- 索 引 號:000014349/2025-14519
- 成文時間:2025年06月10日
- 發布機構:長治市數據局
- 發布日期:2025年06月12日
- 發文字號:
- 主 題 詞:
- 關于對《山西省數據流通安全治理工作實施辦法(征求意見稿)》公開征求意見的公告
發布日期:2025-06-12 發布機構:長治市數據局
-
關于對《山西省數據流通安全治理工作
實施辦法(征求意見稿)》公開征求意見的公告
為規范全省數據流通交易活動,促進數據合規有序流通、公平高效配置,壯大數據要素市場,省數據局牽頭起草了《山西省數據流通安全治理工作實施辦法(征求意見稿)》,現向社會公開征求意見,歡迎社會各界人士提出寶貴意見。征求意見時間為2025年6月11日至2025年6月17日,可通過以下途徑和方式提出意見建議。1.電子郵件:請將意見建議電子版發送至 sxdata2025@126.com,郵件主題和附件名為“姓名(或單位)+山西省數據流通安全治理工作實施辦法建議”。2.紙質郵件:請將意見建議郵寄到山西省太原市濱河西路焦煤雙創基地A座,山西省數據局。3.為方便和您聯系,請注明聯系人姓名、單位、聯系方式。附件:山西省數據流通安全治理工作實施辦法(征求意見稿)第一條【背景和依據】為貫徹落實中共中央國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》(中發〔2022〕32號)關于強化數據安全管理要求,維護國家安全、公共利益,保護自然人、法人和非法人組織的合法權益,促進數據依法合理利用,根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《網絡數據安全管理條例》《關鍵信息基礎設施安全保護條例》《關于完善數據流通安全治理 更好促進數據要素市場化價值化的實施方案》《國家數據基礎設施建設指引》《關于加強數據資產管理的指導意見》《關于加快公共數據資源開發利用的意見》《個人信息保護合規審計管理辦法》《山西省數據工作管理辦法》等政策法規,結合山西省實際,制定本辦法。第二條【基本原則】堅持“統籌發展和安全,兼顧效率與公平”的原則,強化全省數據安全治理體系建設,為促進數據要素合規高效流通利用,繁榮數據市場生態,釋放數據要素價值提供保障。第三條【適用范圍】山西省范圍內數據歸集、管理、授權運營、開發利用、交易等各類數據流通活動安全保障及監督管理,適用本辦法。第四條【定義】數據流通領域各環節主體是指包括數據開放、共享、交易、交換等環節中,對數據實施采集、傳輸、使用、加工、存儲等操作或控制的自然人、法人和非法人組織。數據資源(資產)權利主體是指依法對數據資源(資產)享有占有、使用、收益和處分權益的主體。授權主體是指在數據授權運營過程中,有權將數據授權給其他主體進行使用或運營的主體。運營主體是指按程序依法授權,推動數據價值流通,開展數據運營活動的法人組織。開發利用主體是指開展數據應用或產品開發及再開發等活動的自然人、法人或非法人組織。第五條【政府部門職責分工】省數據管理部門負責組織、指導和協調數據流通安全管理工作,在具體承擔數據基礎制度建設、數據要素市場建設、數據標準規范、數據基礎設施建設等職責中,應當履行相應數據安全職責,負責擬定相關數據安全政策并組織實施。各行業主管部門在各自職責范圍內負責本行業、本領域的相關數據安全工作。省網信部門、省數據管理部門負責協同開展網絡數據跨境流動安全監管工作。省網信部門負責統籌協調網絡數據安全工作、個人信息保護工作和相關監督管理工作。省公安部門、國家安全部門在各自職責范圍內承擔數據安全監管職責。設區的市、縣(市、區)數據管理部門負責統籌本地區數據流通領域安全管理工作,其他有關部門按照職責分工,做好本地區、本部門相關數據安全工作。第六條【市場主體安全責任】數據流通領域各環節主體按照“數據權益與安全責任相匹配”的原則,承擔數據安全責任與保護義務。第七條【數據基礎設施】數據基礎設施建設應按照國家信息安全戰略和相關法律法規,結合具體業務需求,通過可信接入、安全互聯、跨域管控和全棧防護等安全管理,建立網絡安全風險和威脅的動態發現、實時告警、全面分析、協同處置、跨域追溯和態勢掌控能力,提供應對芯片、軟件、硬件、協議等內置后門、漏洞安全威脅的內生防護能力。在硬件安全方面,應按照法律法規要求采用符合國家安全標準的硬件設備。確保數據流通全過程中的物理安全。芯片、服務器、網絡設備、存儲介質等各類硬件設備應具備防篡改、防盜竊的防護能力,應定期進行硬件安全審計和維護,及時更換過時或存在安全隱患的設備,防止因硬件漏洞導致的數據泄露或損壞。在軟件安全方面,應部署滿足安全等級防護要求的軟件系統,采用加密技術、數據沙箱、數字簽名等安全技術保障數據流通過程中的保密性與完整性,通過入侵檢測和防御系統實現實時監控和應對潛在安全威脅。按照國家網絡安全等級保護、數據分類分級保護要求和商用密碼應用安全性評估相關要求,開展等級保護測評和商用密碼應用安全性評估,鼓勵數據基礎設施建設主體開展數據管理能力成熟度(DCMM)和數據安全能力成熟度(DSMM)認證。第八條【數據分類分級】數據流通領域各環節主體應根據數據的重要性和敏感程度,將數據分為核心數據、重要數據、一般數據。對于不涉及風險問題的一般數據,鼓勵數據流通領域各環節主體自行在安全范圍內進行流通開發利用。對于經脫敏等技術處理后,依據所屬行業領域的分類分級標準規范重新識別為一般數據的,可按照一般數據開展流通交易。對于未認定為重要數據,但各數據資源權利主體認為涉及重要信息的,鼓勵數據供給方、需求方使用可信數據空間等數據流通利用基礎設施開展數據流通活動。對于重要數據,遵循“原始數據不出域、數據可用不可見、數據可控可計量”的原則,合法合規開發利用數據價值。第九條【數據收集】數據收集單位應依法依規開展數據收集活動,不得利用強迫、欺詐、誤導等手段獲取單位、組織和個人數據,不得損害相關單位、組織和個人的合法權益;數據收集單位應制定數據收集安全管理制度,明確從各類信息主體獲取數據的安全管理要求和采取的保護措施,確保環境、設施、人員等安全可控。第十條【數據存儲】數據存儲單位應采用加密存儲、分級管理和訪問控制等合規措施,按照數據分類分級有關標準和要求實施差異化安全管理,制定數據存儲備份和恢復策略,落實災備措施并定期進行災難恢復演練。第十一條【數據使用和加工】數據使用和加工過程中,不得危害國家安全、榮譽和利益,不得侵害公民、法人和其他組織的合法權益。利用數據進行自動化決策的,應保證決策的透明度和結果公平合理。第十二條【數據傳輸】數據傳輸過程中應按照雙方約定部署安全通道并采用密碼技術滿足傳輸過程中的保密性和完整性要求,按照傳輸的數據類型、級別和應用場景,制定差異化安全策略并采取保護措施。數據提供方應當確保數據來源合法,提供方按照“誰主管、誰提供、誰負責”的原則,明確數據使用范圍、用途、條件,承擔數據提供前的安全管理責任,探索建立數據接收方數據安全管理風險評估制度,確保數據在安全前提下有序傳輸。數據接收方應嚴格按照要求使用數據,防止超范圍使用,接收方按照“誰經手、誰使用、誰管理、誰負責”的原則,承擔數據接收后的安全管理責任。多個主體共同決定個人信息和重要數據的處理目的和處理方式的,應約定各自的權利和義務。第十三條【數據銷毀】數據使用完成后,數據使用和加工方應按照數據銷毀規程對需要銷毀的數據實施有效銷毀,并對數據銷毀過程的相關操作予以記錄。第十四條【數據出境安全】數據處理者從事跨境數據活動,應按照國家數據出境安全監管要求,建立健全相關技術和管理措施,防范數據出境安全風險。第十五條【日志記錄】數據流通領域各環節主體應建立數據處置行為的全程記錄機制,確保數據匯聚、查詢、下載、訪問、加工、使用和更新維護情況等敏感操作可追溯。第十六條【風險評估】鼓勵數據流通領域各環節主體定期對其數據處理活動開展數據安全管理風險評估。重要數據的處理者應依法向有關主管部門報送風險評估報告。第十七條【安全處置機制】數據流通領域各環節主體應制定網絡和數據安全應急預案,加快完善數據流通安全事故或糾紛處置機制,建立監測預警、事件響應、事后總結等安全處理機制,并組織開展應急演練。發生安全事件時,應依法依規啟動應急預案,采取相應的應急處置措施,并按照規定向有關主管部門主動報告。第十八條【數據資源管理】數據資源管理應遵循“風險可控、運營合規”的基本原則,加強對所持有或控制的數據資源處置審批、維護更新等活動的安全管理,降低數據泄露、數據丟失等風險。第十九條【數據資源開放共享】按照“誰提供、誰維護,誰使用、誰負責”的原則,建立健全數據資源開放共享安全管理規范,強化開放平臺安全建設和監督管理。第二十條【數據資產評估認定】在資產評估認定活動中,對使用的網絡系統、應用程序、物理環境等方面進行流程管控和風險檢查,防止在資產評估認定過程中發生數據泄露、篡改、破壞風險。第二十一條【資產變更】數據資產各權利主體因合并、分立、收購等方式發生轉讓、捐贈等權利變更時,新的權利主體應繼續承擔數據資產管理責任。數據資產變更主要參與主體應記錄數據資產的合法來源,確保來源清晰可追溯。第二十二條【資產信息披露】鼓勵數據資產各權利主體對數據資產變化情況進行及時更新和定期披露,促進數據流通活動公開透明和安全有序。第二十三條【數據資產報廢】合理界定和清查需要報廢的數據資產,建立健全數據資產處置審批流程,嚴禁擅自處置,防范數據資產流失或泄露等造成法律和安全風險。第二十四條【授權主體】授權主體應建立健全數據授權運營管理制度,按照數據分類分級安全保護要求,制定授權安全管理規范和技術標準,對授權運營主體實施安全監管。第二十五條【運營主體】運營主體應建立健全數據授權運營管理制度,確保數據合法合規授權,明確參與數據運營相關主體的網絡和數據安全等安全責任、行為規范和管理要求,符合國家數據安全保護要求。第二十六條【合規核查】運營主體應面向數據資源進駐、數據使用申請、數據產品和服務出域等事項建立合規核查制度并組織實施,確保數據授權運營實施過程中的安全合規。第二十七條【需求評估】運營主體應對開發利用主體的數據需求申請用途和使用范圍開展合理性評估,規避敏感數據直接暴露或違規濫用的風險,提升數據開發利用安全合規水平。第二十八條【安全評估】鼓勵運營主體定期開展數據運營安全評估,并按照相關約定向授權主體提交評估報告。第二十九條【開發利用主體】開發利用主體應建立健全數據開發利用管理制度和安全可控的開發利用環境,在授權范圍內實施開發利用行為,確保數據來源可溯、去向可查、行為留痕、責任可究,數據資源開發利用過程可管、可控、可追溯。不得損害國家利益、社會公共利益和第三方合法權益。第三十條【操作使用規范】未經同意,數據開發利用主體不得將獲取的數據用于約定利用范圍之外的其他用途,數據開發利用主體不得超出授權范圍傳播所獲取的數據。開發利用主體須按照數據分類分級要求,對開發利用過程采取必要的安全措施,實現全程有記錄、可審查、可追溯。第三十一條【交易機構】數據交易機構應建立與交易業務相對應的安全管理規范,制定數據流通交易、信息披露、自律監管等規則,對數據提供方的數據來源、交易雙方的身份進行合規性審查,確保數據交易公平有序、安全可控、全程可追溯。第三十二條【交易環境安全】數據交易類平臺應建立安全、可信、可控、可追溯的數據交易環境,探索利用隱私保護計算、區塊鏈、數據使用控制等技術手段,保證數據的可信采集、加密傳輸、可靠存儲、受控交換共享、銷毀確認及存證溯源等,規避數據隱私泄露、違規濫用等風險。第三十三條【數據產品安全】加強算法、模型、數據的安全管理,確保敏感數據“可用不可見”“可控可計量”“可溯可審計”,數據產品和服務不得損害國家、組織、個人權益,不得違背社會倫理道德,維護社會公平競爭。第三十四條【安全技術研發】鼓勵行業組織、企業和高校院所等單位開展產學研用聯合創新研發,加強數據安全基礎理論研究、核心技術攻關,在開展使用控制、數據沙箱、智能合約、隱私計算、高性能密態計算、可信執行環境等領域形成數據安全核心技術。基于自主可控技術產品構建的數據加密、分類分級、訪問控制、安全治理、備份恢復、脫敏稽查等安全服務產品。第三十五條【安全產品應用】鼓勵數據流通領域各環節主體加強隱私保護和數據安全等核心技術攻關和成果應用,推動具備全流程數據信任管控能力的數據空間建設。第三十六條【安全服務供給】鼓勵數據安全檢測評估、認證等專業機構依法開展數據流通安全技術檢測、產品安全認證、數據風險評估、算法審計服務等安全測評服務,加強數據托管和數據保險服務供給。鼓勵有條件的企業面向中小企業提供普惠性數據安全產品、技術工具,以及數據安全托管服務。第三十七條【安全標準】鼓勵各類市場主體面向數據流通全環節安全規則、制度和技術,共同參與研究制定國際、國家、行業、地方、團體、企業標準,強化數據安全標準的實施推廣和跨行業交流合作。第三十八條【流通違規】嚴厲打擊非法獲取、出售或者提供數據的黑灰產業,強化敏感信息保護,確保數據使用不超越授權界限。依法依規懲處利用數據開展壟斷、不正當競爭等行為,營造公平有序的數據要素流通競爭環境。第三十九條【違法違規情形處置】數據流通領域各環節主體在數據處置過程中有下列行為之一的,數據管理部門應會同有關部門對其予以記錄處置:(一)損害國家安全、公共利益或者公民、組織合法權益;對存在前款行為的數據流通領域各環節主體,各級監管部門和數據資源權利主體應按照各自職責,及時暫停提供數據服務并督促整改,拒不整改或者達不到整改要求的,采取限制或者關閉其數據操作權限等措施。對于違反國家法律法規、侵犯商業秘密、個人隱私等合法權益或造成財產損失的,應承擔相應的法律責任;構成犯罪的,依法追究刑事責任。第四十條【社會監督】各級監管部門、公共數據授權主體、數據交易場所應建立暢通的社會監督渠道,充分發揮投訴舉報、行業自律等社會監督作用,維護各方主體權益和市場公平競爭秩序。第四十一條【容錯免責】數據流通領域各環節主體參與數據流通活動時,具有下列情形之一的,可以申請容錯免責處理:(一)法律、法規沒有明令禁止,主動改革創新,有利于培育數據要素市場生態,有利于促進產業自主創新,有利于推動社會進步的;(二)在探索數據授權運營、數據開發利用、數據交易等先行先試實踐中,因經驗不足出現失誤,情節較輕且無重大負面社會影響的;(三)主動參與問題處置,積極采取有效措施,最大限度挽回損失,及時消除不良影響,尚未造成重大損失及嚴重影響的;第四十二條【解釋單位】本辦法由山西省數據局負責解釋。
晉公網安備 14040202000002號
