湖州市人民政府关于印发湖州市公共数据安全管理暂行办法的通知

湖政发〔2020〕17号

税谱^®提示：根据《 湖州市人民政府关于公布行政规范性文件评估清理结果的通知》 （ 湖政发〔2022〕21号）规定，继续有效

各区县人民政府，市府各部门，市直各单位：

《湖州市公共数据安全管理暂行办法》已经市政府同意，现印发给你们，请认真贯彻执行。


湖州市人民政府

2020年12月21日


第一章  总则

第一条  为维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，加强湖州市公共数据安全管理，建立健全公共数据安全保障体系，防止发生公共数据安全事件，促进湖州市公共数据整合应用，提升政府治理能力和公共服务水平，依据《中华人民共和国网络安全法》《浙江省公共数据和电子政务管理办法》《浙江省政务数据安全管理办法》《浙江省公共数据开放与安全管理暂行办法》等法律法规和有关规定，结合本市实际情况，制定本办法。

第二条  本市行政区域内非涉密公共数据的规划、建设、运维、应用、安全保障和监督考核等活动，适用本办法。国家和省法律法规规章另有规定的，从其规定。

本市各级行政机关以及履行公共管理和服务职能的事业单位（以下统称公共数据安全责任单位）开展公共数据采集、传输、存储、共享、开放和销毁等活动，以及公共数据安全保障和监督管理，适用本办法。

涉及国家秘密的公共数据安全管理工作，按照相关保密法律法规执行。

第三条  本办法所称公共数据，是指本市各级行政机关以及履行公共管理和服务职能的事业单位，在依法履职过程中获得的各类数据资源。

本办法所称个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

本办法所称公共数据安全管理，是指为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险，通过采取监测、防御、处置和监管等措施，保障公共数据全生命周期处于安全可控状态的活动。

第四条  公共数据安全采取"积极防御、综合防范"的方针，坚持保障公共数据安全与促进应用发展相协调、管理与技术统筹兼顾的原则，实行统一协调、分级管理、分工负责。公共数据安全和信息化工作应当同步规划、同步建设、同步运行、同步发展。

第五条  市级公共数据主管部门负责统筹推进全市公共数据安全保障体系建设，完善数据安全管理制度和技术支撑体系，会同市级相关部门制定公共数据安全管理制度和标准规范，指导各单位开展公共数据安全工作，组织公共数据安全监督检查。

市、区县网信、公安、保密、密码管理等部门按照各自职责做好公共数据安全的监督管理工作。

区县公共数据主管部门负责辖区内公共数据安全管理工作，监督指导辖区内各公共数据安全责任单位开展公共数据安全管理工作，承办省、市公共数据主管部门交办的各项公共数据安全管理工作。采取技术措施和其他必要措施，保障区县级公共数据安全，有效应对公共数据安全事件。

各公共数据安全责任单位应当贯彻执行国家、省、市公共数据安全法律法规和政策要求，依照本办法建立健全本单位公共数据安全管理制度和工作规范，落实公共数据安全责任制。

第六条  本市鼓励企业、科研机构参与制订数据安全保护相关的行业标准,建立行业自律体系。

本市鼓励高等院校、科研院所和重点企业积极开展在公共数据安全领域的合作交流，重点突破公共数据资源共享、开放和应用安全的技术瓶颈，特别是区块链、人工智能等技术攻关，促进本市数据安全技术创新和认知水平的整体提升。

鼓励企业、行业协会和其他组织在遵循本管理办法要求的基础上提供各类数据服务及应用，特别是基于大数据、云计算、物联网等示范应用，大力推进生态工业、生态农业和生态旅游业的发展。

第二章  数据安全管理基本要求

第七条  各公共数据安全责任单位应当建立本单位公共数据安全管理领导小组，并由单位主要负责人担任领导小组组长，相关科室主要负责人和信息化管理部门负责人担任组员，落实数据安全管理岗位职责，并保障安全经费。

第八条  各公共数据安全责任单位要按照关键信息基础设施保护、网络安全等级保护等要求，根据数据对政治、经济和公共利益的影响、重要程度以及发生事件的危害程度进行分级分类，从技术和管理等各个层面制定实施数据安全管理制度、规程、安全策略，提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。

第九条  各公共数据安全责任单位应当建立应用信息系统和公共数据资产管理制度，实行资产登记，编制资产清单，明确资产管理责任部门与人员，定期对资产进行一致性检查并保留检查记录。

各公共数据安全责任单位要结合数据生命周期制定完善数据安全管控策略，采取身份认证、授权访问、入侵防范、数据脱敏、加密、隐私计算、安全审计等技术对数据进行有效管控，防止未经授权查询、复制、修改、存储或传输数据。

第十条  各公共数据安全责任单位在选择外部公共信息基础设施时，要按照法律法规规定，选择符合安全保护等级要求的公共基础设施。选择存储载体时，要选择安全性能、防护级别与数据安全等级相匹配的存储载体，并且依法依规进行管理和维护。不得在非涉密计算机及相关设备上存储、 传输、 处理涉密信息。

第十一条  各公共数据安全责任单位应当履行下列职责：

（一）建立公共数据安全应急管理制度，指定应急工作管理机构，负责应急管理工作；

（二）制定公共数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，补充修订应急预案；

（三）根据实际需求与当地线路运营商、电力、公安等部门建立应急协调机制，及时处理由网络中断、电力供应和非法攻击行为等引发的数据安全事件。

第十二条  各公共数据安全责任单位在发生公共数据安全事件时，应当立即启动应急响应，采取补救措施并保存相关记录，按规定向本级公共数据主管部门、网信部门、公安部门报告。区、县级以上公共数据安全主管单位应当联合网信、公安等部门指导事发单位做好应急处置工作，并报上级主管部门。

第十三条  各公共数据安全责任单位应当建立公共数据安全培训制度，并定期开展公共数据安全专项培训。培训计划和培训内容应具有针对性，应实现分阶段的对不同岗位的工作人员进行必要的数据安全意识、数据安全管理和数据安全技能等方面的培训。

第十四条  各公共数据安全责任单位应按照国家法律法规、省、市公共数据主管部门的要求，定期自行或委托具备专业安全服务资质的第三方单位开展公共数据的安全风险评估、测试和整改活动，定期开展重要公共数据资产如单位前置机、数据库等安全测试、风险评估和应急演练工作，夯实风险控制的基线。

第十五条  各公共数据安全责任单位应当对单位内承载公共数据的关键信息基础设施严格按照国家网络安全等级保护制度要求开展工作。

第十六条  公共数据安全责任单位在委托第三方机构开展数据服务时， 应严格按照《浙江省信息技术服务外包网络安全管理办法》执行。委托单位与受托单位共同承担公共数据安全管理责任。安全管理责任不随服务外包而外包，且应与服务第三方签订标准合同协议，明确服务第三方的责任和义务。

各公共数据安全责任单位采购涉及公共数据的产品和服务的，应当在与服务商签订的采购合同中明确服务商的公共数据安全保障义务，服务商在提供服务过程中获取的公共数据，不得用于与提供服务无关的用途。

第三章  数据生命周期安全管理要求

第十七条  各公共数据安全责任单位应当结合数据生命周期制定完善的数据安全管控策略，严格做好数据采集、数据传输、数据存储、数据处理使用、数据共享交换、数据销毁等各个阶段安全保障工作。

第十八条  市级公共数据主管部门应当牵头制定公共数据分级相关规范。各公共数据安全责任单位应当根据相关规范与业务属性要求，考虑数据遭破坏、非法使用或泄露后可能造成的危害程度，对公共数据进行分级管理。

第十九条 各公共数据安全责任单位在数据采集过程中，应当明确采集方法、途径、范围、数量和频度。不得采集与其履行职责无关的个人信息，不得违反法律、行政法规的规定采集个人信息。开展新的数据采集过程前需对采集的数据源、频度、渠道方式和类型自行开展数据安全风险评估，确保数据在采集过程中不会泄露。并对数据采集、授权过程实现完整的日志记录，确保每个采集步骤能够追溯。

第二十条  在数据采集、共享交换、开放等数据传输环节中，各公共数据安全责任单位应当确保数据传输过程中的防泄漏机制的可靠性与完善性、采用先进的加密技术对传输过程中的数据进行加密，确保数据传输过程的可信、可控。

各公共数据安全责任单位应当对关键的网络传输链路、网络设备节点实行冗余建设，保证数据传输可靠性和网络传输服务可用性。各公共数据安全责任单位数据安全管理人员应对数据传输安全策略的变更进行审核和监控，包括对通道安全配置、密码算法配置、密钥管理等保护措施的审核及监控。

第二十一条  各公共数据安全责任单位在选择公共数据存储设施时应当按照法律法规的要求，选择符合等级保护及《关键信息基础设施安全保护条例》要求的公共数据存储设施，并进行相应等级的合规建设，不得在非涉密存储设施上存储涉密信息。

各公共数据安全责任单位应当制定公共数据存储备份和恢复策略，落实相应等级的灾备措施，定期进行灾难恢复演练。

第二十二条  公共数据共享应当遵循"共享为原则、不共享为例外"的原则，通过共享平台实现在本市跨层级、跨地域、跨系统、跨部门、跨业务统筹共享和无偿使用。各政务部门应当维护数据的完整性、可用性，不得制造数据共享交换壁垒。

各公共数据安全责任单位要组织力量对本单位、本行业公共数据资源目录进行全量梳理，并按照《湖州市公共数据管理办法》将公共数据按照共享属性分为无条件共享类、 受限共享类和非共享类上架到湖州市城市数字大脑公共数据服务管理平台。原则上不允许数据供需双方直接进行公共数据的交换和共享，原直接共享数据的业务系统，应逐步向该平台迁移，达到所有公共数据通过一个平台实现在本市跨层级、跨地域、跨系统、跨部门、跨业务的统筹共享。

第二十三条  数据使用单位在对获取到的共享数据开发和测试过程中应当遵循最小范围原则，明确数据开发和测试场景对数据使用和数据范围的需求。需要对公共数据进行运营和应用开发的单位，需要基于不同使用场景进行数据的脱敏工作，明确数据脱敏的范围与方式，再选择合适的数据脱敏机制进行数据脱敏。

在数据的使用和处理过程当中，因数据碰撞、综合关联分析等原因可能产生涉密数据的，各级公共数据管理部门需要进行充分评估后批复使用，数据使用单位也可提前自行检查或委托符合安全服务资质条件的机构协助评估。

第二十四条  在公共数据的共享交换过程中，数据提供方和数据使用方应当签订数据安全保护协议，明确数据内容、用途、事项和期限，双方权利和义务等，严禁数据非授权、非必要利用。

第二十五条  各级公共数据主管部门应当对数据共享和交换的所有操作和行为进行日志记录和监管，并对高危行为进行风险识别。在安全事件发生后，能通过安全日志快速进行回溯分析。同时利用数据水印技术确保数据完整性，并实现数据流向跟踪和溯源。

第二十六条  各级公共数据主管部门应当根据《浙江省公共数据开放与安全管理暂行办法》要求，编制公共数据开放目录，并采用直报、数据接口等形式，通过湖州市公共数据开放平台统一向公民、法人和其他组织开放政务数据，提供无偿服务。

各公共数据安全责任单位开放本部门公共数据，应当遵守保守秘密、政府信息公开等法律、法规的规定，并按照数据安全、隐私保护和使用需求等确定本单位公共数据的开放范围。

第二十七条  各公共数据安全责任单位应当按照国家法律法规的要求做好数据归档工作，制定数据清理策略和过期数据清理机制，对于需要依法销毁的数据，相关单位应当采取必要措施予以销毁并对销毁过程进行记录和备案。

第二十八条  各级公共数据主管部门应当按照相关法律法规规定，制定并落实安全管理制度，采取加密、脱敏、备份、审计等措施，遵循合法、正当、必要的原则，加强对个人信息收集、存储、使用和开放的保护。

第四章  安全监督与检查

第二十九条  各级公共数据主管部门应当建立健全公共数据安全工作监督检查机制，明确监督检查牵头部门、责任分工、内容、重点、目标、方式和标准，对各公共数据安全责任单位的公共数据安全管理工作进行日常监督。

监督检查结果应当与网信、公安部门之间互通和共享，发现存在问题的，应当及时开展督查整改。各公共数据安全责任单位应当根据有关部门要求进行整改，并反馈整改情况。

第三十条  有下列情形之一的，各级公共数据主管部门应当会同网信、公安等部门启动调查：

（一）发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击、遭到破坏；

（二）发生重大公共数据安全事件；

（三）公民、企业信息或重要公共数据泄露，造成重大影响或经济损失；

（四）国家、省、市公共数据主管部门通报的事件；

（五）其他需要调查的。

第三十一条  发生公共数据安全事件时，公共数据安全责任单位要按照应急预案启动应急响应，采取相应措施防止危害扩大，保存相关记录，告知可能受到影响的用户，按照规定向具有管辖权的网信、公安和公共数据主管部门等部门报告。

第三十二条  各级公共数据主管部门可以委托第三方专业机构，围绕公共数据防护能力、安全责任落实情况、电子政务云服务安全等方面，对本市公共数据安全工作定期开展风险评估和安全检查。

第五章  安全考核与责任追究

第三十三条  违反本办法规定的行为，有关法律、法规已有法律责任规定的，从其规定。

第三十四条  市级公共数据主管部门应当组织制定年度公共数据管理考核方案，将公共数据安全管理工作纳入年度目标绩效考核，并作为下一年度公共数据和电子政务项目审批的重要参考依据。

第三十五条  对于违反本办法规定的单位和个人，由本级人民政府或者上级主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议；造成重大损失或者社会影响的，责令暂停相关业务；构成犯罪的，移送司法部门依法追究刑事责任。

第三十六条  外包服务造成重大影响或经济损失等数据安全管理事故的，被委托单位五年内不得承接本市公共数据建设和服务项目；不符合国家及本办法有关规定、本市公共数据安全管理规范和技术标准的，系统或者服务不得通过验收和上线；构成犯罪的，移送司法部门依法追究刑事责任。

服务委托单位承担外包服务监管责任。

第六章  附则

第三十七条  湖州市水务、电力、燃气、通信、公共交通等公用事业运营单位在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的管理，适用本办法。

本办法自2021年1月1日起施行。

根据《湖州市人民政府办公室关于在办文办会程序中加强政务公开工作的通知（湖政办发明电〔2017〕46号）》有关要求，就文件公开和政策解读有关情况作如下说明：

一、关于文件公开属性

建议该文件由市政府办发文并主动公开。该文件面向本市各级行政机关以及履行公共管理和服务职能的事业单位，作为开展公共数据采集、传输、存储、共享、开放和销毁等活动，以及公共数据安全保障和监督管理，并无保密需求，有公开发布的必要；同时，该文件在文件起草、征求意见等环节也均已公开征求各方意见。因此，建议该文件公开发布。

二、关于《湖州市公共数据安全管理暂行办法》的政策解读

（一）制定背景

1、贯彻落实国家、省局网络安全法律法规的客观需要。《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《浙江省公共数据和电子政务管理办法》、《浙江省政务数据安全管理办法》、《浙江省公共数据开放与安全暂行管理办法》等法律法规，都对数据安全提出了明确要求。为积极与国家、省局数据安全标准和规范对接，确保全市公共数据共享、应用、开放等工作“有法可依、有章可循”，保障本市在共享开放环境下的公共数据安全，须制定相应管理办法。

2、提升我市公共数据安全管理水平的客观需要。加强公共数据安全管理是推进市域治理体系和治理能力现代化、推动政府数字化转型、促进城市数字化治理的重要保障。目前我市公共数据相关业务有序推进，但是各级行政机关未建立行之有效的数据安全管理制度体系，对于公共数据的分类分级、数据共享开放的渠道安全、数据安全的运营机制等缺乏统一的标准和规范。建立健全公共数据安全管理制度与规范迫在眉睫。

（二）主要意义

1、提升公共数据安全管理意识。《办法》在对公共数据安全管理作出的原则性、概括性、指引性规定基础上，进一步细化了我市公共数据安全保障的相关问题，对公共数据安全责任人的安全责任、监督管理、法律责任等进行了明确，体现了发展与安全并重，以安全保发展、以发展促安全的理念。

2、建立健全公共数据安全监管机制。《办法》确立从监管组织、制度、技术、等多角度对湖州市公共数据的业务开展和数据流转过程进行全生命周期的管控，实现从数据的产生、归集、存储、交换、利用到销毁的全生命周期监控，确保每一条数据来龙去脉清晰，流向合规，异常情况实施阻断并告警，保障数据资源安全。

3、强化监管职责和法律责任。《办法》赋予了公共数据安全责任单位相应的监督管理职权，同时，要求对公共数据安全进行检查考核，培训有关工作人员，推动我市公共数据安全管理工作，明确数据利用主体存在相关违法、违约行为时，公共数据安全责任单位应当采取相应的处置措施。

（三）主要内容

《办法》包括6个部分共37条。主要内容有：

1、总则。对公共数据安全进行了明确定义，强调本办法的适用范围。本市各级行政机关以及履行公共管理和服务职能的事业单位（以下统称公共数据安全责任单位）开展公共数据采集、传输、存储、共享、开放和销毁等活动，以及公共数据安全保障和监督管理，适用本办法。进一步明确各级公共数据主管部门的职责分工，并强调公共数据安全与促进应用发展相协调、管理与技术统筹兼顾的原则。鼓励本市企业、高校、机构协会对公共数据安全的支持与促进。

2、数据安全管理基本要求。明确了各公共数据安全责任单位应当建立本单位公共数据安全管理领导小组，并落实数据安全管理岗位职责。指出各公共数据安全责任单位要按照关键信息基础设施保护、网络安全等级保护等要求，提升公共数据资产管理能力，加强物理环境安全的维护和意识行为。列举了各公共数据安全责任单位应当履行的职责，以及发生公共数据安全事件时应急措施。同时，还明确了各公共数据安全责任单位应当建立公共数据安全培训制度，并按照国家法律法规、省、市公共数据主管部门的要求，定期开展公共数据的安全风险评估、测试和整改活动。承载公共数据的信息基础设施应当严格按照国家信息安全等级保护的要求开展等级保护的建设与测评工作。各公共数据安全责任单位在委托第三方机构开展数据服务时，应严格按照《浙江省信息技术服务外包网络安全管理办法》执行，并明确各自应该承担的责任和义务。

3、数据生命周期安全管理要求。明确了各公共数据安全责任单位应当结合数据生命周期制定完善的数据安全管控策略。同时，根据相关规范与业务属性要求，对公共数据进行分级管理保护。并指出各公共数据安全责任单位在数据生命周期各个阶段应做的安全保障工作，及对个人信息的保护。

4、安全监督与检查。明确了各级公共数据主管部门应当建立健全公共数据安全工作监督检查机制，对各公共数据安全责任单位的公共数据安全工作进行日常监督。并具体列举了启动安全事件调查的五种情形及调查实施。同时，明确各级公共数据主管部门应围绕公共数据防护能力、安全责任落实情况、电子政务云服务安全等方面，委托第三方专业机构对本市公共数据安全工作定期开展风险评估和安全检查。

5、安全考核与责任追究。明确市级公共数据主管部门应当组织制定年度公共数据管理考核方案，同时，对于违反本办法规定的单位、个人和外包服务商视情节轻重追究相应的法律责任。

6、附则。湖州市水务、电力、燃气、通信、公共交通等公用事业运营单位在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的管理，适用本办法。以及本办法自印发之日起施行。