《全球数据资产大会:数据资产政策宝典(2023版)(1430页).pdf》由会员分享,可在线阅读,更多相关《全球数据资产大会:数据资产政策宝典(2023版)(1430页).pdf(1430页珍藏版)》请在三个皮匠报告上搜索。
1、数据资产政策汇编二二三年十一月数据作为数字经济时代的关键生产要素,逐步融入生产生活各方面,深刻影响并重构着经济社会运行和社会治理,已成为影响未来发展的关键战略性资源。近年来,我国高度重视发展数字经济、数据要素及其市场化配置改革,发布了一系列重要政策,推动数据要素市场快速发展,进一步明确了大循环背景下数据资源畅通的方向。为帮助各方更深入了解我国的数据资产政策导向,全球数据资产大会组委会对2022 年-2023 年期间出台的部分国家及地方层面的相关政策、法规和标准进行了整理和汇总。1A.核心篇核心篇.11.温州市财政局关于探索数据资产管理试点的试行意见(2023-11-09).12.广西数据要素市
2、场化发展管理暂行办法(2023-11-07).33.关于规范和促进数据跨境流动规定(征求意见稿)(2023-09-28).64.关于印发数据资产评估指导意见的通知(2023-09-08).75.关于 个人信息保护合规审计管理办法(征求意见稿)(2023-08-23).116.关于印发企业数据资源相关会计处理暂行规定的通知(2023-08-01).127.关于构建数据基础制度更好发挥数据要素作用的意见(2022-12-02).158.广西数据要素市场化发展管理暂行办法(2023-11-07).20B.法律法规篇法律法规篇.23一、一、国家篇国家篇.231、会计师事务所数据安全管理暂行办法(征求意
3、见稿).232、关于进一步规范银行间市场货币经纪报价及数据展示有关事项的通知(2023-09-12).263、关于规范货币经纪公司提供数据服务有关事项的通知(2023-08-31).274、中国人民银行业务领域数据安全管理办法(征求意见稿)(2023-07-24).285、数字中国建设整体布局规划(2023-02-27).396、个人信息出境标准合同办法(2023-02-22).417、关于促进数据安全产业发展的指导意见(2023-01-03).438、关于印发工业和信息化领域数据安全管理办法(试行)的通知(2022-12-08).469、互联网信息服务深度合成管理规定(2022-11-25)
4、.5210、关于印发全国一体化政务大数据体系建设指南的通知(2022-09-13).5511、数据出境安全评估办法(2022-09-01).6812、关于印发要素市场化配置综合改革试点总体方案的通知(2021-12-21).7013、中华人民共和国数据安全法(2021-06-10).8314、中华人民共和国网络安全法(2016-11-07).882二、二、地方文件地方文件.90(一)(一)北京市北京市.901、2023 年北京市高精尖产业发展资金实施指南(第三批)(2023-11-17).902、北京市公共数据专区授权运营管理办法(征求意见稿)(2023-07-20).913、2023 年数据
5、要素市场示范奖励申报说明.954、北京市发展和改革委员会关于印发进一步加强数据中心项目节能审查若干规定的通知(2023-07-05).1015、中共北京市委北京市人民政府印发关于更好发挥数据要素作用进一步加快发展数字经济的实施意见的通知(2023-06-20).1036、北京市数字经济促进条例(2022-11-25).1087、北京市数字经济全产业链开放发展行动方案(2022-05-30).115(二)(二)天津市天津市.1201、天津市数据知识产权登记办法(试行)(2023-09-12).1202、天津市数据交易管理暂行办法(2022-01-25).1243、天津市加快数字化发展三年行动方案
6、(2021-2023 年)(2021-08-19).128(三)(三)上海市上海市.1401、上 海 市 促 进 浦 东 新 区 数 据 流 通 交 易 若 干 规 定(草 案)(2023-07-27).1402、立足数字经济新赛道推动数据要素产业创新发展行动方案(2023-2025 年)(2023-07-22).1433、中国(上海)自由贸易试验区专项发展资金支持数据要素市场发展实施细则(2023-6-14).1474、上海市数据交易场所管理实施暂行办法(2023-03-15).1495、上海市公共数据开放实施细则(2022-12-31).1536、上海市数据条例(2021-11-25).1
7、617、青浦区公共数据运行服务管理办法(试行)(2021-06-03)171(四)(四)重庆市重庆市.1731、重床市数据条例(2022-03-20).1732、重庆市数据治理“十四五”规划(2021-2025 年)(2021-12-16)1813、重庆市数字经济“十四五”发展规划(2021-2025 年).191(五)(五)广东省广东省.2121、深圳市公共数据开放管理办法(征求意见稿)(2023-09-26).2122、深圳市企业数据合规指引(2023-09-11).2223、广州市数据条例(征求意见稿)(2023-07-01).2364、深圳市交易场所监督管理暂行办法的通知(2023-0
8、6-21).2425、深圳市数据产权登记管理暂行办法(2023-06-15).2476、广东省人民政府关于加快建设通用人工智能产业创新引领地的实施意见.2527、广东省数据资产合规登记规则(试行)(2023-04-25).2568、广州市公共数据开放管理办法(2023-04-11).26139、广东省数据流通交易管理办法(试行)(2023-04-04).26710、广东省数据流通交易监管规则(试行)(征求意见稿)(2023-04-04).27211、广东省数据经纪人管理规则(试行)(2023-04-04).27712、深圳市数据商和数据流通交易第三方服务机构管理暂行办法(2023-02-24)
9、.28113、汕尾市首席数据官制度试点工作实施方案(2022-09-05).28414、深圳市数据交易管理暂行办法(2022-11-18).28715、广东省数据要素市场化配置改革白皮书(2022-11).29116、深圳经济特区数字经济产业促进条例(2022-09-05).32717、广东省数字经济促进条例(2021-07-30).32818、广东省数据要素市场化配置改革行动方案(2021-07-05).336(六)(六)浙江省浙江省.3391、杭州市公共数据授权运营实施方案(试行)(2023-09-01).3402、温州市公共数据授权运营管理实施细则(试行)(2023-08-05)3443
10、、浙江省公共数据授权运营管理办法(试行)(2023-08-01).3494、浙江省数据知识产权登记办法(试行)(2023-07-01).3535、浙江省推进产业数据价值化改革试点方案(2022-10-19).3566、浙江统计大脑数据安全管理暂行办法(2022-04-26).3607、浙江省高质量推进数字经济发展 2022 年工作要点(2022-03-21)3628、浙江省公共数据条例(2022-01-21).369(七)(七)山西省山西省.3761、太原市政务数据资源共享实施办法(2023-11-01).3762、山西省政务数据安全管理办法的通知(2023-05-22).3803、山西省数字
11、经济促进条例(2022-12-09).3834、山西省“十四五”大数据发展应用规划(2021-10-20).3885、山西省政务数据资源共享管理办法(2021-09-29).404(八)(八)河南省河南省.4091、河南省人民政府关于印发河南省加强数字政府建设实施方案(2023-2025 年)的通知(2023-04-26).4092、2023 年河南省数字经济发展工作方案(2023-01-25).4173、河南省数据条例(草案)(征求意见稿)(2022-12-24).4224、河南省数据交易管理办法(试行)(2022-12-15).4285、河南省人民政府办公厅关于印发河南省大数据产业发展行动
12、计划(2022-2025 年)的通知(2022-09-15).4336、河南省政务数据安全管理暂行办法(2022-04-21).4397、河南省“十四五”数字经济和信息化发展规划(2021-12-31).4418、河南省数字经济促进条例(2021-12-18).467(九)(九)湖北省湖北省.4751、湖北省数据要素市场建设实施方案(2023-08-28).4752、湖北省 2023 年新型融合领域网络和数据安全“荆楚护航”专项行动方案(2023-05-06).4763、湖北省医疗保障局关于印发 湖北省医疗保障信息平合数据安全管理办法的通知(2022-10-19).48144、湖北省人民政府办
13、公厅关于印发湖北数字经济强省三年行动计划(2022-2024 年)的通知(2022-08-03).485(十)(十)山东省山东省.4911、山东省数字基础设施建设行动方案(20242025 年)(2023-11-14).4912、山东省数据知识产权登记管理规则(试行)(2023-10-27).5113、山东省人民政府办公厅关于印发数宇强省建设 2023 年工作要点的通知(2023-06-17).5154、数字青岛发展规划(20232025 年)(2023-05-08).5215、青岛市公共数据运营试点管理暂行办法(2023-04-25).5406、烟台市激活数据要素潜能发挥数据要素作用行动方案
14、(2023-2025年)(2023-04-07).5457、济南市公共数据授权运营数据(征求意见稿)(2023-03-02).5508、山东省数字政府建设实施方案(2023-01-29).5539、威海市公共数据管理办法(2022-11-04).56610、山东省大数据局关手印发 山东省公共数据开放工作细则(试行)的通知(2022-10-21).57011、山东省公共数据开放办法(2022-01-31).57412、山东省大数据发展促进条例(2021-09-30).578(十一)(十一)江苏省江苏省.5841、姜堰区首席数据官工作实施细则(2023-04-13).5842、江苏省政府关于加快统
15、筹推进数字政府高质量建设的实施意见(2022-05-31).5873、江苏省数字经济促进条例(2022-05-31).5924、苏州市数据条例(送审稿)(2022-04-13).6025、江苏“十四五”数字经济发展规划(2021-08-10).6126、江苏省公共数据管理办法(2021-12-18).636(十二)(十二)辽宁省辽宁省.6451、辽宁省遥感彩像数据共享使用管理规定(试行)(2023-01-11)6452、辽宁省大数据发展条例(2022-05-31).6463、辽阳市数字经济发展规划(2021-2025 年)(2022-05-02).652(十三)(十三)安徽省安徽省.6731、
16、宿州市首席数据官试点工作方案(2023-09-07).6732、马鞍山市公共数据开放管理暂行办法(2023-02-09).6743、关于征询公众对 安徽省公共数据开放管理暂行办法(征求意见稿意见的公告(2022-11-09).6774、安徽省人民政府办公厅关于印发加快发展数字经济行动方案(2022-2024 年(2022-08-18).682(十四)(十四)四川省四川省.6871、成都市智慧蓉城促进条例(草案)(2023-11-08).6872、四川省数据条例(2022-12-02).6933、德阳市数据要秦管理暂行办法(2022-09-01).701(十五)(十五)湖南省湖南省.7041、湖
17、南省“十四五”数字政府建设实施方案(2023-03-23).70452、湖南省“十四五”信息化发展规划(2021-09-06).7133、常德市公共数据管理办法(2020-08-24).737(十六)(十六)陕西省陕西省.7411、陕西省大数据条例(2022-09-29).7412、陕西省加快推进数字经济产业发展实施方案【20212025 年】(2022-04-22).750(十七)(十七)黑龙江省黑龙江省.7551、黑龙江省支持数字经济加快发展若干政策措施(2023-11-12).7552、黑龙江省“十四五”数字经济发展规划(2023-11-12).7583、黑龙江省促进大数据发展应用条例(
18、2022-05-13).7864、哈尔滨市公共数据开放管理办法(2022-12-15).793(十八)(十八)甘肃省甘肃省.7961、中共甘肃省委甘肃省人民政府关于促进数据要素市场发展的实施意见(2023-05-28).7962、甘肃省“十四五”数字经济创新发展规划(2021-09-21).800(十九)(十九)江西省江西省.8181、江西省数字化项目建设管理办法(2023-09-26).8182、南昌市首席数据官制度工作方案(2023-09-18).8243、江西省数字政府建设总体方案(2023-07-20).8254、江西省 2023 年数字政府建设工作要点(2023-04-13).841
19、5、江西省一体化政务大数据体系建设工作方案(2023-02-09).8446、江西省推进大数据产业发展三年行动计划(2023-2025 年)(2023-01-11).8517、江西省数据应用条例(草案)(2022-11-30).8558、江西省信息通信业促进数字经济发展三年行动计划(2022-2024 年)(2022-09-08).8629、江西省“十四五”数字经济发展规划(2022-05-25).87810、江西省公共数据管理办法(2022-01-12).897(二十)(二十)河北省河北省.9031、河北省政务数据共享应用管理办法(2022-10-25).9032、河北省数字经济促进条例(2
20、022-05-27).9073、陕河北省大数据产业创新发展提升行动计划(2020-2022 年)(2020-07-06).918(二十一)(二十一)福建省福建省.9241、厦门市中小企业数字化转型试点城市工作方案(征求意见稿)(2023-11-21).9242、厦门市公共数据授权运营管理暂行办法(征求意见稿)(2023-11-09).9293、福建省一体化公共数据体系建设方案(2023-09-30).9334、福建省加快推进数据要素市场化改革实施方案(2023-09-19).9405、厦门经济特区数据条例(2022-12-27).9436、福建省数字政府改革和建设总体方案(2022-12-26
21、).9507、福建省公共数据资源开放开发管理办法(试行).967(二十二)(二十二)云南省云南省.97161、大理州数据资产登记管理办法(2023-10-17).9712、大理州数据资产评估管理办法(2023-10-17).9763、大理州公共数据授权运营管理办法(2023-10-17).9804、大理州数据分类分级管理办法(2023-10-17).9845、大理州数据流通交易管理办法(2023-10-17).9876、大理州数据交易服务规则(2023-10-17).9927、云南省公共数据管理办法(征求意见稿)(2023-09-28).9968、云南省数字政府建设总体方案(2023-03-0
22、2).10029、云南省行业级大数据中心建设指南(2022-11-04).101310、云南省数字经济发展三年行动方案(20222024 年)(2022-04-27).1016(二十三)(二十三)海南省海南省.10291、海南省大数据人才发展规划(2023-2025)(2023-01-18).10292、海南省政府数字化转型总体方案(2022-2025)(2022-07-26)10363、海南省公共数据产品开发利用暂行管理办法(2021-09-15).10474、陵水黎族自治县促进数字经济产业发展专项资金管理暂行办法(2022-12-13).1053(二十四)(二十四)青海省青海省.10581
23、、青海省人民政府关于加快数字政府建设的实施意见(2023-07-18).10592、青海省支持大数据产业发展政策措施(2023-04-04).10683、青海省数字经济发展三年行动方案(20232025 年)(2023-04-03).10724、2022 年青海省促进数字经济发展工作要点(2022-02-18).1076(二十五)(二十五)广西壮族自治区广西壮族自治区.10811、广西数据要素市场化发展管理暂行办法(2023-11-07).10812、广西构建数据基础制度更好发挥数据要素作用总体工作方案(2023-08-14).10843、广西壮族自治区大数据发展条例(2022-11-25).
24、10874、广西数字经济发展三年行动计划(2021 年-2023 年)(2021-12-29).1098(二十六)(二十六)宁夏回族自治区宁夏回族自治区.11211、自治区人民政府办公厅关于印发宁夏回族自治区教育数字化战略行动计划(2023-2027 年)的通知(2023-09-25).11212、自治区人民政府关于加强数字政府建设的实施意见(2023-05-16).1124(二十七)(二十七)内蒙古自治区内蒙古自治区.11351、内蒙古自治区推动数字经济高质量发展工作方案(20232025 年)(2023-10-10).11352、遂宁市公共数据运营管理办法(2023-07-11).1147
25、3、内蒙古自治区人民政府办公厅关于印发全区一体化政务大数据体系建设工作方案的通知(2023-04-14).1151(二十八)(二十八)新疆维吾尔族自治区新疆维吾尔族自治区.11581、新疆维吾尔自治区公共数据管理办法(试行)(2023-02-17)11587(二十九)(二十九)西藏自治区西藏自治区.11671、西藏自治区加强数字政府建设方案(2023-2025 年)(2023-04-16)1167(三十)(三十)贵州省贵州省.11791、贵州省数据要素登记服务管理办法(试行)(2023-11-15).11792、贵州省数据流通交易促进条例(草案)(2023-08-21).11843、贵阳贵安推
26、进数据要素市场化配置改革支持贵阳大数据交易所优化提升实施方案(征求意见稿)(2023-08-04).11894、贵州省政务数据资源管理办法(2023-06-08).11935、贵州省数据流通交易管理办法(试行)(2022-12-23).12006、安顺市公共数据资源授权开发利用试点实施方案(2022-08-26).1204(三十一)(三十一)吉林省吉林省.12101、长春市公共数据授权运营管理办法(2023-08-28).12102、吉林省大数据产业发展指导意见(2023-05-04).1214三、三、标准标准.12201、2023 年数据经纪人服务质量管理体系实施指南(征求意见稿)12202
27、、2023 年数据经纪从业人员评价规范(征求意见稿).12303、2023 年数据交易流通活动术语(征求意见稿).12394、产权交易行业数据要素交易规范(2023-08-30).12485、统计数据分类分级标准规范(2022)(2023-06-19).12566、工业领域数据安全标准体系建设指南(2023 版)(征求意见稿)(2023-05).12597、信息安全技术个人信息去标识化效果评估指南 2023-03-07).12678、2022 年数据产品登记业务流程规范(征求意见稿).12739、2022 年数据产品登记信息描述规范(征求意见稿).127910、资产管理-数据资产运营人员能力要
28、求(2022-12-27).128611、资源管理-数据资产确权登记导则(2022-12-27).129112、资源管理-数据资产建设通用要求(2022-12-27).129713、资源管理-数据资产管理指南(2022-12-27).130214、电力数据脱敏实施规范(2022-11-04).130415、数据资产登记、存证、确权业务标准(2022-11-01).131716、信息安全技术 网络数据处理安全要求(2022-04-15).132617、信息安全技术 网络数据安全规范(征求意见稿)(2022-09-14).133318、基于区块链的数据资产交易实施指南(2019-12-31).13
29、5319、电子商务数据资产评价指标体系(2019-06-14).135920、珠海机场数据安全分级管理系统项目 技术需求.136721、广东省数据流通交易技术安全规范(试行)(征求意见稿)137622、上海市公共数据开放分级分类指南(试行).138123、重庆市公共数据分类分级指南 2.0(试行).138924、数据确权风险控制通则(征求意见稿).140625、数据资产确认工作指南.14151A.A.核心篇核心篇1.1.温州市财政局关于探索数据资产管理试点的试行意见温州市财政局关于探索数据资产管理试点的试行意见(2023-11-092023-11-09)一、指导思想一、指导思想以习近平新时代中
30、国特色社会主义思想为指导,全面深入贯彻党的二十大精神,认真落实中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见和上级财政部门关于探索数据资产管理、推进三个“一号工程”相关部署精神,根据 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法中华人民共和国会计法中华人民共和国资产评估法和国有资产、企业财务等监管要求,结合“中国(温州)数安港”建设情况,借助“政、企、学、研”多方力量,选择符合条件的试点企业和相关单位(指行政事业单位,下同)先行先试数据资产管理,为推进我市数字经济创新提质和营商环境优化提升作出贡献。二、基本原则二、基本原则(一)坚持党建引领。
31、以深入开展学习贯彻习近平新时代中国特色社会主义思想主题教育为指引,促进党建和财政业务深度融合,依托会计财务、资产评估、数据分析等专家力量,发挥会计税务专家服务团作用,开展“红专惠企行”等党建活动,为企业和相关单位探索数据资产管理提供暖心服务、增值服务。(二)坚持安全合规。统筹发展与安全,正确处理数据资产安全合规、个人信息保护与数据资产价值实现的关系。以保障数据安全合规为前提,对需要严格保护或权属不清的数据,严禁推进数据资产化;对可开发利用能产生价值的数据,坚持以需求为导向,支持推进数据资产化,进一步发挥数据资产价值。(三)坚持改革创新。围绕数字经济发展迫切需要,强化改革思维,探索创新容错机制,
32、结合温州实际,坚持问题导向,加强与院校合作,依托专家力量指导工作实践。正确认识数据、数据资源和数据资产之间的关系,争取在地市财政探索数据资产管理方面,总结提炼可复制、可推广的经验和做法。(四)坚持稳步推进。在目前国家数据产权体系尚未形成,数据确权法律依据缺乏,数据资产登记、会计处理和价值评估等研究有待深化的情况下,要按照“市场主导、政府引导、部门指导”的原则,聚焦企业和单位关注关切问题,以点带面,先易后难,加强部门协作,稳步推进数据资产管理工作。三、工作重点三、工作重点(一)有序推动数据资产化。企业和相关单位根据 中华人民共和国会计法、相关会计准则和数据资产确认相关标准,按照业务和技术相结合的
33、原则,运用一定方法,对自主生产、交易获得或经合法授权,符合数据资产定义和确认条件的数据资源,可确认为数据资产。涉及公共数据授权运营(包括授权加工使用,下同)的,公共数据授权运营单位可按规定做好数据资产化工作;公共管理和服务机构按照浙江省公共数据条例要求对数据实行目录式等基础管理。市财政局2参与起草浙江省地方标准数据资产确认工作指南,指导试点企业和相关单位开展数据资产确认工作。(二)确保数据资产来源和权属清晰。企业和相关单位可借助数据资产管理相关应用平台,结合数据资产确认相关标准,探索做好数据资产登记等工作。相关部门和机构可探索通过统一的底层区块链等技术做好存证记录,进一步明晰数据资产权属关系。
34、数据资产产权登记按相关规定实施。符合浙江省数据知识产权登记办法(试行)(浙市监知20235 号)申报要求的,鼓励企业和相关单位申请数据知识产权登记,推进数据知识产权保护和运用,维护自身合法权益。(三)稳步推进数据资产入表。数据资产入表有助于真实反映企业资产状况,显化数据要素价值,规范数据资产对外服务和交易流通,促进数据安全管理和培育数据产业健康生态。企业使用的数据资源,符合企业会计准则第 6 号无形资产(财会20063 号)规定的定义和确认条件的,应当确认为无形资产。企业日常活动中持有、最终目的用于出售的数据资源,符合企业会计准则第 1号存货(财会20063 号)规定的定义和确认条件的,应当确
35、认为存货。具体根据财政部企业数据资源相关会计处理暂行规定(财会202311 号)执行(该文件从 2024 年 1 月 1 日起施行)。企业要基于中华人民共和国会计法和相关会计准则制度要求,做好数据资产确认、初始计量、后续计量及信息披露等工作,合理反映数据资产价值。执行政府会计准则的单位数据资产入表,结合政府会计准则有关要求执行。企业和相关单位应建立健全数据资产内控机制,提高会计信息质量,自觉接受财会监督。(四)探索开展数据资产价值评估。执行数据资产评估业务,应当遵守法律法规、资产评估准则和数据资产评估指导意见(中评协202317 号)有关要求。数据资产评估应当关注数据资产质量,并采取恰当方式执
36、行数据质量评价程序或者获得数据质量的评价结果,必要时可以利用第三方专业机构出具的数据质量评价专业报告或者其他形式的数据质量评价专业意见等。鼓励市注册会计师协会成立工作专班,研究制订数据资产评估操作指引(试行),探索用于指导本地资产评估机构开展数据资产评估业务,加强数据资产评估能力建设和信息化建设,满足标准化、规范化和便利化的数据资产评估业务需要。企业和相关单位按规定需要对数据资产价值进行评估的,应当依法委托资产评估机构开展。(五)支持推动数据资产交易流通。结合数据资产交易相关应用平台,依托物联网、区块链和隐私计算等技术,配合相关部门和机构共同推动建设权责清晰、来源可溯、范围明确、过程透明和安全
37、风险可控的数据资产交易流通体系。加强行政事业单位数据资产交易审批管理,单位对外授权有偿使用数据资产的,应按照资产管理权限,严格履行审批程序,并按照国家规定对资产相关权益进行评估。行政事业单位按预算管理和政府采购有关要求依法购买社会数据,激发各方参与数据资产交易流通的积极性。相关部门可探索支持数据资产质押融资、作价入股等数据资本化路径。(六)逐步建立公共数据授权运营收益收缴机制。财政支持根据不同行业、业务场景需要,推进公共数据产品开发,丰富公共数据应用场景,推动公共数据发挥更大价值。在探索公共数据授权运营先行先试的基础上,根据浙江省公共数据条例和温州市公共数据授权运营管理实施细则(试行)(温政办
38、202377 号),协同公共数据主管部门,研究完善公共数据授权运营方式、范围和管3理机制。按照“谁投入、谁贡献、谁受益”原则,依法依规维护数据资产权益。探索逐步将公共数据授权运营纳入政府国有资源(资产)有偿使用范围,形成公共数据开发利用良性循环。(七)切实加强数据资产安全管理。企业和相关单位按照数据分类分级管理要求,落实数据资产安全管理责任,确保数据资产安全。行政事业单位数据资产处置应严格履行审批程序,严禁擅自处置,造成数据资产流失或泄露。公共数据授权运营单位按浙江省公共数据条例和公共数据授权运营有关规定落实安全管理要求。相关部门可按有关规定对数据资产安全合规情况组织评审论证。执行数据资产评估
39、业务,也应关注数据资产的安全性和合法性,并遵守保密原则。四、实施步骤四、实施步骤市各主管部门和相关行业管理部门应加强对企业和相关单位的宣传,进一步提高各企业和相关单位对数据资产化重要意义的认识,准确把握政策精神,对符合条件的企业和单位动员其做好试点申报工作,并做好审核推荐。试点企业和单位一般不超过 3 家,根据申请时间和条件确定。其他有意愿开展数据资产管理的企业和单位,由市各主管部门、相关行业管理部门和财政根据各自职责做好相关指导和服务。各主管部门、相关行业管理部门可分别牵头部署开展各归口企事业单位和相关行业企业的数据资产化工作;相关条线上级部门有部署要求的,结合其部署要求开展工作。五、其他事
40、项五、其他事项本试行意见自 2023 年 12 月 7 日起施行。法律法规和党委政府、上级财政部门对数据资产管理有新的要求的,本试行意见可视情做相应调整完善。财政部门对行政事业单位数据资产管理另有规定和要求的,按相关规定和要求执行。各县市区(功能区)财政部门可参照执行。2.2.广西数据要素市场化发展管理暂行办法(广西数据要素市场化发展管理暂行办法(2023-11-072023-11-07)第一章第一章 总则总则第一条 为保护自然人、法人和非法人组织与数据有关的权益,规范数据要素市场活动,保障数据安全,促进数据要素开发利用和流通交易,推动数据要素市场化配置,根据有关法律法规,结合广西实际,制定本
41、办法。第二条 广西壮族自治区内数据要素市场化发展及其相关活动,适用本办法。国家和自治区法律法规另有规定的,从其规定。第三条 自治区层面统筹实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。县级以上人民政府应将数据要素市场化发展纳入本级国民经济和社会发展规划,建立健全工作协调机制,完善政策措施,保障数据要素市场化发展和管理工作经费,深化数据要素市场化配置改革,培育公平、开放、有序、诚信的数据要素市场。第四条 自治区大数据主管部门负责统筹规划、综合协调全区数据要素市场化发展和管理工作,组织推进数据确权登记、流通交易、收益分配、安全治理等重点工作,促进数据要素开发利用。
42、4市、县两级大数据主管部门负责本行政区域内数据要素市场化发展和管理工作。在数字广西专家咨询委员会下设数据专家委员会,为全区数据要素市场化发展和管理工作提供专业意见。第五条县级以上发展改革、工业和信息化、财政、市场监管、国资监管等行业主管部门在各自职责范围内推进数据要素市场化发展工作。县级以上网信、公安、国安等部门在各自职责范围内承担数据要素市场的安全监管职责。各级政务部门、财政资金保障运行的公共服务组织承担收集、产生、加工、使用、销毁数据的安全管理责任。第二章第二章 数据处理数据处理第六条建立健全覆盖自治区、市、县、乡、村五级的公共数据资源体系。全区的公共数据采集应遵循“一数一源、一源多用”原
43、则,可以通过共享方式获取或确认的,一律不得重复采集、多头采集。第七条各级政务部门和各类公共服务组织应当依托全区统一的数据资源基础设施所提供的服务功能来实现本地区、本单位公共数据资源归集、存储、交换、共享和开放等大数据应用活动。第八条各级政务部门和各类公共服务组织按照“应归尽归、有条件使用”原则,通过物理汇聚与逻辑接入两种方式,及时向自治区公共数据资源平台归集公共数据。第九条县级以上大数据主管部门应当建立健全公共数据全流程质量管控体系,强化数据质量事前、事中和事后的监督检查,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。第十条县级以上大数据主管部门应当根据当地经济社会发展需要,会
44、同同级政务部门和各类公共服务组织制定年度公共数据开放重点清单,优先开放与民生紧密相关、社会迫切需要、行业增值潜力显著或产业战略意义重大的公共数据。第十一条县级以上大数据主管部门可以通过应用创新大赛、补助奖励、合作开发等方式,支持利用公共数据开展科学研究、产品开发、数据加工等活动。市、县人民政府和自治区有关部门应当围绕就业、产业、投资、消费、贸易等重点领域,促进公共数据和社会数据深度融合应用。第三章第三章 数据权益数据权益第十二条探索建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进公共数据、企业数据、个人信息数据分类分级确权授权使用和市场化流通交易。第十三条按照急用先
45、行、循序渐进的原则,探索建立统一高效的数据产权登记制度,规范数据产权登记管理。自治区大数据主管部门规划建设全区统一的数据产权登记平台,推动实现与国家和省级数据产权登记平台的系统互通、结果互认。县级以上大数据主管部门负责组织实施管辖区域内的数据产权登记工作。第十四条探索数据产权流通模式,建立基于法律规定或合同约定的数据产权流通体系,规范数据产权流通监管。第十五条建立健全体现效率、促进公平的数据要素收益分配制度,发挥市场在资源配置中的决定性作用和政府在数据要素收益分配中的引导调节作用,平衡数据要素收益在不同环节相关主体间的共享分配,保护各数据要素参与方合法5权益。探索公共数据运营收益合理分享方式,
46、政务部门、财政资金保障运行的公共服务组织开展公共数据授权运营,获得的相关收益扣除成本后由政府统筹分配,专项用于支持保障公共数据治理和流通应用等相关领域。对公共数据来源部门,可按照公共数据市场化利用贡献,进行一般公共财政倾斜。第四章第四章 数据流通交易数据流通交易第十六条数据流通交易应当遵循合规高效、公平自愿、诚实守信、开放包容、安全可控的原则。自治区按照国家规定设立数据交易场所,建立和完善数据流通交易规则,政务部门、财政资金保障运行的公共服务组织应当通过依法设立的数据交易场所开展数据交易。鼓励数据处理者在依法设立的数据交易场所开展数据交易,培育壮大场内交易。支持数据处理者依法依规开展场外数据流
47、通交易活动,建立健全场外交易规则,规范场外交易管理。第十七条强化数据交易场所的公共属性和公益定位,突出合规监管和基础服务功能。支持广西数据交易场所发展壮大,推动与其他区域性数据交易场所、行业性数据交易平台互联互通,打造面向东盟的国家级数据交易场所。自治区大数据主管部门作为广西数据交易场所的行业主管部门,负责指导、协调、监督数据交易场所建设运营,会同相关部门共同维护行业秩序。自治区地方金融监管部门作为广西数据交易场所的金融监管部门,负责数据交易场所的金融规范管理,风险监测、防范和处置等工作。第十八条自治区规划建设统一的公共数据运营平台,制定出台相关运营管理规范。依托公共数据运营平台,推动用于产业
48、发展、行业发展的公共数据,以模型、核验等产品和服务的形式向社会提供。支持国有企业和行业龙头企业带头探索企业数据授权使用新模式。鼓励社会各界创新技术手段,推动个人信息匿名化处理,促进个人信息数据合理利用。第十九条 建立完善数据资产评估工作机制,推动数据资产入表,支持企业对数据资产进行确认、评估、计量、披露等。从事数据交易活动的数据处理者可以依法自主定价,执行政府定价、政府指导价的除外。支持探索多样化、符合数据要素特性的定价模式和价格形成机制,推动用于数字化发展的公共数据按政府指导价有偿使用,企业数据与个人信息数据由市场自主定价。第二十条鼓励和支持区内外企业及组织依托中国东盟信息港、中国(广西)自
49、由贸易试验区等平台,探索安全规范的数据跨境流动方式,有序发展面向东盟的数据跨境流通和交易。第二十一条围绕促进数据要素合规高效、安全有序流通和交易需要,聚焦重点领域和关键环节,引进和培育一批贴近业务需求的行业性、产业化数据商和第三方专业服务机构,提升数据流通和交易全流程服务能力。支持社会各界围绕数据可信流通开展产学研深度合作,推动关键技术突破和成果转化。第五章第五章 数据安全监管数据安全监管第二十二条自治区大数据主管部门应当建立健全数据安全保障体系,完善协调机制以及安全预警、安全处置机制。第二十三条自治区大数据主管部门应当会同网信、公安、国安等部门,完6善数据分类分级安全保护制度。各级各部门应当
50、按照国家和自治区数据分类分级要求,对本级本部门以及相关行业、领域的数据进行分类分级管理。第二十四条 各级大数据主管部门应当会同网信、公安、密码管理等部门定期或不定期检查数据处理者和数据流通交易场所履行数据安全责任等情况,对在监督检查中发现存在安全风险的,应当提出改进要求并督促整改。第二十五条自治区大数据主管部门应当会同有关部门完善数据流通交易监管制度,建立健全跨部门协同监管机制,对数据交易、信息披露行为等数据市场相关活动组织实施监督管理。第二十六条推行面向数据商和数据交易服务中介机构的数据流通交易声明和承诺制。加强对数据交易服务中介机构的监管,规范从业人员的执业行为。第二十七条 自治区发展改革
51、部门应当会同大数据、人民银行等有关部门,推动建设数据要素市场社会信用体系。第六章 法律责任第二十八条 各有关部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可依法依规对有关组织和个人进行约谈,责令整改,消除隐患。第二十九条 构建允许试错、包容出错、及时纠错的工作机制。对有关方面在推动数据要素市场化配置改革发展中出现偏差失误或者未取得预期成效,但符合国家和自治区改革方向、决策程序符合法律法规规定、已履行诚信和勤勉义务、未牟取私利的,以及未造成严重后果或主动挽回损失的,可按照有关规定从轻、减轻或免予追责。第七章第七章 附则附则第三十条 本办法由自治区大数据发展局负责解释。第三十一
52、条 本办法自印发之日起施行。3.3.关于关于规范规范和促进数据和促进数据跨境跨境流动流动规定规定(征求意见稿)(征求意见稿)(2023-2023-0 09-289-28)为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对数据出境安全评估办法、个人信息出境标准合同办法等数据出境规定的施行,作出以下规定。一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据
53、申报数据出境安全评估。三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:7(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。五、预计一年内向境外提供不满 1 万人个人信息的,
54、不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。六、预计一年内向境外提供 1 万人以上、不满 100 万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供 100 万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省
55、级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。十、各地方网信部门应当加强对数据处理者数
56、据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。十一、数据出境安全评估办法、个人信息出境标准合同办法等相关规定与本规定不一致的,按照本规定执行。4.4.关于印发数据资产评估指导意见的通知(关于印发数据资产评估指导意见的通知(2023-2023-0 09-9-0 08 8)第一章第一章 总则总则第一条 为规范数据资产评估行为,保护资产评估当事人合法权益和公共利益,根据资产评估基本准则及其他相关资产 评估准则,制定本指导意见。第二条 本指导意见所称数据
57、资产,是指特定主体合法拥有 或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源。第三条 本指导意见所称数据资产评估,是指资产评估机构 及其资产评估专业人员遵守法律、行政法规和资产评估准则,根 据委托对评估基准日特定目的8下的数据资产价值进行评定和估算,并出具资产评估报告的专业服务行为。第四条 执行数据资产评估业务,应当遵守本指导意见。第二章第二章 基本遵循基本遵循第五条 执行数据资产评估业务,应当遵守法律、行政法规和资产评估准则,坚持独立、客观、公正的原则,诚实守信,勤勉尽责,谨慎从业,遵守职业道德规范,自觉维护职业形象,不 得从事损害职业形象的活动。第六条 执行数据资产评估
58、业务,应当独立进行分析和估算 并形成专业意见,拒绝委托人或者其他相关当事人的干预,不得 直接以预先设定的价值作为评估结论。第七条 执行数据资产评估业务,应当具备数据资产评估的 专业知识和实践经验,能够胜任所执行的数据资产评估业务。缺 乏特定的数据资产评估专业知识、技术手段和经验时,应当采取 弥补措施,包括利用数据领域专家工作成果及相关专业报告等。第八条 执行数据资产评估业务,应当关注数据资产的安全 性和合法性,并遵守保密原则。第九条 执行企业价值评估中的数据资产评估业务,应当了 解数据资产作为企业资产组成部分的价值可能有别于作为单项资 产的价值,其价值取决于它对企业价值的贡献程度。数据资产与其
59、他资产共同发挥作用时,需要采用适当方法区 分数据资产和其他资产的贡献,合理评估数据资产价值。第十条 执行数据资产评估业务,应当根据评估业务具体情 况和数据资产的特性,对评估对象进行针对性的现场调查,收集 数据资产基本信息、权利信息、相关财务会计信息和其他资料,并进行核查验证、分析整理和记录。核查数据资产基本信息可以利用数据领域专家工作成果及相 关专业报告等。资产评估专业人员自行履行数据资产基本信息相 关的现场核查程序时,应当确保具备相应专业知识、技术手段和经验。第十一条 执行数据资产评估业务,应当合理使用评估假设 和限制条件。第三章第三章 评估对象评估对象第十二条 执行数据资产评估业务,可以通
60、过委托人、相关 当事人等提供或者自主收集等方式,了解和关注被评估数据资产 的基本情况,例如:数据资产的信息属性、法律属性、价值属性等。信息属性主要包括数据名称、数据结构、数据字典、数据规 模、数据周期、产生频率及存储方式等。法律属性主要包括授权主体信息、产权持有人信息,以及权 利路径、权利类型、权利范围、权利期限、权利限制等权利信息。价值属性主要包括数据覆盖地域、数据所属行业、数据成本信息、数据应用场景、数据质量、数据稀缺性及可替代性等。第十三条 执行数据资产评估业务,应当知晓数据资产具有 非实体性、依托性、可共享性、可加工性、价值易变性等特征,关注数据资产特征对评估对象的影响。非实体性是指数
61、据资产无实物形态,虽然需要依托实物载体,但决定数据资产价值的是数据本身。数据资产的非实体性也衍生 出数据资产的无消耗性,即其不会因为使用而磨损、消耗。依托性是指数据资产必须存储在一定的介质里,介质的种类 包括磁盘、光盘等。同一数据资产可以同时存储于多种介质。可共享性是指在权限可控的前提下,数据资产可以被复制,能够被多个主体共享和应用。9可加工性是指数据资产可以通过更新、分析、挖掘等处理方式,改变其状态及形态。价值易变性是指数据资产的价值易发生变化,其价值随应用 场景、用户数量、使用频率等的变化而变化。第十四条 执行数据资产评估业务,应当根据数据来源和数 据生成特征,关注数据资源持有权、数据加工
62、使用权、数据产品 经营权等数据产权,并根据评估目的、权利证明材料等,确定评估对象的权利类型。第四章第四章 操作要求操作要求第十五条 执行数据资产评估业务,应当明确资产评估业务 基本事项,履行适当的资产评估程序。第十六条 执行数据资产评估业务,需要关注影响数据资产 价值的成本因素、场景因素、市场因素和质量因素。成本因素包括形成数据资产所涉及的前期费用、直接成本、间接成本、机会成本和相关税费等。场景因素包括数据资产相应的使用范围、应用场景、商业模式、市场前景、财务预测和应用风险等。市场因素包括数据资产相关的主要交易市场、市场活跃程度、市场参与者和市场供求关系等。质量因素包括数据的准确性、一致性、完
63、整性、规范性、时效性和可访问性等。第十七条 资产评估专业人员应当关注数据资产质量,并采取恰当方式执行数据质量评价程序或者获得数据质量的评价结果,必要时可以利用第三方专业机构出具的数据质量评价专业报告或 者其他形式的数据质量评价专业意见等。数据质量评价采用的方法包括但不限于:层次分析法、模糊 综合评价法和德尔菲法等。第十八条 同一数据资产在不同的应用场景下,通常会发挥不同的价值。资产评估专业人员应当通过委托人、相关当事人等 提供或者自主收集等方式,了解相应评估目的下评估对象的具体 应用场景,选择和使用恰当的价值类型。第五章第五章 评估方法评估方法第十九条 确定数据资产价值的评估方法包括收益法、成
64、本 法和市场法三种基本方法及其衍生方法。第二十条 执行数据资产评估业务,资产评估专业人员应当 根据评估目的、评估对象、价值类型、资料收集等情况,分析上 述三种基本方法的适用性,选择评估方法。第二十一条 采用收益法评估数据资产时应当:(一)根据数据资产的历史应用情况及未来应用前景,结合 应用或者拟应用数据资产的企业经营状况,重点分析数据资产经 济收益的可预测性,考虑收益法的适用性;(二)保持预期收益口径与数据权利类型口径一致;(三)在估算数据资产带来的预期收益时,根据适用性可以 选择采用直接收益预测、分成收益预测、超额收益预测和增量收 益预测等方式;(四)区分数据资产和其他资产所获得的收益,分析
65、与之有 关的预期变动、收益期限,与收益有关的成本费用、配套资产、现金流量、风险因素;(五)根据数据资产应用过程中的管理风险、流通风险、数 据安全风险、监管风险等因素估算折现率;(六)保持折现率口径与预期收益口径一致;10(七)综合考虑数据资产的法律有效期限、相关合同有效期 限、数据资产的更新时间、数据资产的时效性、数据资产的权利 状况以及相关产品生命周期等因素,合理确定经济寿命或者收益 期限,并关注数据资产在收益期限内的贡献情况。第二十二条 采用成本法评估数据资产时应当:(一)根据形成数据资产所需的全部投入,分析数据资产价 值与成本的相关程度,考虑成本法的适用性;(二)确定数据资产的重置成本,
66、包括前期费用、直接成本、间接成本、机会成本和相关税费等;(三)确定数据资产价值调整系数,例如:对于需要进行质 量因素调整的数据资产,可以结合相应质量因素综合确定调整系 数;对于可以直接确定剩余经济寿命的数据资产,也可以结合剩 余经济寿命确定调整系数。第二十三条 采用市场法评估数据资产时应当:(一)考虑该数据资产或者类似数据资产是否存在合法合规 的、活跃的公开交易市场,是否存在适当数量的可比案例,考虑 市场法的适用性;(二)根据该数据资产的特点,选择合适的可比案例,例如:选择数据权利类型、数据交易市场及交易方式、数据规模、应用 领域、应用区域及剩余年限等相同或者近似的数据资产;(三)对比该数据资
67、产与可比案例的差异,确定调整系数,并将调整后的结果汇总分析得出被评估数据资产的价值。通常情 况下需要考虑质量差异调整、供求差异调整、期日差异调整、容 量差异调整以及其他差异调整等。第二十四条 对同一数据资产采用多种评估方法时,应当对 所获得的各种测算结果进行分析,说明两种以上评估方法结果的 差异及其原因和最终确定评估结论的理由。第六章第六章 披露要求披露要求第二十五条 无论是单独出具数据资产的资产评估报告,还是将数据资产评估作为资产评估报告的组成部分,都应当在资产 评估报告中披露必要信息,使资产评估报告使用人能够正确理解 评估结论。第二十六条 单独出具数据资产的资产评估报告,应当说明 下列内容
68、:(一)数据资产基本信息和权利信息;(二)数据质量评价情况,评价情况应当包括但不限于评价 目标、评价方法、评价结果及问题分析等内容;(三)数据资产的应用场景以及数据资产应用所涉及的地域 限制、领域限制及法律法规限制等;(四)与数据资产应用场景相关的宏观经济和行业的前景;(五)评估依据的信息来源;(六)利用专家工作或者引用专业报告内容;(七)其他必要信息。第二十七条 单独出具数据资产的资产评估报告,应当说明 有关评估方法的下列内容:(一)评估方法的选择及其理由;(二)各重要参数的来源、分析、比较与测算过程;(三)对测算结果进行分析,形成评估结论的过程;11(四)评估结论成立的假设前提和限制条件。
69、第七章第七章 附则附则第二十八条 本指导意见自 2023 年 10 月 1 日起施行。5.5.关于个人信息保护关于个人信息保护合规合规审计管理办法(征求意见审计管理办法(征求意见稿稿)(2023-(2023-0 08-238-23)第一条 为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据 中华人民共和国个人信息保护法 等法律、行政法规和国家有关规定,制定本办法。第二条 个人信息处理者定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理适用本办法。第三条
70、 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。第四条 处理超过 100 万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。第五条 个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。第七条 个人信息处
71、理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:(一)要求提供或者协助查阅相关文件或资料;(二)进入个人信息处理活动相关场所;(三)观察场所内发生的个人信息处理活动;(四)调查相关业务活动及所依赖的信息系统;(五)检查、测试个人信息处理活动相关设备设施;(六)调取、查阅个人信息处理活动相关数据或信息;(七)访谈与个人信息处理活动有关的人员;(八)就相关问题进行调查、质询和取证;(
72、九)其他开展合规审计工作所必需的权限。第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在 90 个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。12第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。第十一条 个人信息处理者按
73、照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护
74、合规审计活动。第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。专业机构不得转包委托第三方开展个人信息保护合规审计。专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入
75、个人信息保护合规审计专业机构推荐目录。第十五条 违反本办法规定的,依据中华人民共和国个人信息保护法等法律法规处理;构成犯罪的,依法追究刑事责任。第十六条 本办法由国家互联网信息办公室负责解释。6.6.关于印发企业数据资源相关会计处理暂行规定的通知关于印发企业数据资源相关会计处理暂行规定的通知(2023-2023-0 08-8-0 01 1)一、关于适用范围一、关于适用范围本规定适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。二、关于数
76、据资源会计处理适用的准则二、关于数据资源会计处理适用的准则13企业应当按照企业会计准则相关规定,根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,对数据资源相关交易和事项进行会计确认、计量和报告。1.企业使用的数据资源,符合企业会计准则第 6 号无形资产(财会20063 号,以下简称无形资产准则)规定的定义和确认条件的,应当确认为无形资产。2.企业应当按照无形资产准则、企业会计准则第 6 号无形资产应用指南(财会200618 号,以下简称无形资产准则应用指南)等规定,对确认为无形资产的数据资源进行初始计量、后续计量、处置和报废等相关会计处理。其中,企业通
77、过外购方式取得确认为无形资产的数据资源,其成本包括购买价款、相关税费,直接归属于使该项无形资产达到预定用途所发生的数据脱敏、清洗、标注、整合、分析、可视化等加工过程所发生的有关支出,以及数据权属鉴证、质量评估、登记结算、安全管理等费用。企业通过外购方式取得数据采集、脱敏、清洗、标注、整合、分析、可 视化等服务所发生的有关支出,不符合无形资产准则规定的无形资产定义和确认条件的,应当根据用途计入当期损益。企业内部数据资源研究开发项目的支出,应当区分研究阶段支出与开发阶段支出。研究阶段的支出,应当于发生时计入当期损益。开发阶段的支出,满足无形资产准则第九条规定的有关条件的,才能确认为无形资产。企业在
78、对确认为无形资产的数据资源的使用寿命进行估计时,应当考虑无形资产准则应用指南规定的因素,并重点关注数据资源相关业务模式、权利限制、更新频率和时效性、有关产品或技术迭代、同类竞品等因素。3.企业在持有确认为无形资产的数据资源期间,利用数据资源对客户提供服务的,应当按照无形资产准则、无形 资产准则应用指南等规定,将无形资产的摊销金额计入当期 损益或相关资产成本;同时,企业应当按照企业会计准则第14 号收入(财会201722 号,以下简称收入准则)等规定确认相关收入。除上述情形外,企业利用数据资源对客户提供服务的,应当按照收入准则等规定确认相关收入,符合有关条件的应当确认合同履约成本。4.企业日常活
79、动中持有、最终目的用于出售的数据资源,符合企业会计准则第 1 号存货(财会20063 号,以下简称存货准则)规定的定义和确认条件的,应当确认为存货。5.企业应当按照存货准则、企业会计准则第 1 号存货应用指南(财会200618 号)等规定,对确认为存货的数据资源进行初始计量、后续计量等相关会计处理。其中,企业通过外购方式取得确认为存货的数据资源,其采购成本包括购买价款、相关税费、保险费,以及数据权属鉴证、质量评估、登记结算、安全管理等所发生的其他可归属于存货采购成本的费用。企业通过数据加工取得确认为存货的数据资源,其成本包括采购成本,数据采集、脱敏、清洗、标注、整合、分析、可视化等加工成本和使
80、存货达到目前场所和状态所发生的其他支出。6.企业出售确认为存货的数据资源,应当按照存货准则将其成本结转为当期损益;同时,企业应当按照收入准则等规定确认相关收入。7.企业出售未确认为资产的数据资源,应当按照收入准则等规定确认相关收入。三、关于列示和披露要求三、关于列示和披露要求14(一)资产负债表相关列示。企业在编制资产负债表时,应当根据重要性原则并结合本企业的实际情况,在“存货”项目下增设“其中:数据资源”项目,反映资产负债表日确认为存货的数据资源的期末账面价值;在“无形资产”项目下增设“其中:数据资源”项目,反映资产负债表日确认为无形资产的数据资源的期末账面价值;在“开发支出”项目下增设“其
81、中:数据资源”项目,反映资产负债表日正在进行数据资源研究开发项目满足资本化条件的支出金额。(二)相关披露。企业应当按照相关企业会计准则及本规定等,在会计报表附注中对数据资源相关会计信息进行披露。1.确认为无形资产的数据资源相关披露。(1)企业应当按照外购无形资产、自行开发无形资产等类别,对确认为无形资产的数据资源(以下简称数据资源无形资产)相关会计信息进行披露,并可以在此基础上根据实际情况对类别进行拆分。具体披露格式如下:项目外购的数据资源无形资产自行开发的数据资源无形资产其他方式取得的数据资源无形资产合计一、账面原值1.期初余额2.本期增加金额其中:购入内部研发其他增加3.本期减少金额其中:
82、处置失效且终止确认其他减少4.期末余额二、累计摊销1.期初余额2.本期增加金额3.本期减少金额其中:处置失效且终止确认其他减少4.期末余额三、减值准备1.期初余额2.本期增加金额3.本期减少金额4.期末余额15(2)对于使用寿命有限的数据资源无形资产,企业应当披露其使用寿命的估计情况及摊销方法;对于使用寿命不确定的数据资源无形资产,企业应当披露其账面价值及使用寿命不确定的判断依据。(3)企业应当按照企业会计准则第 28 号会计政策、会计估计变更和差错更正(财会20063 号)的规定,披露对数据资源无形资产的摊销期、摊销方法或残值的变更内容、原因以及对当期和未来期间的影响数。(4)企业应当单独披
83、露对企业财务报表具有重要影响的单项数据资源无形资产的内容、账面价值和剩余摊销期限。(5)企业应当披露所有权或使用权受到限制的数据资源无形资产,以及用于担保的数据资源无形资产的账面价值、当期摊销额等情况。(6)企业应当披露计入当期损益和确认为无形资产的数据资源研究开发支出金额。(7)企业应当按照企业会计准则第 8 号资产减值(财会20063 号)等规定,披露与数据资源无形资产减值有关的信息。(8)企业应当按照企业会计准则第 42 号持有待售的非流动资产、处置组和终止经营(财会201713 号)等规定,披露划分为持有待售类别的数据资源无形资产有关信息。7.7.关于关于构建数据基础制度更好发挥数据要
84、素作用的意见构建数据基础制度更好发挥数据要素作用的意见(2022-12-02(2022-12-02)一、总体要求一、总体要求(一)指导思想。以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,完整、准确、全面贯彻新发展理念,加快构建新发展格局,坚持改革创新、系统谋划,以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值、促进全体人民共享数字经济发展红利
85、,为深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑。(二)工作原则遵循发展规律,创新制度安排。充分认识和把握数据产权、流通、交易、使用、分配、治理、安全等基本规律,探索有利于数据安全保护、有效利用、合规流通的产权制度和市场体系,完善数据要素市场体制机制,在实践中完善,在探索中发展,促进形成与数字生产力相适应的新型生产关系。坚持共享共用,释放价值红利。合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性,激励创新创业创造,强化反垄断和反不正当竞争,形成依法规范、共同参与、各取所需、共享红利的发展模式。四、账面价值1.期末账面价值2.期初账面价值16强化优质供给,
86、促进合规流通。顺应经济社会数字化转型发展趋势,推动数据要素供给调整优化,提高数据要素供给数量和质量。建立数据可信流通体系,增强数据的可用、可信、可流通、可追溯水平。实现数据流通全过程动态管理,在合规流通使用中激活数据价值。完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。深化开放合作,实现互利共赢。积极参与数据跨境流动国际规则制定,探索加入区
87、域性国际数据跨境流动制度安排。推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排。鼓励探索数据跨境流动与合作的新途径新模式。二、建立保障权益、合规使用的数据产权制度二、建立保障权益、合规使用的数据产权制度探索建立数据产权制度,推动数据产权结构性分置和有序流通,结合数据要素特性强化高质量数据要素供给;在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。(三)探索数据产权结构性分置制度。建立公共数据、企业数据、个人数据的分类分级确权授权制度。根据数据来源和数据生成特征,分别界定数据生产、流通、使用
88、过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,为激活数据要素价值创造和价值实现提供基础性制度保障。研究数据产权登记新方式。在保障安全前提下,推动数据处理者依法依规对原始数据进行开发利用,支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。审慎对待原始数据的流转交易行为。(四)推进实施公共数据确权授权机制。对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据,加强汇聚共享和开放开发,强化统筹授权使用和管理,推进互
89、联互通,打破“数据孤岛”。鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围。推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。依法依规予以保密的公共数据不予开放,严格管控未依法依规公开的原始公共数据直接进入市场,保障公共数据供给使用的公共利益。(五)推动建立企业数据确权授权机制。对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据,市场主体享有依法依规持有、使用、获
90、取收益的权益,保障其投入的劳动和其他要素贡献获得合理回报,加强数据要素供给激励。鼓励探索企业数据授权使用新模式,发挥国有企业带头作用,引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据,赋能中小微企业数字化转型。支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分17析、数据服务等产业。政府部门履职可依法依规获取相关企业和机构数据,但须约定并严格遵守使用限制要求。(六)建立健全个人信息数据确权授权机制。对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,
91、不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工、使用的机制。对涉及国家安全的特殊个人信息数据,可依法依规授权有关单位使用。加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。(七)建立健全数据要素各参与方合法权益保护制度。充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益。合理保护数据
92、处理者对依法依规持有的数据进行自主管控的权益。在保护公共利益、数据安全、数据来源者合法权益的前提下,承认和保护依照法律规定或合同约定获取的数据加工使用权,尊重数据采集、加工等数据处理者的劳动和其他要素贡献,充分保障数据处理者使用数据和获得收益的权利。保护经加工、分析等形成数据或数据衍生产品的经营权,依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利,促进数据要素流通复用。建立健全基于法律规定或合同约定流转数据相关财产性权益的机制。在数据处理者发生合并、分立、解散、被宣告破产时,推动相关权利和义务依法依规同步转移。三、建立合规高效、场内外结合的数据要素流通和交易制度三、建立合规高效、场内
93、外结合的数据要素流通和交易制度完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易;有序发展数据跨境流通和交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。(八)完善数据全流程合规与监管规则体系。建立数据流通准入标准规则,强化市场主体数据全流程合规治理,确保流通数据来源合法、隐私保护到位、流通和交易规范。结合数据流通范围、影响程度、潜在风险,区分使用场景和用途用量,建立数据分类分级授权使用规范,探索开展数据质量标准化体系建设,加快推进数据采集和接口标准化,促进数据整合互通和互操作。支持数据处理者依
94、法依规在场内和场外采取开放、共享、交换、交易等方式流通数据。鼓励探索数据流通安全保障技术、标准、方案。支持探索多样化、符合数据要素特性的定价模式和价格形成机制,推动用于数字化发展的公共数据按政府指导定价有偿使用,企业与个人信息数据市场自主定价。加强企业数据合规体系建设和监管,严厉打击黑市交易,取缔数据流通非法产业。建立实施数据安全管理认证制度,引导企业通过认证提升数据安全管理水平。(九)统筹构建规范高效的数据交易场所。加强数据交易场所体系设计,统筹优化数据交易场所的规划布局,严控交易场所数量。出台数据交易场所管理办法,建立健全数据交易规则,制定全国统一的数据交易、安全等标准体系,降低交易成本。
95、引导多种类型的数据交易场所共同发展,突出国家级数据交易场所合规监管和基础服务功能,强化其公共属性和公益定位,推进数据交易场所与数据商功能分离,鼓励各类数据商进场交易。规范各地区各部门设立的区域性数据交18易场所和行业性数据交易平台,构建多层次市场交易体系,推动区域性、行业性数据流通使用。促进区域性数据交易场所和行业性数据交易平台与国家级数据交易场所互联互通。构建集约高效的数据流通基础设施,为场内集中交易和场外分散交易提供低成本、高效率、可信赖的流通环境。(十)培育数据要素流通和交易服务生态。围绕促进数据要素合规高效、安全有序流通和交易需要,培育一批数据商和第三方专业服务机构。通过数据商,为数据
96、交易双方提供数据产品开发、发布、承销和数据资产的合规化、标准化、增值化服务,促进提高数据交易效率。在智能制造、节能降碳、绿色建造、新能源、智慧城市等重点领域,大力培育贴近业务需求的行业性、产业化数据商,鼓励多种所有制数据商共同发展、平等竞争。有序培育数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议仲裁、风险评估、人才培训等第三方专业服务机构,提升数据流通和交易全流程服务能力。(十一)构建数据安全合规有序跨境流通机制。开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,推进跨境数字贸易基础设施建设,以全球数据安全倡议为基础,积极参与数据流动、数据安全
97、、认证评估、数字货币等国际规则和数字技术标准制定。坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,支持外资依法依规进入开放领域,推动形成公平竞争的国际化市场。针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制。对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查。按照对等原则,对维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法依规实施出口管制,保障数据用于合法用途,防范数据出境安全风险。探索构建
98、多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系。反对数据霸权和数据保护主义,有效应对数据领域“长臂管辖”。四、建立体现效率、促进公平的数据要素收益分配制度四、建立体现效率、促进公平的数据要素收益分配制度顺应数字产业化、产业数字化发展趋势,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用。完善数据要素市场化配置机制,扩大数据要素市场化配置范围和按价值贡献参与分配渠道。完善数据要素收益的再分配调节机制,让全体人民更好共享数字经济发展成果。(十二)健全数据要素由市场评价贡献、按贡献决定报酬机制。结合数据要素特征,优化分配结构,构建公平、高效、激励与规范相结合的数
99、据价值分配机制。坚持“两个毫不动摇”,按照“谁投入、谁贡献、谁受益”原则,着重保护数据要素各参与方的投入产出收益,依法依规维护数据资源资产权益,探索个人、企业、公共数据分享价值收益的方式,建立健全更加合理的市场评价机制,促进劳动者贡献和劳动报酬相匹配。推动数据要素收益向数据价值和使用价值的创造者合理倾斜,确保在开发挖掘数据价值各环节的投入有相应回报,强化基于数据价值创造和价值实现的激励导向。通过分红、提成等多种收益共享方式,平衡兼顾数据内容采集、加工、流通、应用等不同环节相关主体之间的利益分配。(十三)更好发挥政府在数据要素收益分配中的引导调节作用。逐步建立保障公平的数据要素收益分配体制机制,
100、更加关注公共利益和相对弱势群体。加大政府引导调节力度,探索建立公共数据资源开放收益合理分享机制,允许并鼓励各类企业依法依规依托公共数据提供公益服务。推动大型数据企业积极承担社会19责任,强化对弱势群体的保障帮扶,有力有效应对数字化转型过程中的各类风险挑战。不断健全数据要素市场体系和制度规则,防止和依法依规规制资本在数据领域无序扩张形成市场垄断等问题。统筹使用多渠道资金资源,开展数据知识普及和教育培训,提高社会整体数字素养,着力消除不同区域间、人群间数字鸿沟,增进社会公平、保障民生福祉、促进共同富裕。五、建立安全可控、弹性包容的数据要素治理制度五、建立安全可控、弹性包容的数据要素治理制度把安全贯
101、穿数据治理全过程,构建政府、企业、社会多方协同的治理模式,创新政府治理方式,明确各方主体责任和义务,完善行业自律机制,规范市场发展秩序,形成有效市场和有为政府相结合的数据要素治理格局。(十四)创新政府数据治理机制。充分发挥政府有序引导和规范发展的作用,守住安全底线,明确监管红线,打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境。强化分行业监管和跨行业协同监管,建立数据联管联治机制,建立健全鼓励创新、包容创新的容错纠错机制。建立数据要素生产流通使用全过程的合规公证、安全审查、算法审查、监测预警等制度,指导各方履行数据要素流通安全责任和义务。建立健全数据流通监管制度,制定数据流通和交易
102、负面清单,明确不能交易或严格限制交易的数据项。强化反垄断和反不正当竞争,加强重点领域执法司法,依法依规加强经营者集中审查,依法依规查处垄断协议、滥用市场支配地位和违法实施经营者集中行为,营造公平竞争、规范有序的市场环境。在落实网络安全等级保护制度的基础上全面加强数据安全保护工作,健全网络和数据安全保护体系,提升纵深防护与综合防御能力。(十五)压实企业的数据治理责任。坚持“宽进严管”原则,牢固树立企业的责任意识和自律意识。鼓励企业积极参与数据要素市场建设,围绕数据来源、数据产权、数据质量、数据使用等,推行面向数据商及第三方专业服务机构的数据流通交易声明和承诺制。严格落实相关法律规定,在数据采集汇
103、聚、加工处理、流通交易、共享利用等各环节,推动企业依法依规承担相应责任。企业应严格遵守反垄断法等相关法律规定,不得利用数据、算法等优势和技术手段排除、限制竞争,实施不正当竞争。规范企业参与政府信息化建设中的政务数据安全管理,确保有规可循、有序发展、安全可控。建立健全数据要素登记及披露机制,增强企业社会责任,打破“数据垄断”,促进公平竞争。(十六)充分发挥社会力量多方参与的协同治理作用。鼓励行业协会等社会力量积极参与数据要素市场建设,支持开展数据流通相关安全技术研发和服务,促进不同场景下数据要素安全可信流通。建立数据要素市场信用体系,逐步完善数据交易失信行为认定、守信激励、失信惩戒、信用修复、异
104、议处理等机制。畅通举报投诉和争议仲裁渠道,维护数据要素市场良好秩序。加快推进数据管理能力成熟度国家标准及数据要素管理规范贯彻执行工作,推动各部门各行业完善元数据管理、数据脱敏、数据质量、价值评估等标准体系。六、保障措施六、保障措施加大统筹推进力度,强化任务落实,创新政策支持,鼓励有条件的地方和行业在制度建设、技术路径、发展模式等方面先行先试,鼓励企业创新内部数据合规管理体系,不断探索完善数据基础制度。(十七)切实加强组织领导。加强党对构建数据基础制度工作的全面领导,在党中央集中统一领导下,充分发挥数字经济发展部际联席会议作用,加强整体工作统筹,促进跨地区跨部门跨层级协同联动,强化督促指导。各地
105、区各部门要20高度重视数据基础制度建设,统一思想认识,加大改革力度,结合各自实际,制定工作举措,细化任务分工,抓好推进落实。(十八)加大政策支持力度。加快发展数据要素市场,做大做强数据要素型企业。提升金融服务水平,引导创业投资企业加大对数据要素型企业的投入力度,鼓励征信机构提供基于企业运营数据等多种数据要素的多样化征信服务,支持实体经济企业特别是中小微企业数字化转型赋能开展信用融资。探索数据资产入表新模式。(十九)积极鼓励试验探索。坚持顶层设计与基层探索结合,支持浙江等地区和有条件的行业、企业先行先试,发挥好自由贸易港、自由贸易试验区等高水平开放平台作用,引导企业和科研机构推动数据要素相关技术
106、和产业应用创新。采用“揭榜挂帅”方式,支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术,建立创新容错机制,探索完善数据要素产权、定价、流通、交易、使用、分配、治理、安全的政策标准和体制机制,更好发挥数据要素的积极作用。(二十)稳步推进制度建设。围绕构建数据基础制度,逐步完善数据产权界定、数据流通和交易、数据要素收益分配、公共数据授权使用、数据交易场所建设、数据治理等主要领域关键环节的政策及标准。加强数据产权保护、数据要素市场制度建设、数据要素价格形成机制、数据要素收益分配、数据跨境传输、争议解决等理论研究和立法研究,推动完善相关法律制度。及时总结提炼可复制可推广的经验和做法,以点
107、带面推动数据基础制度构建实现新突破。数字经济发展部际联席会议定期对数据基础制度建设情况进行评估,适时进行动态调整,推动数据基础制度不断丰富完善。8.8.广西数据要素市场化发展管理暂行办法(广西数据要素市场化发展管理暂行办法(2023-11-072023-11-07)第一章第一章 总则总则第一条 为保护自然人、法人和非法人组织与数据有关的权益,规范数据要素市场活动,保障数据安全,促进数据要素开发利用和流通交易,推动数据要素市场化配置,根据有关法律法规,结合广西实际,制定本办法。第二条 广西壮族自治区内数据要素市场化发展及其相关活动,适用本办法。国家和自治区法律法规另有规定的,从其规定。第三条 自
108、治区层面统筹实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。县级以上人民政府应将数据要素市场化发展纳入本级国民经济和社会发展规划,建立健全工作协调机制,完善政策措施,保障数据要素市场化发展和管理工作经费,深化数据要素市场化配置改革,培育公平、开放、有序、诚信的数据要素市场。第四条 自治区大数据主管部门负责统筹规划、综合协调全区数据要素市场化发展和管理工作,组织推进数据确权登记、流通交易、收益分配、安全治理等重点工作,促进数据要素开发利用。市、县两级大数据主管部门负责本行政区域内数据要素市场化发展和管理工作。在数字广西专家咨询委员会下设数据专家委员会,为全区数据要
109、素市场化发21展和管理工作提供专业意见。第五条县级以上发展改革、工业和信息化、财政、市场监管、国资监管等行业主管部门在各自职责范围内推进数据要素市场化发展工作。县级以上网信、公安、国安等部门在各自职责范围内承担数据要素市场的安全监管职责。各级政务部门、财政资金保障运行的公共服务组织承担收集、产生、加工、使用、销毁数据的安全管理责任。第二章第二章 数据处理数据处理第六条建立健全覆盖自治区、市、县、乡、村五级的公共数据资源体系。全区的公共数据采集应遵循“一数一源、一源多用”原则,可以通过共享方式获取或确认的,一律不得重复采集、多头采集。第七条各级政务部门和各类公共服务组织应当依托全区统一的数据资源
110、基础设施所提供的服务功能来实现本地区、本单位公共数据资源归集、存储、交换、共享和开放等大数据应用活动。第八条各级政务部门和各类公共服务组织按照“应归尽归、有条件使用”原则,通过物理汇聚与逻辑接入两种方式,及时向自治区公共数据资源平台归集公共数据。第九条县级以上大数据主管部门应当建立健全公共数据全流程质量管控体系,强化数据质量事前、事中和事后的监督检查,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。第十条县级以上大数据主管部门应当根据当地经济社会发展需要,会同同级政务部门和各类公共服务组织制定年度公共数据开放重点清单,优先开放与民生紧密相关、社会迫切需要、行业增值潜力显著或产业战
111、略意义重大的公共数据。第十一条县级以上大数据主管部门可以通过应用创新大赛、补助奖励、合作开发等方式,支持利用公共数据开展科学研究、产品开发、数据加工等活动。市、县人民政府和自治区有关部门应当围绕就业、产业、投资、消费、贸易等重点领域,促进公共数据和社会数据深度融合应用。第三章第三章 数据权益数据权益第十二条探索建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进公共数据、企业数据、个人信息数据分类分级确权授权使用和市场化流通交易。第十三条按照急用先行、循序渐进的原则,探索建立统一高效的数据产权登记制度,规范数据产权登记管理。自治区大数据主管部门规划建设全区统一的数据产权
112、登记平台,推动实现与国家和省级数据产权登记平台的系统互通、结果互认。县级以上大数据主管部门负责组织实施管辖区域内的数据产权登记工作。第十四条探索数据产权流通模式,建立基于法律规定或合同约定的数据产权流通体系,规范数据产权流通监管。第十五条建立健全体现效率、促进公平的数据要素收益分配制度,发挥市场在资源配置中的决定性作用和政府在数据要素收益分配中的引导调节作用,平衡数据要素收益在不同环节相关主体间的共享分配,保护各数据要素参与方合法权益。探索公共数据运营收益合理分享方式,政务部门、财政资金保障运行的公共服务组织开展公共数据授权运营,获得的相关收益扣除成本后由政府统筹分配,22专项用于支持保障公共
113、数据治理和流通应用等相关领域。对公共数据来源部门,可按照公共数据市场化利用贡献,进行一般公共财政倾斜。第四章第四章 数据流通交易数据流通交易第十六条数据流通交易应当遵循合规高效、公平自愿、诚实守信、开放包容、安全可控的原则。自治区按照国家规定设立数据交易场所,建立和完善数据流通交易规则,政务部门、财政资金保障运行的公共服务组织应当通过依法设立的数据交易场所开展数据交易。鼓励数据处理者在依法设立的数据交易场所开展数据交易,培育壮大场内交易。支持数据处理者依法依规开展场外数据流通交易活动,建立健全场外交易规则,规范场外交易管理。第十七条强化数据交易场所的公共属性和公益定位,突出合规监管和基础服务功
114、能。支持广西数据交易场所发展壮大,推动与其他区域性数据交易场所、行业性数据交易平台互联互通,打造面向东盟的国家级数据交易场所。自治区大数据主管部门作为广西数据交易场所的行业主管部门,负责指导、协调、监督数据交易场所建设运营,会同相关部门共同维护行业秩序。自治区地方金融监管部门作为广西数据交易场所的金融监管部门,负责数据交易场所的金融规范管理,风险监测、防范和处置等工作。第十八条自治区规划建设统一的公共数据运营平台,制定出台相关运营管理规范。依托公共数据运营平台,推动用于产业发展、行业发展的公共数据,以模型、核验等产品和服务的形式向社会提供。支持国有企业和行业龙头企业带头探索企业数据授权使用新模
115、式。鼓励社会各界创新技术手段,推动个人信息匿名化处理,促进个人信息数据合理利用。第十九条 建立完善数据资产评估工作机制,推动数据资产入表,支持企业对数据资产进行确认、评估、计量、披露等。从事数据交易活动的数据处理者可以依法自主定价,执行政府定价、政府指导价的除外。支持探索多样化、符合数据要素特性的定价模式和价格形成机制,推动用于数字化发展的公共数据按政府指导价有偿使用,企业数据与个人信息数据由市场自主定价。第二十条鼓励和支持区内外企业及组织依托中国东盟信息港、中国(广西)自由贸易试验区等平台,探索安全规范的数据跨境流动方式,有序发展面向东盟的数据跨境流通和交易。第二十一条围绕促进数据要素合规高
116、效、安全有序流通和交易需要,聚焦重点领域和关键环节,引进和培育一批贴近业务需求的行业性、产业化数据商和第三方专业服务机构,提升数据流通和交易全流程服务能力。支持社会各界围绕数据可信流通开展产学研深度合作,推动关键技术突破和成果转化。第五章第五章 数据安全监管数据安全监管第二十二条自治区大数据主管部门应当建立健全数据安全保障体系,完善协调机制以及安全预警、安全处置机制。第二十三条自治区大数据主管部门应当会同网信、公安、国安等部门,完善数据分类分级安全保护制度。各级各部门应当按照国家和自治区数据分类分级要求,对本级本部门以及相关行业、领域的数据进行分类分级管理。23第二十四条 各级大数据主管部门应
117、当会同网信、公安、密码管理等部门定期或不定期检查数据处理者和数据流通交易场所履行数据安全责任等情况,对在监督检查中发现存在安全风险的,应当提出改进要求并督促整改。第二十五条自治区大数据主管部门应当会同有关部门完善数据流通交易监管制度,建立健全跨部门协同监管机制,对数据交易、信息披露行为等数据市场相关活动组织实施监督管理。第二十六条推行面向数据商和数据交易服务中介机构的数据流通交易声明和承诺制。加强对数据交易服务中介机构的监管,规范从业人员的执业行为。第二十七条 自治区发展改革部门应当会同大数据、人民银行等有关部门,推动建设数据要素市场社会信用体系。第六章 法律责任第二十八条 各有关部门在履行数
118、据安全监管职责中,发现数据处理活动存在较大安全风险的,可依法依规对有关组织和个人进行约谈,责令整改,消除隐患。第二十九条 构建允许试错、包容出错、及时纠错的工作机制。对有关方面在推动数据要素市场化配置改革发展中出现偏差失误或者未取得预期成效,但符合国家和自治区改革方向、决策程序符合法律法规规定、已履行诚信和勤勉义务、未牟取私利的,以及未造成严重后果或主动挽回损失的,可按照有关规定从轻、减轻或免予追责。第七章第七章 附则附则第三十条 本办法由自治区大数据发展局负责解释。第三十一条 本办法自印发之日起施行。B.B.法律法规篇法律法规篇一、一、国家篇国家篇1 1、会计师事务所数据安全管理暂行办法(征
119、求意见稿)会计师事务所数据安全管理暂行办法(征求意见稿)第一章第一章 总则总则第一条 为保障会计师事务所数据安全,规范会计师事务所数据处理活动,根据中华人民共和国注册会计师法、中华人民共和国数据安全法、中华人民共和国网络安全法等法律法规,制定本办法。第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用本办法:(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;(二)开展跨境审计业务的。第三条 本办法所称数据,是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。数据安全,是指通过采取必要措施,确保数据
120、持续得到有效保护和合法利用。24第四条 会计师事务所承担本机构的数据安全主体责任,履行数据安全保护义务。第五条 国务院财政部门会同国家网信部门负责全国会计师事务所数据安全监管工作,省、自治区、直辖市人民政府财政部门会同省级网信部门负责本行政区域内会计师事务所数据安全监管工作。第六条 注册会计师协会应当加强行业自律,指导会计师事务所加强数据安全保护,提高数据安全管理水平。第二章第二章 数据管理数据管理第七条 会计师事务所应当在下列方面履行本所数据安全管理责任:(一)建立健全数据安全管理制度,完善数据运营和管控机制;(二)健全数据安全管理组织架构,明确数据安全管理权责机制;(三)实施与业务特点相适
121、应的数据分类分级管理;(四)建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录;(五)组织开展数据安全教育培训;(六)法律法规规定的其他事项。第八条 会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。第九条 会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准确定核心数据、重要数据和一般数据。会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求,审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致。第十条 针对核心数据,会计师事务所应当建立核心数据保护机制,通过专用服务器或者会计
122、师事务所私有云平台设置内部专门空间存储,使用加密虚拟专用网络等技术手段传输,对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。针对重要数据,会计师事务所应当制定和执行规范的处理流程,将其存放于和互联网逻辑隔离的信息系统中,并严格控制接触人员范围。针对一般数据,会计师事务所应当采取基于用户角色的授权访问控制,并且按照最小权限原则授权。第十一条 会计师事务所的审计工作底稿及相关数据应当存储在境内,不得在境外备份。会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。日志应当存放境内,其中,日志中的用户登录及访问日志保存期限不得少于十年
123、,其他日志保存期限不得少于六个月。第十二条 会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术,保护传输安全。第十三条 审计工作底稿和相关数据的加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。第十四条 会计师事务所应当建立数据备份制度。会计师事务所应当确保在审计相关应用系统停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿。第十五条 会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。第十六条 会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等
124、技术手段,及时识别、阻断和溯源相关网络攻击25和非法访问,保障数据安全。第十七条 会计师事务所应当建立数据安全应急处置机制,加强数据安全风险监测。发现数据外泄、安全漏洞等风险的,应当立即采取补救、处置措施。发生重大数据安全事件的,应当及时向省级以上财政部门报告。第十八条 会计师事务所在境内形成的审计工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续。第十九条 会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制,采取必要措施严格落实审计工作底稿涉密敏感信息管控责任。第三章第三章 网络管理网络管理第二十条 会计师事务所应当建立完善的网络管理治理架构,建立健全内部网络管理制度体系
125、,建立内部决策、管理、执行和监督机制,确保网络管理能力与提供的专业服务相适应,为数据安全管理工作提供安全的网络环境。第二十一条 会计师事务所应当按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入。第二十二条 会计师事务所应当做好信息系统安全管理和技术防护,根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施,设置严格的访问控制策略,防范未经授权的访问行为。第二十三条 会计师事务所应当拥有其使用的审计业务系统中网络设备、网络安全设备的配置和管理的最高权限,统一管理、维护系统管理员账户和工作人员账户,不得设置不受限制的超级账户。加入国
126、际网络的会计师事务所使用所在国际网络的信息系统的,应当采取用户隔离和数据隔离等措施。第四章第四章 监督检查监督检查第二十四条 省级以上财政部门与同级网信部门加强会计师事务所数据安全监管信息共享。第二十五条 省级以上财政部门、省级以上网信部门(以下简称相关部门)对会计师事务所数据安全情况开展监督检查。在监督检查过程中,相关部门可以委托国家、行业有关专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式,协助对会计师事务所开展监督检查。相关部门和机构工作人员对监督检查中知悉的核心数据、重要数据、个人隐私等数据应当依法严格保护,不得泄露或者非法向他人提供。第二十六条 对于承接金融、能源、通信、交通、
127、科技、国防科工等重要领域审计业务的会计师事务所,相关部门应当开展全覆盖监督检查,并持续加强日常监管。第二十七条 会计师事务所对于相关部门依法实施的数据安全检查,应当予以配合,提供符合要求的相关数据资料和工作便利,不得拒绝、拖延、阻挠。第二十八条 承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动,影响或者可能影响国家安全的,按照网络安全审查相关机制进行网络安全审查。第二十九条 相关部门在履行数据安全监管职责中,发现会计师事务所开展数据处理活动存在较大安全风险的,可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施,消除隐患。26第三十条 会计师事务所及其从业人员违反本办法
128、规定的,由相关部门依照中华人民共和国数据安全法、中华人民共和国网络安全法、中华人民共和国注册会计师法等法律、行政法规的规定进行处理处罚。第三十一条 对会计师事务所及其从业人员违反本办法规定,涉及其他部门职责权限的,依法移送有关主管部门处理;构成犯罪的,移送司法机关依法追究刑事责任。第五章第五章 附则附则第三十二条 会计师事务所及其从业人员开展涉及国家秘密的数据处理活动,适用中华人民共和国保守国家秘密法等法律、行政法规的规定。第三十三条 会计师事务所开展涉及个人信息的数据处理活动,应当遵守有关法律、行政法规的规定。第三十四条 会计师事务所的非审计业务数据管理可参照本办法执行。第三十五条 本办法由
129、财政部、国家网信办负责解释。第三十六条 本办法自 年 月 日起施行。2 2、关于进一步规范关于进一步规范银行银行间市场货币经纪报价及数据展示有关事间市场货币经纪报价及数据展示有关事项项的的通知(通知(2023-2023-0 09-129-12)一、本通知所称经纪数据,是指各货币经纪公司(以下统称“经纪商”)开展银行间市场货币经纪业务产生的报价和撮合成交信息。货币经纪报价及经纪商通过金融信息服务商等机构平台(以下统称“经纪数据展示平台”)展示经纪数据,应当遵守本通知要求。二、经纪商应当确保经纪数据的使用符合监管规定。经纪商仅能根据交易机构的委托发布报价信息,不得私自修改交易机构报价,不得发布虚假
130、报价,或在开盘等时点发布已失效的历史报价。三、交易机构应当健全报价相关内控制度,对交易人员报价权限进行明确授权,或对交易人员报价进行审批,避免因内部授权问题引发交易纠纷。四、交易机构应当明确影响执行交易的各项条件,并对执行交易意向以“*”进行标识:(一)对于实盘报价即可执行报价,交易机构对交易价格、交易数量均不作意向性标识,报价被交易对手方接受的,交易机构应当按照报价要素执行交易;(二)对于可部分执行报价,交易机构仅对交易数量作意向性标识或未明确交易数量,不对交易价格作意向性标识,报价被交易对手方接受的,交易机构应当按照所报价格及不低于市场惯例的最小交易量执行交易;(三)对于意向性报价,交易机
131、构对交易价格作意向性标识,交易双方可对报价进行协商;在协商过程中交易机构提供新报价的,应为更优报价。经纪商仅能按照交易机构委托进行标识,不得自行标识。报价通常应当为实盘报价,任何机构不得利用报价扰乱市场交易秩序,不得在交易双方确认关键交易要素后拒绝执行交易。五、经纪商通过经纪数据展示平台展示报价,应当遵守以下规则:27(一)国债、政策性金融债、地方政府债的实盘报价、可部分执行报价可展示全部报价要素,意向性报价仅展示交易标的、交易方向、交易数量等信息,不得展示交易价格;其他债券可按照第四条规定展示全部报价要素;(二)经纪商应当按照时间优先、价格优先的原则展示报价,同等条件下优先展示实盘报价、可部
132、分执行报价;经纪数据展示平台应当具备按照实盘报价、可部分执行报价、意向性报价进行筛选展示的功能。六、交易机构交易需求或报价要素发生变化,包括但不限于已在其他渠道达成交易的,应当及时通知相关经纪商修改或撤销报价,确保报价实时反映真实交易需求。经纪商应当在收到交易机构通知后立即执行,避免无效报价影响市场交易。七、经纪商应当在撮合完成后及时公布撮合成交价格等信息,不得通过选择性公布撮合成交信息、公布虚假撮合成交信息、重复公布同一笔撮合成交信息、直接或间接控制信息公布时间等方式影响市场行情,但监管部门、自律组织另有规定或要求的除外。八、经纪商应当对现券交易不同清算速度的报价和撮合成交信息进行标识,对晚
133、于次一工作日交割的交易应当另行展示。九、经纪商应当加强信息科技建设,持续对所合作经纪数据展示平台的技术管理和安全保障情况进行跟踪评估,确保数据内容的准确性以及展示服务的稳定性。十、经纪商不得要求经纪数据展示平台利用算法等技术手段为自身在数据展示中获得优势地位,或实施其他不正当竞争行为。十一、经纪商应当与所合作经纪数据展示平台就数据安全、数据用途、权限管理等事项进行约定,并于每年 4 月 30 日前向交易商协会报送上一年度与经纪数据展示平台的合作情况。合作事项发生重大变化的,经纪商应当在合同订立、变更或终止后的五个工作日内将具体情况报告交易商协会。十二、交易机构出现实盘报价、可部分执行报价被接受
134、后拒绝执行交易,滥用意向性报价扰乱市场交易秩序,或在经纪撮合达成交易后未在交易平台履行交易约定的,交易机构可向交易商协会反映,经核实情况属实的将记入交易行为信息档案。经纪商应当对交易机构报价成交情况加强监测,发现异常情况的及时报送交易商协会。十三、交易商协会对银行间市场货币经纪报价及数据展示进行自律管理,组织制定相关行业标准或自律规则,并根据需要开展业务检查。十四、交易机构、经纪商违反相关自律规则及本通知有关要求的,交易商协会可根据违规情形实施自律管理措施或自律处分。十五、本通知未尽事宜以银行间市场货币经纪业务自律指引相关规定为准。十六、本通知自发布之日起生效。实施第五条、第八条涉及调整内控制
135、度或改造系统的,过渡期为 9 个月。3 3、关于关于规范货币经纪公司提供数据服务规范货币经纪公司提供数据服务有关事项的通知有关事项的通知(2023-2023-0 08-318-31)28一、加强数据治理,确保数据安全一、加强数据治理,确保数据安全(一)货币经纪公司进行数据处理、向市场提供数据服务,应当遵守法律法规和商业道德,尊重社会公德和伦理,履行数据安全保护义务,不得危害国家安全、金融安全和公共利益,不得损害金融机构的合法权益。(二)货币经纪公司应当将数据治理纳入公司治理范畴,建立与业务发展目标相适应的数据安全治理体系,健全数据安全管理制度,加强经纪人员执业规范性管理,构建覆盖数据全生命周期
136、和应用场景的安全保护机制,开展数据安全风险监测评估,保障数据服务安全稳健开展。(三)货币经纪公司应严格落实信息科技监管要求,加强信息科技风险管理体系建设,提升信息科技外包风险管控能力,严格控制生产系统访问权限,加强数据安全保护,确保网络和数据安全。二、规范提供数据标准,提高数据服务质量二、规范提供数据标准,提高数据服务质量(四)经交易机构授权同意后,货币经纪公司可向市场提供交易机构的报价数据和成交意向数据,数据标准应秉承“最小必须、保护客户隐私、促进信息共享”的原则,涉及能够识别交易双方主体的信息不得提供。(五)货币经纪公司应加强对交易机构、交易员资质的审核,不得接受不符合银行间市场、交易所市
137、场准入条件的机构和个人的报价,不得将其报价纳入数据服务范围。(六)货币经纪公司发现交易机构的报价要素错误或明显背离市场行情的,应在发布报价前向交易机构进行确认,避免对外发布错误报价,减少异常数据对市场的影响。(七)货币经纪公司应严格落实数据报备的监管要求,按规定向金融监管部门和有关自律组织报送相关业务数据。三、明确可接受数据服务的机构范围,加强合作管理三、明确可接受数据服务的机构范围,加强合作管理(八)金融监管部门商国家网信办确定可接受货币经纪公司数据服务的金融基础设施、金融信息服务商等机构名单,并根据实际情况对机构范围进行动态调整。(九)货币经纪公司按市场化原则与金融信息服务商等商业机构开展
138、数据服务合作,对数据服务合作方建立并实施准入、评估和退出机制,确保其依法合规使用和管理数据。四、签订服务协议,规范数据使用四、签订服务协议,规范数据使用(十)货币经纪公司应与金融基础设施、金融信息服务商等数据使用方签订协议,明确双方的权利义务,对数据安全、数据展示、加工使用、再次分发、服务费用等事项进行明确约定。(十一)对于金融信息服务商,以及将数据用于行情展示、增值服务等商业用途(不以盈利为目的、不向其服务对象收取费用的除外)的金融基础设施,货币经纪公司可按照商业化原则向其收取合理的数据服务费用,覆盖提供数据成本,促进市场公平交易。(十二)金融监管部门加强对货币经纪公司数据服务的监督管理,对
139、存在违反法律法规和本通知规定的,依法采取监管措施或者实施行政处罚。4 4、中国人民银行业务领域数据安全管理办法中国人民银行业务领域数据安全管理办法(征求意征求意见见稿稿)(2023-2023-0 07-247-24)29第一章第一章 总则总则第一条(目的和依据)为规范中国人民银行业务领域数 据的安全管理,根据中华人民共和国网络安全法中华 人民共和国数据安全法中华人民共和国中国人民银行法 等有关法律、行政法规,制定本办法。第二条(适用范围)数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动,适用本办法。法律、行政法规或者中国人民银行另有规定的,从其规定。本办法所称中国人民
140、银行业务领域数据,指根据法律、行政法规、国务院决定和中国人民银行规章,开展中国人民银行承担监督管理职责的各类业务活动时,所产生和收集的不涉及国家秘密的网络数据,以下简称数据。第三条(管理原则与目标)数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则。开展数据处理活动应当履行数据安全保护义务,采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险,确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益,遵守社会公德伦理、商业道德和职业道德。第四条(协同监督管理)在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构,依据本办法开展 数据安全监督管理工作,积极支持其
141、他有关主管部门依据职 责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式。中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等金融行业协会应当加强自律管理,建立便捷的投诉、举报渠道,反映会员合理的数据安全意见建议。第二章第二章 数据分类分级数据分类分级第五条(数据分类分级保护总体规划)中国人民银行负责组织制定数据分类分级相关行业标准。指导数据处理者开展数据分类分级各项工作,统筹确定重要数据具体目录并实施动态管理。第六条(数据分类分级制度规程)数据处理者应当建立健全本单位数据分类分级实施制度,规范分类分级工作操作规程。数据分类分级
142、过程实施和结果审批,应当严格遵循操作规程。第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。第八条(数据分级要求)数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据
143、、核心数据。第九条(数据敏感性分层级)在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。30第十条(数据可用性分层级)数据可用性分层级工作纳入信息系统业务连续性分级保障体系统一考虑。数据处理者应当评估信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度,明确恢复点目标要求。恢复点目标越严格,数据的可用性层级越高。在此基础上,鼓励数据处理者
144、识别用于支撑最基本业务运转、无法承受彻底灭失风险、需要进一步进行容灾备份的数据。第十一条(动态更新要求)数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录,避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。第三章第三章 数据安全保护总体要求数据安全保护总体要求第十二条(责任落实总体要求)数据处理者应当明确其数据安全管理相关内设部门职责分工,配备足够数量的数据安全管理人员,并细化各类违规数据处理活动的定责问责规程,压实数据安全保护责任。重要数据的处理者还应当书面明确数据安全负责人和数据安全牵头管理内设部门。第十三条(全流程安全管理制度要求)数据处理者
145、应当建立健全全流程数据安全管理制度,结合数据分类分级结果,明确差异化的安全保护管理和技术措施要求,并制定数据处理活动操作规程,规范各类内部审批和授权流程。第五层级数据项应当在第四层级数据项对应的安全保护管理和技术措施基础上进一步从严管理。不同敏感性层级数据项在同一个数据处理活动中被处理,且难以采取差异化安全保护管理和技术措施的,应当统一采取最高敏感性层级数据项对应的安全保护管理和技术措施。与母公司、子公司、关联公司或者附属公司等具有关联关系的数据处理者合作开展数据处理活动时,不得降低安全保护管理和技术措施要求。第十四条(安全培训总体要求)数据处理者应当根据岗位分工,制定数据安全年度培训计划,组
146、织开展相关教育培训,并对培训结果进行评价。培训内容应当包括:(一)数据安全相关法律、行政法规、部门规章、国家 和金融行业标准、内部规定、行为准则和职业操守;(二)不同岗位的数据安全责任,失职失责或者违法违 规数据处理活动应当承担的后果;(三)针对性的数据安全保护管理和技术措施要求,以 及对应的操作规程;(四)数据安全事件应急处置规程。第十五条(鼓励创新)鼓励数据处理者积极开展数据安全技术创新应用,在保障安全合规前提下,积极促进数据的高效流通和创新应用,鼓励优秀创新成果申报行业表彰奖励。第四章第四章 数据安全保护管理措施数据安全保护管理措施第十六条(人员管理要求)数据处理者应当按照最小必要和职责
147、分离原则,严格管理信息系统各类业务处理账号、数据库管理员等特权账号的设立和权限,人员变动时应当及时调整权限或者收回账号。数据处理者应当加强账号身份认证管理,可使用第二层级以上数据项的账号应当支持身份验证。可使用第三层级以上数据项的账号应当支持多因素认证或者实现二次授权,相关账号使用人员应当签署保密协议。第十七条(数据收集保护管理措施要求)数据处理者收集数据应当遵循合法、31正当原则,并采取下列安全保护管理措施:(一)除法律、行政法规明确无需说明的情形外,应当在隐私政策协议或者合同协议中以显著方式、清晰易懂的语言说明数据收集的目的、范围、方式、存储期限,以及数据来源不合法、数据不真实情形对应的违
148、约责任;(二)接受其他数据处理者委托协助收集数据时,应当通过合同协议与其约定,是否需要代其向相关个人、组织说明委托关系;(三)非直接面向个人、组织收集数据时,应当要求数据提供方依照法律、行政法规取得个人、组织的同意,对于非书面同意情形,应当要求其出具数据来源说明材料,并依据材料评估其合法性、真实性;(四)应当针对数据合法性、真实性存疑等情形,明确业务暂停使用相关数据时的应急处置方案;(五)应当优先采用数据提供方直接录入或者信息系 统间交互的方式收集数据;(六)因履行无障碍义务或者客观条件限制,采用纸质文件、影像或者代为手工录入等方式收集数据时,应当采取自动识别、人工核验等措施,保障数据录入的及
149、时性和准确性,并按照档案管理要求保存原始数据收集凭证;(七)停止提供其产品服务,合同协议履约终止或者响 应个人、组织合法权益要求时,应当主动停止数据收集活动;(八)保存数据收集行为对应的合同协议、内部审批记录、数据提供方出具的数据来源说明材料和对应评估结论等信息至少三年。第十八条(数据存储保护管理措施要求)数据处理者应当根据业务需要,明确数据存储期限。除履行法定职责或者法定义务所必需外,第三层级以上数据项原则上不得在终端设备和移动介质中存储。确需存储的,数据处理者在履行内部审批程序基础上,应当统一明确需在终端设备和移动介质中存储的特定场景、支持此类场景的必要性、应当采取的风险防范措施,并据此开
150、展。风险防范措施至少应当包括仅在授权的终端设备和移动介质中存储,存储期限不得超过审批允许的期限。数据处理者应当保存终端设备、移动介质中存储第三层级以上数据项行为的目的说明、内部审批记录、授权设备或者介质识别编号、允许存储期限等信息至少三年。第十九条(数据使用保护管理措施要求)第三层级数据项原则上不提供导出使用方式,第四层级以上数据项原则上仅提供核验使用方式,确需提供其他使用方式时,应当说明相关必要性,经内部审批并明确对应的风险防范措施后,据此开展。涉及第三层级以上数据项导出使用的风险防范措施,原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施,确需未经安全保护即导出的,数据处理者应当统
151、一明确相关导出需求场景,并据此开展。除面向个人、组织展示其数据,履行法定职责或者法定义务必需展示数据的两类情形外,信息系统界面展示第三层级以上数据项时,原则上应当优先实施脱敏处理后再展示。确需明文展示的,数据处理者应当统一明确相关展示需求场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展。第二十条(数据加工保护管理措施要求)数据加工前,数据处理者应当审查加工目的与收集约定是否一致,确保数据加工不以垄断经营和不正当竞争为目的,不发生误导、欺诈、胁迫或者干扰等限制个人或者组织正当选择与决策的行为,遵循社会公32德伦理。第四层级以上数据项加工,应当经内部审批并明确对应的风险防范措施后,据
152、此开展。基于加工生成的数据项面向个人提供自动化决策服务 时,应当以适当方式说明加工目的、加工依赖数据基本情况 和加工基本逻辑,提升决策的透明度。数据处理者应当保存数据加工行为目的说明、内部审查审批记录、审查对应的加工应用程序源代码、新产生数据项列表等信息至少三年。第二十一条(促进数据开发利用)使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情降低敏感性层级,促进数据依法合规开发利用。第二十二条(数据传输保护管理措施要求)除履行法定 职责或者法定义务所必需外,数据处理者原则上不得采用互 联网邮
153、件、即时通讯、在线文件传输、交互性信息服务等互 联网信息服务或者通过移动介质交换传输第三层级以上数据项,确有需要的,数据处理者应当统一明确相关传输需求 场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展。第二十三条(一般性数据提供保护管理措施要求)数据处理者应当针对自身业务开展所需的数据提供行为采取下列安全保护管理措施:(一)涉及个人信息的数据提供行为,应当评估确认遵守有关法律、行政法规的规定。其他数据提供行为,应当评 估确认不违反与相关组织间事前约定的有关保守商业秘密要求;(二)通过合同协议方式与数据接收方约定数据提供 的目的、方式、范围、规模、允许存储时限、将数据再转移 提供至
154、第三方的限定条件,要求接收方及时告知可能发生的 数据泄露事件,明确各方数据安全保护责任和至少应当采取 的安全保护措施;(三)向个人、组织提供其数据时,可视情简化合同协议签订和对应内部审批要求,但应当先行核实其身份的真实性;(四)对于委托处理情形,在合同协议中进一步明确委托处理受托人重要事项报告、及时返还和删除数据的实施方式、接受并配合数据处理者监督其委托处理活动等义务;(五)有效监督委托处理受托人履约情况,定期评估确认其数据处理活动符合事前约定,并已采取承诺的全部安全保护措施;(六)对于委托处理以外情形,第三层级数据项应当优 先通过查询、固定报表和核验方式向其他数据处理者提供,第四层级以上数据
155、项应当优先通过核验方式向其他数据处理者提供,确需以其他方式提供的,在履行内部审批程序基础上,数据处理者应当统一明确相关提供需求场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展;(七)切实保障提供数据的质量,对提供数据真实性作必要核验,按照约定格式做好数据清洗转换,不得提供虚假数据误导数据接收方、合作方;(八)保存数据提供行为评估记录、内部审批记录、对应的合同协议内容、监督过程中识别的风险及整改处置情况等信息至少三年。第二十四条(特殊性数据提供保护管理措施要求)数据处理者向其他数据处理者提供重要数据前,应当依照法律、行政法规要求,说明重要数据的具体信息,从数据接收方数据处理目的方式
156、和范围的合法正当必要性、潜在安全隐患、数据接收方诚信守法和背景情况、合约协议完备性和拟采取的安全保护管理和技术措施等方面做好风险评估并保存报告至少三年。在此基础上,数据处理者还应当通33过法律、行政法规明确规定的安全评估。数据处理者向其他数据处理者提供核心数据前,还应当提请国家数据安全工作协调机制办公室批准。除履行法定职责或者法定义务所明确情形外,数据处理者不得通过拆分等方式规避上述义务。数据处理者因合并、分立、解散、被宣告破产等原因需要转移数据的,应当通过公告等方式将数据接收方信息告知相关个人、组织,并评估确认不违反与相关组织间事前约定的有关保守商业秘密要求。重要数据的处理者发生合并、分 立
157、、解散或者申请重整、和解以及破产清算等情况时,法律、行政法规有明确要求的,应当事前向中国人民银行报告数据处置方案和数据接收方基本情况。第二十五条(数据融合创新应用管理措施要求)数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,暴露约定范围外信息的风险可控。第二十六条(数据出境限制管理措施要求)数据处理者在中华人民共和国境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储。数据处理者因自身需要向境外提供数据,存在国家网信部门规定情形的,应当严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估。数据处理者
158、不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。对于因自身需要的数据出境提供行为,数据处理者应当于每年 1 月底前测算或者估算其上两年内累计出境数据规模 与范围,并保存测算估算结果和对应的境外接收方联系方式至少三年。涉及数据出境安全评估的,数据处理者还应当保存有效期内的数据出境风险自评估报告、数据出境安全评估 申报书和评估结果。第二十七条(国际组织和外国金融管理部门数据调取)中国人民银行根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理国际组织和外国金融管理部门关于提供数据的请求。非经中国人民银行和其他有关主管部门批准,数据处理者不得向其提供境内存储
159、的数据。第二十八条(数据公开保护管理措施要求)数据处理者应当履行内部审批手续,审核数据公开行为的目的、数据内容范围、渠道、时限和脱敏处理情况,分析研判可能产生的负面影响,并核验数据的合法性、真实性与有效性。数据公开渠道原则上应当为本单位统一明确的官方渠道。确有需要通过其他渠道公开的,应当经内部审批并明确对应的风险防范措施后,据此开展。第二层级以上数据项公开时,数据处理者应当保存数据公开行为目的说明、日期、公开渠道、数据范围和内部审批记录等信息至少三年。第三层级以上数据项原则上应当实施脱敏处理后再公 开,数据处理者应当统一明确第三层级以上数据项确需未经 脱敏处理即允许公开的特定需求场景、支持此类
160、场景的必要 性和应当采取的风险防范措施,并据此开展。第二十九条(数据删除保护管理措施要求)涉及个人信息的数据,满足法律、行政法规规定应当删除情形时,数据处理者应当主动删除数据。其他数据已超过与组织约定的存储时限,或者组织提出符合法律、行政法规规定的正当请求时,数据处理者应当主动删除数据。删除数据从技术上难以实现的,数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。数据处理者应当每年至少对信息系统业务处理账号、特权账号实施一次核验,确认已停止除存储和必要安全保护措施之外处理的数据,不可被访问使用。数据处理者发生解散、被宣告破产等情况时,合法合规完成自身需要的数据转移处理后,应当及时销毁
161、全部数据存储介质。中国人民银行或其住所地分支机构依据法律、行政法规另有数据转移要34求的,还应当按照要求将数据转移至指定接收方后再销毁数据存储介质。第五章第五章 数据安全保护技术措施数据安全保护技术措施第三十条(账号权限保护技术措施要求)数据处理者应当采取有效技术措施,从严管控业务处理账号的数据使用权限,鼓励建设技术平台,采取统一认证、统一授权策略进一步加强管控。数据处理者应当统一明确特权账号的使用场景,并通过内部审批授权,严格限定其使用。可使用第三层级以上数据项的特权账号,涉及人工操作的数据库表删除、修改等操作应当逐一进行事前审查和事后审计。第三十一条(数据处理活动日志保护技术措施要求)数据
162、处理者应当建立统一的日志规范,明确数据处理活动日志应当完整记录的溯源所需信息。第三层级数据项如需在数据处理活动日志中记录原则上应当实施脱敏处理,第四层级以上数据项原则上不记录。确有需要的,数据处理者应当统一明确相关日志记录需求场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展。数据处理者应当将数据处理活动日志纳入数据分类分 级管理,并落实对应的管理和技术措施要求。数据处理者应 当妥善保存数据处理活动日志至少六个月。向其他数据处理 者提供涉及个人信息的数据或者重要数据的行为,相关日志应当保存至少三年。第三十二条(数据收集保护技术措施要求)采用直接录入方式收集第二层级以上数据项,应当核
163、验录入人身份。采用信息系统间交互方式收集第三层级以上数据项,应当对数据提供方身份进行认证,并保障收集数据的完整性。数据处理者应当采取关联信息交叉核验等技术措施,识别并规避数据项同一内容不合理映射至多个个人或者组织、不同数据项信息相互矛盾等问题,尽可能保障收集数据的准确性,避免损害个人、组织的合法权益。数据处理者面向个人直接录入方式收集数据时,应当建立健全技术措施,识别法律、行政法规禁止发布或者传输的信息。数据处理者采用自动化搜集方式从其他数据处理者收集数据时,应当遵守其数据访问控制协议,不得干扰其网络服务正常运行,不得侵害其原有网络服务合法运营权益。第三十三条(数据存储保护技术措施要求)数据处
164、理者应当针对数据存储行为采取下列安全保护技术措施:(一)有效隔离开发测试环境与生产环境数据存储设施设备;(二)存储重要数据或者一百万人以上个人信息的信息系统应当落实三级以上网络安全等级保护要求,存储核心数据的信息系统应当落实四级网络安全等级保护要求或者 关键信息基础设施保护要求;(三)除因业务影响、产业制约,并可提供详细分析报 告情形外,应当优先采用商用密码技术对信息系统中第三层 级以上数据项实施加密存储,结构化数据项在对数据库文件 整体实施加密基础上鼓励进一步采用更细粒度的加密方式,非结构化数据项可仅对拆分的第三层级以上结构化数据项 单独实施加密;(四)按照业务连续性保障等级,加强信息系统数
165、据冗余备份管理,对于恢复点目标要求小于十分钟的信息系统,每天至少验证一次最新冗余备份数据可被正常加载使用;对于其他信息系统应当逐一明确验证频率要求,据此定期验证最新冗余备份数据可被正常加载使用。鼓励数据处理者针对需要进一步容灾备份的数据,采取独立于信息系统灾难备份体系以外的备份技术措施。35第三十四条(数据使用保护技术措施要求)数据处理者应当统一明确第三层级以上数据项的脱敏处理策略,降低脱敏数据仍可识别至个人、组织的风险。数据处理者应当采取数字水印等措施,标识信息系统当前数据使用账号、时间等信息,并在展示后及时清除缓存信 息,提升数据展示、打印等使用过程的安全防护和溯源能力。数据处理者应当建立
166、终端设备安全管控策略,鼓励针对使用第三层级以上数据项的终端,采取安全沙箱、终端行为管控等安全保护措施。生产环境第二层级以上数据项原则上应当经授权并实施脱敏处理后才能用于开发测试,确需不经脱敏处理即用于 开发测试的,数据处理者应当履行内部审批手续,并采取与 生产环境一致的安全保护管理和技术措施,确保开发测试数据安全。第三十五条(数据加工保护技术措施要求)数据处理者应当建立统一的加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的缓释措施以及退出算法自动化决策的替代方案。第三十六条(数据传输保护技术措施要求)数据处理者应当针对数据传输行为采取下列安全保护技术措施:(一)通过运营商网络传输第
167、二层级以上数据项时,采取专用线路、虚拟专用网络、安全通信协议等安全保护措施;(二)动态更新记录不同网络安全区域间正常数据传 输对应的网络地址、网络协议通信映射关系,加强安全隔离 与终端设备准入控制;(三)第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,应当优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障,未使用商用密码技术进行传输保护的,数据处理者应当统一明确相关传输需求场景、支持此类场景的必要性和应当采取的风险防范措施,并据此开展;(四)在传输失败或者传输完成后,及时删除不必要的缓存数据;(五)及时评估调整网络线路的传输
168、承载容量,加强网络线路和相关软硬件设备的冗余备份。第三十七条(数据提供保护技术措施要求)数据处理者应当针对数据提供行为采取下列安全保护技术措施:(一)针对持续性数据提供行为建设较为集中的技术 平台,并采用前置网关或者应用程序接口方式向其他数据处 理者提供数据;(二)提供从其他数据处理者收集获得的数据项,中国人民银行有明确需公开数据来源要求的,应当以显著方式标识来源;(三)提供第三层级以上数据项时应当对数据接收方 身份进行认证;(四)采用隐私计算技术提供数据时,应当建立统一的技术风险评估和控制策略,明确安全可验证性、性能可接受性等风险对应的缓释措施;(五)对于委托处理情形的数据提供行为,应当纳入
169、信息科技外包管理体系统一管理。第三十八条(数据公开保护技术措施要求)数据处理者应当明确自身已公开数据是否可被自动化搜集的数据访问控制协议,并采取有效技术措施,保障公开数据不被篡改。第三十九条(数据删除保护技术措施要求)删除数据涉及数据存储介质销毁工作时,数据处理者应当建立统一的数据存储介质销毁策略,明确销毁技术方式和36过程监督措施。存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时,应当及时销毁。数据处理者应当保存数据存储介质销毁日期、销毁介质识别编号、采取的销毁技术方式、操作执行及复核人等信息至少三年。第六章第六章 风险监测、评估审计与事件处置措施风险监测、评估审计与事件
170、处置措施第四十条(数据处理活动风险监测)数据处理者应当采取有效措施,强化数据处理活动安全风险监测和告警,推进违规数据处理活动阻断技术措施建设,及时做好风险隐患的溯源排查处置,并核验技术措施的有效性和可靠性。监测告警规则应当重点关注下列事项:(一)收集、提供的数据存在恶意程序或者法律、行政法规禁止传输的信息;(二)危害数据安全的漏洞;(三)终端设备和移动介质未经授权存储第三层级以 上数据项;(四)识别到不明用途的数据存储网络地址;(五)未授权的数据使用行为,发生时间、网络地址、频率、总量存在明显异常的数据使用行为;(六)用户身份认证强度较弱;(七)开发测试环境中使用未授权或者未经脱敏处理 的生产
171、环境数据;(八)对第四层级以上数据项实施加工、提供等行为;(九)异常的网络通信行为和非授权终端设备接入内 部网络的行为;(十)未经商用密码技术加密传输第三层级以上数据 20 项;(十一)终端设备使用互联网邮件、公共即时通讯、互联网文件传输工具传输第三层级以上数据项或者打印第三 层级以上数据项;(十二)网络线路数据传输承载能力不足;(十三)使用前置网关或者应用程序接口方式提供超 出合同协议约定范围数据的异常行为;(十四)违反数据访问控制协议的公开数据异常访问 行为。第四十一条(数据安全风险情报监测)数据处理者应当加强数据安全风险情报的监测,及时核实并做好必要的数据安全防范处置工作。监测规则应当重
172、点关注下列事项:(一)本单位非公开数据泄漏至互联网的情况;(二)兜售本单位数据的情况;(三)假冒本单位身份非法收集、公开数据,或者对本单位管理的数据进行造谣传谣的情况;(四)与本单位或者具有关联关系的数据处理者相关 的数据安全负面舆情信息;(五)与本单位合作的数据接收方、委托处理受托人相关的数据安全负面舆情信息。第四十二条(数据安全通报预警监测)数据处理者应当及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报,并根据要求按时反馈核查处置结果。鼓励数据处理者积极向中国人民银行或其分支机构提供可共享的数据安全风险情报,提升联防联控效能。第四十三条(数据安全风险评估)重要数据的数据处
173、理者应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作,于下年度一季度末前向中国人民银行或其住所地分支机构报送风37险评估报告,并按照行政法规要求向对应的网信部门报送。除法律、行政法规已明确的内容外,风险评估报告还应当重点评估下列风险,并提出改进应对措施:(一)数据分类分级实施制度、违规数据处理活动定责规程和问责处罚措施、数据处理活动全流程数据安全管理制度和相关操作规程的建设情况;(二)数据安全决策、管理、执行、监督各层面职责划分和对应岗位设置是否明确、合理,实际职责落实情况;(三)人员培训和日常管理情况;(四)重要数据识别判定情况,处理重要数据的目的、范围、规模、方式、类型
174、、存储期限和存储地点等情况;(五)重要数据相关的数据处理活动记录信息的真实 性与完整性;(六)重要数据相关的数据处理活动全流程管理和技 术措施执行情况及其有效性;(七)存储重要数据信息系统的网络安全等级保护测 评和问题整改落实情况;(八)重要数据相关的数据处理活动风险监测预警和 溯源排查情况;(九)数据安全事件定级判定标准建设情况,应急预 案、应急处置流程设计与演练实施情况,以及本年度发生的 数据安全事件及处置情况;(十)向其他数据处理者提供重要数据的风险评估报 告。第四十四条(数据安全审计)数据处理者应当围绕全流程数据安全管理制度和相关操作规程执行情况、数据安全相关投诉处理情况,每年至少开展
175、一次与数据安全相关的合规审计。发生重大以上数据安全事件后,应当及时开展专项审计,督促数据处理活动过程留痕,安全保障责任落实到人。第四十五条(数据安全风险评估与审计的安全保障)数据处理者应当细化管控数据安全风险评估人员和审计人员使用数据的权限,并采取有效措施确保实施过程安全。鼓励数据处理者建立技术平台,统一建立数据安全风险评估与审计的安全管控策略。数据安全风险评估报告和审计报告不得记录第四层级以上数据项。报告保存期限不得短于实施过程中使用数据的 存储期限,且最短不得低于三年。委托检测机构、审计机构开展数据安全风险评估或者审计工作时,数据处理者应当在合同协议中明确其数据安全保护责任,并指定本单位人
176、员全程参与评估。第四十六条(数据安全事件定级判定)数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,细化明确各等级数据安全事件对应的定级判定标准:(一)对于数据被篡改、破坏的事件,定级标准应当考虑不同业务连续性保障等级信息系统无法正常服务的时长、影响的业务笔数与金额、影响的个人或者组织数量、损失的各敏感性层级数据项情况和对应数据规模、带来的舆情影响等;(二)对于数据泄露事件,定级标准应当考虑涉及的个人或者组织数量、泄露的各敏感性层级数据项情况和对应数据规模、带来的舆情影响等;(三)涉及核心数据、重要数据的安全事件,应当分别定级为特别重大事件、重大事件。第四十七
177、条(数据安全事件响应处置)数据处理者应当将数据安全事件纳入网络安全事件应急响应机制统一管理,制定相关应急预案,做好事件定级、处置、总结、报告、整改工作,按照规程向中国人民银行或其住所地分支机构、其他有关主管部门报告事件信息。38数据处理者应当每年至少开展一次针对数据安全事件 的应急演练,确保应急处置措施的效率和效果。合作的数据接收方、委托处理受托人发生与本单位所提供数据相关的数据安全事件时,数据处理者应当立即开展调查评估,督促其及时采取补救措施。第七章第七章 法律责任法律责任第四十八条(监督管理责任履行)中国人民银行及其分支机构,按照管辖权对数据处理者数据安全保护义务落实情况开展执法检查。必要
178、时可以与其他有关主管部门联合组织对数据处理者的执法检查。中国人民银行及其分支机构在执法检查过程中发现数据处理者的数据处理活动存在较大安全风险时,依照中华人民共和国数据安全法第四十四条予以处理;发现影响或者可能影响国家安全的数据处理活动线索时,应当及时报国家数据安全工作协调机制办公室,研判是否启动国家数据安全审查。第四十九条(违反数据安全保护义务行为的处理)在本办法适用范围内,数据处理者未履行数据安全保护义务,有下列情形之一的,中国人民银行及其分支机构依照中华人民共和国数据安全法第四十五条规定予以处理:(一)未按照本办法第十二条规定,明确或者压实数据安全保护责任;(二)未按照本办法第十三条规定,
179、建立健全全流程数据安全管理制度;(三)未按照本办法第十四条规定,制定数据安全年度培训计划,未组织开展相关教育培训;(四)除本办法第五十条、第五十一条规定情形外,未对应采取本办法第四章和第五章所规定的数据安全保护管 理措施或者技术措施;(五)未按照本办法第四十条、第四十一条规定,做好数据处理活动风险监测或者数据安全风险情报监测;(六)未按照本办法第四十二条规定,接收、核查、处置和反馈中国人民银行或其分支机构通报的数据安全风险 情报;(七)重要数据的处理者未按照本办法第四十三条规 定,每年组织开展一次全面的数据安全风险评估并按时报送 风险评估报告;(八)发生数据安全事件时,未按照本办法第四十七条规
180、定,做好响应处置各项工作。数据处理者未履行本办法提出的数据安全保护义务,其他有关法律、行政法规作出规定的,中国人民银行及其分支机构依照相关规定予以处理。第五十条(违反规定数据出境行为的处理)中国人民银行及其分支机构执法检查发现数据处理者未履行本办法第二十六条规定的数据境内存储义务,按照中华人民共和国网络安全法第六十六条规定和有关法律、行政法规的规定予以处理;发现数据处理者未履行本办法第二十六条规定的数据出境安全评估申报义务,将相关案件信息移送同级网信部门,并配合其依法依规予以处理。第五十一条(违反规定向国际组织或者外国金融管理 部门提供数据行为的处理)数据处理者未履行本办法第二十七条规定,未经
181、中国人民银行和其他有关主管部门批准,向国际组织或者外国金融管理部门提供境内存储的数据时,中国人民银行及其分支机构依照中华人民共和国数据安全 法第四十八条第二款规定予以处理;所提供数据涉及个人 信息的,依照中华人民共和国个人信息保护法第六十六 条规定予以处理。第五十二条(非法获取数据行为的处理)中国人民银行及其分支机构执法检查39发现数据处理者存在窃取或者以其他非法方式获取数据的行为时,将相关案件信息移送同级公安机关、国家安全机关,并配合其依法依规予以处理。第五十三条(处理数据损害合法权益行为的处理)中国 人民银行及其分支机构执法检查发现数据处理者开展数据 处理活动排除、限制竞争,或者损害个人、
182、组织合法权益的,依照中华人民共和国反不正当竞争法中华人民共和国反垄断法中华人民共和国消费者权益保护法等法律,将相关案件信息移送承担执法职责的有关主管部门,并配合其依法依规予以处理。第五十四条(监督管理人员违反规定行为的处理)中国人民银行及其分支机构人员在监督管理过程中存在玩忽职守、滥用职权、徇私舞弊情形的,按照法律、行政法规规定给予处分;涉嫌犯罪的,依法移送监察机关或者司法机关处理。第八章第八章 附则附则第五十五条(名词定义)术语定义:(一)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据,表现形式为由一条或者多条信息记录组成的集合;(二)数据项,是指描述网络数据结构最基本的、
183、不可分割的单位;(三)结构化数据项,是指具有预定义的抽象描述数据 类型,通常使用数据库二维逻辑表中单一字段指代的数据项;(四)非结构化数据项,是指没有预定义的抽象描述数据类型,并且不适宜用数据库二维逻辑表展现的数据项,如图像、视频、音频、文档文件等;(五)数据处理活动,是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动;(六)数据处理者,是指开展数据处理活动的金融机构和其他机构;(七)本办法所称“以上”均含本级。第五十六条(解释权)本办法由中国人民银行负责解释。国家外汇领域数据安全管理由国家外汇管理局负责,具体制度可另行制定。第五十七条(生效期)本办法自 2024 年月日起施行。5
184、5、数字中国建设整体布局规划数字中国建设整体布局规划(2023-2023-0 02-272-27)规划指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。加快数字中国建设,对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。规划强调,要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入贯彻党的二十大精神,坚持稳中求进工作总基调,完整、准确、全面贯彻新发展理念,加快构建新发展格局,着力推动高质量发展,统筹发展和安全,强化系统观念和底线思维,加强整体布局,按照夯实基础、赋能全局、强化能力、优化环境
185、的战略路径,全面提升数字中国建设的整体性、系统性、协同性,促进数字经济和实体经济深度融合,以数字化驱动生产生活和治理方式变革,为以中国式现代化全面推进中华民族伟大复兴注入强大动力。规划提出,到 2025 年,基本形成横向打通、纵向贯通、协调有力的一体化推进格局,数字中国建设取得重要进展。数字基础设施高效联通,数据资源40规模和质量加快提升,数据要素价值有效释放,数字经济发展质量效益大幅增强,政务数字化智能化水平明显提升,数字文化建设跃上新台阶,数字社会精准化普惠化便捷化取得显著成效,数字生态文明建设取得积极进展,数字技术创新实现重大突破,应用创新全球领先,数字安全保障能力全面提升,数字治理体系
186、更加完善,数字领域国际合作打开新局面。到 2035 年,数字化发展水平进入世界前列,数字中国建设取得重大成就。数字中国建设体系化布局更加科学完备,经济、政治、文化、社会、生态文明建设各领域数字化发展更加协调充分,有力支撑全面建设社会主义现代化国家。规划明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。规划指出,要夯实数字中国建设基础。一是打通数字基础设施大动脉。加快 5G 网络与千兆光网协同
187、建设,深入推进 IPv6 规模部署和应用,推进移动物联网全面发展,大力推进北斗规模应用。系统优化算力基础设施布局,促进东西部算力高效互补和协同联动,引导通用数据中心、超算中心、智能计算中心、边缘数据中心等合理梯次布局。整体提升应用基础设施水平,加强传统基础设施数字化、智能化改造。二是畅通数据资源大循环。构建国家数据管理体制机制,健全各级数据统筹管理机构。推动公共数据汇聚利用,建设公共卫生、科技、教育等重要领域国家数据资源库。释放商业数据价值潜能,加快建立数据产权制度,开展数据资产计价研究,建立数据要素按价值贡献参与分配机制。规划指出,要全面赋能经济社会发展。一是做强做优做大数字经济。培育壮大数
188、字经济核心产业,研究制定推动数字产业高质量发展的措施,打造具有国际竞争力的数字产业集群。推动数字技术和实体经济深度融合,在农业、工业、金融、教育、医疗、交通、能源等重点领域,加快数字技术创新应用。支持数字企业发展壮大,健全大中小企业融通创新工作机制,发挥“绿灯”投资案例引导作用,推动平台企业规范健康发展。二是发展高效协同的数字政务。加快制度规则创新,完善与数字政务建设相适应的规章制度。强化数字化能力建设,促进信息系统网络互联互通、数据按需共享、业务高效协同。提升数字化服务水平,加快推进“一件事一次办”,推进线上线下融合,加强和规范政务移动互联网应用程序管理。三是打造自信繁荣的数字文化。大力发展
189、网络文化,加强优质网络文化产品供给,引导各类平台和广大网民创作生产积极健康、向上向善的网络文化产品。推进文化数字化发展,深入实施国家文化数字化战略,建设国家文化大数据体系,形成中华文化数据库。提升数字文化服务能力,打造若干综合性数字文化展示平台,加快发展新型文化企业、文化业态、文化消费模式。四是构建普惠便捷的数字社会。促进数字公共服务普惠化,大力实施国家教育数字化战略行动,完善国家智慧教育平台,发展数字健康,规范互联网诊疗和互联网医院发展。推进数字社会治理精准化,深入实施数字乡村发展行动,以数字化赋能乡村产业发展、乡村建设和乡村治理。普及数字生活智能化,打造智慧便民生活圈、新型数字消费业态、面
190、向未来的智能化沉浸式服务体验。五是建设绿色智慧的数字生态文明。推动生态环境智慧治理,加快构建智慧高效的生态环境信息化体系,运用数字技术推动山水林田湖草沙一体化保护和系统治理,完善自然资源三维立体41“一张图”和国土空间基础信息平台,构建以数字孪生流域为核心的智慧水利体系。加快数字化绿色化协同转型。倡导绿色智慧生活方式。规划指出,要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系。健全社会主义市场经济条件下关键核心技术攻关新型举国体制,加强企业主导的产学研深度融合。强化企业科技创新主体地位,发挥科技型骨干企业引领支撑作用。加强知识产权保护,健全知识产权转化收益分配机制。二是筑牢可信可控的
191、数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。规划 指出,要优化数字化发展环境。一是建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局。净化网络空间,深入开展网络生态治理工作,推进“清朗”、“净网”系列专项行
192、动,创新推进网络文明建设。二是构建开放共赢的数字领域国际合作格局。统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,高质量共建“数字丝绸之路”,积极发展“丝路电商”。拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、二十国集团、亚太经合组织、金砖国家、上合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。规划强调,要加强整体谋划、统筹推进,把各项任务落到实处。一是加强组织领导。坚持和加强党对数字中国建设的全面领导,在党中央集中统一领导下,中央网络安全和信息化委员会加强对数字中国建设的统筹
193、协调、整体推进、督促落实。充分发挥地方党委网络安全和信息化委员会作用,健全议事协调机制,将数字化发展摆在本地区工作重要位置,切实落实责任。各有关部门按照职责分工,完善政策措施,强化资源整合和力量协同,形成工作合力。二是健全体制机制。建立健全数字中国建设统筹协调机制,及时研究解决数字化发展重大问题,推动跨部门协同和上下联动,抓好重大任务和重大工程的督促落实。开展数字中国发展监测评估。将数字中国建设工作情况作为对有关党政领导干部考核评价的参考。三是保障资金投入。创新资金扶持方式,加强对各类资金的统筹引导。发挥国家产融合作平台等作用,引导金融资源支持数字化发展。鼓励引导资本规范参与数字中国建设,构建
194、社会资本有效参与的投融资体系。四是强化人才支撑。增强领导干部和公务员数字思维、数字认知、数字技能。统筹布局一批数字领域学科专业点,培养创新型、应用型、复合型人才。构建覆盖全民、城乡融合的数字素养与技能发展培育体系。五是营造良好氛围。推动高等学校、研究机构、企业等共同参与数字中国建设,建立一批数字中国研究基地。统筹开展数字中国建设综合试点工作,综合集成推进改革试验。办好数字中国建设峰会等重大活动,举办数字领域高规格国内国际系列赛事,推动数字化理念深入人心,营造全社会共同关注、积极参与数字中国建设的良好氛围。6 6、个人信息出境标准合同办法个人信息出境标准合同办法(2023-2023-0 02-2
195、22-22)42第一条 为了保护个人信息权益,规范个人信息出境活动,根据中华人民共和国个人信息保护法等法律法规,制定本办法。第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满 100 万人的;(三)自上年 1 月 1 日起累计向境
196、外提供个人信息不满 10 万人的;(四)自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施
197、、能力等能否保障出境个人信息的安全;(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;(六)其他可能影响个人信息出境安全的事项。第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。标准合同生效后方可开展个人信息出境活动。第七条 个人信息处理者应当在标准合同生效之日起 10 个工作日内向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影
198、响评估报告。个人信息处理者应当对所备案材料的真实性负责。第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等43可能影响个人信息权益的;(三)可能影响个人信息权益的其他情形。第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非
199、法向他人提供、非法使用。第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。第十二条 违反本办法规定的,依据中华人民共和国个人信息保护法等法律法规处理;构成犯罪的,依法追究刑事责任。第十三条 本办法自 2023 年 6 月 1 日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起 6 个月内完成整改。7 7、关于促进数据安全产业发展的指导意见(关于
200、促进数据安全产业发展的指导意见(2023-2023-0 01-1-0 03 3)一、总体要求一、总体要求(一)指导思想。以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,坚定不移贯彻总体国家安全观,统筹发展和安全,把握数字化发展机遇,以全面提升数据安全产业供给能力为主线,以创新为动力、需求为导向、人才为根本,加强核心技术攻关,加快补齐短板,促进各领域深度应用,发展数据安全服务,构建繁荣产业生态,推动数据安全产业高质量发展,全面加强数据安全产业体系和能力,夯实数据安全治理基础,促进以数据为关键要素的数字经济健康快
201、速发展。(二)基本原则。坚持创新驱动,强化企业创新主体地位,优化创新资源要素配置,激发各类市场主体创新活力。坚持以人为本,维护人民数据安全合法权益,依靠人民智慧发展产业,发展成果更多更公平惠及人民。坚持需求牵引,以有效需求引领产业供给,以深度应用促进迭代升级。坚持开放协同,注重更大范围、更宽领域、更深层次的开放合作,协同推进全产业链深度融合、共创共享。(三)发展目标。到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。产业规模迅速扩大。数据安全产业规
202、模超过 1500 亿元,年复合增长率超过 30%。核心技术创新突破。建成 5 个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品。应用推广成效显著。打造 8 个以上重点行业领域典型应用示范场景,推广一批优秀解决方案和试点示范案例。产业生态完备有序。建成 3-5 个国家数据安全产业园、10 个创新应用先44进示范区,培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业。到 2035 年,数据安全产业进入繁荣成熟期。产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高,涌现出一批具
203、有国际竞争力的领军企业,产业人才规模与质量实现双提升,对数字中国建设和数字经济发展的支撑作用大幅提升。二、提升产业创新能力二、提升产业创新能力(四)加强核心技术攻关。推进新型计算模式和网络架构下数据安全基础理论和技术研究,支持后量子密码算法、密态计算等技术在数据安全产业的发展应用。优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术,加强隐私计算、数据流转分析等关键技术攻关。研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术。建设和认定一批省部级及以上数据安全重点实验室,鼓励产学研用多方主体共建高水平研发机构、产业协同创新中心,开展技术攻关,推动成果转化。(五)构
204、建数据安全产品体系。加快发展数据资源管理、资源保护产品,重点提升智能化水平,加强数据质量评估、隐私计算等产品研发。发展面向重点行业领域特色需求的精细化、专业型数据安全产品,开发适合中小企业的解决方案和工具包,支持发展定制化、轻便化的个人数据安全防护产品。提升基础软硬件数据安全水平,推动数据安全产品与基础软硬件的适配发展,增强数据安全内生能力。(六)布局新兴领域融合创新。加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新,赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、
205、融合应用。支持数据安全产品云化改造,提升集约化、弹性化服务能力。三、壮大数据安全服务三、壮大数据安全服务(七)推进规划咨询与建设运维服务。面向数据安全合规需求,发展合规风险把控、数据资产管理、安全体系设计等方面的规划咨询服务。围绕数据安全保护能力建设与运行需求,积极发展系统集成、监测预警、应急响应、安全审计等建设运维服务。面向数据有序开发利用的安全需求,发展数据权益保护、违约鉴定等中介服务。(八)积极发展检测、评估、认证服务。建立数据安全检测评估体系,加强与网络安全等级保护评测等相关体系衔接,培育第三方检测、评估等服务机构,支持开展检测、评估人员的培训。支持开展数据安全技术、产品、服务和管理体
206、系认证。鼓励检测、评估、认证机构跨行业跨领域发展,推动跨行业标准互通和结果互认。推动检测、评估等服务与数据安全相关标准体系的动态衔接。四、推进标准体系建设四、推进标准体系建设(九)加强数据安全产业重点标准供给。充分发挥标准对产业发展的支撑引领作用,促进产业技术、产品、服务和应用标准化。鼓励科研院所、企事业单位、普通高等院校及职业院校等各类主体积极参与数据安全产业评价、数据安全产品技术要求、数据安全产品评测、数据安全服务等标准制定。高质高效推进贯标工作,加大标准应用推广力度。积极参与数据安全国际标准组织活动,推动国内国际协同发展。45五、推广技术产品应用五、推广技术产品应用(十)提升关键环节、重
207、点领域应用水平。深度分析工业、电信、交通、金融、卫生健康、知识产权等领域数据安全需求,梳理典型应用场景,分类制定数据安全技术产品应用指南,促进数据处理各环节深度应用。推动先进适用数据安全技术产品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型应用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据开发利用支撑技术的部署应用。(十一)加强应用试点和示范推广。组织开展数据安全新技术、新产品应用试点,推进技术产品迭代升级,验证适用性和推广价值。遴选一批技术先进、特点突出、应用成效显著的数据安全典型案例和创新主体,加强示范引领。
208、开展重点区域和行业数据安全应用示范,打造数据安全创新应用先进示范区,集中示范应用并推广数据安全技术产品和解决方案。六、构建繁荣产业生态六、构建繁荣产业生态(十二)推动产业集聚发展。立足数据安全政策基础、产业基础、发展基础等因素,布局建设国家数据安全产业园,推动企业、技术、资本、人才等加快向园区集中,逐步建立多点布局、以点带面、辐射全国的发展格局。鼓励地方结合产业基础和优势,围绕关键技术产品和重点领域应用,打造龙头企业引领、具有综合竞争力的高端化、特色化数据安全产业集群。(十三)打造融通发展企业体系。实施数据安全优质企业培育工程,建立多层次、分阶段、递进式企业培育体系,发展一批具有生态引领力的龙
209、头骨干企业,培育一批掌握核心技术、具有特色优势的数据安全专精特新中小企业、专精特新“小巨人”企业,培育一批技术、产品全球领先的单项冠军企业。发挥龙头骨干企业引领支撑作用,带动中小微企业补齐短板、壮大规模、创新模式,形成创新链、产业链优势互补,资金链、人才链资源共享的合作共赢关系。(十四)强化基础设施建设。充分利用已有资源,建立健全数据安全风险库、行业分类分级规则库等资源库,支撑数据安全产品研发、技术手段建设,为数据安全场景应用测试等提供环境。建设数据安全产业公共服务平台,提供创新支持、供需对接、产融合作、能力评价、职业培训等服务,实现产业信息集中共享、供需两侧精准对接、公共服务敏捷响应。七、强
210、化人才供给保障七、强化人才供给保障(十五)加强人才队伍建设。推动普通高等院校和职业院校加强数据安全相关学科专业建设,强化课程体系、师资队伍和实习实训等。制定颁布数据安全工程技术人员国家职业标准、实施数字技术工程师培育项目,培养壮大高水平数据安全工程师队伍,鼓励科研机构、普通高等院校、职业院校、优质企业和培训机构深化产教融合、协同育人,通过联合培养、共建实验室、创建实习实训基地、线上线下结合等方式,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的
211、数据安全优质培训项目。充分利用现有人才引进政策,引进海外优质人才与创新团队。八、深化国际交流合作八、深化国际交流合作(十六)推进国际产业交流合作。充分利用双多边机制,加强数据安全产业政策交流合作。加强与“一带一路”沿线国家数据安全产业合作,促进标准衔接46和认证结果互认,推动产品、服务、技术、品牌“走出去”。鼓励国内外数据安全企业在技术创新、产品研发、应用推广等方面深化交流合作。探索打造数据安全产业国际创新合作基地。支持举办高层次数据安全国际论坛和展会。鼓励我国数据安全领域学者、企业家积极参与相关国际组织工作。九、保障措施九、保障措施(十七)加强组织领导。充分发挥国家数据安全工作协调机制作用,
212、将发展数据安全产业作为提高数据安全保障能力的基础性任务,央地协同打造数据安全产业链创新链。各部门要加强统筹协调,形成发展合力,确保任务落实。各地有关部门要强化资源要素配置,推动产业发展重大政策、重点工程落地。(十八)加大政策支持。研究利用财政、金融、土地等政策工具支持数据安全技术攻关、创新应用、标准研制和园区建设。支持符合条件的数据安全企业享受软件和集成电路企业、高新技术企业等优惠政策。引导各类金融机构和社会资本投向数据安全领域,支持数据安全保险服务发展。支持数据安全企业参与“科技产业金融一体化”专项,通过国家产融合作平台获得便捷高效的金融服务。(十九)优化发展环境。加快数据安全制度体系建设,
213、细化明确政策要求。加强知识产权运用和保护,建立健全行业自律及监督机制,建立以技术实力、服务能力为导向的良性市场竞争环境。科学高效开展数据安全产业统计,健全产业风险监测机制,及时研判发展态势,处置突出风险,回应社会关切。加强教育引导,提升各类群体数据安全保护意识。8 8、关于印发工业和信息化领关于印发工业和信息化领域域数据安全管理办法(试行)数据安全管理办法(试行)的通知的通知(2022-12-082022-12-08)第一章第一章 总则总则第一条 为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据中华人
214、民共和国数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法中华人民共和国国家安全法中华人民共和国民法典等法律法规,制定本办法。第二条 在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。第三条 工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。工业和信息化领域数据处理者是指数据处理活
215、动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处47理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。第四条 在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)开展数据安全监管,对工业和信息化领域的数
216、据处理活动和安全保护进行监督管理。地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。工业和信息化部及地方行业监管部门统称为行业监管部门。行业监管部门按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。第五条 行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。第六条 行业监管部门推进工业和信息
217、化领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用工作。第二章第二章 数据分类分级管理数据分类分级管理第七条 工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位
218、的具体目录。第八条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。第九条 危害程度符合下列条件之一的数据为一般数据:(一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营
219、、行业发展、技术进步和产业生态等影响较小;(三)其他未纳入重要数据、核心数据目录的数据。第十条 危害程度符合下列条件之一的数据为重要数据:(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;48(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态
220、等造成严重影响;(五)经工业和信息化部评估确定的其他重要数据。第十一条 危害程度符合下列条件之一的数据为核心数据:(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;(二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;(三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;(四)经工业和信息化部评估确定的其他核心数据。第十二条 工业和
221、信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况报工业和信息化部;不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某
222、类重要数据和核心数据规模(数据条目数量或者存储总量等)变化 30以上,或者其它备案内容发生变化。第三章第三章 数据全生命周期安全管理数据全生命周期安全管理第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部
223、门开展工作;(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;(五)定期对从业人员开展数据安全教育和培训;(六)法律、行政法规等规定的其他措施。工业和信息化领域重要数据和核心数据处理者,还应当:49(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施
224、、注意事项等内容;(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。第十四条 工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。第十五条 工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储
225、重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。第十六条 工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。第十七条 工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。第十八条 工
226、业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。第十九条 工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。第二十条 工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。工业和信息化领域数据处理者销毁重要数据和核心数据后,不得以任何理由、
227、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。第二十一条 工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。50工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。第二十二条 工业和信息化领域数
228、据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。第二十三条 工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。第二十四条 跨主体提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行
229、业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。第二十五条 工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。第四章第四章 数据安全监测预警与应急管理数据安全监测预警与应急管理第二十六条 工业和信息化部建立数据安全风险监测机制,组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。地方行业监管部门分别建设本地区数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和信息化领域数据处理者
230、及时采取应对措施。工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。第二十七条 工业和信息化部建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。地方行业监管部门分别汇总分析本地区数据安全风险,及时将可能造成重大及以上安全事件的风险上报工业和信息化部。工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。第二十八条 工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应
231、急处置工作。地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行51业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。第二十九条 工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉
232、举报渠道,地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。第五章第五章 数据安全检测、认证、评估管理数据安全检测、认证、评估管理第三十条 工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。地方行业监管部门分别负责组织开展本地区数据安全评估工作。工业和信息化领域重要数据和核心数据处理者
233、应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。第六章第六章 监督检查监督检查第三十二条 行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。第三十三条 工业和信息化部在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。第三十四条 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。第七章第七章 法律责任法律责任第三十五条 行业监
234、管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。第三十六条 有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。第八章第八章 附则附则第三十七条 中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属
235、公司的数据安全相关情况,并及时报送工业和信息化部。第三十八条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。第三十九条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。52第四十条 工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。第四十一条 国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本办法另行制定。第四十二条 本办法自 2023 年 1 月 1 日起施行。9 9、互联网信息服务深度合成管理规定互联网信息服务深度合成管理规定(2022-11-25)2022-11-25)第一章第一章总则总则第一条
236、 为了加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法、互联网信息服务管理办法等法律、行政法规,制定本规定。第二条 在中华人民共和国境内应用深度合成技术提供互联网信息服务(以下简称深度合成服务),适用本规定。法律、行政法规另有规定的,依照其规定。第三条 国家网信部门负责统筹协调全国深度合成服务的治理和相关监督管理工作。国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。地方网信部门负责统筹协调本行政区域内的深度合成服务的
237、治理和相关监督管理工作。地方电信主管部门、公安部门依据各自职责负责本行政区域内的深度合成服务的监督管理工作。第四条 提供深度合成服务,应当遵守法律法规,尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者和技术支持者制定完善业务规范、依法开展业务和接受社会监督。第二章第二章一般规定一般规定第六条 任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰
238、乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的,应当依法转载互联网新闻信息稿源单位发布的新闻信息。第七条 深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。第八条 深度合成服务提供者应当制定和公开管理规则、平台公约,完善服务协议,依法依约履行管理责任,以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。5
239、3第九条 深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式,依法对深度合成服务使用者进行真实身份信息认证,不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。第十条 深度合成服务提供者应当加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序,记录并留存相关网络日志。深度合成服务提供者发现违法和不良信息的,应当依法采取处置措施,保存有关记录,及时向网信部门和有关主管部门报告;对相关深度合成服务使用者依法
240、依约采取警示、限制功能、暂停服务、关闭账号等处置措施。第十一条 深度合成服务提供者应当建立健全辟谣机制,发现利用深度合成服务制作、复制、发布、传播虚假信息的,应当及时采取辟谣措施,保存有关记录,并向网信部门和有关主管部门报告。第十二条 深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理和反馈处理结果。第十三条 互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、警示、暂停服务或者下架等处置措施。第三章第三章数据和技术管理规范
241、数据和技术管理规范第十四条 深度合成服务提供者和技术支持者应当加强训练数据管理,采取必要措施保障训练数据安全;训练数据包含个人信息的,应当遵守个人信息保护的有关规定。深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意。第十五条 深度合成服务提供者和技术支持者应当加强技术管理,定期审核、评估、验证生成合成类算法机制机理。深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估:(一)生成或者编辑人脸、人声等生物识别信息的;(二)生成或者编辑可能涉及国家安全、国家
242、形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。第十六条 深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。第十七条 深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况:(一)智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务;(二)合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务;(三)人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编
243、辑服务;54(四)沉浸式拟真场景等生成或者编辑服务;(五)其他具有生成或者显著改变信息内容功能的服务。深度合成服务提供者提供前款规定之外的深度合成服务的,应当提供显著标识功能,并提示深度合成服务使用者可以进行显著标识。第十八条 任何组织和个人不得采用技术手段删除、篡改、隐匿本规定第十六条和第十七条规定的深度合成标识。第四章第四章监督检查与法律责任监督检查与法律责任第十九条 具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照互联网信息服务算法推荐管理规定履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。完成备案的深度合成服务提供者和技术支持
244、者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。第二十条 深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。第二十一条 网信部门和电信主管部门、公安部门依据职责对深度合成服务开展监督检查。深度合成服务提供者和技术支持者应当依法予以配合,并提供必要的技术、数据等支持和协助。网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的,可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施,进行整改
245、,消除隐患。第二十二条 深度合成服务提供者和技术支持者违反本规定的,依照有关法律、行政法规的规定处罚;造成严重后果的,依法从重处罚。构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。第五章第五章附则附则第二十三条 本规定中下列用语的含义:深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,包括但不限于:(一)篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术;(二)文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术;(三)音乐生成、场景声编辑等生成或者编辑非语音内容的技术;(四)
246、人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术;(五)图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术;(六)三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。深度合成服务提供者,是指提供深度合成服务的组织、个人。深度合成服务技术支持者,是指为深度合成服务提供技术支持的组织、个人。深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。训练数据,是指被用于训练机器学习模型的标注或者基准数据集。55沉浸式拟真场景,是指应用深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感
247、的虚拟场景。第二十四条 深度合成服务提供者和技术支持者从事网络出版服务、网络文化活动和网络视听节目服务的,应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。第二十五条 本规定自 2023 年 1 月 10 日起施行。1010、关关于于印发全国一体化政务大数据体系建设指南的印发全国一体化政务大数据体系建设指南的通知通知(2022-(2022-0 09-139-13)一、建设背景一、建设背景(一)建设现状。1.政务数据管理职能基本明确。2016 年以来,国务院出台 政务信息资源共享管理暂行办法(国发 201651 号)、国务院办公厅关于建立健全政务数据共享协调机制加快推进数据有序共享的意见
248、等一系列政策文件,加强顶层设计,统筹推进政务数据共享和应用工作。目前,全国 31 个省(自治区、直辖市)均已结合政务数据管理和发展要求明确政务数据主管部门,负责制定大数据发展规划和政策措施,组织实施政务数据采集、归集、治理、共享、开放和安全保护等工作,统筹推进数据资源开发利用。2.政务数据资源体系基本形成。目前,覆盖国家、省、市、县等层级的政务数据目录体系初步形成,各地区各部门依托全国一体化政务服务平台汇聚编制政务数据目录超过 300 万条,信息项超过 2000 万个。人口、法人、自然资源、经济等基础库初步建成,在优化政务服务、改善营商环境方面发挥重要支撑作用。国务院各有关部门积极推进医疗健康
249、、社会保障、生态环保、信用体系、安全生产等领域主题库建设,为经济运行、政务服务、市场监管、社会治理等政府职责履行提供有力支撑。各地区积极探索政务数据管理模式,建设政务数据平台,统一归集、统一治理辖区内政务数据,以数据共享支撑政府高效履职和数字化转型。截至目前,全国已建设 26 个省级政务数据平台、257 个市级政务数据平台、355 个县级政务数据平台。3.政务数据基础设施基本建成。国家电子政务外网基础能力不断提升,已实现县级以上行政区域 100%覆盖,乡镇覆盖率达到 96.1%。政务云基础支撑能力不断夯实,全国 31 个省(自治区、直辖市)和新疆生产建设兵团云基础设施基本建成,超过 70%的地
250、级市建设了政务云平台,政务信息系统逐步迁移上云,初步形成集约化建设格局。建成全国一体化政务数据共享枢纽,依托全国一体化政务服务平台和国家数据共享交换平台,构建起覆盖国务院部门、31 个省(自治区、直辖市)和新疆生产建设兵团的数据共享交换体系,初步实现政务数据目录统一管理、数据资源统一发布、共享需求统一受理、数据供需统一对接、数据异议统一处理、数据应用和服务统一推广。全国一体化政务数据共享枢纽已接入各级政务部门 5951 个,发布 53 个国务院部门的各类数据资源 1.35 万个,累计支撑全国共享调用超过 4000 亿次。国家公共数据开放体系加快构建,21 个省(自治区、直辖市)建成了省级数据开
251、放平台,56提供统一规范的数据开放服务。(二)取得的成效。1.经济调节方面,利用大数据加强经济监测分析,提升研判能力。数字技术在宏观调控决策、经济社会发展分析、投资监督管理、数字经济治理等方面应用持续深化,政府经济调节数字化水平逐步提高。各地区运用大数据强化经济监测预警,加强覆盖经济运行全周期的统计监测和综合分析,不断提升对经济运行“形”和“势”的数字化研判能力。2.市场监管方面,通过数据共享减轻企业负担,提升监管能力。利用前端填报合并、后端数据共享等方式,推进市场监管与人力资源社会保障、海关、商务等多部门业务协同,实现企业年报事项“多报合一”,减轻企业负担,助力优化营商环境。充分利用法人基础
252、信息,支持地方和部门开展企业违规行为监管、行业动态监测和辅助决策分析,防范企业经营风险。3.社会管理方面,推进城市运行“一网统管”和社会信用体系建设。以大数据算法建模、分析应用为手段,推进城市运行“一网统管”,提高治理能力和水平。通过数据融合支撑突发事件应急处置,开展危化品、矿产等重点企业风险态势分析和自然灾害监测预警等工作,提升社会治理、应急指挥的效率和质量。推进社会信用体系建设,通过信用状况分析,揭示社会主体信用优劣,警示社会主体信用风险,整合全社会力量褒扬诚信、惩戒失信。4.公共服务方面,促进政务服务模式创新,提升办事效率。各地区各部门深入挖掘、充分利用数据资源,促进政务服务办理方式不断
253、优化、办事效率不断提升,创新个税专项扣除、跨省转学、精准扶贫、普惠金融等服务模式,企业和群众的满意度、获得感不断提升。目前,政务服务事项网上可办率达到 90%以上,政务服务“一网通办”加速推进。5.生态环保方面,强化环境监测和应急处理能力。建设生态环保主题库,涵盖环境质量、污染源、环保产业、环保科技等数据,通过跨部门数据共享,支撑环境质量监测、突发环境事件应急处置等 23 类应用,为打赢蓝天、碧水、净土保卫战,服务保障碳达峰、碳中和目标实现提供了数据支持。特别是在新冠肺炎疫情防控中,及时响应并解决各地区提出的数据共享需求,推动各类防疫数据跨地区、跨部门、跨层级互通共享,目前 31 个省(自治区
254、、直辖市)已共享调用健康码、核酸检测、疫苗接种、隔离管控等涉疫情数据超过3000 亿次,为有效实施精准防控、助力人员有序流动,坚决筑牢疫情防控屏障,高效统筹疫情防控和经济社会发展提供了有力支撑。(三)存在的主要问题。1.政务数据统筹管理机制有待完善。目前,国家层面已明确建立政务数据共享协调机制,但部分政务部门未明确政务数据统筹管理机构,未建立有效的运行管理机制。各级政务部门既受上级主管部门业务指导,又归属于本地政府管理,政务数据管理权责需进一步厘清,协调机制需进一步理顺。基层仍存在数据重复采集、多次录入和系统连通不畅等问题,影响政务数据统筹管理和高效共享。2.政务数据共享供需对接不够充分。当前
255、政务数据资源存在底数不清,数据目录不完整、不规范,数据来源不一等问题,亟需进一步加强政务数据目录规范化管理。数据需求不明确、共享制度不完备、供给不积极、供需不匹配、共享不充分、异议处理机制不完善、综合应用效能不高等问题较为突出。有些部门以数据安全要求高、仅供特定部门使用为57由,数据供需双方自建共享渠道,需整合纳入统一的数据共享交换体系。3.政务数据支撑应用水平亟待提升。政务云平台建设与管理不协同,政务云资源使用率不高,缺乏一体化运营机制。政务数据质量问题较为突出,数据完整性、准确性、时效性亟待提升。跨地区、跨部门、跨层级数据综合分析需求难以满足,数据开放程度不高、数据资源开发利用不足。地方对
256、国务院部门垂直管理系统数据的需求迫切,数据返还难制约了地方经济调节、市场监管、社会治理、公共服务、生态环保等领域数字化创新应用。4.政务数据标准规范体系尚不健全。由于各地区各部门产生政务数据所依据的技术标准、管理规范不尽相同,政务数据缺乏统一有效的标准化支撑,在数据开发利用时,需要投入大量人力财力对数据进行清洗、比对,大幅增加运营成本,亟需完善全国统一的政务数据标准、提升数据质量。部分地方和部门对标准规范实施推广、应用绩效评估等重视不足,一些标准规范形同虚设。5.政务数据安全保障能力亟需强化。中华人民共和国数据安全法、中华人民共和国个人信息保护法、关键信息基础设施安全保护条例等法律法规出台后,
257、亟需建立完善与政务数据安全配套的制度。数据全生命周期的安全管理机制不健全,数据安全技术防护能力亟待加强。缺乏专业化的数据安全运营团队,数据安全管理的规范化水平有待提升,在制度规范、技术防护、运行管理三个层面尚未形成数据安全保障的有机整体。二、总体要求二、总体要求(一)指导思想。以习近平新时代中国特色社会主义思想为指导,坚持以人民为中心的发展思想,立足新发展阶段、贯彻新发展理念、构建新发展格局,建立健全权威高效的政务数据共享协调机制,整合构建全国一体化政务大数据体系,增强数字政府效能,营造良好数字生态,进一步发挥数据在促进经济社会发展、服务企业和群众等方面的重要作用,推进政务数据开放共享、有效利
258、用,构建完善数据全生命周期质量管理体系,加强数据资源整合和安全保护,促进数据高效流通使用,充分释放政务数据资源价值,推动政府治理流程再造和模式优化,不断提高政府管理水平和服务效能,为推进国家治理体系和治理能力现代化提供有力支撑。(二)基本原则。坚持系统观念、统筹推进。加强全局性谋划、一体化布局、整体性推进,更好发挥中央、地方和各方面积极性,聚焦政务数据归集、加工、共享、开放、应用、安全、存储、归档各环节全过程,切实破解阻碍政务数据共享开放的制度性瓶颈,整体推进数据共建共治共享,促进数据有序流通和开发利用,提升数据资源配置效率。坚持继承发展、迭代升级。充分整合利用各地区各部门现有政务数据资源,以
259、政务数据共享为重点,适度超前布局,预留发展空间,加快推进各级政务数据平台建设和迭代升级,不断提升政务数据应用支撑能力。坚持需求导向、应用牵引。从企业和群众需求出发,从政府管理和服务场景入手,以业务应用牵引数据治理和有序流动,加强数据赋能,推进跨部门、跨层级业务协同与应用,使政务数据更好地服务企业和群众。坚持创新驱动、提质增效。坚持新发展理念,积极运用云计算、区块链、人58工智能等技术提升数据治理和服务能力,加快政府数字化转型,提供更多数字化服务,推动实现决策科学化、管理精准化、服务智能化。坚持整体协同、安全可控。坚持总体国家安全观,树立网络安全底线思维,围绕数据全生命周期安全管理,落实安全主体
260、责任,促进安全协同共治,运用安全可靠技术和产品,推进政务数据安全体系规范化建设,推动安全与利用协调发展。(三)建设目标。2023 年底前,全国一体化政务大数据体系初步形成,基本具备数据目录管理、数据归集、数据治理、大数据分析、安全防护等能力,数据共享和开放能力显著增强,政务数据管理服务水平明显提升。全面摸清政务数据资源底数,建立政务数据目录动态更新机制,政务数据质量不断改善。建设完善人口、法人、自然资源、经济、电子证照等基础库和医疗健康、社会保障、生态环保、应急管理、信用体系等主题库,并统一纳入全国一体化政务大数据体系。政务大数据管理机制、标准规范、安全保障体系初步建立,基础设施保障能力持续提
261、升。政务数据资源基本纳入目录管理,有效满足数据共享需求,数据服务稳定性不断增强。到 2025 年,全国一体化政务大数据体系更加完备,政务数据管理更加高效,政务数据资源全部纳入目录管理。政务数据质量显著提升,“一数一源、多源校核”等数据治理机制基本形成,政务数据标准规范、安全保障制度更加健全。政务数据共享需求普遍满足,数据资源实现有序流通、高效配置,数据安全保障体系进一步完善,有效支撑数字政府建设。政务数据与社会数据融合应用水平大幅提升,大数据分析应用能力显著增强,推动经济社会可持续高质量发展。(四)主要任务。统筹管理一体化。完善政务大数据管理体系,建立健全政务数据共享协调机制,形成各地区各部门
262、职责清晰、分工有序、协调有力的全国一体化政务大数据管理新格局。数据目录一体化。按照应编尽编的原则,推动各地区各部门建立全量覆盖、互联互通的高质量全国一体化政务数据目录。建立数据目录系统与部门目录、地区目录实时同步更新机制,实现全国政务数据“一本账”管理。数据资源一体化。推动政务数据“按需归集、应归尽归”,加强政务数据全生命周期质量控制,实现问题数据可反馈、共享过程可追溯、数据质量问题可定责,推动数据源头治理、系统治理,形成统筹管理、有序调度、合理分布的全国一体化政务数据资源体系。共享交换一体化。整合现有政务数据共享交换系统,形成覆盖国家、省、市等层级的全国一体化政务数据共享交换体系,提供统一规
263、范的共享交换服务,高效满足各地区各部门数据共享需求。数据服务一体化。优化国家政务数据服务门户,构建完善“建设集约、管理规范、整体协同、服务高效”的全国一体化政务大数据服务体系,加强基础能力建设,加大应用创新力度,推进资源开发利用,打造一体化、高水平政务数据平台。算力设施一体化。合理利用全国一体化大数据中心协同创新体系,完善政务大数据算力管理措施,整合建设全国一体化政务大数据体系主节点与灾备设施,优化全国政务云建设布局,提升政务云资源管理运营水平,提高各地区各部门政务大数据算力支撑能力。标准规范一体化。编制全面兼容的基础数据元、云资源管控、数据对接、数59据质量管理、数据回流等标准,制定供需对接
264、、数据治理、运维管理等规范,推动构建全国一体化政务大数据标准规范体系。安全保障一体化。以“数据”为安全保障的核心要素,强化安全主体责任,健全保障机制,完善数据安全防护和监测手段,加强数据流转全流程管理,形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系。三、总体架构三、总体架构全国一体化政务大数据体系包括三类平台和三大支撑。三类平台为“1+32+N”框架结构。“1”是指国家政务大数据平台,是我国政务数据管理的总枢纽、政务数据流转的总通道、政务数据服务的总门户;“32”是指 31 个省(自治区、直辖市)和新疆生产建设兵团统筹建设的省级政务数据平台,负责本地区政务数据的目录
265、编制、供需对接、汇聚整合、共享开放,与国家平台实现级联对接;“N”是指国务院有关部门的政务数据平台,负责本部门本行业数据汇聚整合与供需对接,与国家平台实现互联互通,尚未建设政务数据平台的部门,可由国家平台提供服务支撑。三大支撑包括管理机制、标准规范、安全保障三个方面。图 1全国一体化政务大数据体系总体架构图60(一)国家政务大数据平台内容构成。国家政务大数据平台是在现有共享平台、开放平台、供需对接系统、基础库、主题库、算力设施、灾备设施的基础上进行整合完善,新建数据服务、数据治理、数据分析、政务云监测、数据安全管理等系统组件,打造形成的国家级政务大数据管理和服务平台。其内容主要包括国家政务数据
266、服务门户,基础库和主题库两类数据资源库,数据分析系统、数据目录系统、数据开放系统、数据治理系统、供需对接系统、数据共享系统六大核心系统,以及通用算法模型和控件、政务区块链服务、政务云监测、数据安全管理、算力设施、灾备设施等相关应用支撑组件。(二)国家平台与地方和部门平台关系。国家政务大数据平台是全国一体化政务大数据体系的核心节点。地方和部门政务数据平台的全量政务数据应按照标准规范进行数据治理,在国家政务大数据平台政务数据服务门户注册数据目录,申请、获取数据服务,并按需审批、提供数据资源和服务。图 2国家平台与地方和部门平台关系图国务院办公厅统筹全国一体化政务大数据体系的建设和管理,整合形成国家
267、政务大数据平台,建立完善政务大数据管理机制、标准规范、安全保障体系。国务院有关部门要明确本部门政务数据主管机构,统筹管理本部门本行业政务数据,推动垂直管理业务系统与国家政务大数据平台互联互通。已建设政务数据平台的国务院部门,应将本部门平台与国家政务大数据平台对接,同步数据目录,支撑按需调用。尚未建设政务数据平台的国务院部门,要在国家政务大数据平台上按照统一要求提供数据资源、获取数据服务。各地区政务数据主管部门要统筹管理辖区内政务数据资源和政务数据平台建设工作。可采用省级统建或省市两级分建的模式建设完善地方政务数据平台,并做好地方平台与国家政务大数据平台的对接,同步数据目录,支撑按需调用;同时,
268、应当按照统分结合、共建共享的原则,统筹推进基础数据服务能力标准化、集约化建设。各县(市、区、旗)原则上不独立建设政务数据平台,可利用上级平台开展政务数据的汇聚整合、共享应用。61图 3国家平台与地方和部门平台有关系统关系图(三)与相关系统的关系。1.整合全国一体化政务服务平台和国家数据共享交换平台等现有数据共享渠道,充分利用全国一体化政务服务平台和国家“互联网+监管”系统现有资源和能力,优化政务数据服务总门户,构建形成统一政务数据目录、统一政务数据需求申请标准和统一数据共享交换规则,为各地区各部门提供协同高效的政务数据服务。2.涉密数据依托国家电子政务内网开展共享,推进政务内网与政务外网数据共
269、享交换,建设政务外网数据向政务内网安全导入通道,以及政务内网非涉密数据向政务外网安全导出通道,实现非涉密数据与政务内网共享有效交互、涉密数据脱密后依托国家政务大数据平台安全共享、有序开放利用。3.全国一体化政务大数据体系具备对接党委、人大、政协、纪委监委、法院、检察院和军队等机构数据的能力,应遵循互联互通、资源共享的原则,结合实际情况采用总对总系统联通或分级对接。4.全国一体化政务大数据体系按需接入供水、供电、供气、公共交通等公共服务运营单位在依法履职或者提供公共服务过程中收集、产生的公共数据,以及第三方互联网信息平台和其他领域的社会数据,结合实际研究确定对接方式等,依法依规推进公共数据和社会
270、数据有序共享、合理利用,促进公共数据与社会数据融合应用。5.推进全国一体化政务大数据体系与全国一体化大数据中心协同创新体系融合对接,充分利用云、网等基础资源,发挥云资源集约调度优势,提升资源调度能力,更好满足各地区各部门业务应用系统的数据共享需求,为企业和群众提供政务数据开放服务。62图 4国家平台与相关系统关系图四、主要内容四、主要内容充分整合现有政务数据资源和平台系统,重点从统筹管理、数据目录、数据资源、共享交换、数据服务、算力设施、标准规范、安全保障等 8 个方面,组织推进全国一体化政务大数据体系建设。(一)统筹管理一体化。1.建立完善政务大数据管理体系。国务院办公厅负责统筹、指导、协调
271、、监督各地区各部门的政务数据归集、加工、共享、开放、应用、安全、存储、归档等工作。各地区政务数据主管部门统筹本地区编制政务数据目录,按需归集本地区数据,形成基础库、主题库,满足跨区域、跨层级数据共享需求,加强数据资源开发利用。国务院各有关部门统筹协调本部门本行业,摸清数据资源底数,编制政务数据目录,依托国家政务大数据平台,与各地区各部门开展数据共享应用,不得另建跨部门数据共享交换通道,已有通道纳入国家政务大数据平台数据共享系统管理。2.建立健全政务数据共享协调机制。各地区各部门要建立健全本地区本部门政务数据共享协调机制,明确管理机构和主要职责,确保政务数据共享协调有力、职责明确、运转顺畅、管理
272、规范、安全有序。加强政务数据供需对接,优化审批流程,精简审批材料,及时响应数据共享需求,非因法定事由不得拒绝其他单位因依法履职提出的数据共享需求。积极推动政务数据属地返还,按需回流数据,探索利用核查、模型分析、隐私计算等多种手段,有效支撑地方数据资源深度开发利用。(二)数据目录一体化。1.全量编制政务数据目录。建设政务数据目录系统,全面摸清政务数据资源底数,建立覆盖国家、省、市、县等层级的全国一体化政务数据目录,形成全国政务数据“一本账”,支撑跨层级、跨地域、跨系统、跨部门、跨业务的数据有序流通和共享应用。建立数据目录分类分级管理机制,按照有关法律、行政法规的规定确定重要政务数据具体目录,加强
273、政务数据分类管理和分级保护。国务院办公厅负责政务数据目录的统筹管理,各地区各部门政务数据主管部门负责本地区本部门政务数据目录的审63核和汇总工作,各级政务部门应按照本部门“三定”规定,梳理本部门权责清单和核心业务,将履职过程中产生、采集和管理的政务数据按要求全量编目。2.规范编制政务数据目录。实现政务数据目录清单化管理,支撑政务部门注册、检索、定位、申请政务数据资源。政务部门在数据资源生成后要及时开展数据源鉴别、数据分类分级以及合规性、安全性、可用性自查,完成数据资源注册,建立“目录数据”关联关系,形成政务数据目录。政务数据资源注册时,政务部门应同时登记提供该数据资源的政务信息系统,建立“数据
274、系统”关联关系,明确数据来源,避免数据重复采集,便利数据供需对接。各地区各部门政务数据主管部门要根据政务数据目录代码规则、数据资源编码规则、元数据规范等检查目录编制,落实目录关联政务信息系统、“一数一源”等有关要求,将审核不通过的目录退回纠正,切实规范目录编制。各地区在编制本地区政务数据目录时,要对照国务院部门数据目录内容、分类分级等相关标准,确保同一政务数据目录与国务院部门数据目录所含信息基本一致。3.加强目录同步更新管理。各地区各部门调整政务数据目录时,要在国家政务大数据平台实时同步更新。政务部门职责发生变化的,要及时调整政务数据目录;已注册的数据资源要及时更新,并同步更新“数据系统”关联
275、关系。原则上目录有新增关联的政务数据资源,应在 20 个工作日内完成注册;目录信息发生变化的,应在 20 个工作日内完成更新。(三)数据资源一体化。1.推进政务数据归集。国家政务大数据平台以政务数据目录为基础,推动数据资源“按需归集、应归尽归”,通过逻辑接入与物理汇聚两种方式归集全国政务数据资源,并进行统筹管理。逻辑上全量接入国家层面统筹建设、各部门联合建设以及各地区各部门自建的数据资源库;物理上按需汇聚人口、法人、信用体系等国家级基础库、主题库数据,建立国家电子证照基础库,“一人一档”、“一企一档”等主题库。各地区应依托政务数据平台统筹推进本区域政务数据的归集工作,实现省市县三级数据汇聚整合
276、,并按需接入党委、人大、政协、纪委监委、法院、检察院等机构数据。行业主管部门做好本行业政务数据的归集工作,实现行业数据的汇聚整合,并按需归集公共数据和社会数据,提升数据资源配置效率。2.加强政务数据治理。国家政务大数据平台建设覆盖数据归集、加工、共享、开放、应用、安全、存储、归档等各环节的数据治理系统,明确数据治理规则,对归集的数据进行全生命周期的规范化治理。各地区各部门按照国家标准规范,细化数据治理规则,开展数据治理工作。按照“谁管理谁负责、谁提供谁负责、谁使用谁负责”的原则,建立健全数据质量反馈整改责任机制和激励机制,加强数据质量事前、事中和事后监督检查,实现问题数据可反馈、共享过程可追溯
277、、数据质量问题可定责,推动数据源头治理、系统治理。强化数据提供部门数据治理职责,数据提供部门要按照法律法规和相关标准规范严格履行数据归集、加工、共享等工作职责,确保数据真实、可用、有效共享;数据使用部门要合规、正确使用数据,确保数据有效利用、安全存储、全面归档;数据管理部门要会同数据提供、使用部门,完善数据质量管理制度,建立协同工作机制,细化数据治理业务流程,在数据共享使用过程中不断提升数据质量。加强政务数据分类管理,规范数据业务属性、来64源属性、共享属性、开放属性等。运用多源比对、血缘分析、人工智能等技术手段,开展数据质量多源校核和绩效评价,减少无效数据、错误数据,识别重复采集数据,明确权
278、威数据源,提升政务数据的准确性、完整性和一致性。3.建设完善数据资源库。加大政务数据共享协调力度,协同发展改革、公安、自然资源、市场监管等国务院部门持续建设完善人口、法人、自然资源、经济、电子证照等国家级基础库,协同人力资源社会保障、生态环境、应急、自然资源、水利、气象、医保、国资等部门加快优化完善医疗健康、政务服务、社会保障、生态环保、信用体系、应急管理、国资监管等主题库,统一纳入全国一体化政务大数据体系管理,对各类基础数据库、业务资源数据库实行规范管理,建立健全政务数据归集共享通报制度,支撑各地区各部门政务数据共享、开放和开发利用。各地区要依托本级政务数据平台,积极开展疫情防控、经济运行监
279、测等领域主题库建设,促进数据资源按地域、按主题充分授权、自主管理。(四)共享交换一体化。1.构建完善统一共享交换体系。依托全国一体化政务服务平台和国家数据共享交换平台,提升国家政务大数据平台数据共享支撑能力,统一受理共享申请并提供服务,形成覆盖国家、省、市等层级的全国一体化政务数据共享交换体系,高效满足各地区各部门数据共享需求,有序推进国务院部门垂直管理业务系统向地方政务数据平台共享数据。各地区各部门按需建设政务数据实时交换系统,支持海量数据高速传输,实现数据分钟级共享,形成安全稳定、运行高效的数据供应链。2.深入推进政务数据协同共享。国家政务大数据平台支撑各省(自治区、直辖市)之间、国务院各
280、部门之间以及各省(自治区、直辖市)与国务院部门之间的跨部门、跨地域、跨层级数据有效流通和充分共享。各地方政务数据平台支撑本行政区域内部门间、地区间数据流通和共享。各部门政务数据平台支撑本部门内、本行业内数据流通和共享。以应用为牵引,全面提升数据共享服务能力,协同推进公共数据和社会数据共享,探索社会数据“统采共用”,加强对政府共享社会数据的规范管理,形成国家、地方、部门、企业等不同层面的数据协同共享机制,提升数据资源使用效益。(五)数据服务一体化。1.优化国家政务数据服务门户。依托国家政务大数据平台的政务数据服务总门户,整合集成目录管理、供需对接、资源管理、数据共享、数据开放、分析处理等功能,为
281、各地区各部门提供政务数据目录编制、资源归集、申请受理、审核授权、资源共享、统计分析、可视化展示和运营管理等服务,实现对各地区各部门政务数据“一本账”展示、“一站式”申请、“一平台”调度,支撑各地区各部门政务数据跨地区、跨部门、跨层级互认共享,推动实现数据资源高效率配置、高质量供给。各地区各部门可按照国家政务数据服务总门户管理要求和相关标准规范,统筹建设政务数据服务门户,并做好与国家政务数据服务总门户的对接,实现纵向贯通、横向协同。2.加强政务大数据基础能力建设。加强国家政务大数据平台和各地区各部门政务数据平台的共性基础数据服务能力建设。建设大数据处理分析系统,具备数据运算、分域分级用户管理和数
282、据沙箱模型开发等能力,为多元、异构、海量数据融合应用创新提供技术支撑。充分运用大数据、人工智能等技术手段,构建集成自然语言处理、视频图像解析、65智能问答、机器翻译、数据挖掘分析、数据可视化、数据开放授权、数据融合计算等功能的通用算法模型和控件库,提供标准化、智能化数据服务。建设全国标准统一的政务区块链服务体系,推动“区块链+政务服务”、“区块链+政务数据共享”、“区块链+社会治理”等场景应用创新,建立完善数据供给的可信安全保障机制,保障数据安全合规共享开放。3.加大政务大数据应用创新力度。聚焦城市治理、环境保护、生态建设、交通运输、食品安全、应急管理、金融服务、经济运行等应用场景,按照“一应
283、用一数仓”要求,推动各地区各部门依托全国一体化政务大数据体系建立政务数据仓库,为多行业和多跨场景应用提供多样化共享服务。依托高性能、高可用的大数据分析和共享能力,整合经济运行数据,建立经济运行监测分析系统,即时分析预测经济运行趋势,进一步提升经济运行研判和辅助决策的系统性、精准性、科学性,促进经济持续健康发展;融合集成基层治理数据,建立基层治理运行分析和预警监测模型,通过大数据分析,动态感知基层治理状态和趋势,预警监测、防范化解各类重大风险,切实提升社会治理水平;汇聚城市人流、物流、信息流等多源数据,建立城市运行生命体征指标体系,运用大数据的深度学习模型,实现对城市运行状态的整体感知、全局分析
284、和智能处置,提升城市“一网统管”水平。同时,围绕产业发展、市场监管、社会救助、公共卫生、应急处突等领域,推动开展政务大数据综合分析应用,为政府精准施策和科学指挥提供数据支撑。4.推进政务数据资源开发利用。基于全国一体化政务大数据体系,建设政务数据开放体系,通过国家公共数据开放平台和各地区各部门政务数据开放平台,推动数据安全有序开放。探索利用身份认证授权、数据沙箱、安全多方计算等技术手段,实现数据“可用不可见”,逐步建立数据开放创新机制。建立健全政务数据开放申请审批制度,结合国家公共数据资源开发利用试点,加大政务数据开放利用创新力度。各地区各部门政务数据主管部门应当根据国家有关政务数据开放利用的
285、规定和经济社会发展需要,会同相关部门制定年度政务数据开放重点清单,促进政务数据在风险可控原则下尽可能开放,明晰数据开放的权利和义务,界定数据开放的范围和责任,明确数据开放的安全管控要求,优先开放与民生紧密相关、社会迫切需要、行业增值潜力显著的政务数据。重点推进普惠金融、卫生健康、社会保障、交通运输、应急管理等行业应用,建立政务数据开放优秀应用绩效评估机制,推动优秀应用项目落地孵化,形成示范效应。鼓励依法依规开展政务数据授权运营,积极推进数据资源开发利用,培育数据要素市场,营造有效供给、有序开发利用的良好生态,推动构建数据基础制度体系。(六)算力设施一体化。1.完善算力管理体系。开展全国政务大数
286、据算力资源普查,摸清算力总量、算力分布、算力构成和技术选型等,形成全国政务大数据算力“一本账”。强化全国政务云监测分析,汇聚国家、省、市级云资源利用、业务性能等数据,掌握政务云资源使用情况,开展云资源分析评估,完善云资源管理运营机制。推进政务云资源统筹管理、高效提供、集约使用,探索建立政务云资源统一调度机制,推动建设全国一体化政务云平台体系。2.建设国家主备节点。合理利用全国一体化大数据中心协同创新体系,建设国家政务大数据平台算66力设施,强化云平台、大数据平台基础“底座”支撑,提供数据汇聚、存储、计算、治理、分析、服务等基础功能,承载数据目录、治理、共享等系统运转,按需汇聚、整合共享政务数据
287、资源,构建电子证照等数据库,保障国家政务大数据平台运行。整合建设国家政务大数据平台灾备设施,完善基础设施高可用保障体系,基于“两地三中心”模式建立本地、异地双容灾备份中心,面向业务连续性、稳定性要求高的关键业务实现本地“双活”、重要数据本地实时灾备、全量数据异地定时灾备。3.提升算力支撑能力。合理利用全国一体化大数据中心协同创新体系,推动各地区各部门政务云建设科学布局、集约发展。提升各地区各部门政务大数据云资源支撑能力,推动政务数据中心整合改造,提高使用低碳、零碳能源比例,按需打造图像显示处理器(GPU)、专用集成电路芯片(ASIC)等异构计算能力,构建存算分离、图计算、隐私计算等新型数据分析
288、管理能力。(七)标准规范一体化。1.加快编制国家标准。重点围绕政务数据管理、技术平台建设和数据应用服务等方面推进国家标准编制,明确各地区各部门提升政务数据管理能力和开展数据共享开放服务的标准依据。编制政务数据目录、数据元、数据分类分级、数据质量管理、数据安全管理等政务数据标准规范;编制政务数据平台建设指南、技术对接规范、基础库主题库建设指引、运行维护指南、安全防护基本要求等平台技术标准;按照数据共享、数据开放、数据回流等不同业务模式,编制数据服务管理、技术、运营等制度规范;编制政务云建设管理规范、政务云监测指南等规范。2.协同开展标准体系建设。根据国家政务大数据标准体系框架和国家标准要求,各地
289、区各部门、行业主管机构结合自身业务特点和行业特色,积极开展政务数据相关行业标准、地方标准编制工作,以国家标准为核心基础、以地方标准和行业标准为有效补充,推动形成规范统一、高效协同、支撑有力的全国一体化政务大数据标准体系。3.推进标准规范落地实施。完善标准规范落地推广机制,各地区各部门制定出台标准实施方案,依据相关标准规范建设完善政务数据平台,提高数据管理能力和服务水平。政务数据主管部门定期对标准执行情况开展符合性审查,强化标准规范实施绩效评估,充分发挥全国一体化政务大数据标准体系支撑作用。(八)安全保障一体化。1.健全数据安全制度规范。贯彻落实中华人民共和国数据安全法、中华人民共和国个人信息保
290、护法等法律法规,明确数据分类分级、安全审查等具体制度和要求。明确数据安全主体责任,按照“谁管理、谁负责”和“谁使用、谁负责”的原则,厘清数据流转全流程中各方权利义务和法律责任。围绕数据全生命周期管理,以“人、数据、场景”关联管理为核心,建立健全工作责任机制,制定政务数据访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等数据安全管理规范,开展内部数据安全检测与外部评估认证,促进数据安全管理规范有效实施。2.提升平台技术防护能力。加强数据安全常态化检测和技术防护,建立健全面向数据的信息安全技术保67障体系。充分利用电子认证,数据加密存储、传输和应用手段,防止数据篡改,推进
291、数据脱敏使用,加强重要数据保护,加强个人隐私、商业秘密信息保护,严格管控数据访问行为,实现过程全记录和精细化权限管理。建设数据安全态势感知平台,挖掘感知各类威胁事件,实现高危操作及时阻断,变被动防御为主动防御,提高风险防范能力,优化安全技术应用模式,提升安全防护监测水平。3.强化数据安全运行管理。完善数据安全运维运营保障机制,明确各方权责,加强数据安全风险信息的获取、分析、研判、预警。建立健全事前管审批、事中全留痕、事后可追溯的数据安全运行监管机制,加强数据使用申请合规性审查和白名单控制,优化态势感知规则和全流程记录手段,提高对数据异常使用行为的发现、溯源和处置能力,形成数据安全管理闭环,筑牢
292、数据安全防线。加强政务系统建设安全管理,保障数据应用健康稳定运行,确保数据安全。五、保障措施五、保障措施(一)加强组织实施。充分发挥国家政务数据共享协调机制作用,建立全国一体化政务大数据体系规划、建设、运维、运营的领导责任制,统筹推进国家和各地区各部门政务数据平台纵向贯通、横向联动。国务院各有关部门要指导、协调、监督本部门本行业做好政务数据管理工作。各地区要加强政务数据管理,研究制定配套措施,推动相关法规规章立改废释,确保数据依法依规共享和高效利用。各地区各部门要合理安排项目与经费,加大对全国一体化政务大数据体系建设运行的支持力度,相关项目建设资金纳入基本建设投资,相关工作经费纳入部门预算统筹
293、安排。各地区各部门要加强宣传引导和培训,不断提升全国一体化政务大数据体系应用成效。(二)推进数据运营。按照“管运适度分离”原则,加大政务数据运营力量投入。加强专业力量建设,建立专业数据人才队伍,提升其数字思维、数字技能和数字素养,补齐运营主体缺位、专业能力不足短板,创新政务数据开发运营模式,支持具备条件、信誉良好的第三方企事业单位开展运营服务。建立健全政务数据运营规则,明确数据运营非歧视、非垄断原则,明确运营机构的安全主体责任,研究制定政务数据授权运营管理办法,强化授权场景、授权范围和运营安全监督管理。(三)强化督促落实。国务院办公厅牵头制定全国一体化政务大数据管理和应用评估评价体系,指导各地
294、区各部门加强政务数据管理和应用,督促各地区将相关工作纳入政府绩效考核,并对未按要求完成任务的进行重点督查。各地区各部门要研究制定本地区本部门政务大数据工作监督评估办法,积极运用第三方评估、专业机构评定、用户满意度评价等方式开展评估评价。各地区各部门要对相关经费进行全过程绩效管理,把绩效评价结果作为完善政策、改进管理和安排预算的重要依据,凡不符合全国一体化政务大数据体系建设要求的,不予审批建设项目,不予安排运维运营经费。各地区各部门如有违规使用、超范围使用、滥用、篡改、毁损、泄露数据等行为,按照有关规定追究责任。(四)鼓励探索创新。鼓励各地区各部门开展制度创新,完善数据要素法治环境,构建数据要素
295、市场化配置体制机制,规范数据权属、数据定价、交易规则,建立权责清晰的数据要素市场化运行机制,推动各类机构依法依规开展数据交易,加强数据产品和数据服务产权保护。鼓励各地区各部门开展应用创新,在普惠金融、卫生健康、社68会保障、交通运输、应急管理等领域开展试点,推进重点领域政务数据深度应用。鼓励各地区各部门推进数据基础能力建设,积极构建数据安全存储、数据存证、隐私计算等支撑体系,推动大数据挖掘分析、智能计算、数据安全与隐私保护等核心技术攻关。1111、数据出境安全评估办法数据出境安全评估办法(2022-(2022-0 09-9-0 01 1)第一条 为了规范数据出境活动,保护个人信息权益,维护国家
296、安全和社会公共利益,促进数据跨境安全、自由流动,根据中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规,制定本办法。第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础
297、设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术
298、措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;(六)其他可能影响数据出境安全的事项。第六条 申报数据出境安全评估,应当提交以下材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。69第七条 省级网信部门应当自收到申报材料之日起 5 个工作日内完成完备性查验。申报材料齐全的,将申报材
299、料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、
300、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;(六)遵守中国法律、行政法规、部门规章情况;(七)国家网信部门认为需要评估的其他事项。第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个
301、人的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部
302、门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45 个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。评估结果应当书面通知数据处理者。70第十三条 数据处理者对评估结果有异议的,可以在收到评估结果 15 个工作日内向国家网信部门申请复评,复评结果为最终结论。第十四条 通过数据出境安全评估的结果有效期为 2 年,自评估结果出具之
303、日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;(三)出现影响出境数据安全的其他情形。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60 个工作日前重新申报评估。第十五条 参与安全评估工作的相关机构和人员对在履行职
304、责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。第十八条 违反本办法规定的,依据中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等法律法规处理;构成犯罪的,依法追究刑事责任。第十
305、九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。第二十条 本办法自 2022 年 9 月 1 日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起 6 个月内完成整改。1212、关于印发要素市场化配置综合改革试点总体方案的通知关于印发要素市场化配置综合改革试点总体方案的通知(20212021-1212-2121)一、总体要求(一)指导思想。以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的十九大和十九届历次全会精神,弘扬伟大建党精神,坚持稳中求进工作总基调,
306、完整、准确、全面贯彻新发展理念,加快构建新发展格局,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用,着力破除阻碍要素自主有序流动的体制机制障碍,全面提高要素协同配置效率,以综合改革试点为牵引,更71好统筹发展和安全,为完善要素市场制度、建设高标准市场体系积极探索新路径,为推动经济社会高质量发展提供强劲动力。(二)基本原则。顶层设计、基层探索。按照党中央、国务院统一部署,在维护全国统一大市场前提下,支持具备条件的地区结合实际大胆改革探索,尊重基层首创精神,注重总结经验,及时规范提升,为全国提供可复制可推广的路径模式。系统集成、协同高效。突出改革的系统性、整体性、协同性,推动各领域要素市场
307、化配置改革举措相互配合、相互促进,提高不同要素资源的组合配置效率。问题导向、因地制宜。牢牢把握正确的改革方向,聚焦要素市场建设的重点领域、关键环节和市场主体反映最强烈的问题,鼓励地方结合自身特点开展差别化试点探索。稳中求进、守住底线。从实际出发,坚持以安全可控为前提,尊重客观规律,科学把握工作时序、节奏和步骤,做到放活与管好有机结合,切实防范风险,稳步有序推进试点。(三)试点布局。围绕推动国家重大战略实施,根据不同改革任务优先考虑选择改革需求迫切、工作基础较好、发展潜力较大的城市群、都市圈或中心城市等,开展要素市场化配置综合改革试点,严控试点数量和试点范围。党中央、国务院授权实施以及有关方面组
308、织实施的涉及要素市场化配置的改革探索任务,原则上优先在试点地区开展。试点期限为 20212025 年。(四)工作目标。2021 年,启动要素市场化配置综合改革试点工作。2022年上半年,完成试点地区布局、实施方案编制报批工作。到 2023 年,试点工作取得阶段性成效,力争在土地、劳动力、资本、技术等要素市场化配置关键环节上实现重要突破,在数据要素市场化配置基础制度建设探索上取得积极进展。到2025 年,基本完成试点任务,要素市场化配置改革取得标志性成果,为完善全国要素市场制度作出重要示范。二、进一步提高土地要素配置效率(五)支持探索土地管理制度改革。合理划分土地管理事权,在严格保护耕地、节约集
309、约用地的前提下,探索赋予试点地区更大土地配置自主权。允许符合条件的地区探索城乡建设用地增减挂钩节余指标跨省域调剂使用机制。探索建立补充耕地质量评价转换机制,在严格实行耕地占补平衡、确保占一补一的前提下,严格管控补充耕地国家统筹规模,严把补充耕地质量验收关,实现占优补优。支持开展全域土地综合整治,优化生产、生活、生态空间布局,加强耕地数量、质量、生态“三位一体”保护和建设。(六)鼓励优化产业用地供应方式。鼓励采用长期租赁、先租后让、弹性年期供应等方式供应产业用地。优化工业用地出让年期,完善弹性出让年期制度。支持产业用地实行“标准地”出让,提高配置效率。支持不同产业用地类型合理转换,完善土地用途变
310、更、整合、置换等政策。探索增加混合产业用地供给。支持建立工业企业产出效益评价机制,加强土地精细化管理和节约集约利用。(七)推动以市场化方式盘活存量用地。鼓励试点地区探索通过建设用地节约集约利用状况详细评价等方式,细化完善城镇低效用地认定标准,鼓励通过依法协商收回、协议置换、费用奖惩等措施,推动城镇低效用地腾退出清。推进国有企事业单位存量用地盘活利用,鼓励市场主体通过建设用地整理等方式促进城镇低效用地再开发。规范和完善土地二级市场,完善建设用地使用权转让、出租、72抵押制度,支持通过土地预告登记实现建设用地使用权转让。探索地上地下空间综合利用的创新举措。(八)建立健全城乡统一的建设用地市场。在坚
311、决守住土地公有制性质不改变、耕地红线不突破、农民利益不受损三条底线的前提下,支持试点地区结合新一轮农村宅基地制度改革试点,探索宅基地所有权、资格权、使用权分置实现形式。在依法自愿有偿的前提下,允许将存量集体建设用地依据规划改变用途入市交易。在企业上市合规性审核标准中,对集体经营性建设用地与国有建设用地给予同权对待。支持建立健全农村产权流转市场体系。(九)推进合理有序用海。探索建立沿海、海域、流域协同一体的海洋生态环境综合治理体系。统筹陆海资源管理,支持完善海域和无居民海岛有偿使用制度,加强海岸线动态监测。在严格落实国土空间用途管制和海洋生态环境保护要求、严管严控围填海活动的前提下,探索推进海域
312、一级市场开发和二级市场流转,探索海域使用权立体分层设权。三、推动劳动力要素合理畅通有序流动(十)进一步深化户籍制度改革。支持具备条件的试点地区在城市群或都市圈内开展户籍准入年限同城化累计互认、居住证互通互认,试行以经常居住地登记户口制度,实现基本公共服务常住地提供。支持建立以身份证为标识的人口管理服务制度,扩大身份证信息容量,丰富应用场景。建设人口发展监测分析系统,为重大政策制定、公共资源配置、城市运行管理等提供支撑。建立健全与地区常住人口规模相适应的财政转移支付、住房供应、教师医生编制等保障机制。(十一)加快畅通劳动力和人才社会性流动渠道。指导用人单位坚持需求导向,采取符合实际的引才措施,在
313、不以人才称号和学术头衔等人才“帽子”引才、不抢挖中西部和东北地区合同期内高层次人才的前提下,促进党政机关、国有企事业单位、社会团体管理人才合理有序流动。完善事业单位编制管理制度,统筹使用编制资源。支持事业单位通过特设岗位引进急需高层次专业化人才。支持探索灵活就业人员权益保障政策。探索建立职业资格证书、职业技能等级证书与学历证书有效衔接机制。加快发展人力资源服务业,把服务就业的规模和质量等作为衡量行业发展成效的首要标准。(十二)激发人才创新创业活力。支持事业单位科研人员按照国家有关规定离岗创新创业。推进职称评审权下放,赋予具备条件的企事业单位和社会组织中高级职称评审权限。加强创新型、技能型人才培
314、养,壮大高水平工程师和高技能人才队伍。加强技术转移专业人才队伍建设,探索建立健全对科技成果转化人才、知识产权管理运营人员等的评价与激励办法,完善技术转移转化类职称评价标准。四、推动资本要素服务实体经济发展(十三)增加有效金融服务供给。依托全国信用信息共享平台,加大公共信用信息共享整合力度。充分发挥征信平台和征信机构作用,建立公共信用信息同金融信息共享整合机制。推广“信易贷”模式,用好供应链票据平台、动产融资统一登记公示系统、应收账款融资服务平台,鼓励金融机构开发与中小微企业需求相匹配的信用产品。探索建立中小企业坏账快速核销制度。探索银行机构与外部股权投资机构深化合作,开发多样化的科技金融产品。
315、支持在零售交易、生活缴费、政务服务等场景试点使用数字人民币。支持完善中小银行和农村信用社治理结构,增强金融普惠性。(十四)发展多层次股权市场。创新新三板市场股债结合型产品,丰富中小企业投融资工具。选择运行安全规范、风险管理能力较强的区域性股权市场,开73展制度和业务创新试点。探索加强区域性股权市场和全国性证券市场板块间合作衔接的机制。(十五)完善地方金融监管和风险管理体制。支持具备条件的试点地区创新金融监管方式和工具,对各类地方金融组织实施标准化的准入设立审批、事中事后监管。按照属地原则压实省级人民政府的监管职责和风险处置责任。五、大力促进技术要素向现实生产力转化(十六)健全职务科技成果产权制
316、度。支持开展赋予科研人员职务科技成果所有权或长期使用权试点,探索将试点经验推广到更多高校、科研院所和科技型企业。支持相关高校和科研院所探索创新职务科技成果转化管理方式。支持将职务科技成果通过许可方式授权中小微企业使用。完善技术要素交易与监管体系,推进科技成果进场交易。完善职务科技成果转移转化容错纠错机制。(十七)完善科技创新资源配置方式。探索对重大战略项目、重点产业链和创新链实施创新资源协同配置,构建项目、平台、人才、资金等全要素一体化配置的创新服务体系。强化企业创新主体地位,改革科技项目征集、立项、管理和评价机制,支持行业领军企业牵头组建创新联合体,探索实施首席专家负责制。支持行业领军企业通
317、过产品定制化研发等方式,为关键核心技术提供早期应用场景和适用环境。(十八)推进技术和资本要素融合发展。支持金融机构设立专业化科技金融分支机构,加大对科研成果转化和创新创业人才的金融支持力度。完善创业投资监管体制和发展政策。支持优质科技型企业上市或挂牌融资。完善知识产权融资机制,扩大知识产权质押融资规模。鼓励保险公司积极开展科技保险业务,依法合规开发知识产权保险、产品研发责任保险等产品。六、探索建立数据要素流通规则(十九)完善公共数据开放共享机制。建立健全高效的公共数据共享协调机制,支持打造公共数据基础支撑平台,推进公共数据归集整合、有序流通和共享。探索完善公共数据共享、开放、运营服务、安全保障
318、的管理体制。优先推进企业登记监管、卫生健康、交通运输、气象等高价值数据集向社会开放。探索开展政府数据授权运营。(二十)建立健全数据流通交易规则。探索“原始数据不出域、数据可用不可见”的交易范式,在保护个人隐私和确保数据安全的前提下,分级分类、分步有序推动部分领域数据流通应用。探索建立数据用途和用量控制制度,实现数据使用“可控可计量”。规范培育数据交易市场主体,发展数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,稳妥探索开展数据资产化服务。(二十一)拓展规范化数据开发利用场景。发挥领军企业和行业组织作用,推动人工智能、区块链、车联网、物联网等领域数据采集标准化。深入推进人工智能社会实验
319、,开展区块链创新应用试点。在金融、卫生健康、电力、物流等重点领域,探索以数据为核心的产品和服务创新,支持打造统一的技术标准和开放的创新生态,促进商业数据流通、跨区域数据互联、政企数据融合应用。(二十二)加强数据安全保护。强化网络安全等级保护要求,推动完善数据分级分类安全保护制度,运用技术手段构建数据安全风险防控体系。探索完善个人信息授权使用制度。探索建立数据安全使用承诺制度,探索制定大数据分析和交易禁止清单,强化事中事后监管。探索数据跨境流动管控方式,完善重要数据出境安全管理制度。七、加强资源环境市场制度建设74(二十三)支持完善资源市场化交易机制。支持试点地区完善电力市场化交易机制,提高电力
320、中长期交易签约履约质量,开展电力现货交易试点,完善电力辅助服务市场。按照股权多元化原则,加快电力交易机构股份制改造,推动电力交易机构独立规范运行,实现电力交易组织与调度规范化。深化天然气市场化改革,逐步构建储气辅助服务市场机制。完善矿业权竞争出让制度,建立健全严格的勘查区块退出机制,探索储量交易。(二十四)支持构建绿色要素交易机制。在明确生态保护红线、环境质量底线、资源利用上线等基础上,支持试点地区进一步健全碳排放权、排污权、用能权、用水权等交易机制,探索促进绿色要素交易与能源环境目标指标更好衔接。探索建立碳排放配额、用能权指标有偿取得机制,丰富交易品种和交易方式。探索开展资源环境权益融资。探
321、索建立绿色核算体系、生态产品价值实现机制以及政府、企业和个人绿色责任账户。八、健全要素市场治理(二十五)完善要素市场化交易平台。持续推进公共资源交易平台整合共享,拓展公共资源交易平台功能,逐步覆盖适合以市场化方式配置的自然资源、资产股权等公共资源。规范发展大数据交易平台。支持企业参与要素交易平台建设,规范要素交易平台运行。支持要素交易平台与金融机构、中介机构合作,形成涵盖产权界定、价格评估、流转交易、担保、保险等业务的综合服务体系。(二十六)加强要素交易市场监管。创新要素交易规则和服务,探索加强要素价格管理和监督的有效方式。健全要素交易信息披露制度。深化“放管服”改革,加强要素市场信用体系建设
322、,打造市场化法治化国际化营商环境。强化反垄断和反不正当竞争执法,规范交易行为,将交易主体违法违规行为纳入信用记录管理,对严重失信行为实行追责和惩戒。开展要素市场交易大数据分析,建立健全要素交易风险分析、预警防范和分类处置机制。推进破产制度改革,建立健全自然人破产制度。九、进一步发挥要素协同配置效应(二十七)提高全球先进要素集聚能力。支持探索制定外国高端人才认定标准,为境外人才执业出入境、停居留等提供便利。支持符合条件的境内外投资者在试点地区依法依规设立证券、期货、基金、保险等金融机构。探索国际科技创新合作新模式,支持具备条件的试点地区围绕全球性议题在世界范围内吸引具有顶尖创新能力的科学家团队“
323、揭榜挂帅”。支持行业领军企业牵头组建国际性产业与标准组织,积极参与国际规则制定。(二十八)完善按要素分配机制。提高劳动报酬在初次分配中的比重,强化工资收入分配的技能价值激励导向。构建充分体现知识、技术、管理等创新要素价值的收益分配机制。创新宅基地收益取得和使用方式,探索让农民长期分享土地增值收益的有效途径。合理分配集体经营性建设用地入市增值收益,兼顾国家、农村集体经济组织和农村居民权益。探索增加居民财产性收入,鼓励和引导上市公司现金分红,完善投资者权益保护制度。十、强化组织实施(二十九)加强党的全面领导。坚持和加强党对要素市场化配置综合改革试点的领导,增强“四个意识”、坚定“四个自信”、做到“
324、两个维护”,充分发挥党总揽全局、协调各方的领导核心作用,把党的领导始终贯穿试点工作推进全过程。(三十)落实地方主体责任。各试点地区要把要素市场化配置综合改革试点75摆在全局重要位置,增强使命感和责任感,强化组织领导,完善推进落实机制,在风险总体可控前提下,科学把握时序、节奏和步骤,积极稳妥推进改革试点任务实施。试点过程中要加强动态跟踪分析,开展试点效果评估,重要政策和重大改革举措按程序报批。(三十一)建立组织协调机制。建立由国家发展改革委牵头、有关部门作为成员单位的推进要素市场化配置综合改革试点部际协调机制,负责统筹推进试点工作,确定试点地区,协调解决重大问题,加强督促检查。国家发展改革委要会
325、同有关方面指导试点地区编制实施方案及授权事项清单,按程序报批后组织实施;在地方自评估基础上,定期开展第三方评估。对取得明显成效的试点地区,要予以表扬激励,及时总结推广经验;对动力不足、执行不力、成效不明显的试点地区,要限期整改,整改不到位的按程序调整退出试点。重要情况及时向党中央、国务院报告。(三十二)强化试点法治保障。建立健全与要素市场化配置综合改革试点相配套的法律法规与政策调整机制,统筹涉及的法律法规事项,做好与相关法律法规立改废释的衔接。试点地区拟实行的各项改革举措和授权事项,凡涉及调整现行法律或行政法规的,经全国人大及其常委会或国务院依法授权后实施;其他涉及调整部门规章和规范性文件规定
326、的,有关方面要按照本方案要求和经批准的授权事项清单,依法依规一次性对相关试点地区给予改革授权。中华人民共和国个人信息保护法(2021-08-20)第一章总则第一条为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。第二条自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。第三条在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。第四
327、条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准
328、确、不完整对个人权益造成不利影响。第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施76保障所处理的个人信息的安全。第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。第十一条国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。第十二条国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互
329、认。第二章个人信息处理规则第一节一般规定第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取
330、得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。第十四条基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。第十五条基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。第十六条个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者
331、服务所必需的除外。第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;77(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。第十八条个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事
332、项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。第十九条除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。第二十条两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。第二十一条个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对
333、受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。第二十二条个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依