安全管理、技术及数据处理活动各环节,适用于公共管理和服务机构数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。
统一公共数据管理标准
让数据安全流动
作为保障公共数据安全的标准,首先明确了公共数据的定义。《要求》指明,公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
近年来,国家对数据安全要求不断提升,特别是随着数据作为生产要素,其经济价值和社会影响不断提升,更成为了国家和社会关注的重点。
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》相继发布,《深圳经济特区数据条例》也于今年1月正式实施。如何平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,如何有效让数据安全流通起来成为当下急迫的要求。
《要求》从公共数据安全的专业视角,为公共数据安全管理进行统一的指导,通过合理可行的标准落实数据相关法律法规。
同时,《要求》从实际出发,提升标准执行力,将公共数据安全和网络安全等级保护体系的有效衔接,在不影响各公共管理和服务机构已有安全要求的基础上,进行公共数据安全层面的扩展。
公共数据分级保护
规范数据处理全流程
目前深圳市数据开放总量已达13.56亿条,保障公共数据的安全成为促进数据开放应用的关键之举。
《要求》确定了数据分级保护的方式和受侵害等级。其中,根据公共数据遭到破坏后的影响后果分为无损害、一般损害、严重损害、特别严重损害四类。
以个人信息主体中涉及的“个人健康生理信息”举例,数据分级保护被定义为4级,一旦发生数据侵害,则对“个人信息主体及公共管理和服务机构的合法权益”造成“特别严重损害”。
在进行安全管理要求分解和细化的同时,《要求》提供相应的技术及数据处理活动安全能力要求,为标准落地提供参考和指导。例如,《要求》规范了在公共数据处理活动中的安全要求,数据处理活动围绕数据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁及删除环节的执行标准。
此外,《要求》对机构管理提出应设立数据安全管理机构,设立数据安全责任人,明确数据管理员、数据安全管理员、数据安全审计员等岗位职责,保障数据安全管理与审计工作开展,落实数据安全保护责任。