数据安全管理责任指南.docVIP

数据安全管理责任指南? 范围 本文件规定了数据共享交换过程中涉及的各相关角色及数据安全管理的相应职责。 本文件适用于指导数据共享交换活动中各相关组织采取的风险控制措施。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069 信息安全技术术语 GB/T35295 信息技术大数据术语 GB/T 35273—2020 信息安全技术 个人信息安全规范 术语和定义 GB/T 25069 和 GB/T 35295 界定的以及下列术语和定义适用于本文件。 服务第三方 third party service provider 提供相关服务的供应方，包括但不限于数据运营提供者、数据服务提供者。 数据管理者 data manager 数据的管理者，由政府赋予数据管理职能的行政机构。 数据血缘 Data Lineage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可回溯的关联关系。 概述 基本原则 共享交换安全管理采取主动防御、综合防范方针，坚持保障数据共享交换安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理； 支撑数据共享交换的基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准； 数据共享交换过程由数据提供者、数据使用者、数据管理者和服务第三方组成。各参与方应按照谁主管、谁负责，谁使用、谁负责，谁运营、谁负责的原则，在各自职责范围内，做好数据安全管理工作； 共享交换过程中各参与方之间的安全责任相互独立。部分情况下需要依赖于另一方安全管理措施的有效性，责任由双方共同承担。 场景分类 数据共享交换活动涉及数据提供者、数据使用者、数据管理者以及服务第三方（数据运营提供者、数据服务提供者），共享交换场景如图1所示。在数据共享交换场景下各相关方履行自身职责，采取安全管理措施，以保证数据共享交换风险可控。 针对数据交换共享过程的数据流动以及过程控制和管理，数据共享交换场景可分为以下几类： 数据提供者采集数据的环节； 数据服务提供者进行处理的环节； 数据使用者获取数据的环节； 数据运营提供者在数据采集、共享过程中的控制环节； 数据管理者在全流程的管理环节； 风险控制措施 基本要求 数据共享交换场景的基本要求包括： 数据共享工作应通过共享交换平台进行，可通过 API 服务调用方式获取共享数据； 数据提供者、数据使用者、数据管理者可在保留安全管理责任的前提下，通过签订标准合同协议、明确责任和义务，将安全管理执行工作外包给服务第三方； 对于无条件共享的数据，归集整理后通过平台可向各单位进行数据共享；对于有条件共享的数据，由数据使用者向数据提供者提交数据资源共享申请，经数据提供者审批同意和数据管理者审核确认后，通过平台的 API 服务进行数据共享； 确立数据分类分级，根据数据敏感度等级、场景数据使用风险等级制定相应的控制措施； 数据的保存期限应符合法律法规的要求，共享交换过程涉及各方应及时销毁超过数据保存期的数据，或者进行脱敏保存或归档； 数据共享交换的各参与方应保障各阶段数据血缘的完整性、数据质量，并能提供数据处理过程日志供第三方审计。 数据提供者相关风险控制 数据来源合法 数据提供者应保障数据来源合法，相关风险控制措施包括但不限于： 按照法定职责，采集数据资源，明确本部门数据采集、发布、维护的规范和程序，确保数据的正确性、完整性、时效性。 除法律、法规另有规定以外，应当遵循“一数一源”的原则，不得重复采集可以通过共享方式获取的数据资源。 按照法律、法规规定的数据范围进行采集，遵循数据采集必要及最小化原则，不得采集法定范围之外的数据。 数据共享管理 数据提供者应提供数据共享服务，相关风险控制措施包括但不限于： 应明确本部门数据资源的共享范围，及时响应数据使用者的数据共享需求； 有法律、法规、规章等规定需要共享的数据，应按照相关要求进行共享； 对数据使用者提交的数据共享申请，应根据履职需要和最小化原则，进行审批授权。应明确数据的共享范围、共享期限、共享用途和数据保存期限，通过平台向数据使用者共享数据； 应对共享的数据设置对应的数据分类分级标签； 应通过技术手段确保共享数据的完整性和一致性，并按照约定的更新频率更新数据。 数据使用者相关风险控制 数据共享申请 数据使用者应按照以下要求申请数据共享，相关风险控制措施包括但不限于： 应基于业务场景向数据提供者或数据管理者申请数据共享，并依据法律法规的要求在