深圳首个公共数据安全领域地方标准发布

 　　为进一步激活公共数据的价值，推动高质量数据有序安全开放，深圳于近日发布了《公共数据安全要求》(下称《要求》)，这也是深圳首个公共数据安全领域的地方标准。

　　在深圳市政务服务数据管理局指导下，《要求》由信息安全管理中心牵头起草。《要求》全文共九章，全面覆盖数据安全管理、技术及数据处理活动各环节，适用于公共管理和服务机构数据安全能力的建设、评估与监管，也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。

　　南方日报记者李定

　　统一公共数据管理标准

　　让数据安全流动

　　作为保障公共数据安全的标准，首先要定义什么是公共数据。水电气，是公共数据吗？疫情期间个人出行数据，是公共数据吗？……只有明确公共数据的定义，才能对数据的使用与安全进行更好保护。

　　《要求》指明，公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。同时规定了公共数据安全要求，主要包括总体安全原则和要求、总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及数据处理活动安全要求。

　　近年来，国家对数据安全要求不断提升，特别是随着数据作为生产要素，其经济价值和社会影响不断提升，更成了国家和社会关注的重点。

　　《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》相继发布，《深圳经济特区数据条例》于今年1月正式实施。如何平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系，如何有效让数据安全流通起来成为当下急迫的要求。

　　《要求》从公共数据安全的专业视角，为公共数据安全管理进行统一的指导，通过合理可行的标准落实数据相关法律法规。

　　同时，《要求》从实际出发，提升标准执行力，将公共数据安全和网络安全等级保护体系有效衔接，在不影响各公共管理和服务机构已有安全要求的基础上，进行公共数据安全层面的扩展。

　　公共数据分级保护

　　规范数据处理全流程

　　2019年开始，深圳市政务服务数据管理局举行了三届政务服务数据开放应用大赛，选手们利用开放的公共数据，激活数据价值，催生一大批数据应用成果。

　　目前数据开放总量已达13.56亿条，保障公共数据的安全成为促进数据开放应用的关键之举。

　　《要求》确定了数据分级保护的方式和受侵害等级。其中，定级对象分为数据库和数据子类或数据字段，定级分为一至五级，数据子类或数据字段定级分为1—4级；对客体的侵害程度分为四类，分别为无损害、一般损害、严重损害、特别严重损害。

　　以个人信息主体中涉及的“个人健康生理信息”举例，数据分级保护被定义为4级，一旦发生数据侵害，则对“个人信息主体及公共管理和服务机构的合法权益”造成“特别严重损害”。

　　在进行安全管理要求分解和细化的同时，《要求》提供相应的技术及数据处理活动安全能力要求，为标准落地提供参考和指导。例如，《要求》规范了在公共数据处理活动中的安全要求，数据处理活动围绕数据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁及删除环节的执行标准。

　　此外，《要求》对机构管理提出应设立数据安全管理机构，设立数据安全责任人，明确数据管理员、数据安全管理员、数据安全审计员等岗位职责，保障数据安全管理与审计工作开展，落实数据安全保护责任。