第一章 总 则
第一条 为加强学校数据管理工作,推进学校数据的规范管理和互联互通,提高数据质量,确保数据安全,推动学校数据科学配置和有效利用,发挥数据在学校改革发展中的重要作用,提高信息化条件下学校治理能力和公共服务水平,依据《中华人民共和国网络安全法》(中华人民共和国主席令〔2016〕第五十三号)、《中华人民共和国数据安全法》(中华人民共和国主席令〔2021〕第八十四号)、《中华人民共和国个人信息保护法》(中华人民共和国主席令〔2021〕第九十一号)等相关法律法规和《华南农业大学章程》的有关规定,结合学校实际,制定本办法。
第二条 本办法所称数据,是指学校各单位在教学、科研、管理与服务等活动中产生及收集、并主要以电子形式或依托信息系统记录或保存的各类数据资源的总称,是学校的公共资源,包括但不限于文本、表格、数据库、网页、图形、图像、多媒体文件等格式。数据形态包括结构化数据、非结构化数据和半结构化数据。
公共数据平台是指由信息网络中心负责建设、管理和维护的校级数据中心运营平台。
第三条 本办法适用于数据处理主要环节,包括数据的采集、存储、维护、交换、共享、使用等相关管理活动。
第四条 数据管理遵循以下基本原则:
(一)统筹建设原则。由信息网络中心按照教育部和学校相关标准组织开展数据资源的采集、存储、交换、共享和应用工作,坚持“一数一源”“多元校核”,统筹建设学校数据资源。
(二)统一标准原则。运用信息系统采集和处理数据,应遵循上级和学校制定的相关标准和规范。
(三)数据共享原则。以共享为原则,不共享为例外,除国家规定的涉密数据外,其他数据原则上纳入公共数据平台统一存储、交换、共享。各单位以满足实际业务需要为前提,按最小化原则申请数据。
(四)依法使用原则。各单位对数据进行合法、合规、合理使用,不得泄露国家秘密、学校基础数据、师生员工个人隐私信息或敏感信息,维护数据主体的合法权益。
(五)安全可控原则。依托学校信息安全保障体系,完善数据资源管理安全机制,确保数据在采集、存储、维护、交换、共享、使用和销毁全生命周期风险可控。
(六)归口管理原则。数据按业务属性进行确源后由各归口单位管理,业务归属无法确定的数据由信息网络中心管理。数据建设标准、数据采集汇聚和共享应用机制由信息网络中心制定。
第五条 数据管理要实现以下目标:
(一)确保数据完整准确。建立学校数据的生产、采集和维护机制,建立数据交换和质量核准机制,保障数据在各个环节完整、准确、真实和规范。
(二)确保数据安全可靠。建立数据的分类分级管理,容灾备份及恢复机制;建立数据操作日志记录机制及信息追溯机制;根据国家和学校的要求,做好数据保密工作。
(三)确保数据充分共享。明确数据生产单位和使用单位职责,建立数据交换体系,确保共享数据可供多方使用。
(四)确保数据使用规范。建立数据使用的申请、审批、公开等管理机制,规范合理利用数据辅助管理与决策。
第二章 数据管理体系及职责
第六条 学校网络安全与信息化领导小组是学校数据管理的议事决策机构,负责组织协调学校数据管理方面的重大事项,统筹规划学校数据治理工作,审定数据管理相关规定。
第七条 数据管理涉及校内各单位,各单位主要负责人作为本单位数据资源管理的第一责任人,并指定至少一名在职人员担任数据管理员。数据管理员负责本单位数据管理、使用与共享,配合信息网络中心完成本单位与公共数据平台的数据对接工作。
第八条 根据数据管理职能分工,校内各单位可分为数据组织协调单位、数据管理实施单位、数据生产单位、数据使用单位。
第九条 信息化工作办公室(以下简称“信息办”)是数据组织协调单位,负责规划、协调和监督数据管理工作,主要职责为:
(一)负责制定数据管理的发展规划和总体目标,指导完善数据管理体制机制和数据管理规章制度。
(二)负责指导和协调各二级单位开展数据治理工作。
(三)负责全校数据管理工作的监督落实。
第十条 信息网络中心是数据管理实施单位,负责实施数据管理工作,提供技术支撑,确保数据资源的有效利用和安全保护。主要职责为:
(一)负责制订完善学校的数据管理、数据标准和审批流程等相关的制度规范。
(二)负责组织编制和更新《华南农业大学数据资源目录》,统筹数据资源目录的日常维护。
(三)负责公共数据平台建设、运行和管理,确保数据的可用性、可靠性、完整性和安全性,为数据利用与服务提供技术保障。
(四)负责审核和确定各类数据归口管理单位,会同数据生产单位,审核数据资源共享申请。
(五)负责建立数据质量管控机制,检查数据生产单位的数据质量,并协调数据生产单位整改质量问题。
(六)负责建立数据安全保障体系,制定校级数据安全应急预案并定期组织应急演练,进行安全评估,实施数据分类分级管理。
(七)负责建设面向学校各级单位各类专题服务和决策的数据分析和应用。
(八)负责对各单位数据管理工作进行巡查。
第十一条 数据生产单位是根据职能和业务分工,产生或采集某类数据的单位,是该类数据的唯一权威来源单位,主要职责为:
(一)负责按照相关数据标准规范,开展本单位业务范围内数据的采集、处理,并配合信息网络中心将本单位的全量业务数据汇聚到公共数据平台;原则上不再向数据使用单位直接提供数据,统一由公共数据平台提供数据共享服务。
(二)按照“谁生产数据,谁负责管理”的原则,负责本单位数据的产生、存储、共享、使用、销毁等全生命周期管理;负责保证本单位的数据质量、数据安全和数据更新维护工作,定期开展数据核查、纠错等工作。
(三)配合信息网络中心编制、更新本单位数据资源目录。按照国家数据分类分级保护制度,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。因数据资源目录要素内容发生调整时,应当及时将变化情况报信息网络中心,进行数据资源目录的更新。
(四)负责提供与共享相关的数据结构或数据接口,发生变更时应及时通知信息网络中心,对变更后所涉及的业务情况进行说明,并提供涉及变更的数据字典和数据接口。
第十二条 数据使用单位是指需要申请使用数据的单位,主要职责为:
(一)通过信息网络中心制定的申请流程来获取所需数据,须说明申请数据的用途、范围和获取方式等,在数据使用过程中不可擅自改变数据的用途。
(二)对获取数据的安全负责,按规定在授权范围内合理合规使用数据,确保数据使用的可追溯性,保证在出现纠纷时能够厘清责任。如发现数据泄露及时向信息网络中心反馈。
(三)如已获取数据的使用人发生变更,数据管理员需及时在公共数据平台进行对应的调整。
第三章 数据采集
第十三条 学校各单位是数据生产单位,应遵循学校数据标准和规范提供数据,规范本单位的数据采集、录入和审核流程。所有业务数据原则上实行伴随式采集到公共数据平台。
第十四条 数据采集遵循“一数一源、一源多用”的原则。确定数据唯一来源,避免多头采集。公共数据平台已有的数据,除法律、法规另有规定的情况,原则上不得重复采集。
第十五条 数据生产单位在数据采集完成后应按照统一标准,确定数据的分类分级,及时编制、审核数据资源目录。若有变更,由该单位数据管理员负责组织修订,确保其准确完整、合法合规,并向信息网络中心提交本单位数据资源目录。
第十六条 各单位应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。涉及个人信息的数据采集时,应遵守《中华人民共和国个人信息保护法》关于个人信息保护的规定,公开采集使用规则、采集目的、方式、范围和存储期限,并取得个人同意。
第十七条 数据采集应保证数据符合《信息技术数据质量评价指标》国家标准规定的准确性、完整性、规范性、一致性、时效性、可访问性等指标。
第四章 数据共享
第十八条 本办法所称数据共享,是指各单位业务数据的交换共享。数据共享须通过公共数据平台进行,原则上禁止业务系统之间直接进行数据交换。
第十九条 信息网络中心提供标准统一、流程规范、接口多样的数据共享服务。各单位原则上不得建设独立的公共数据平台,或通过其它途径进行数据共享。
第二十条 共享数据类型
(一)普遍共享类:具有基础性、基准性、标识性的信息化数据资源或数据生产单位已明确可共享的信息化数据资源。
(二)有条件共享类:内容敏感、按照保密管理或其它规定,只能按特定条件提供给数据使用单位的信息化数据资源。
(三)不予共享类:按照国家法律法规、学校规章制度或其他依据明确规定不允许共享的信息化数据资源,原则上不允许开放共享。
第二十一条 数据生产单位协助信息网络中心对本单位产生的数据进行梳理,确定其共享属性。对不适合共享的数据,应向信息网络中心说明理由,并提供不予共享的依据。信息网络中心对数据共享范围进行审核确认,确保数据共享符合规定。
第五章 数据使用
第二十二条 各单位有义务向数据使用单位提供可共享的数据资源,除法律、法规另有规定外,不得拒绝数据使用单位提出的数据共享需求。
第二十三条 各单位对普遍共享、有条件共享数据的使用需按照《华南农业大学数据使用申请流程》中规定的流程进行数据申请。
第二十四条 数据使用单位要按照“谁使用、谁负责”的原则加强对获取的数据使用的全过程管理,共享数据资源只能用于各单位履行职责和工作需要。
第二十五条 各单位对获取的共享数据有疑义或发现明显错误的,应及时反馈至信息网络中心及数据生产单位,并由数据生产单位校正。
第二十六条 数据使用单位未经授权,不得超出数据使用申请范围使用数据,不得将获取的共享数据资源挪作他用,并且保管好数据避免泄露。
第六章 数据安全
第二十七条 数据安全管理是对信息系统各类数据的敏感性、隐私性、安全性和可用性的保护。各单位应按照学校相关规定,明确数据安全管理责任人,建立数据分类分级安全保护、风险评估、日常监控等管理制度,健全数据共享的安全审查机制,定期组织开展安全测评和风险评估,保障数据的真实性、保密性、完整性、可用性。
第二十八条 各单位的信息系统及所配套的业务数据库要严格按照规定进行授权,按照对应的权限进行数据采集、录入、审核等工作,建立操作日志并至少保留6个月。
第二十九条 各单位应做好本单位数据的存储、维护和安全管理管控,保障数据的可用性、可靠性和完整性,建立业务系统数据备份、恢复机制,制订数据安全应急预案并定期组织应急演练。发生安全事件时,应立即启动应急预案,迅速采取应急措施降低损害程度,保存相关记录,并及时向信息网络中心报告。
第三十条 各单位应按照“分类管理、分级应用”的原则,采用数据分类分级管理、备份、加密等措施加强对数据的保护,免受泄露、窃取、篡改、毁损、非法使用等。
第三十一条 公共数据平台未存储的数据,其安全防护工作由数据生产单位自行负责。数据生产单位应严禁非授权人使用他人账号和密码录入、修改、复制或下载数据。当报废信息系统或服务器时,应彻底删除服务器硬盘中的数据库和其他数据文件。
第三十二条 在数据应用时应注意保护个人隐私,只用于授权范围以内的用途。任何单位和个人不得将获得的数据私自公开,不得直接或间接以改变数据形式等方式提供给第三方,也不得用于或变相用于非授权目的。
第三十三条 各单位应对涉及数据管理、使用的工作人员进行数据安全教育,加强人员安全意识和安全技术培训,切实提高数据安全意识和防护能力。
第三十四条 各单位应加强信息技术外包服务管理,在业务系统开发、升级维护等与业务数据有关的操作过程中,应与本单位外的参与单位、人员签署数据保密协议。
第七章 监督与保障
第三十五条 各单位违反本办法规定,有下列情形之一的,由信息网络中心根据实际情况责令限期改正;造成严重不良后果的,由学校按照相关规定予以追责问责:
(一)不按照规定将本单位数据资源目录和掌握的信息化数据资源提供给其他单位共享的。
(二)提供不真实、不准确、不全面的数据资源目录和信息化数据资源的,未按照规定时限发布、更新数据资源目录和信息化数据资源的。
(三)不按照规定随意采集信息化数据资源,扩大数据采集范围,造成重复采集数据,增加成本和负担的。
(四)对获取的共享数据资源管理失控,致使出现滥用、非授权使用、未经许可扩散以及泄漏的。
(五)不按照规定,擅自将获取的共享数据资源用于本单位履行职责需要以外的,或擅自转让给第三方,或利用共享数据资源开展经营性活动的。
(六)其他违反国家法律法规、上级政策文件和本办法规定的行为。
第三十六条 各单位在进行信息化项目规划时,应当将数据采集、共享、使用等的工作量及成本纳入需求方案。
第三十七条 信息网络中心应定期对各单位数据管理工作进行监督检查,发现存在问题,应及时提出整改意见并跟踪整改进度,确保整改措施落实到位。
第八章 附 则
第三十八条 本办法由华南农业大学信息网络中心负责解释。
第三十九条 本办法自公布之日起施行,原《华南农业大学数据管理办法》(华南农办〔2018〕130号)同时废止。
