廣東省公共數(shù)據(jù)安全管理辦法

　?。ǘ握髑笠庖姼澹?/strong>

　　第一章 總則

　　第一條（目的依據(jù)） 為了規(guī)范公共數(shù)據(jù)處理活動，保障公共數(shù)據(jù)安全，促進數(shù)據(jù)資源有序開發(fā)利用，保護個人、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《廣東省公共數(shù)據(jù)管理辦法》等相關(guān)法律、法規(guī)、規(guī)章的規(guī)定，結(jié)合本省實際，制定本辦法。

　　第二條（適用范圍） 本省行政區(qū)域內(nèi)行政機關(guān)以及具有公共事務(wù)管理和公共服務(wù)職能的組織（以下統(tǒng)稱“公共管理和服務(wù)機構(gòu)”）開展公共數(shù)據(jù)處理活動及其安全監(jiān)管，適用本辦法。

　　涉及國家秘密、商業(yè)秘密、個人信息的，按照相關(guān)法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。

　　第三條（基本原則） 公共數(shù)據(jù)安全管理應(yīng)當(dāng)堅持安全與發(fā)展并重，遵循統(tǒng)籌規(guī)劃、權(quán)責(zé)統(tǒng)一、綜合防范的原則，保障公共數(shù)據(jù)依法開放、共享和開發(fā)利用。

　　第四條（組織領(lǐng)導(dǎo)） 縣級以上人民政府負責(zé)組織領(lǐng)導(dǎo)本行政區(qū)域內(nèi)公共數(shù)據(jù)安全管理工作，協(xié)調(diào)解決與公共數(shù)據(jù)安全管理有關(guān)的重大問題。

　　第五條（主管部門職責(zé)） 工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域公共數(shù)據(jù)安全監(jiān)管職責(zé)。

　　網(wǎng)信、保密、國家安全、密碼管理、通信管理、公安、審計等主管部門按照本辦法和有關(guān)法律、法規(guī)、規(guī)章的規(guī)定，在各自職責(zé)范圍內(nèi)承擔(dān)公共數(shù)據(jù)安全監(jiān)管職責(zé)。

　　各級公共數(shù)據(jù)主管部門按照本辦法和有關(guān)法律、法規(guī)、規(guī)章的規(guī)定，負責(zé)統(tǒng)籌協(xié)調(diào)本行政區(qū)域內(nèi)公共數(shù)據(jù)安全管理工作。

　　第六條（公共管理和服務(wù)機構(gòu)職責(zé)） 公共管理和服務(wù)機構(gòu)是本機構(gòu)公共數(shù)據(jù)安全管理的責(zé)任主體，負責(zé)下列工作：

　?。ㄒ唬┟鞔_公共數(shù)據(jù)安全管理的目標(biāo)、制度、數(shù)據(jù)安全責(zé)任人和管理機構(gòu)；

　?。ǘ┌凑障嚓P(guān)法律、法規(guī)、規(guī)章的要求編制本機構(gòu)的公共數(shù)據(jù)資源目錄，加強數(shù)據(jù)保護；

　?。ㄈ┎扇〈胧┍Ｕ瞎矓?shù)據(jù)安全，加強安全管理；

　?。ㄋ模┓?、法規(guī)、規(guī)章規(guī)定的其他公共數(shù)據(jù)安全管理職責(zé)。

　　第七條（適老適殘等無障礙公共服務(wù)） 公共管理和服務(wù)機構(gòu)提供智能化公共服務(wù)，應(yīng)當(dāng)充分考慮老年人、殘疾人等群體的需求，避免以數(shù)據(jù)安全為由對群眾享受公共服務(wù)造成障礙。

　　第二章 基礎(chǔ)制度體系

　　第八條（登記備案制度） 省公共數(shù)據(jù)主管部門應(yīng)當(dāng)建立承載公共數(shù)據(jù)處理活動相關(guān)平臺或者系統(tǒng)的登記備案制度，組織公共管理和服務(wù)機構(gòu)備案公共數(shù)據(jù)安全保護情況，內(nèi)容包括數(shù)據(jù)安全負責(zé)人、管理機構(gòu)、數(shù)據(jù)信息、平臺或者系統(tǒng)信息、數(shù)據(jù)安全保障情況、數(shù)據(jù)安全評估情況、數(shù)據(jù)安全審計情況、等級保護情況、密碼應(yīng)用情況等。

　　因承載公共數(shù)據(jù)處理活動相關(guān)平臺或者系統(tǒng)關(guān)閉，或者發(fā)生較大變更，可能影響公共數(shù)據(jù)安全保護的，公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)自變化之日起15個工作日內(nèi)申請登記備案撤銷或者變更。

　　第九條（數(shù)據(jù)分類分級規(guī)則） 省公共數(shù)據(jù)主管部門牽頭制定公共數(shù)據(jù)分類分級指南，明確分類分級的原則和規(guī)則等，特別是重要數(shù)據(jù)、核心數(shù)據(jù)的識別及分級保護規(guī)則。

　　地級以上市的公共數(shù)據(jù)主管部門應(yīng)當(dāng)根據(jù)國家和省公共數(shù)據(jù)分類分級相關(guān)規(guī)定，增補本地公共數(shù)據(jù)的分類分級規(guī)則。

　　行業(yè)主管部門應(yīng)當(dāng)根據(jù)國家、省、地級以上市公共數(shù)據(jù)分類分級有關(guān)規(guī)定，增補本行業(yè)、本領(lǐng)域公共數(shù)據(jù)的分類分級規(guī)則。

　　第十條（數(shù)據(jù)分級安全防護） 公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)按照分類分級規(guī)則，建立健全本機構(gòu)公共數(shù)據(jù)分類分級管理制度，采取數(shù)據(jù)安全防護措施，對重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)在重要數(shù)據(jù)保護基礎(chǔ)上實施更嚴格的管理和保護。不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的，應(yīng)當(dāng)按照其中級別最高的要求實施保護。

　　第十一條（等級保護制度和商用密碼應(yīng)用） 公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全等級保護制度、商用密碼應(yīng)用要求，采取數(shù)據(jù)脫敏、加密保護、安全認證等安全保護措施，保障公共數(shù)據(jù)安全。

　　第十二條（糾錯機制） 數(shù)源部門對所采集公共數(shù)據(jù)的真實性、準(zhǔn)確性、完整性負責(zé)。用數(shù)單位發(fā)現(xiàn)公共數(shù)據(jù)不真實、不準(zhǔn)確、不完整或者不同部門提供的數(shù)據(jù)不一致的，應(yīng)當(dāng)及時通過省政務(wù)大數(shù)據(jù)中心或者直接反饋至數(shù)源部門。數(shù)源部門應(yīng)當(dāng)在約定的期限內(nèi)予以核實，并及時更正、補充。

　　第十三條（刪除機制） 有下列情形之一的，用數(shù)單位應(yīng)當(dāng)主動刪除公共數(shù)據(jù)；用數(shù)單位未刪除的，數(shù)源部門有權(quán)要求限期刪除：

　?。ㄒ唬┕矓?shù)據(jù)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)公共數(shù)據(jù)處理目的不再必要；

　?。ǘ┯脭?shù)單位停止履行職能或者提供服務(wù)；

　?。ㄈ┕矓?shù)據(jù)保存期限已屆滿；

　?。ㄋ模┯脭?shù)單位違反法律、法規(guī)、規(guī)章或者違反約定處理公共數(shù)據(jù)；

　　（五）法律、法規(guī)、規(guī)章規(guī)定的其他情形。

　　法律、法規(guī)、規(guī)章另有規(guī)定的，或者刪除公共數(shù)據(jù)從技術(shù)上難以實現(xiàn)的，用數(shù)單位應(yīng)當(dāng)停止除存儲和采取必要的安全保護措施之外的處理。

　　第三章 全生命周期數(shù)據(jù)安全管理

　　第十四條（數(shù)據(jù)收集安全） 數(shù)源部門開展公共數(shù)據(jù)收集活動時，應(yīng)當(dāng)明確收集的目的、范圍、用途、渠道等，保證公共數(shù)據(jù)收集合法、正當(dāng)，應(yīng)當(dāng)采取必要的安全管控措施，確保環(huán)境、設(shè)施、人員等安全可控。

　　第十五條（數(shù)據(jù)存儲安全） 開展公共數(shù)據(jù)存儲活動時，應(yīng)當(dāng)根據(jù)需要采取脫敏、加密、校驗等措施，保障公共數(shù)據(jù)的存儲安全。針對重要數(shù)據(jù)和核心數(shù)據(jù)，應(yīng)當(dāng)建立數(shù)據(jù)容災(zāi)備份及恢復(fù)機制。

　　應(yīng)當(dāng)依據(jù)法律、法規(guī)、規(guī)章的規(guī)定或者約定的方式和期限存儲數(shù)據(jù)。超過存儲期限的數(shù)據(jù)，應(yīng)當(dāng)利用不可恢復(fù)手段及時清除。

　　第十六條（數(shù)據(jù)使用加工安全） 開展公共數(shù)據(jù)使用加工活動時，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、法規(guī)、規(guī)章規(guī)定的條件和程序使用加工數(shù)據(jù)，應(yīng)當(dāng)采取管控措施確保數(shù)據(jù)使用加工合規(guī)，過程安全可控、可溯源。使用加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當(dāng)加強訪問控制，建立登記、審批機制并留存記錄。

　　利用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段開展加工處理活動時，應(yīng)當(dāng)采取安全技術(shù)措施防止敏感個人信息、商業(yè)秘密等信息的泄露。利用數(shù)據(jù)進行自動化決策的，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。

　　在使用加工過程中，不得超出合理范圍使用，不得濫用公共數(shù)據(jù)侵犯公共利益或者他人合法權(quán)益。

　　第十七條（數(shù)據(jù)傳輸安全） 開展公共數(shù)據(jù)傳輸活動時，應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景，制定安全策略并采取保護措施。公共管理和服務(wù)機構(gòu)原則上應(yīng)當(dāng)通過省政務(wù)大數(shù)據(jù)中心傳輸公共數(shù)據(jù)，數(shù)據(jù)傳輸應(yīng)當(dāng)采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道等措施，保障公共數(shù)據(jù)傳輸過程可信、可控。因特殊情況不通過省政務(wù)大數(shù)據(jù)中心傳輸公共數(shù)據(jù)的，應(yīng)當(dāng)采取必要安全技術(shù)措施保障數(shù)據(jù)傳輸安全。

　　第十八條（數(shù)據(jù)提供安全） 數(shù)源部門向省政務(wù)大數(shù)據(jù)中心提供公共數(shù)據(jù)，省政務(wù)大數(shù)據(jù)中心向用數(shù)單位提供公共數(shù)據(jù)，或者數(shù)源部門向用數(shù)單位直接提供公共數(shù)據(jù)時，應(yīng)當(dāng)明確公共數(shù)據(jù)提供的范圍、數(shù)量、條件、程序等。

　　用數(shù)單位應(yīng)當(dāng)明確告知數(shù)源部門提供數(shù)據(jù)的范圍、使用方式、時限、用途以及相應(yīng)的安全保護措施、違約責(zé)任等。數(shù)源部門有權(quán)對用數(shù)單位的數(shù)據(jù)安全保護能力進行核實，必要時與用數(shù)單位簽訂單獨的數(shù)據(jù)安全協(xié)議。

　　第十九條（數(shù)據(jù)公開安全） 公共數(shù)據(jù)公開前應(yīng)當(dāng)開展數(shù)據(jù)安全風(fēng)險評估，明確公開數(shù)據(jù)的內(nèi)容與種類、公開方式、公開范圍、安全保障措施、可能的風(fēng)險與影響范圍等。涉及敏感個人信息、商業(yè)秘密信息的，以及可能對公共利益或者國家安全產(chǎn)生重大影響的，不得公開，法律、法規(guī)、規(guī)章另有規(guī)定的除外。

　　開展公共數(shù)據(jù)公開活動時，應(yīng)當(dāng)按照相應(yīng)規(guī)定實施數(shù)據(jù)公開管控措施，保障公共數(shù)據(jù)的公開范圍、公開渠道、公開流程、公開內(nèi)容和公開時效等合法、正確、有效。

　　第四章 數(shù)據(jù)安全支撐保障

　　第二十條（集中統(tǒng)一風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制） 公共數(shù)據(jù)主管部門根據(jù)國家統(tǒng)一部署和法律、法規(guī)、規(guī)章的相關(guān)規(guī)定，建立數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制，加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。

　　第二十一條（風(fēng)險監(jiān)測及評估） 公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)加強風(fēng)險監(jiān)測，依法定期開展數(shù)據(jù)安全評估，及時整改數(shù)據(jù)安全評估發(fā)現(xiàn)的問題，排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險。數(shù)據(jù)安全評估可與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級保護測評、商用密碼應(yīng)用安全性評估相銜接，避免重復(fù)評估、測評。

　　第二十二條（應(yīng)急處置） 各行業(yè)、各領(lǐng)域主管部門應(yīng)當(dāng)制定公共數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)制定本單位公共數(shù)據(jù)安全事件應(yīng)急預(yù)案。發(fā)生公共數(shù)據(jù)安全事件時，公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)按照應(yīng)急預(yù)案及時開展應(yīng)急處置；事件處置完成后，應(yīng)當(dāng)在規(guī)定期限內(nèi)形成總結(jié)報告，報送各行業(yè)、各領(lǐng)域主管部門；涉及重要數(shù)據(jù)和核心數(shù)據(jù)的數(shù)據(jù)安全事件，還應(yīng)當(dāng)及時向公共數(shù)據(jù)主管部門和其他有關(guān)主管部門報告應(yīng)急處置進展情況。

　　公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)根據(jù)應(yīng)急預(yù)案定期開展應(yīng)急演練，保存演練記錄，針對演練中發(fā)現(xiàn)的問題，應(yīng)當(dāng)立即進行整改。

　　第二十三條（安全審計） 公共管理和服務(wù)機構(gòu)在公共數(shù)據(jù)處理過程中，應(yīng)當(dāng)記錄全生命周期數(shù)據(jù)處理、權(quán)限管理、配置管理等日志，并對異常操作行為進行監(jiān)控和告警，保障重要操作行為可溯源。日志留存時間不少于六個月，并定期進行安全審計，形成審計報告。公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)配合有關(guān)主管部門組織的數(shù)據(jù)安全審計活動。

　　第二十四條（委托安全） 公共管理和服務(wù)機構(gòu)委托他人建設(shè)、維護信息系統(tǒng)或者存儲、加工數(shù)據(jù)，應(yīng)當(dāng)對受托方的數(shù)據(jù)安全保護能力、資質(zhì)進行核實，確保符合國家、行業(yè)主管部門的相關(guān)要求，相關(guān)安全責(zé)任不隨委托關(guān)系轉(zhuǎn)移。委托方應(yīng)當(dāng)建立數(shù)據(jù)外包或者委托服務(wù)安全管理機制，與受托方簽訂安全保密協(xié)議，監(jiān)督并定期檢查受托方依照法律、法規(guī)、規(guī)章的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)的情況。受托方應(yīng)當(dāng)依照法律、法規(guī)、規(guī)章的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、使用、泄露、銷毀或者向他人提供公共數(shù)據(jù)。

　　第二十五條（人員管理） 公共管理和服務(wù)機構(gòu)應(yīng)當(dāng)加強人員管理，明確在人員錄用、人員培訓(xùn)、人員考核、保密協(xié)議、離崗離職、外部人員管理等方面的管理規(guī)定并嚴格落實。委托開展公共數(shù)據(jù)處理活動的，委托方應(yīng)當(dāng)對受托方加強監(jiān)督管理，受托方應(yīng)當(dāng)與相關(guān)人員簽訂保密協(xié)議，做好人員背景調(diào)查，嚴格實施權(quán)限管理，定期進行人員活動審查。

　　第五章 監(jiān)督與法律責(zé)任

　　第二十六條（通報與監(jiān)督檢查） 各級公共數(shù)據(jù)主管部門應(yīng)當(dāng)建立健全數(shù)據(jù)安全監(jiān)測預(yù)警和信息通報制度，會同同級網(wǎng)信、密碼、公安、通信管理等相關(guān)監(jiān)管部門開展公共數(shù)據(jù)安全檢查，并按照規(guī)定向同級網(wǎng)信、公安、保密等監(jiān)管部門報送數(shù)據(jù)安全監(jiān)測預(yù)警、數(shù)據(jù)安全事件、數(shù)據(jù)安全漏洞等信息。

　　第二十七條（公共數(shù)據(jù)主管部門責(zé)任） 公共數(shù)據(jù)主管部門不履行或者不正確履行本辦法規(guī)定職責(zé)的，由本級人民政府或者上級主管部門責(zé)令改正；拒不改正或者情節(jié)嚴重的，由有權(quán)機關(guān)對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第二十八條（其他主管部門監(jiān)管責(zé)任） 網(wǎng)信、保密、國家安全、密碼管理、通信管理、公安、審計、工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門未按照規(guī)定履行數(shù)據(jù)安全監(jiān)督管理職責(zé)的，由本級人民政府或者上級主管部門責(zé)令改正；拒不改正或者情節(jié)嚴重的，由有權(quán)機關(guān)對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第二十九條（公共管理和服務(wù)機構(gòu)責(zé)任） 公共管理和服務(wù)機構(gòu)違反本辦法規(guī)定，有下列行為之一的，由本級人民政府或者上級主管部門責(zé)令改正；拒不改正或者情節(jié)嚴重的，由有權(quán)機關(guān)對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：

　?。ㄒ唬┪粗贫ü矓?shù)據(jù)安全管理的目標(biāo)、制度，未落實數(shù)據(jù)安全責(zé)任人和管理機構(gòu)的；

　?。ǘ┪窗凑找?guī)定編制、更新、報送公共數(shù)據(jù)資源目錄的，向本級公共數(shù)據(jù)主管部門提供的數(shù)據(jù)和本機構(gòu)所掌握的數(shù)據(jù)不一致或者不符合有關(guān)規(guī)范、無法使用的；

　　（三）未采取有效措施保障公共數(shù)據(jù)安全，存在安全隱患或者發(fā)生公共數(shù)據(jù)泄露、篡改、未授權(quán)訪問等安全事件的。

　?。ㄋ模┢渌`反法律、法規(guī)、規(guī)章規(guī)定的行為。

　　第三十條（投訴舉報） 自然人、法人和非法人組織有權(quán)對違反本辦法規(guī)定的行為向有關(guān)主管部門投訴、舉報。

　　收到投訴、舉報的部門應(yīng)當(dāng)及時依法處理，應(yīng)當(dāng)對投訴、舉報人的個人信息予以保密，保護投訴、舉報人的合法權(quán)益。

　　第六章 附則

　　第三十一條（概念界定） 本辦法下列用語的含義：

　?。ㄒ唬┕矓?shù)據(jù)，是指各級公共管理和服務(wù)機構(gòu)，在依法履行職責(zé)、提供公共服務(wù)過程中制作或者獲取的，以電子或者非電子形式對信息的記錄。

　?。ǘ┕矓?shù)據(jù)處理，包括公共數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

　?。ㄈ┕矓?shù)據(jù)安全，是指通過采取必要措施，確保公共數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　?。ㄋ模?shù)源部門，是指根據(jù)法律、法規(guī)、規(guī)章確定的某一類公共數(shù)據(jù)的法定采集部門。

　　（五）省政務(wù)大數(shù)據(jù)中心，是指在“數(shù)字政府”改革模式下，集約建設(shè)的省市一體化政務(wù)大數(shù)據(jù)中心，分為省級節(jié)點和地級以上市分節(jié)點，是承載數(shù)據(jù)匯聚、共享、分析等功能的載體。

　　第三十二條（實施時間） 本辦法自2022年 月 日起實施，試行3年。