北京数据管理办法

北京数据管理办法一、总则（一）目的为了加强北京市数据管理，规范数据处理活动，保障数据安全，促进数据开发利用，推动数字经济发展，依据相关法律法规，结合本市实际情况，制定本办法。（二）适用范围本办法适用于在北京市行政区域内开展的数据处理活动及其相关管理活动。本办法所称数据，是指以电子或者其他方式对信息的记录。（三）基本原则1.合法合规原则数据处理活动应当遵守法律法规，尊重社会公德和伦理道德，不得危害国家安全、公共利益和公民、法人及其他组织的合法权益。2.安全可控原则强化数据安全保护，采取有效措施防范数据泄露、篡改、丢失等风险，确保数据处于安全可控状态。3.开放共享原则在保障安全和隐私的前提下，推动数据的开放共享，促进数据的合理流动和有效利用，提高社会治理水平和公共服务效能。4.创新发展原则鼓励数据创新应用，培育数据要素市场，激发数字经济活力，推动经济社会高质量发展。（四）职责分工1.市数据管理部门负责统筹协调本市数据管理工作，制定数据发展战略、规划和政策，组织实施数据管理相关标准规范，指导、监督和检查数据处理活动。2.各行业主管部门按照各自职责，负责本行业领域的数据管理工作，制定行业数据管理规范，推动行业数据资源整合、共享和应用，监督管理本行业的数据处理活动。3.数据处理者依法开展数据处理活动，履行数据安全保护义务，对其处理的数据质量负责，接受政府部门的监督管理。二、数据资源管理（一）数据采集1.采集要求数据采集应当遵循合法、正当、必要的原则，明确采集目的、范围、方式和期限，不得过度采集。采集个人数据的，应当取得个人同意，并告知采集的目的、范围、方式和用途等事项。2.采集规范建立健全数据采集管理制度，规范数据采集流程，确保采集数据的真实性、准确性、完整性和时效性。对采集的数据进行分类、标注和存储，便于后续处理和管理。3.采集安全采取必要的安全防护措施，保障数据采集过程中的安全，防止数据被窃取、篡改或丢失。对涉及国家秘密、商业秘密和个人隐私的数据，应当严格按照保密规定进行采集和管理。（二）数据汇聚1.汇聚主体鼓励各类数据处理者按照自愿、平等、互利的原则，通过建立数据汇聚平台或签订合作协议等方式，实现数据的汇聚。行业主管部门可以根据工作需要，组织本行业的数据汇聚工作。2.汇聚范围根据数据管理和应用需求，确定数据汇聚的范围。汇聚的数据应当具有代表性、关联性和可用性，能够为数据分析、决策支持等提供有力支撑。3.汇聚方式采用统一的数据格式和接口标准，通过网络传输、数据交换等方式实现数据的汇聚。对汇聚的数据进行清洗、转换和整合，提高数据质量，确保数据的一致性和兼容性。（三）数据存储1.存储设施数据处理者应当根据数据的类型、规模和安全要求，选择合适的数据存储设施。存储设施应当具备安全可靠、性能稳定、可扩展等特点，能够满足数据存储和管理的需要。2.存储安全加强数据存储安全管理，采取加密存储、访问控制、数据备份等措施，防止数据泄露、损坏和丢失。定期对存储设备进行检查和维护，确保存储设施的正常运行。3.存储分类分级按照数据的敏感程度和重要性，对数据进行分类分级管理。根据不同的级别，采取相应的安全防护措施，确保重要数据的安全。（四）数据共享1.共享原则遵循需求导向、依法依规、安全可控、分类分级、公平公正的原则，推动数据共享。数据共享应当以满足公共服务、社会治理和经济发展等需求为出发点，确保共享数据的合法合规使用。2.共享范围明确数据共享的范围和条件，根据数据的性质和用途，确定可以共享的数据类型和共享对象。对涉及国家秘密、商业秘密和个人隐私的数据，未经授权不得共享。3.共享流程建立数据共享申请、审核、授权、使用和监督等流程。数据需求方应当向数据提供方提出共享申请，数据提供方进行审核，审核通过后签订共享协议，明确双方的权利和义务。数据需求方应当按照共享协议使用共享数据，并接受监督。（五）数据开放1.开放原则坚持以公开为常态、不公开为例外，遵循合法、及时、准确、便民的原则，推动数据开放。数据开放应当注重数据的可用性和社会价值，促进数据的广泛应用和创新发展。2.开放范围确定数据开放的范围和目录，优先开放与民生保障、城市治理、公共服务等密切相关的数据。对涉及国家安全、商业秘密和个人隐私的数据，不予开放。3.开放平台建立统一的数据开放平台，为数据开放提供支撑。数据开放平台应当具备数据发布、查询、下载等功能，方便社会公众获取和使用开放数据。同时，加强对开放数据的质量审核和更新维护，确保开放数据的准确性和时效性。三、数据处理活动管理（一）一般规定1.处理活动要求数据处理者开展数据处理活动应当遵守法律法规，履行数据安全保护义务，保障数据主体的合法权益。数据处理活动应当符合约定的目的和范围，不得超出授权范围进行处理。2.处理活动记录建立数据处理活动记录制度，对数据处理的过程、结果等进行详细记录。记录应当保存一定期限，以便追溯和查询。3.处理活动监督数据处理者应当接受政府部门的监督检查，如实提供数据处理活动相关资料和信息。行业主管部门应当加强对本行业数据处理活动的监督管理，发现问题及时督促整改。（二）数据加工1.加工要求数据加工应当遵循科学、合理、有效的原则，确保加工后的数据质量和价值。数据加工过程中应当保护原始数据的完整性和真实性，不得对原始数据进行非法篡改或删除。2.加工安全采取必要的安全措施，保障数据加工过程中的安全。对加工过程中产生的中间数据和结果数据，应当按照规定进行存储和管理，防止数据泄露和丢失。3.加工质量控制建立数据加工质量控制体系，对加工后的数据进行质量检测和评估。确保加工后的数据符合业务需求和相关标准规范，能够为数据分析和应用提供可靠支持。（三）数据分析1.分析要求数据分析应当基于科学的方法和模型，客观、准确地揭示数据背后的规律和趋势。数据分析结果应当用于支持决策制定、业务优化和创新发展等目的，不得用于违法违规活动。2.分析安全加强数据分析过程中的安全管理，防止因数据分析导致的数据泄露和滥用。对涉及敏感数据的分析，应当采取严格的安全防护措施，确保数据安全。3.分析结果应用合理应用数据分析结果，推动数据驱动的决策和管理。数据处理者应当将数据分析结果及时反馈给相关部门和人员，为其提供决策依据和参考。同时，加强对数据分析结果的评估和验证，确保其可靠性和有效性。（四）数据交易1.交易原则数据交易应当遵循自愿、平等、公平、诚信的原则，保障数据交易双方的合法权益。数据交易应当在合法合规的前提下进行，不得交易涉及国家秘密、商业秘密和个人隐私的数据。2.交易平台建立规范的数据交易平台，为数据交易提供场所和服务。数据交易平台应当制定交易规则，对数据交易主体、交易流程、数据质量等进行规范管理。加强对数据交易平台的监督管理，确保交易活动的安全有序进行。3.交易监管加强对数据交易活动的监管，建立数据交易备案制度。数据交易双方应当在交易平台进行备案，提交交易数据的相关信息。行业主管部门应当对数据交易活动进行监督检查，依法查处违法违规交易行为。四、数据安全管理（一）安全制度建设1.安全管理制度数据处理者应当建立健全数据安全管理制度，明确数据安全管理机构和人员职责，制定数据安全策略和操作规程。数据安全管理制度应当涵盖数据采集、存储、使用、共享、开放等各个环节，确保数据处理活动的安全。2.安全培训教育加强对数据处理人员的数据安全培训教育，提高其安全意识和技能。培训教育内容应当包括法律法规、安全制度、安全技术等方面，定期组织培训考核，确保人员具备必要的数据安全知识和能力。3.安全应急处置制定数据安全应急预案，明确应急处置流程和责任分工。定期组织应急演练，提高应对数据安全事件的能力。发生数据安全事件时，数据处理者应当立即采取措施进行处置，并及时向有关部门报告。（二）安全技术措施1.访问控制建立严格的访问控制机制，对数据访问进行授权管理。根据用户的角色和权限，限制对数据的访问范围，确保只有授权人员能够访问和处理数据。采用身份认证、密码管理、权限审计等技术手段，保障访问安全。2.数据加密对重要数据进行加密处理，确保数据在传输和存储过程中的保密性。采用对称加密和非对称加密相结合的方式，根据数据的敏感程度选择合适的加密算法和密钥管理方式。3.数据脱敏在数据共享、开放等过程中，对涉及个人隐私和敏感信息的数据进行脱敏处理。采用替换、掩码、加密等技术手段，对敏感数据进行变形处理，确保数据在不泄露敏感信息的前提下能够正常使用。（三）安全监督检查1.自查自纠数据处理者应当定期开展数据安全自查自纠工作，及时发现和整改安全隐患。自查自纠报告应当报送行业主管部门和市数据管理部门。2.监督检查市数据管理部门和各行业主管部门应当定期对数据处理者的数据安全状况进行监督检查。监督检查可以采取现场检查、非现场检查、技术检测等方式，对发现的问题责令限期整改。3.安全评估委托专业机构对数据处理者的数据安全状况进行定期评估。评估内容包括安全制度建设、安全技术措施、应急处置能力等方面。根据评估结果，提出改进建议，督促数据处理者不断完善数据安全管理。五、数据质量保障（一）质量管理制度1.质量目标明确数据质量目标，确保数据的准确性、完整性、一致性、时效性和可靠性。数据质量目标应当与业务需求相匹配，能够为数据处理和应用提供有力支持。2.质量责任建立数据质量责任制度，明确数据处理各环节的质量责任主体。数据处理者应当对其处理的数据质量负责，加强对数据质量的全过程管理。3.质量考核制定数据质量考核指标和方法，对数据质量进行量化考核。将数据质量考核结果与相关人员的绩效挂钩，激励其提高数据质量意识和工作水平。（二）质量控制措施1.数据清洗对采集到的数据进行清洗，去除重复、错误、不完整等数据。采用数据验证、数据匹配、数据转换等技术手段，提高数据的准确性和完整性。2.数据审核建立数据审核机制，对数据处理过程和结果进行审核。审核内容包括数据的合法性、准确性、完整性等方面。对审核发现的问题及时进行整改，确保数据质量。3.质量监测建立数据质量监测体系，实时监测数据质量状况。通过数据抽样、数据分析等方式，及时发现数据质量异常情况，并采取相应的措施进行处理。（三）质量改进机制1.问题分析对数据质量问题进行深入分析，查找问题产生的原因。通过数据分析、流程梳理、人员培训等方式，找出影响数据质量的关键因素。2.改进措施根据问题分析结果，制定针对性的改进措施。改进措施应当包括完善制度、优化流程、加强技术手段等方面，确保数据质量得到有效提升。3.持续改进建立数据质量持续改进机制，不断优化数据质量管理流程和方法。定期对数据质量改进效果进行评估，总结经验教训，持续提高数据质量水平。六、法律责任（一）违法处理责任数据处理者违反本办法规定，有下列行为之一的，由市数据管理部门或者行业主管部门责令改正，给予警告；情节严重的，处一万元以上十万元以下罚款，并可以暂停相关业务；造成损害的，依法承担赔偿责任：1.未按照规定履行数据安全保护义务的；2.超出授权范围进行数据处理的；3.未按照规定进行数据采集、汇聚、存储、共享、开放等活动的；4.数据处理活动记录不完整或者未按照规定保存期限的；5.拒绝、阻碍政府部门依法进行监督检查的。（二）安