廣東省公共數據安全管理辦法

 ?。ǘ握髑笠庖姼澹?/strong>

  第一章 總則

  第一條(目的依據) 為了規范公共數據處理活動,保障公共數據安全,促進數據資源有序開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《廣東省公共數據管理辦法》等相關法律、法規、規章的規定,結合本省實際,制定本辦法。

  第二條(適用范圍) 本省行政區域內行政機關以及具有公共事務管理和公共服務職能的組織(以下統稱“公共管理和服務機構”)開展公共數據處理活動及其安全監管,適用本辦法。

  涉及國家秘密、商業秘密、個人信息的,按照相關法律、法規、規章的規定執行。

  第三條(基本原則) 公共數據安全管理應當堅持安全與發展并重,遵循統籌規劃、權責統一、綜合防范的原則,保障公共數據依法開放、共享和開發利用。

  第四條(組織領導) 縣級以上人民政府負責組織領導本行政區域內公共數據安全管理工作,協調解決與公共數據安全管理有關的重大問題。

  第五條(主管部門職責) 工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域公共數據安全監管職責。

  網信、保密、國家安全、密碼管理、通信管理、公安、審計等主管部門按照本辦法和有關法律、法規、規章的規定,在各自職責范圍內承擔公共數據安全監管職責。

  各級公共數據主管部門按照本辦法和有關法律、法規、規章的規定,負責統籌協調本行政區域內公共數據安全管理工作。

  第六條(公共管理和服務機構職責) 公共管理和服務機構是本機構公共數據安全管理的責任主體,負責下列工作:

 ?。ㄒ唬┟鞔_公共數據安全管理的目標、制度、數據安全責任人和管理機構;

 ?。ǘ┌凑障嚓P法律、法規、規章的要求編制本機構的公共數據資源目錄,加強數據保護;

 ?。ㄈ┎扇〈胧┍U瞎矓祿踩?,加強安全管理;

 ?。ㄋ模┓?、法規、規章規定的其他公共數據安全管理職責。

  第七條(適老適殘等無障礙公共服務) 公共管理和服務機構提供智能化公共服務,應當充分考慮老年人、殘疾人等群體的需求,避免以數據安全為由對群眾享受公共服務造成障礙。

  第二章 基礎制度體系

  第八條(登記備案制度) 省公共數據主管部門應當建立承載公共數據處理活動相關平臺或者系統的登記備案制度,組織公共管理和服務機構備案公共數據安全保護情況,內容包括數據安全負責人、管理機構、數據信息、平臺或者系統信息、數據安全保障情況、數據安全評估情況、數據安全審計情況、等級保護情況、密碼應用情況等。

  因承載公共數據處理活動相關平臺或者系統關閉,或者發生較大變更,可能影響公共數據安全保護的,公共管理和服務機構應當自變化之日起15個工作日內申請登記備案撤銷或者變更。

  第九條(數據分類分級規則) 省公共數據主管部門牽頭制定公共數據分類分級指南,明確分類分級的原則和規則等,特別是重要數據、核心數據的識別及分級保護規則。

  地級以上市的公共數據主管部門應當根據國家和省公共數據分類分級相關規定,增補本地公共數據的分類分級規則。

  行業主管部門應當根據國家、省、地級以上市公共數據分類分級有關規定,增補本行業、本領域公共數據的分類分級規則。

  第十條(數據分級安全防護) 公共管理和服務機構應當按照分類分級規則,建立健全本機構公共數據分類分級管理制度,采取數據安全防護措施,對重要數據進行重點保護,對核心數據在重要數據保護基礎上實施更嚴格的管理和保護。不同級別數據同時被處理且難以分別采取保護措施的,應當按照其中級別最高的要求實施保護。

  第十一條(等級保護制度和商用密碼應用) 公共管理和服務機構應當按照國家網絡安全等級保護制度、商用密碼應用要求,采取數據脫敏、加密保護、安全認證等安全保護措施,保障公共數據安全。

  第十二條(糾錯機制) 數源部門對所采集公共數據的真實性、準確性、完整性負責。用數單位發現公共數據不真實、不準確、不完整或者不同部門提供的數據不一致的,應當及時通過省政務大數據中心或者直接反饋至數源部門。數源部門應當在約定的期限內予以核實,并及時更正、補充。

  第十三條(刪除機制) 有下列情形之一的,用數單位應當主動刪除公共數據;用數單位未刪除的,數源部門有權要求限期刪除:

 ?。ㄒ唬┕矓祿幚砟康囊褜崿F、無法實現或者為實現公共數據處理目的不再必要;

 ?。ǘ┯脭祮挝煌V孤男新毮芑蛘咛峁┓?;

 ?。ㄈ┕矓祿4嫫谙抟褜脻M;

 ?。ㄋ模┯脭祮挝贿`反法律、法規、規章或者違反約定處理公共數據;

 ?。ㄎ澹┓?、法規、規章規定的其他情形。

  法律、法規、規章另有規定的,或者刪除公共數據從技術上難以實現的,用數單位應當停止除存儲和采取必要的安全保護措施之外的處理。

  第三章 全生命周期數據安全管理

  第十四條(數據收集安全) 數源部門開展公共數據收集活動時,應當明確收集的目的、范圍、用途、渠道等,保證公共數據收集合法、正當,應當采取必要的安全管控措施,確保環境、設施、人員等安全可控。

  第十五條(數據存儲安全) 開展公共數據存儲活動時,應當根據需要采取脫敏、加密、校驗等措施,保障公共數據的存儲安全。針對重要數據和核心數據,應當建立數據容災備份及恢復機制。

  應當依據法律、法規、規章的規定或者約定的方式和期限存儲數據。超過存儲期限的數據,應當利用不可恢復手段及時清除。

  第十六條(數據使用加工安全) 開展公共數據使用加工活動時,應當在其履行法定職責的范圍內依照法律、法規、規章規定的條件和程序使用加工數據,應當采取管控措施確保數據使用加工合規,過程安全可控、可溯源。使用加工重要數據和核心數據的,還應當加強訪問控制,建立登記、審批機制并留存記錄。

  利用數據挖掘、關聯分析等技術手段開展加工處理活動時,應當采取安全技術措施防止敏感個人信息、商業秘密等信息的泄露。利用數據進行自動化決策的,應當保證決策的透明度和結果公平合理。

  在使用加工過程中,不得超出合理范圍使用,不得濫用公共數據侵犯公共利益或者他人合法權益。

  第十七條(數據傳輸安全) 開展公共數據傳輸活動時,應當根據傳輸的數據類型、級別和應用場景,制定安全策略并采取保護措施。公共管理和服務機構原則上應當通過省政務大數據中心傳輸公共數據,數據傳輸應當采取校驗技術、密碼技術、安全傳輸通道等措施,保障公共數據傳輸過程可信、可控。因特殊情況不通過省政務大數據中心傳輸公共數據的,應當采取必要安全技術措施保障數據傳輸安全。

  第十八條(數據提供安全) 數源部門向省政務大數據中心提供公共數據,省政務大數據中心向用數單位提供公共數據,或者數源部門向用數單位直接提供公共數據時,應當明確公共數據提供的范圍、數量、條件、程序等。

  用數單位應當明確告知數源部門提供數據的范圍、使用方式、時限、用途以及相應的安全保護措施、違約責任等。數源部門有權對用數單位的數據安全保護能力進行核實,必要時與用數單位簽訂單獨的數據安全協議。

  第十九條(數據公開安全) 公共數據公開前應當開展數據安全風險評估,明確公開數據的內容與種類、公開方式、公開范圍、安全保障措施、可能的風險與影響范圍等。涉及敏感個人信息、商業秘密信息的,以及可能對公共利益或者國家安全產生重大影響的,不得公開,法律、法規、規章另有規定的除外。

  開展公共數據公開活動時,應當按照相應規定實施數據公開管控措施,保障公共數據的公開范圍、公開渠道、公開流程、公開內容和公開時效等合法、正確、有效。

  第四章 數據安全支撐保障

  第二十條(集中統一風險評估、報告、信息共享、監測預警機制) 公共數據主管部門根據國家統一部署和法律、法規、規章的相關規定,建立數據安全風險評估、報告、信息共享、監測預警機制,加強數據安全風險信息的獲取、分析、研判、預警工作。

  第二十一條(風險監測及評估) 公共管理和服務機構應當加強風險監測,依法定期開展數據安全評估,及時整改數據安全評估發現的問題,排查安全隱患,采取必要的措施防范數據安全風險。數據安全評估可與關鍵信息基礎設施安全檢測評估、網絡安全等級保護測評、商用密碼應用安全性評估相銜接,避免重復評估、測評。

  第二十二條(應急處置) 各行業、各領域主管部門應當制定公共數據安全事件應急預案,組織協調重要數據和核心數據安全事件應急處置工作。公共管理和服務機構應當制定本單位公共數據安全事件應急預案。發生公共數據安全事件時,公共管理和服務機構應當按照應急預案及時開展應急處置;事件處置完成后,應當在規定期限內形成總結報告,報送各行業、各領域主管部門;涉及重要數據和核心數據的數據安全事件,還應當及時向公共數據主管部門和其他有關主管部門報告應急處置進展情況。

  公共管理和服務機構應當根據應急預案定期開展應急演練,保存演練記錄,針對演練中發現的問題,應當立即進行整改。

  第二十三條(安全審計) 公共管理和服務機構在公共數據處理過程中,應當記錄全生命周期數據處理、權限管理、配置管理等日志,并對異常操作行為進行監控和告警,保障重要操作行為可溯源。日志留存時間不少于六個月,并定期進行安全審計,形成審計報告。公共管理和服務機構應當配合有關主管部門組織的數據安全審計活動。

  第二十四條(委托安全) 公共管理和服務機構委托他人建設、維護信息系統或者存儲、加工數據,應當對受托方的數據安全保護能力、資質進行核實,確保符合國家、行業主管部門的相關要求,相關安全責任不隨委托關系轉移。委托方應當建立數據外包或者委托服務安全管理機制,與受托方簽訂安全保密協議,監督并定期檢查受托方依照法律、法規、規章的規定和合同約定履行數據安全保護義務的情況。受托方應當依照法律、法規、規章的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露、銷毀或者向他人提供公共數據。

  第二十五條(人員管理) 公共管理和服務機構應當加強人員管理,明確在人員錄用、人員培訓、人員考核、保密協議、離崗離職、外部人員管理等方面的管理規定并嚴格落實。委托開展公共數據處理活動的,委托方應當對受托方加強監督管理,受托方應當與相關人員簽訂保密協議,做好人員背景調查,嚴格實施權限管理,定期進行人員活動審查。

  第五章 監督與法律責任

  第二十六條(通報與監督檢查) 各級公共數據主管部門應當建立健全數據安全監測預警和信息通報制度,會同同級網信、密碼、公安、通信管理等相關監管部門開展公共數據安全檢查,并按照規定向同級網信、公安、保密等監管部門報送數據安全監測預警、數據安全事件、數據安全漏洞等信息。

  第二十七條(公共數據主管部門責任) 公共數據主管部門不履行或者不正確履行本辦法規定職責的,由本級人民政府或者上級主管部門責令改正;拒不改正或者情節嚴重的,由有權機關對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。

  第二十八條(其他主管部門監管責任) 網信、保密、國家安全、密碼管理、通信管理、公安、審計、工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門未按照規定履行數據安全監督管理職責的,由本級人民政府或者上級主管部門責令改正;拒不改正或者情節嚴重的,由有權機關對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。

  第二十九條(公共管理和服務機構責任) 公共管理和服務機構違反本辦法規定,有下列行為之一的,由本級人民政府或者上級主管部門責令改正;拒不改正或者情節嚴重的,由有權機關對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任:

 ?。ㄒ唬┪粗贫ü矓祿踩芾淼哪繕?、制度,未落實數據安全責任人和管理機構的;

 ?。ǘ┪窗凑找幎ň幹?、更新、報送公共數據資源目錄的,向本級公共數據主管部門提供的數據和本機構所掌握的數據不一致或者不符合有關規范、無法使用的;

 ?。ㄈ┪床扇∮行Т胧┍U瞎矓祿踩?,存在安全隱患或者發生公共數據泄露、篡改、未授權訪問等安全事件的。

 ?。ㄋ模┢渌`反法律、法規、規章規定的行為。

  第三十條(投訴舉報) 自然人、法人和非法人組織有權對違反本辦法規定的行為向有關主管部門投訴、舉報。

  收到投訴、舉報的部門應當及時依法處理,應當對投訴、舉報人的個人信息予以保密,保護投訴、舉報人的合法權益。

  第六章 附則

  第三十一條(概念界定) 本辦法下列用語的含義:

 ?。ㄒ唬┕矓祿?,是指各級公共管理和服務機構,在依法履行職責、提供公共服務過程中制作或者獲取的,以電子或者非電子形式對信息的記錄。

 ?。ǘ┕矓祿幚?,包括公共數據的收集、存儲、使用、加工、傳輸、提供、公開等。

 ?。ㄈ┕矓祿踩?,是指通過采取必要措施,確保公共數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。

 ?。ㄋ模翟床块T,是指根據法律、法規、規章確定的某一類公共數據的法定采集部門。

 ?。ㄎ澹┦≌沾髷祿行?,是指在“數字政府”改革模式下,集約建設的省市一體化政務大數據中心,分為省級節點和地級以上市分節點,是承載數據匯聚、共享、分析等功能的載體。

  第三十二條(實施時間) 本辦法自2022年 月 日起實施,試行3年。