数据政策 | 绵阳市公共数据安全管理办法（征求意见稿）

      11月12日，为维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，加强绵阳市公共数据安全管理工作，建立健全公共数据安全保障体系，促进绵阳市公共数据有序开放和合法利用，提升政府治理能力和公共服务水平，绵阳市数据局起草了《绵阳市公共数据安全管理办法（征求意见稿）》（以下简称“办法”），现向社会公开征求意见。

　　· 政策概览 ·

　　《办法》指出公共数据安全按照“谁管理谁负责、谁收集谁负责、谁使用谁负责”的原则，分别承担各自安全责任，坚持安全与发展并重，加强公共数据全生命周期合法处理和分级分类管理，对不同级别的数据实施恰当的安全保护措施，形成多层次的纵深防御、主动防护、综合防范的体系，保障公共数据在依法合规的前提下进行开发利用和价值挖掘，确保数据来源可溯、去向可查，行为留痕、责任可究。

　　数据分级根据数据在经济社会发展中的重要程度，以及一旦泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度进行，从高到低分为核心数据、重要数据和一般数据三个级别。具体按照“分类分级规则”中公共数据分级规则执行。

　　政策原文

　　绵阳市公共数据安全管理办法

　　（征求意见稿）

　　第一章总则

　　第一条 为了规范公共数据安全管理，保障公共数据安全，促进数据资源有序开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《四川省数据条例》等有关法律法规规定，结合本市实际，制定本办法。

　　第二条 本办法适用于本市各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位（以下统称“公共管理和服务机构”）开展非涉密公共数据的采集、访问、传输、存储、加工、共享、开放和销毁（统称“全生命周期”）等活动，以及公共数据安全保障和监督管理。国家和省法律法规规章另有规定的，从其规定。

　　涉及国家秘密的公共数据及相关处理活动，按照有关法律、法规的规定执行。

　　第三条 本办法下列用语的含义：

　　（一）公共数据，是指本市公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中收集、产生的数据。

　　（二）公共数据处理，包括基于可信的数据安全环境，对公共数据进行采集、访问、传输、存储、加工、共享、开放和销毁等以实现公共数据价值挖掘的相关活动（统称“全生命周期处理”）。

　　（三）公共数据安全管理，是指公共数据的管理者、收集者、使用者为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险，通过采取监测、防御、处置和监管等措施，保障公共数据全生命周期处于安全可控状态的活动。

　　（四）敏感数据，是指泄露后可能会对国家机关、公民、法人和其他组织造成不良影响的数据和信息。

　　第四条 公共数据安全按照“谁管理谁负责、谁收集谁负责、谁使用谁负责”的原则，分别承担各自安全责任，坚持安全与发展并重，加强公共数据全生命周期合法处理和分级分类管理，对不同级别的数据实施恰当的安全保护措施，形成多层次的纵深防御、主动防护、综合防范的体系，保障公共数据在依法合规的前提下进行开发利用和价值挖掘，确保数据来源可溯、去向可查，行为留痕、责任可究。

　　第二章  职责与分工

　　第五条 公共数据处理者是数据安全责任主体，同时有多个数据处理者的，分别承担各自安全责任。

　　（一）市数据局负责统筹全市公共数据安全管理保障工作，协同市委国安办、网信等部门研究解决与公共数据安全管理有关的重大事项。

　　（二）县（市、区）、园区公共数据主管部门负责辖区内公共数据安全管理工作，监督指导辖区内各公共管理和服务机构开展公共数据安全管理工作，承办省、市公共数据主管部门交办的各项公共数据安全管理工作。采取技术措施和其他必要措施，保障县（市、区）、园区公共数据资源安全，有效应对公共数据安全事件。

　　（三）公共管理和服务机构应当贯彻执行国家、省、市公共数据安全法律法规和政策要求，依照本办法建立健全本单位公共数据安全管理制度和工作规范，落实公共数据安全责任制。

　　（四）各级网信、公安、保密、密码管理等部门按照各自职责做好公共数据安全的监督管理工作。

　　第三章  数据分类分级管理

　　第六条 各级公共管理和服务机构负责组织开展本部门数据分类分级保护工作，依据“科学实用、边界清晰、就高从严、点面结合、动态更新”原则，按照国家标准《数据安全技术 数据分类分级规则》（GB/T 43697）（以下简称“分类分级规则”）执行。

　　第七条 数据分类按照先行业领域，再业务属性的思路进行。数据分类可根据数据管理和使用需求，结合已有的数据分类基础，灵活选择业务属性将数据细化分类。具体按照“分类分级规则”中公共数据分类规则执行。

　　第八条 数据分级根据数据在经济社会发展中的重要程度，以及一旦泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度进行，从高到低分为核心数据、重要数据和一般数据三个级别。具体按照“分类分级规则”中公共数据分级规则执行。

　　第九条 各级公共管理和服务机构应当全面梳理本部门（单位）数据资产，结合所在行业数据标准规范开展数据分类分级工作，并动态更新。

　　第四章  数据处理和安全

　　第十条 公共管理和服务机构应当结合数据处理及全生命周期制定完善的公共数据安全管控策略，严格做好数据采集、访问、传输、存储、加工、共享、开放、销毁等各个阶段安全保障工作。

　　第十一条 在开展公共数据采集活动时，应当明确采集方法、途径、范围、数量和频度。不得采集与其履行职责无关的数据，不得违反法律、行政法规的规定采集数据，可以通过共享方式获得的数据不得重复采集。

　　第十二条 在开展公共数据访问活动时，应当采取精细化的访问控制，如使用强化的身份验证机制、严格的授权流程和动态权限管理系统等。

　　第十三条 在开展公共数据传输活动时，应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。数据传输应当采取校验技术、密码技术、安全传输通道等措施，保障数据传输过程可信、可控。

　　第十四条 在开展公共数据存储活动时，应当根据需要，采取脱敏、加密、校验等措施，保障公共数据的存储安全。针对重要数据和核心数据，应当建立数据容灾备份及恢复机制。

　　应当依法或按照约定的方式和期限存储数据。超过存储期限的数据，应当利用不可恢复手段及时清除。

　　第十五条 在开展公共数据加工活动时，应当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序加工数据，应当采取管控措施确保数据加工合规，过程安全可控、可溯源。加工重要数据和核心数据的，还应当加强访问控制，建立登记、审批机制并留存记录。使用数据挖掘、关联分析等技术手段开展公共数据加工活动时，应当采取安全技术措施防止个人信息、商业秘密等敏感数据的泄露。

　　第十六条 在开展公共数据共享活动中，应当遵循“以共享为原则、不共享为例外”，实现在本市跨层级、跨地域、跨系统、跨部门、跨业务统筹共享和使用。应当遵守保守秘密、政府信息公开等法律、法规的规定，并按照数据安全、隐私保护和使用需求等确定本单位公共数据的共享范围。

　　第十七条 在开展公共数据开放活动中，提供重要数据和核心数据的，应当对数据使用方数据安全保护能力进行自查核实，采取必要的安全保护措施。

　　重要数据和一般数据由数据主管部门及数据提供部门审批和授权后，在安全合规的数据开放域系统内经过数据脱敏后进行开放。核心数据原则上不对社会开放，且需严格控制数据共享和知悉范围。

　　第十八条 在开展公共数据销毁活动中，需要严格遵守相关的法律法规和标准规范，避免出现数据泄露或其他安全问题。需要对销毁工作进行定期的自查改进，确保销毁工作的有效性和及时性。重要数据和核心数据依法依规销毁后，不得以任何理由、任何方式恢复。

　　第十九条 在公共数据全生命周期处理活动中，应当做出数据安全使用承诺，在承诺范围内实施开发应用活动，不得超出合理范围使用，不得滥用公共数据侵犯公共利益或者他人合法权益。应当备案公共数据安全保护情况，内容包括数据安全负责人、管理机构、数据信息、平台或者系统信息、数据安全保障情况、数据安全自查情况、数据安全审计情况、等级保护情况、密码应用情况等因承载公共数据处理活动相关平台或者系统关闭，或者发生较大变更，可能影响公共数据安全保护的，公共管理和服务机构应当自变化之日起二十个工作日内申请登记备案撤销或者变更。

　　第五章  数据安全责任

　　第二十条 公共管理和服务机构应当强化制度建设,建立健全数据安全管理制度，落实数据安全管理责任制，加强网络安全和数据安全管理统筹规划，对数据全生命周期活动进行合规管理，定期对本部门的数据安全工作进行自查整改。

　　第二十一条 公共管理和服务机构应当强化人员培训，组织开展数据安全教育和培训，定期开展公共数据安全意识教育，开展公共数据设备、系统安全操作等培训，对系统建设、运维人员和公共数据安全管理人员进行专项技能培训。

　　第二十二条 公共管理和服务机构应当对物理环境安全、门户网站安全、运营业务系统安全、终端计算机安全加强管理。

　　在选择外部公共信息基础设施时，要按照法律法规规定，选择符合安全保护等级要求的公共基础设施。在选择存储载体时，要选择安全性能、防护级别与数据安全等级相匹配的存储载体，并且依法依规进行管理和维护，不得在非涉密计算机及相关设备上进行涉密信息采集、传输等处理活动。

　　第二十三条 公共管理和服务机构委托第三方服务机构开展公共数据加工的，应当对受托的第三方服务机构数据安全保护能力和资质进行核实，对其数据安全管理能力成熟度开展自查，确保符合国家、行业主管部门的相关要求。

　　第二十四条 公共管理和服务机构应当制定数据安全事件应急处置预案，发生数据泄露、毁损、丢失等数据安全事件或重大风险时，应当立即启动数据安全事件应急处置预案，并向市公共数据主管部门报告。

　　第二十五条 公共管理和服务机构应当遵守相关规定，建立敏感数据授权使用机制，并通过必要的技术防控措施，加强对信息主体和第三方合法权益的保护，防范国家秘密、商业秘密和个人隐私等敏感数据被泄露、非法获取或者不当利用。

　　第二十六条 公共管理和服务机构应当建立实时畅通的群众投诉举报渠道，鼓励支持自然人、法人和非法人组织对违反数据安全相关法律规定的行为进行投诉举报。

　　第六章  数据安全监督

　　第二十七条 公共数据主管部门建立健全安全监督管理机制，完善公共数据日常监测、安全审查等机制，组织开展全市公共数据安全监督管理，确保公共数据管理、需求审核、开发利用、技术支撑等全流程安全可控，并可督促整改落实。

　　第二十八条 公共管理和服务机构应当建立数据全生命周期处理各环节透明化、可审计、可追溯管理和风险研判机制，记录数据全生命周期处理、权限管理、配置管理等信息，并对异常操作行为进行监控和告警，保障重要操作行为可溯源，信息留存时间不少于六个月。

　　公共管理和服务机构应当配合公共数据主管部门组织的数据安全监督检查活动，并配合有关部门审计。

　　第七章  法律职责

　　第二十九条 违反本办法规定，各单位及其工作人员不依法履行职责，或者滥用职权、玩忽职守、徇私舞弊的，对负有责任的领导人员和直接责任人员依法予以处分。

　　第三十条 对于违反有关规定，危害公共数据安全，或者利用公共数据实施违法行为的，依照《中华人民共和国数据安全法》及有关法律法规予以处理，根据情节严重程度给予相应行政处罚，构成犯罪的，依法追究刑事责任。

　　第八章  附则

　　第三十一条 国家或本省对公共数据安全管理有新规定的，从其规定。

　　第三十二条 本办法由市数据局承担具体解释工作。

　　第三十三条 本办法自印发之日起施行。

↓↓了解更多资讯，请识别下方二维码↓↓

国脉集团

国脉集团是数据资产化专业服务机构，为数据资源拥有者提供专业、规范、合规的全流程数据资产化服务，包括培训、咨询和产品设计等，实现数据资源价值最大化。主要服务于政府数据管理机构、央国企数据运营企业、城市数据运营平台和数据富集型平台企业，打造数据资产网、数据资产研究院和产业专家网络等支撑体系，同时在营商环境与政务领域继续保持领先优势。

主要课程

主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。

主要服务

数据资产化服务：数据资产化战略布局、数据资产入表、数据产品开发及交易等关键任务；

数据要素×项目服务：政策扶持、案例奖项申报、金融支撑和市场变现；

数据产业园区和试验区咨询服务：园区规划、咨询、资源导入