数字烟台建设专项小组办公室关于印发《烟台市公共数据开放分级分类指南(试行)》的通知
数字烟台建设专项小组办公室
关于印发《烟台市公共数据开放分级分类指南(试行)》的通知
各区(市)人民政府(管委),市直各部门、单位:
为贯彻落实中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》,有序推进我市公共数据开放工作,数字烟台建设专项小组办公室制定《烟台市公共数据开放分级分类指南(试行)》,现印发给你们,请认真贯彻执行。
数字烟台建设专项小组办公室
(烟台市大数据局代章)
2021年3月31日
(此件公开发布)
烟台市公共数据开放分级分类指南(试行)
1.引言
根据《山东省电子政务和政务数据管理办法》和《烟台市公共数据开放管理暂行办法》相关要求,对公共数据实施分级分类开放。
本指南规定了公共数据开放的分级分类流程、要点、方法、示例等内容,本市公共数据开放主体根据本指南对公共数据进行分级分类,并采取相应风险防控和安全保障措施,全面保障本市公共数据开放工作有力有序开展。
2.范围
本指南适用于本市各级行政机关以及履行公共管理和服务职能的事业单位(以下统称公共管理和服务机构)在依法履职过程中,采集和产生的各类数据资源面向社会开放的分级分类。烟台市邮政、水务、电力、燃气、热力、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性数据开放,可参考本指南进行分级分类。
本指南提供通用、共性参考原则和方法,各数据开放主体根据本行业、本区域的法律法规和相关规定,对本指南进行调整、补充,并制定本机构公共数据开放分级分类细则。
涉及国家秘密的公共数据管理,按照相关保密法律、法规的规定执行,不纳入公共数据开放范围。
3.规范性引用文件
《山东省电子政务和政务数据管理办法》(山东省人民政府令 第329号)
《烟台市公共数据开放管理暂行办法》
GB/T 37973-2019 《信息安全技术 大数据安全管理指南》
GB/T 35273-2020 《信息安全技术 个人信息安全规范》
GB/T 38667-2020 《信息技术 大数据 数据分类指南》
4.术语和定义
4.1公共数据开放分级
公共数据开放分级是指在公共数据开放过程中,从公共数据安全要求、个人信息保护要求和应用要求等因素,将公共数据分为不同级别的管理方式。
4.2公共数据开放分类
公共数据开放分类是指在公共数据开放过程中,将公共数据分为无条件开放、有条件开放、非开放三种开放类别的管理方式。
4.3个人敏感信息
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰,以及基因、照片、指纹等生物特征数据。
4.4数据脱敏
对某些敏感信息,通过脱敏规则进行数据的变形、隐藏等处理,实现敏感隐私数据的可靠保护。
5.分级分类原则
5.1依从性
分级分类应遵循国家、地方、部门法律法规、相关规定的要求。
5.2安全性
分级分类应以公共数据安全可控开放为基础。
5.3自主性
数据开放主体应按照分类分级方法,结合工作实际,自主对公共数据进行分类分级。
5.4科学性
分级分类应符合公共数据的多维特征及其相互间客观存在的逻辑关联。
5.5需求导向
分级分类应充分考虑社会公众对开放数据的实际需求。
5.6可操作性
分级分类应具有可操作性,能够快速有效地制定妥善的开放方式。
5.7可扩展性
分级分类应充分考虑国际国内发展趋势,定期征询相关专家咨询组织,完善和调整分级分类规则。
6.公共数据开放类别
公共数据分为以下三种开放类别:
序号 | 开放类别 | 说明 |
1 | 非开放 | 涉及商业秘密、个人隐私,或者法律、法规规定不得开放的公共数据 |
2 | 有条件开放 | 对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据 |
3 | 无条件开放 | 除上述非开放和有条件开放以外的其他公共数据 |
表1:公共数据开放类别
6.1无条件开放类
对列入无条件开放类的公共数据,数据开放主体应当通过开放平台主动向社会开放。自然人、法人和其他组织无需申请即可获取、使用或者传播该类数据。
6.2有条件开放类
对列入有条件开放类的公共数据,数据开放主体应当通过平台公示开放条件,自然人、法人和其他组织通过开放平台向数据开放主体提交数据开放申请,并说明申请用途、应用场景和安全保障措施等信息,符合条件的,可以获取公共数据。
6.3非开放类
对列入非开放类的公共数据,暂时不纳入开放范围。经数据脱敏处理后符合开放要求的,可将处理后的数据纳入无条件开放或有条件开放类。
7.分级分类规则
公共数据的开放级别按照公共数据描述的对象,从三个维度分别展开:个人、组织、客体。个人指自然人;组织指本市政府部门、企事业单位以及其他法人、非法人组织和团体;客体指本市非个人或组织的客观实体,如道路、建筑等。
7.1个人维度
开放 级别 | 数据 特征 | 数据示例 | 开放类型 |
A0 | 匿名非敏感数据 | 通过任何技术手段均不能识别到具体自然人身份,并且不包含个人敏感信息的数据。例如:景区游客流量数据。 | 无条件 开放 |
A1 | 非匿名 非敏感数据 | 可以通过一定技术手段识别到个人,但不包含个人敏感信息的数据。例如:企业注册登记数据。 | 有条件 开放 |
A2 | 匿名敏感 数据 | 不能识别到具体自然人身份,包含个人敏感信息的数据。 | |
A3 | 非匿名敏感数据 | 可以通过一定技术手段识别到个人,且包含个人敏感信息的数据。例如:不动产登记数据。 | 非开放 |
表2:个人维度开放级别
注:数据提供主体可以根据社会需求,对非开放类数据进行数据脱敏处理,降级后按对应类别开放。
7.2组织维度
开放 级别 | 数据特征 | 数据示例 | 开放 类型 |
B0 | 可从公开途径获取或者法律法规授权公开的数据 | 1.组织发布在网站、宣传册中或任何其他公开来源的数据;
| 无条件 开放 |
B1 | 数据用于支撑组织运营管理和业务开展,或可反映出组织经营状况,在特定范围内对象知晓 | 1.组织水、电、气等资源消耗数据; | 有条件 开放 |
B2 | 数据涉及到组织核心利益,数据的泄露会对组织造成财务、声誉、技术等方面的影响 | 1.技术信息:技术设计、技术样品、质量控制、应用试验、工艺流程、工业配方、化学配方、制作工艺、制作方法、计算机程序等; | 非开放 |
表3:组织维度开放级别
7.3客体维度
开放 级别 | 数据特征 | 数据示例 | 开放 类型 |
C0 | 可从公开途径获取或者法律法规授权公开的数据 | 1.公共设施、设备的位置、指标参数、运行状态、统计数据等; | 无条件 开放 |
C1 | 数据开放风险低,对公共秩序、公共利益影响较小 | 1.城市公共卫生间、充电桩、公交站等公共服务设施的分布及状态等; | 有条件 开放 |
C2 | 数据开放风险中等,数据非授权操作后会对个人、企业、其他组织或国家机关运作造成损害 | 1.公交车客流量统计数据、药品使用统计数据等; | |
C3 | 数据开放风险较高,数据非授权操作后会对个人、企业、其他组织或国家造成严重损害 | 1.重要公共或基础设施的详细数据; | 非开放 |
表4:客体维度开放级别
8.分级分类流程
分级分类按照以下流程进行:
8.1确定分级分类对象
分级分类的对象为烟台市政务信息资源共享交换平台中已编目的数据集。
8.2进行数据分级分类
数据开放主体按照第7章所述内容,对照表2、表3、表4,确定数据集在个人、组织、客体三个维度的开放级别和开放类别。
8.3确定开放条件
对于无条件开放类数据,直接开放数据集;
对于有条件开放类数据,根据开放级别,确定公共数据开放条件。由数据使用主体申请使用,数据开放主体评估符合条件后开放;
对于非开放类数据,不予开放;
8.4非开放类数据处理
对于非开放类数据,经数据脱敏处理后符合开放要求的,
可将处理后的数据重新进行分级,纳入无条件开放或有条件开放类后开放。
9.数据开放条件
9.1数据安全要求:
级别 | 数据安全 要求 | 需提供的相关材料 |
A1 | 有基础的数据安全 保护能力 | 数据安全保护人员、相关制度规范。根据具体数据集确定是否需提供个人或企业数据使用授权书。 |
A2 | 有较完善的数据安全保护体系 | 有等保2级以上,ISO27000等认证,或满足同等要求的数据安全保护体系。根据具体数据集确定是否需提供个人或企业数据使用授权书。 |
B1 | 有较完善的数据安全保护体系 | 有等保2级以上,ISO27000等认证,或有满足同等要求的数据安全保护措施。根据具体数据集确定是否需提供个人或企业数据使用授权书。 |
C1 | 有基础的数据安全 保护能力 | 有数据安全保护人员、相关制度规范。根据具体数据集确定是否需提供个人或企业数据使用授权书。 |
C2 | 有较完善的数据安全保护体系 | 有等保2级以上,ISO27000等认证,或满足同等要求的数据安全保护体系。根据具体数据集确定是否需提供个人或企业数据使用授权书。 |
附表1
9.2应用场景要求:
级别 | 应用场景要求 | 示例或禁止 |
A1 | 不得用于挖掘个人敏感信息 | 禁止用于营销等目的的个人敏感信息挖掘,例如:融合自有数据挖掘个人电话号码。 |
A2 | 仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得对外提供查询服务 | 禁止用于向他人提供敏感信息的查询,例如:脱敏的个人X光片可以进行科学研究,但不可用于向第三方提供查阅服务。 |
B1 | 仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得针对具体组织对外发布新闻等信息 | 不得发布相关解读。例如:禁止发布某企业用电量过低的新闻。 |
C1 | 可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景 | 例如:公共充电桩充电信息,可以进行商店选址、规划等业务支撑。 |
C2 | 仅可用于主管部门授权的场景 | 例如:对交通监控视频数据的使用必须提供公安部门的授权。 |
附表2
9.3反馈要求:
级别 | 反馈内容 |
A1 | 注明数据来源,定期抽查数据使用情况 |
A2 | 注明数据来源,实时日志反馈,定期提交利用报告 |
B1 | 注明数据来源,定期抽查数据使用情况 |
C1 | 注明数据来源,定期抽查数据使用情况 |
C2 | 注明数据来源,实时日志反馈,定期提交利用报告 |
附表3
10.分级分类示例
数据集名称:交通违章处罚信息。
字段:决定书编号,案件案号,处罚当事人,法人代表,违章事实,处罚依据,处罚结果,执法主体,处罚日期
10.1数据分级:
A.个人维度:处罚当事人、法人代表中含有个人姓名,违章事实、处罚结果、处罚日期属于个人非敏感信息。列入A1级。
B.组织维度:决定书编号,案件案号,执法主体为低风险的数据项,如果泄露不会造成对组织的不良影响。列入B0级。
C.客体维度:处罚依据为公开可查询的客体信息,造成不良影响风险较低。列入C0级。
数据集整体描述了交通违法违章的处罚情况,无国家秘密、商业机密。
综上,本数据集的开放级别为A1,B0,C0级。
10.2数据分类:
由于A1级为有条件开放,B0、C0为无条件开放,因此本数据集为有条件开放。
10.3确定开放条件:
查询附表1、2、3中A1级所对应的开放条件可得:
数据使用主体需有基础的数据安全保护能力(需提供数据安全保护负责人和联系方式,有数据安全和隐私保护制度),并提供个人数据使用授权书,应用场景不得用于个人敏感信息挖掘,需配合定期抽查数据使用情况,形成成果的,应当注明数据使用来源。
0402数字烟台建设专项小组办公室关于印发《烟台市公共数据开放分级分类指南(试行)》的通知.pdf