第一章總則

第一條 為了規(guī)范公共數(shù)據(jù)安全管理，保障公共數(shù)據(jù)安全，促進數(shù)據(jù)資源有序開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益，依據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《四川省數(shù)據(jù)條例》等有關法律法規(guī)規(guī)定，結合本市實際，制定本辦法。

第二條 本辦法適用于本市各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位（以下統(tǒng)稱“公共管理和服務機構”）開展非涉密公共數(shù)據(jù)的采集、訪問、傳輸、存儲、加工、共享、開放和銷毀（統(tǒng)稱“全生命周期”）等活動，以及公共數(shù)據(jù)安全保障和監(jiān)督管理。國家和省法律法規(guī)規(guī)章另有規(guī)定的，從其規(guī)定。

涉及國家秘密的公共數(shù)據(jù)及相關處理活動，按照有關法律、法規(guī)的規(guī)定執(zhí)行。

第三條 本辦法下列用語的含義：

（一）公共數(shù)據(jù)，是指本市公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中收集、產(chǎn)生的數(shù)據(jù)。

（二）公共數(shù)據(jù)處理，包括基于可信的數(shù)據(jù)安全環(huán)境，對公共數(shù)據(jù)進行采集、訪問、傳輸、存儲、加工、共享、開放和銷毀等以實現(xiàn)公共數(shù)據(jù)價值挖掘的相關活動（統(tǒng)稱“全生命周期處理”）。

（三）公共數(shù)據(jù)安全管理，是指公共數(shù)據(jù)的管理者、收集者、使用者為防范公共數(shù)據(jù)被攻擊、破壞、泄露、竊取、篡改、非法使用等風險，通過采取監(jiān)測、防御、處置和監(jiān)管等措施，保障公共數(shù)據(jù)全生命周期處于安全可控狀態(tài)的活動。

（四）敏感數(shù)據(jù)，是指泄露后可能會對國家機關、公民、法人和其他組織造成不良影響的數(shù)據(jù)和信息。

第四條 公共數(shù)據(jù)安全按照“誰管理誰負責、誰收集誰負責、誰使用誰負責”的原則，分別承擔各自安全責任，堅持安全與發(fā)展并重，加強公共數(shù)據(jù)全生命周期合法處理和分級分類管理，對不同級別的數(shù)據(jù)實施恰當?shù)陌踩Ｗo措施，形成多層次的縱深防御、主動防護、綜合防范的體系，保障公共數(shù)據(jù)在依法合規(guī)的前提下進行開發(fā)利用和價值挖掘，確保數(shù)據(jù)來源可溯、去向可查，行為留痕、責任可究。

第二章  職責與分工

第五條 公共數(shù)據(jù)處理者是數(shù)據(jù)安全責任主體，同時有多個數(shù)據(jù)處理者的，分別承擔各自安全責任。

（一）市數(shù)據(jù)局負責統(tǒng)籌全市公共數(shù)據(jù)安全管理保障工作，協(xié)同市委國安辦、網(wǎng)信等部門研究解決與公共數(shù)據(jù)安全管理有關的重大事項。

（二）縣（市、區(qū)）、園區(qū)公共數(shù)據(jù)主管部門負責轄區(qū)內公共數(shù)據(jù)安全管理工作，監(jiān)督指導轄區(qū)內各公共管理和服務機構開展公共數(shù)據(jù)安全管理工作，承辦省、市公共數(shù)據(jù)主管部門交辦的各項公共數(shù)據(jù)安全管理工作。采取技術措施和其他必要措施，保障縣（市、區(qū)）、園區(qū)公共數(shù)據(jù)資源安全，有效應對公共數(shù)據(jù)安全事件。

（三）公共管理和服務機構應當貫徹執(zhí)行國家、省、市公共數(shù)據(jù)安全法律法規(guī)和政策要求，依照本辦法建立健全本單位公共數(shù)據(jù)安全管理制度和工作規(guī)范，落實公共數(shù)據(jù)安全責任制。

（四）各級網(wǎng)信、公安、保密、密碼管理等部門按照各自職責做好公共數(shù)據(jù)安全的監(jiān)督管理工作。

第三章  數(shù)據(jù)分類分級管理

第六條 各級公共管理和服務機構負責組織開展本部門數(shù)據(jù)分類分級保護工作，依據(jù)“科學實用、邊界清晰、就高從嚴、點面結合、動態(tài)更新”原則，按照國家標準《數(shù)據(jù)安全技術 數(shù)據(jù)分類分級規(guī)則》（GB/T 43697）（以下簡稱“分類分級規(guī)則”）執(zhí)行。

第七條 數(shù)據(jù)分類按照先行業(yè)領域，再業(yè)務屬性的思路進行。數(shù)據(jù)分類可根據(jù)數(shù)據(jù)管理和使用需求，結合已有的數(shù)據(jù)分類基礎，靈活選擇業(yè)務屬性將數(shù)據(jù)細化分類。具體按照“分類分級規(guī)則”中公共數(shù)據(jù)分類規(guī)則執(zhí)行。

第八條 數(shù)據(jù)分級根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對國家安全、經(jīng)濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度進行，從高到低分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三個級別。具體按照“分類分級規(guī)則”中公共數(shù)據(jù)分級規(guī)則執(zhí)行。

第九條 各級公共管理和服務機構應當全面梳理本部門（單位）數(shù)據(jù)資產(chǎn)，結合所在行業(yè)數(shù)據(jù)標準規(guī)范開展數(shù)據(jù)分類分級工作，并動態(tài)更新。

第四章  數(shù)據(jù)處理和安全

第十條 公共管理和服務機構應當結合數(shù)據(jù)處理及全生命周期制定完善的公共數(shù)據(jù)安全管控策略，嚴格做好數(shù)據(jù)采集、訪問、傳輸、存儲、加工、共享、開放、銷毀等各個階段安全保障工作。

第十一條 在開展公共數(shù)據(jù)采集活動時，應當明確采集方法、途徑、范圍、數(shù)量和頻度。不得采集與其履行職責無關的數(shù)據(jù)，不得違反法律、行政法規(guī)的規(guī)定采集數(shù)據(jù)，可以通過共享方式獲得的數(shù)據(jù)不得重復采集。

第十二條 在開展公共數(shù)據(jù)訪問活動時，應當采取精細化的訪問控制，如使用強化的身份驗證機制、嚴格的授權流程和動態(tài)權限管理系統(tǒng)等。

第十三條 在開展公共數(shù)據(jù)傳輸活動時，應當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應用場景，制定安全策略并采取保護措施。數(shù)據(jù)傳輸應當采取校驗技術、密碼技術、安全傳輸通道等措施，保障數(shù)據(jù)傳輸過程可信、可控。

第十四條 在開展公共數(shù)據(jù)存儲活動時，應當根據(jù)需要，采取脫敏、加密、校驗等措施，保障公共數(shù)據(jù)的存儲安全。針對重要數(shù)據(jù)和核心數(shù)據(jù)，應當建立數(shù)據(jù)容災備份及恢復機制。

應當依法或按照約定的方式和期限存儲數(shù)據(jù)。超過存儲期限的數(shù)據(jù)，應當利用不可恢復手段及時清除。

第十五條 在開展公共數(shù)據(jù)加工活動時，應當在其履行法定職責的范圍內依照法律、法規(guī)、規(guī)章規(guī)定的條件和程序加工數(shù)據(jù)，應當采取管控措施確保數(shù)據(jù)加工合規(guī)，過程安全可控、可溯源。加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應當加強訪問控制，建立登記、審批機制并留存記錄。使用數(shù)據(jù)挖掘、關聯(lián)分析等技術手段開展公共數(shù)據(jù)加工活動時，應當采取安全技術措施防止個人信息、商業(yè)秘密等敏感數(shù)據(jù)的泄露。

第十六條 在開展公共數(shù)據(jù)共享活動中，應當遵循“以共享為原則、不共享為例外”，實現(xiàn)在本市跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務統(tǒng)籌共享和使用。應當遵守保守秘密、政府信息公開等法律、法規(guī)的規(guī)定，并按照數(shù)據(jù)安全、隱私保護和使用需求等確定本單位公共數(shù)據(jù)的共享范圍。

第十七條 在開展公共數(shù)據(jù)開放活動中，提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應當對數(shù)據(jù)使用方數(shù)據(jù)安全保護能力進行自查核實，采取必要的安全保護措施。

重要數(shù)據(jù)和一般數(shù)據(jù)由數(shù)據(jù)主管部門及數(shù)據(jù)提供部門審批和授權后，在安全合規(guī)的數(shù)據(jù)開放域系統(tǒng)內經(jīng)過數(shù)據(jù)脫敏后進行開放。核心數(shù)據(jù)原則上不對社會開放，且需嚴格控制數(shù)據(jù)共享和知悉范圍。

第十八條 在開展公共數(shù)據(jù)銷毀活動中，需要嚴格遵守相關的法律法規(guī)和標準規(guī)范，避免出現(xiàn)數(shù)據(jù)泄露或其他安全問題。需要對銷毀工作進行定期的自查改進，確保銷毀工作的有效性和及時性。重要數(shù)據(jù)和核心數(shù)據(jù)依法依規(guī)銷毀后，不得以任何理由、任何方式恢復。

第十九條 在公共數(shù)據(jù)全生命周期處理活動中，應當做出數(shù)據(jù)安全使用承諾，在承諾范圍內實施開發(fā)應用活動，不得超出合理范圍使用，不得濫用公共數(shù)據(jù)侵犯公共利益或者他人合法權益。應當備案公共數(shù)據(jù)安全保護情況，內容包括數(shù)據(jù)安全負責人、管理機構、數(shù)據(jù)信息、平臺或者系統(tǒng)信息、數(shù)據(jù)安全保障情況、數(shù)據(jù)安全自查情況、數(shù)據(jù)安全審計情況、等級保護情況、密碼應用情況等因承載公共數(shù)據(jù)處理活動相關平臺或者系統(tǒng)關閉，或者發(fā)生較大變更，可能影響公共數(shù)據(jù)安全保護的，公共管理和服務機構應當自變化之日起二十個工作日內申請登記備案撤銷或者變更。

第五章  數(shù)據(jù)安全責任

第二十條 公共管理和服務機構應當強化制度建設,建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全管理責任制，加強網(wǎng)絡安全和數(shù)據(jù)安全管理統(tǒng)籌規(guī)劃，對數(shù)據(jù)全生命周期活動進行合規(guī)管理，定期對本部門的數(shù)據(jù)安全工作進行自查整改。

第二十一條 公共管理和服務機構應當強化人員培訓，組織開展數(shù)據(jù)安全教育和培訓，定期開展公共數(shù)據(jù)安全意識教育，開展公共數(shù)據(jù)設備、系統(tǒng)安全操作等培訓，對系統(tǒng)建設、運維人員和公共數(shù)據(jù)安全管理人員進行專項技能培訓。

第二十二條 公共管理和服務機構應當對物理環(huán)境安全、門戶網(wǎng)站安全、運營業(yè)務系統(tǒng)安全、終端計算機安全加強管理。

在選擇外部公共信息基礎設施時，要按照法律法規(guī)規(guī)定，選擇符合安全保護等級要求的公共基礎設施。在選擇存儲載體時，要選擇安全性能、防護級別與數(shù)據(jù)安全等級相匹配的存儲載體，并且依法依規(guī)進行管理和維護，不得在非涉密計算機及相關設備上進行涉密信息采集、傳輸?shù)忍幚砘顒印?/section>

第二十三條 公共管理和服務機構委托第三方服務機構開展公共數(shù)據(jù)加工的，應當對受托的第三方服務機構數(shù)據(jù)安全保護能力和資質進行核實，對其數(shù)據(jù)安全管理能力成熟度開展自查，確保符合國家、行業(yè)主管部門的相關要求。

第二十四條 公共管理和服務機構應當制定數(shù)據(jù)安全事件應急處置預案，發(fā)生數(shù)據(jù)泄露、毀損、丟失等數(shù)據(jù)安全事件或重大風險時，應當立即啟動數(shù)據(jù)安全事件應急處置預案，并向市公共數(shù)據(jù)主管部門報告。

第二十五條 公共管理和服務機構應當遵守相關規(guī)定，建立敏感數(shù)據(jù)授權使用機制，并通過必要的技術防控措施，加強對信息主體和第三方合法權益的保護，防范國家秘密、商業(yè)秘密和個人隱私等敏感數(shù)據(jù)被泄露、非法獲取或者不當利用。

第二十六條 公共管理和服務機構應當建立實時暢通的群眾投訴舉報渠道，鼓勵支持自然人、法人和非法人組織對違反數(shù)據(jù)安全相關法律規(guī)定的行為進行投訴舉報。

第六章  數(shù)據(jù)安全監(jiān)督

第二十七條 公共數(shù)據(jù)主管部門建立健全安全監(jiān)督管理機制，完善公共數(shù)據(jù)日常監(jiān)測、安全審查等機制，組織開展全市公共數(shù)據(jù)安全監(jiān)督管理，確保公共數(shù)據(jù)管理、需求審核、開發(fā)利用、技術支撐等全流程安全可控，并可督促整改落實。

第二十八條 公共管理和服務機構應當建立數(shù)據(jù)全生命周期處理各環(huán)節(jié)透明化、可審計、可追溯管理和風險研判機制，記錄數(shù)據(jù)全生命周期處理、權限管理、配置管理等信息，并對異常操作行為進行監(jiān)控和告警，保障重要操作行為可溯源，信息留存時間不少于六個月。

公共管理和服務機構應當配合公共數(shù)據(jù)主管部門組織的數(shù)據(jù)安全監(jiān)督檢查活動，并配合有關部門審計。

第七章  法律職責

第二十九條 違反本辦法規(guī)定，各單位及其工作人員不依法履行職責，或者濫用職權、玩忽職守、徇私舞弊的，對負有責任的領導人員和直接責任人員依法予以處分。

第三十條 對于違反有關規(guī)定，危害公共數(shù)據(jù)安全，或者利用公共數(shù)據(jù)實施違法行為的，依照《中華人民共和國數(shù)據(jù)安全法》及有關法律法規(guī)予以處理，根據(jù)情節(jié)嚴重程度給予相應行政處罰，構成犯罪的，依法追究刑事責任。

第八章  附則

第三十一條 國家或本省對公共數(shù)據(jù)安全管理有新規(guī)定的，從其規(guī)定。

第三十二條 本辦法由市數(shù)據(jù)局承擔具體解釋工作。

第三十三條 本辦法自印發(fā)之日起施行。