xx省公共数据安全管理办法.docx

1、附件广东省公共数据平安管理方法 （二次征求意见稿） 第一章总那么 第一条（目的依据）为了规范公共数据处理活动，保障公共数据安 全，促进数据资源有序开发利用，保护个人、组织的合法权益，维护国家 主权、平安和开展利益，依据《中华人民共和国网络平安法》《中华人民 共和国数据平安法》《中华人民共和国个人信息保护法》《广东省公共数据 管理方法》等相关法律、法规、规章的规定，结合本省实际，制定本方法。 第二条（适用范围）本省行政区域内行政机关以及具有公共事务管 理和公共服务职能的组织（以下统称“公共管理和服务机构”）开展公共 数据处理活动及其平安监管，适用本方法。 涉及国家秘密、商业秘密、个人信

2、息的，按照相关法律、法规、规章 的规定执行。 第三条（基本原那么）公共数据平安管理应当坚持平安与开展并重， 遵循统筹规划、权责统一、综合防范的原那么，保障公共数据依法开放、共 享和开发利用。 第四条（组织领导）县级以上人民政府负责组织领导本行政区域内 公共数据平安管理工作，协调解决与公共数据平安管理有关的重大问题。 第五条（主管部门职责）工业、电信、交通、金融、自然资源、卫 生健康、教育、科技等主管部门承当本行业、本领域公共数据平安监管职 责。 网信、保密、国家平安、密码管理、通信管理、公安、审计等主管部 门按照本方法和有关法律、法规、规章的规定，在各自职责范围内承当公 共数据平安监管

3、职责。 各级公共数据主管部门按照本方法和有关法律、法规、规章的规定， 负责统筹协调本行政区域内公共数据平安管理工作。 第六条（公共管理和服务机构职责）公共管理和服务机构是本机构 公共数据平安管理的责任主体，负责以下工作： （一）明确公共数据平安管理的目标、制度、数据平安责任人和管理 机构； （二）按照相关法律、法规、规章的要求编制本机构的公共数据资源 目录，加强数据保护； （三）采取措施保障公共数据平安，加强平安管理； （四）法律、法规、规章规定的其他公共数据平安管理职责。 第七条（适老适残等无障碍公共服务）公共管理和服务机构提供智 能化公共服务，应当充分考虑老年人、残疾人等群体

4、的需求，防止以数据 平安为由对群众享受公共服务造成障碍。 第二章基础制度体系 第八条（登记备案制度）省公共数据主管部门应当建立承载公共数 据处理活动相关平台或者系统的登记备案制度，组织公共管理和服务机构 备案公共数据平安保护情况，内容包括数据平安负责人、管理机构、数据 信息、平台或者系统信息、数据平安保障情况、数据平安评估情况、数据 平安审计情况、等级保护情况、密码应用情况等。 因承载公共数据处理活动相关平台或者系统关闭，或者发生较大变更, 可能影响公共数据平安保护的，公共管理和服务机构应当自变化之日起15个工作日内申请登记备案撤销或者变更。 第九条（数据分类分级规那么）省公共数据主管

5、部门牵头制定公共数 据分类分级指南，明确分类分级的原那么和规那么等，特别是重要数据、核心 数据的识别及分级保护规那么。 地级以上市的公共数据主管部门应当根据国家和省公共数据分类分 级相关规定，增补本地公共数据的分类分级规那么。 行业主管部门应当根据国家、省、地级以上市公共数据分类分级有关 规定，增补本行业、本领域公共数据的分类分级规那么。 第十条（数据分级平安防护）公共管理和服务机构应当按照分类分 级规那么，建立健全本机构公共数据分类分级管理制度，采取数据平安防护 措施，对重要数据进行重点保护，对核心数据在重要数据保护基础上实施 更严格的管理和保护。不同级别数据同时被处理且难以分别采取保

6、护措施 的，应当按照其中级别最高的要求实施保护。 第十一条（等级保护制度和商用密码应用）公共管理和服务机构应 当按照国家网络平安等级保护制度、商用密码应用要求，采取数据脱敏、 加密保护、平安认证等平安保护措施，保障公共数据平安。 第十二条（纠错机制）数源部门对所采集公共数据的真实性、准确 性、完整性负责。用数单位发现公共数据不真实、不准确、不完整或者不 同部门提供的数据不一致的，应当及时通过省政务大数据中心或者直接反 馈至数源部门。数源部门应当在约定的期限内予以核实，并及时更正、补 充。 第十三条（删除机制）有以下情形之一的，用数单位应当主动删除 公共数据；用数单位未删除的，数源部门有权

7、要求限期删除： （一）公共数据处理目的已实现、无法实现或者为实现公共数据处理目的不再必要； （二）用数单位停止履行职能或者提供服务； （三）公共数据保存期限已届满； （四）用数单位违反法律、法规、规章或者违反约定处理公共数据; （五）法律、法规、规章规定的其他情形。 法律、法规、规章另有规定的，或者删除公共数据从技术上难以实现 的，用数单位应当停止除存储和采取必要的平安保护措施之外的处理。 第三章全生命周期数据平安管理 第十四条（数据收集平安）数源部门开展公共数据收集活动时，应 当明确提供的目的、范围、用途、渠道等，保证公共数据收集合法、正当， 应当采取必要的平安管控措施，确保

8、环境、设施、人员等平安可控。 第十五条（数据存储平安）开展公共数据存储活动时，应当根据需 要采取脱敏、加密、校验等措施，保障公共数据的存储平安。针对重要数 据和核心数据，应当建立数据容灾备份及恢复机制。 应当依据法律、法规、规章的规定或者约定的方式和期限存储数据。 超过存储期限的数据，应当利用不可恢复手段及时清除。 第十六条（数据使用加工平安）开展公共数据使用加工活动时，应 当在其履行法定职责的范围内依照法律、法规、规章规定的条件和程序使 用加工数据，应当采取管控措施确保数据使用加工合规，过程平安可控、 可溯源。使用加工重要数据和核心数据的，还应当加强访问控制，建立登 记、审批机制并留存

9、记录。 利用数据挖掘、关联分析等技术手段开展加工处理活动时，应当采取 平安技术措施防止敏感个人信息、商业秘密等信息的泄露。利用数据进行 自动化决策的，应当保证决策的透明度和结果公平合理。 在使用加工过程中，不得超出合理范围使用，不得滥用公共数据侵犯 公共利益或者他人合法权益。 第十七条（数据传输平安）开展公共数据传输活动时，应当根据传 输的数据类型、级别和应用场景，制定平安策略并采取保护措施。公共管 理和服务机构原那么上应当通过省政务大数据中心传输公共数据，数据传输 应当采取校验技术、密码技术、平安传输通道等措施，保障公共数据传输 过程可信、可控。因特殊情况不通过省政务大数据中心传输公共

10、数据的， 应当采取必要平安技术措施保障数据传输平安。 第十八条（数据提供平安）数源部门向省政务大数据中心提供公共 数据，省政务大数据中心向用数单位提供公共数据，或者数源部门向用数 单位直接提供公共数据时，应当明确公共数据提供的范围、数量、条件、 程序等。 用数单位应当明确告知数源部门提供数据的范围、使用方式、时限、 用途以及相应的平安保护措施、违约责任等。数源部门有权对用数单位的 数据平安保护能力进行核实，必要时与用数单位签订单独的数据平安协议。 第十九条（数据公开平安）公共数据公开前应当开展数据平安风险 评估，明确公开数据的内容与种类、公开方式、公开范围、平安保障措施、 可能的风险与影

11、响范围等。涉及敏感个人信息、商业秘密信息的，以及可 能对公共利益或者国家平安产生重大影响的，不得公开，法律、法规、规 章另有规定的除外。 开展公共数据公开活动时，应当按照相应规定实施数据公开管控措施, 保障公共数据的公开范围、公开渠道、公开流程、公开内容和公开时效等 合法、正确、有效。 第四章数据平安支撑保障 第二十条（集中统一风险评估、报告、信息共享、监测预警机制）公 共数据主管部门根据国家统一部署和法律、法规、规章的相关规定，建立 数据平安风险评估、报告、信息共享、监测预警机制，加强数据平安风险 信息的获取、分析、研判、预警工作。 第二十一条（风险监测及评估）公共管理和服务机构应当

12、加强风险 监测，依法定期开展数据平安评估，及时整改数据平安评估发现的问题, 排查平安隐患，采取必要的措施防范数据平安风险。数据平安评估可与关 键信息基础设施平安检测评估、网络平安等级保护测评、商用密码应用安 全性评估相衔接，防止重复评估、测评。 第二十二条（应急处置）各行业、各领域主管部门应当制定公共数 据平安事件应急预案，组织协调重要数据和核心数据平安事件应急处置工 作。公共管理和服务机构应当制定本单位公共数据平安事件应急预案。发 生公共数据平安事件时，公共管理和服务机构应当按照应急预案及时开展 应急处置；事件处置完成后，应当在规定期限内形成总结报告，报送各行 业、各领域主管部门；涉及重要

13、数据和核心数据的数据平安事件，还应当 及时向公共数据主管部门和其他有关主管部门报告应急处置进展情况。 公共管理和服务机构应当根据应急预案定期开展应急演练，保存演练 记录，针对演练中发现的问题，应当立即进行整改。 第二十三条（平安审计）公共管理和服务机构在公共数据处理过程 中，应当记录全生命周期数据处理、权限管理、配置管理等日志，并对异 常操作行为进行监控和告警，保障重要操作行为可溯源。日志留存时间不 少于六个月，并定期进行平安审计，形成审计报告。公共管理和服务机构 应当配合有关主管部门组织的数据平安审计活动。 第二十四条（委托平安）公共管理和服务机构委托他人建设、维护 信息系统或者存储、

14、加工数据，应当对受托方的数据平安保护能力、资质 进行核实，确保符合国家、行业主管部门的相关要求，相关平安责任不随 委托关系转移。委托方应当建立数据外包或者委托服务平安管理机制，与 受托方签订平安保密协议，监督并定期检查受托方依照法律、法规、规章 的规定和合同约定履行数据平安保护义务的情况。受托方应当依照法律、 法规、规章的规定和合同约定履行数据平安保护义务，不得擅自留存、使 用、泄露、销毁或者向他人提供公共数据。 第二十五条（人员管理）公共管理和服务机构应当加强人员管理， 明确在人员录用、人员培训、人员考核、保密协议、离岗离职、外部人员 管理等方面的管理规定并严格落实。委托开展公共数据处理活

15、动的，委托 方应当对受托方加强监督管理，受托方应当与相关人员签订保密协议，做 好人员背景调查，严格实施权限管理，定期进行人员活动审查。 第五章监督与法律责任 第二十六条（通报与监督检查）各级公共数据主管部门应当建立健 全数据平安监测预警和信息通报制度，会同同级网信、密码、公安、通信 管理等相关监管部门开展公共数据平安检查，并按照规定向同级网信、公 安、保密等监管部门报送数据平安监测预警、数据平安事件、数据平安漏 洞等信息。 第二十七条（公共数据主管部门责任）公共数据主管部门不履行或 者不正确履行本方法规定职责的，由本级人民政府或者上级主管部门责令 改正；拒不改正或者情节严重的，由有权机关

16、对直接负责的主管人员和其 他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。 第二十八条（其他主管部门监管责任）网信、保密、国家平安、密 码管理、通信管理、公安、审计、工业、电信、交通、金融、自然资源、 卫生健康、教育、科技等主管部门未按照规定履行数据平安监督管理职责 的，由本级人民政府或者上级主管部门责令改正；拒不改正或者情节严重 的，由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分; 构成犯罪的，依法追究刑事责任。 第二十九条（公共管理和服务机构责任）公共管理和服务机构违反 本方法规定，有以下行为之一的，由本级人民政府或者上级主管部门责令 改正；拒不改正或者情节严重

17、的，由有权机关对直接负责的主管人员和其 他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任： （一）未制定公共数据平安管理的目标、制度，未落实数据平安责任 人和管理机构的； （二）未按照规定编制、更新、报送公共数据资源目录的，向本级公 共数据主管部门提供的数据和本机构所掌握的数据不一致或者不符合有 关规范、无法使用的； （三）未采取有效措施保障公共数据平安，存在平安隐患或者发生公 共数据泄露、篡改、未授权访问等平安事件的。 （四）其他违反法律、法规、规章规定的行为。 第三十条（投诉举报）自然人、法人和非法人组织有权对违反本办 法规定的行为向有关主管部门投诉、举报。 收到投诉、

18、举报的部门应当及时依法处理，应当对投诉、举报人的个 人信息予以保密，保护投诉、举报人的合法权益。 第六章附那么 第三十一条（概念界定）本方法以下用语的含义： （一）公共数据，是指各级公共管理和服务机构，在依法履行职责、 提供公共服务过程中制作或者获取的，以电子或者非电子形式对信息的记 录。 （二）公共数据处理，包括公共数据的收集、存储、使用、加工、传 输、提供、公开等。 （三）公共数据平安，是指通过采取必要措施，确保公共数据处于有 效保护和合法利用的状态，以及具备保障持续平安状态的能力。 （四）数源部门，是指根据法律、法规、规章确定的某一类公共数据 的法定采集部门。 （五）省政务大数据中心，是指在“数字政府”改革模式下，集约建 设的省市一体化政务大数据中心，分为省级节点和地级以上市分节点，是 承载数据汇聚、共享、分析等功能的载体。 第三十二条（实施时间）本方法自2022年 月 日起实施，试行3 年。