- 索 引 号:000014349/2025-14519
- 成文时间:2025年06月10日
- 发布机构:长治市数据局
- 发布日期:2025年06月12日
- 发文字号:
- 主 题 词:
- 关于对《山西省数据流通安全治理工作实施办法(征求意见稿)》公开征求意见的公告
发布日期:2025-06-12 发布机构:长治市数据局
-
关于对《山西省数据流通安全治理工作
实施办法(征求意见稿)》公开征求意见的公告
为规范全省数据流通交易活动,促进数据合规有序流通、公平高效配置,壮大数据要素市场,省数据局牵头起草了《山西省数据流通安全治理工作实施办法(征求意见稿)》,现向社会公开征求意见,欢迎社会各界人士提出宝贵意见。征求意见时间为2025年6月11日至2025年6月17日,可通过以下途径和方式提出意见建议。1.电子邮件:请将意见建议电子版发送至 sxdata2025@126.com,邮件主题和附件名为“姓名(或单位)+山西省数据流通安全治理工作实施办法建议”。2.纸质邮件:请将意见建议邮寄到山西省太原市滨河西路焦煤双创基地A座,山西省数据局。3.为方便和您联系,请注明联系人姓名、单位、联系方式。附件:山西省数据流通安全治理工作实施办法(征求意见稿)第一条【背景和依据】为贯彻落实中共中央国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(中发〔2022〕32号)关于强化数据安全管理要求,维护国家安全、公共利益,保护自然人、法人和非法人组织的合法权益,促进数据依法合理利用,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》《国家数据基础设施建设指引》《关于加强数据资产管理的指导意见》《关于加快公共数据资源开发利用的意见》《个人信息保护合规审计管理办法》《山西省数据工作管理办法》等政策法规,结合山西省实际,制定本办法。第二条【基本原则】坚持“统筹发展和安全,兼顾效率与公平”的原则,强化全省数据安全治理体系建设,为促进数据要素合规高效流通利用,繁荣数据市场生态,释放数据要素价值提供保障。第三条【适用范围】山西省范围内数据归集、管理、授权运营、开发利用、交易等各类数据流通活动安全保障及监督管理,适用本办法。第四条【定义】数据流通领域各环节主体是指包括数据开放、共享、交易、交换等环节中,对数据实施采集、传输、使用、加工、存储等操作或控制的自然人、法人和非法人组织。数据资源(资产)权利主体是指依法对数据资源(资产)享有占有、使用、收益和处分权益的主体。授权主体是指在数据授权运营过程中,有权将数据授权给其他主体进行使用或运营的主体。运营主体是指按程序依法授权,推动数据价值流通,开展数据运营活动的法人组织。开发利用主体是指开展数据应用或产品开发及再开发等活动的自然人、法人或非法人组织。第五条【政府部门职责分工】省数据管理部门负责组织、指导和协调数据流通安全管理工作,在具体承担数据基础制度建设、数据要素市场建设、数据标准规范、数据基础设施建设等职责中,应当履行相应数据安全职责,负责拟定相关数据安全政策并组织实施。各行业主管部门在各自职责范围内负责本行业、本领域的相关数据安全工作。省网信部门、省数据管理部门负责协同开展网络数据跨境流动安全监管工作。省网信部门负责统筹协调网络数据安全工作、个人信息保护工作和相关监督管理工作。省公安部门、国家安全部门在各自职责范围内承担数据安全监管职责。设区的市、县(市、区)数据管理部门负责统筹本地区数据流通领域安全管理工作,其他有关部门按照职责分工,做好本地区、本部门相关数据安全工作。第六条【市场主体安全责任】数据流通领域各环节主体按照“数据权益与安全责任相匹配”的原则,承担数据安全责任与保护义务。第七条【数据基础设施】数据基础设施建设应按照国家信息安全战略和相关法律法规,结合具体业务需求,通过可信接入、安全互联、跨域管控和全栈防护等安全管理,建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力,提供应对芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。在硬件安全方面,应按照法律法规要求采用符合国家安全标准的硬件设备。确保数据流通全过程中的物理安全。芯片、服务器、网络设备、存储介质等各类硬件设备应具备防篡改、防盗窃的防护能力,应定期进行硬件安全审计和维护,及时更换过时或存在安全隐患的设备,防止因硬件漏洞导致的数据泄露或损坏。在软件安全方面,应部署满足安全等级防护要求的软件系统,采用加密技术、数据沙箱、数字签名等安全技术保障数据流通过程中的保密性与完整性,通过入侵检测和防御系统实现实时监控和应对潜在安全威胁。按照国家网络安全等级保护、数据分类分级保护要求和商用密码应用安全性评估相关要求,开展等级保护测评和商用密码应用安全性评估,鼓励数据基础设施建设主体开展数据管理能力成熟度(DCMM)和数据安全能力成熟度(DSMM)认证。第八条【数据分类分级】数据流通领域各环节主体应根据数据的重要性和敏感程度,将数据分为核心数据、重要数据、一般数据。对于不涉及风险问题的一般数据,鼓励数据流通领域各环节主体自行在安全范围内进行流通开发利用。对于经脱敏等技术处理后,依据所属行业领域的分类分级标准规范重新识别为一般数据的,可按照一般数据开展流通交易。对于未认定为重要数据,但各数据资源权利主体认为涉及重要信息的,鼓励数据供给方、需求方使用可信数据空间等数据流通利用基础设施开展数据流通活动。对于重要数据,遵循“原始数据不出域、数据可用不可见、数据可控可计量”的原则,合法合规开发利用数据价值。第九条【数据收集】数据收集单位应依法依规开展数据收集活动,不得利用强迫、欺诈、误导等手段获取单位、组织和个人数据,不得损害相关单位、组织和个人的合法权益;数据收集单位应制定数据收集安全管理制度,明确从各类信息主体获取数据的安全管理要求和采取的保护措施,确保环境、设施、人员等安全可控。第十条【数据存储】数据存储单位应采用加密存储、分级管理和访问控制等合规措施,按照数据分类分级有关标准和要求实施差异化安全管理,制定数据存储备份和恢复策略,落实灾备措施并定期进行灾难恢复演练。第十一条【数据使用和加工】数据使用和加工过程中,不得危害国家安全、荣誉和利益,不得侵害公民、法人和其他组织的合法权益。利用数据进行自动化决策的,应保证决策的透明度和结果公平合理。第十二条【数据传输】数据传输过程中应按照双方约定部署安全通道并采用密码技术满足传输过程中的保密性和完整性要求,按照传输的数据类型、级别和应用场景,制定差异化安全策略并采取保护措施。数据提供方应当确保数据来源合法,提供方按照“谁主管、谁提供、谁负责”的原则,明确数据使用范围、用途、条件,承担数据提供前的安全管理责任,探索建立数据接收方数据安全管理风险评估制度,确保数据在安全前提下有序传输。数据接收方应严格按照要求使用数据,防止超范围使用,接收方按照“谁经手、谁使用、谁管理、谁负责”的原则,承担数据接收后的安全管理责任。多个主体共同决定个人信息和重要数据的处理目的和处理方式的,应约定各自的权利和义务。第十三条【数据销毁】数据使用完成后,数据使用和加工方应按照数据销毁规程对需要销毁的数据实施有效销毁,并对数据销毁过程的相关操作予以记录。第十四条【数据出境安全】数据处理者从事跨境数据活动,应按照国家数据出境安全监管要求,建立健全相关技术和管理措施,防范数据出境安全风险。第十五条【日志记录】数据流通领域各环节主体应建立数据处置行为的全程记录机制,确保数据汇聚、查询、下载、访问、加工、使用和更新维护情况等敏感操作可追溯。第十六条【风险评估】鼓励数据流通领域各环节主体定期对其数据处理活动开展数据安全管理风险评估。重要数据的处理者应依法向有关主管部门报送风险评估报告。第十七条【安全处置机制】数据流通领域各环节主体应制定网络和数据安全应急预案,加快完善数据流通安全事故或纠纷处置机制,建立监测预警、事件响应、事后总结等安全处理机制,并组织开展应急演练。发生安全事件时,应依法依规启动应急预案,采取相应的应急处置措施,并按照规定向有关主管部门主动报告。第十八条【数据资源管理】数据资源管理应遵循“风险可控、运营合规”的基本原则,加强对所持有或控制的数据资源处置审批、维护更新等活动的安全管理,降低数据泄露、数据丢失等风险。第十九条【数据资源开放共享】按照“谁提供、谁维护,谁使用、谁负责”的原则,建立健全数据资源开放共享安全管理规范,强化开放平台安全建设和监督管理。第二十条【数据资产评估认定】在资产评估认定活动中,对使用的网络系统、应用程序、物理环境等方面进行流程管控和风险检查,防止在资产评估认定过程中发生数据泄露、篡改、破坏风险。第二十一条【资产变更】数据资产各权利主体因合并、分立、收购等方式发生转让、捐赠等权利变更时,新的权利主体应继续承担数据资产管理责任。数据资产变更主要参与主体应记录数据资产的合法来源,确保来源清晰可追溯。第二十二条【资产信息披露】鼓励数据资产各权利主体对数据资产变化情况进行及时更新和定期披露,促进数据流通活动公开透明和安全有序。第二十三条【数据资产报废】合理界定和清查需要报废的数据资产,建立健全数据资产处置审批流程,严禁擅自处置,防范数据资产流失或泄露等造成法律和安全风险。第二十四条【授权主体】授权主体应建立健全数据授权运营管理制度,按照数据分类分级安全保护要求,制定授权安全管理规范和技术标准,对授权运营主体实施安全监管。第二十五条【运营主体】运营主体应建立健全数据授权运营管理制度,确保数据合法合规授权,明确参与数据运营相关主体的网络和数据安全等安全责任、行为规范和管理要求,符合国家数据安全保护要求。第二十六条【合规核查】运营主体应面向数据资源进驻、数据使用申请、数据产品和服务出域等事项建立合规核查制度并组织实施,确保数据授权运营实施过程中的安全合规。第二十七条【需求评估】运营主体应对开发利用主体的数据需求申请用途和使用范围开展合理性评估,规避敏感数据直接暴露或违规滥用的风险,提升数据开发利用安全合规水平。第二十八条【安全评估】鼓励运营主体定期开展数据运营安全评估,并按照相关约定向授权主体提交评估报告。第二十九条【开发利用主体】开发利用主体应建立健全数据开发利用管理制度和安全可控的开发利用环境,在授权范围内实施开发利用行为,确保数据来源可溯、去向可查、行为留痕、责任可究,数据资源开发利用过程可管、可控、可追溯。不得损害国家利益、社会公共利益和第三方合法权益。第三十条【操作使用规范】未经同意,数据开发利用主体不得将获取的数据用于约定利用范围之外的其他用途,数据开发利用主体不得超出授权范围传播所获取的数据。开发利用主体须按照数据分类分级要求,对开发利用过程采取必要的安全措施,实现全程有记录、可审查、可追溯。第三十一条【交易机构】数据交易机构应建立与交易业务相对应的安全管理规范,制定数据流通交易、信息披露、自律监管等规则,对数据提供方的数据来源、交易双方的身份进行合规性审查,确保数据交易公平有序、安全可控、全程可追溯。第三十二条【交易环境安全】数据交易类平台应建立安全、可信、可控、可追溯的数据交易环境,探索利用隐私保护计算、区块链、数据使用控制等技术手段,保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等,规避数据隐私泄露、违规滥用等风险。第三十三条【数据产品安全】加强算法、模型、数据的安全管理,确保敏感数据“可用不可见”“可控可计量”“可溯可审计”,数据产品和服务不得损害国家、组织、个人权益,不得违背社会伦理道德,维护社会公平竞争。第三十四条【安全技术研发】鼓励行业组织、企业和高校院所等单位开展产学研用联合创新研发,加强数据安全基础理论研究、核心技术攻关,在开展使用控制、数据沙箱、智能合约、隐私计算、高性能密态计算、可信执行环境等领域形成数据安全核心技术。基于自主可控技术产品构建的数据加密、分类分级、访问控制、安全治理、备份恢复、脱敏稽查等安全服务产品。第三十五条【安全产品应用】鼓励数据流通领域各环节主体加强隐私保护和数据安全等核心技术攻关和成果应用,推动具备全流程数据信任管控能力的数据空间建设。第三十六条【安全服务供给】鼓励数据安全检测评估、认证等专业机构依法开展数据流通安全技术检测、产品安全认证、数据风险评估、算法审计服务等安全测评服务,加强数据托管和数据保险服务供给。鼓励有条件的企业面向中小企业提供普惠性数据安全产品、技术工具,以及数据安全托管服务。第三十七条【安全标准】鼓励各类市场主体面向数据流通全环节安全规则、制度和技术,共同参与研究制定国际、国家、行业、地方、团体、企业标准,强化数据安全标准的实施推广和跨行业交流合作。第三十八条【流通违规】严厉打击非法获取、出售或者提供数据的黑灰产业,强化敏感信息保护,确保数据使用不超越授权界限。依法依规惩处利用数据开展垄断、不正当竞争等行为,营造公平有序的数据要素流通竞争环境。第三十九条【违法违规情形处置】数据流通领域各环节主体在数据处置过程中有下列行为之一的,数据管理部门应会同有关部门对其予以记录处置:(一)损害国家安全、公共利益或者公民、组织合法权益;对存在前款行为的数据流通领域各环节主体,各级监管部门和数据资源权利主体应按照各自职责,及时暂停提供数据服务并督促整改,拒不整改或者达不到整改要求的,采取限制或者关闭其数据操作权限等措施。对于违反国家法律法规、侵犯商业秘密、个人隐私等合法权益或造成财产损失的,应承担相应的法律责任;构成犯罪的,依法追究刑事责任。第四十条【社会监督】各级监管部门、公共数据授权主体、数据交易场所应建立畅通的社会监督渠道,充分发挥投诉举报、行业自律等社会监督作用,维护各方主体权益和市场公平竞争秩序。第四十一条【容错免责】数据流通领域各环节主体参与数据流通活动时,具有下列情形之一的,可以申请容错免责处理:(一)法律、法规没有明令禁止,主动改革创新,有利于培育数据要素市场生态,有利于促进产业自主创新,有利于推动社会进步的;(二)在探索数据授权运营、数据开发利用、数据交易等先行先试实践中,因经验不足出现失误,情节较轻且无重大负面社会影响的;(三)主动参与问题处置,积极采取有效措施,最大限度挽回损失,及时消除不良影响,尚未造成重大损失及严重影响的;第四十二条【解释单位】本办法由山西省数据局负责解释。
晋公网安备 14040202000002号
