青浦区数据局关于印发《上海市青浦区公共数据安全管理办法(试行)》的通知
QG000000120240036
主动公开
青数〔2024〕36号
上海市青浦区政务服务办公室
2024.11.20
各镇、街道,区委、区政府各部、委、办、局,各区级机关、人民团体、区直属事业单位、区属公司:
现将《上海市青浦区公共数据安全管理办法(试行)》印发给你们,请认真遵照执行。
上海市青浦区数据局
2024年11月20日
上海市青浦区公共数据安全管理办法
(试行)
第一章 总 则
第一条 目的和依据
为规范本区公共数据处理活动,保障公共数据安全,促进公共数据开发利用,保护自然人、法人和非法人组织的数据权益,维护国家安全和社会公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《上海市数据条例》等法律、法规规定,结合本区实际,制定本办法。
第二条 适用范围
在本区行政区域内开展的公共数据处理活动及其安全监管,适用本办法。法律、法规另有规定的,从其规定。
涉及国家秘密的公共数据处理活动,按照有关保密法律、法规执行。
第三条 定义
本办法所称的公共数据,是指本区各级行政机关以及履行公共管理和服务职能的事业单位(以下统称“本区公共管理和服务机构”)在依法履职过程中,采集和产生的各类数据,包括但不限于业务数据、视频数据、物联数据、地图数据等。
本办法所称的公共数据处理,是指公共数据的收集、存储、使用、加工、传输、共享、开放、流通等行为。
本办法所称的公共数据安全管理,是指为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险,通过采取监测、防御、处置和监管等措施,保障公共数据全生命周期处于安全可控状态的活动。公共数据全生命周期包括数据采集、归集、传输、存储、共享、销毁等阶段。
第四条 管理原则
本区公共数据安全坚持“积极防御、综合防范”的原则,建立健全公共数据安全协调治理体系,坚持安全与发展并重、管理与技术兼顾,实行统筹协调、分级管理、分工负责。公共数据安全应与数字化项目同步规划、同步建设、同步运行、同步发展。
第五条 职责分工
区数据局是本区公共数据安全管理工作的主管部门,负责统筹规划、综合协调全区公共数据安全管理工作。区数据局委托区大数据中心监督指导区各职能单位开展公共数据安全保障工作,落实市级公共数据主管部门交办的各项公共数据安全管理工作,并采取必要的技术措施和管理手段,保障区大数据资源平台及其存储、加工的公共数据安全。
区委网信办负责统筹协调本区网络数据安全和相关监管工作。
公安青浦分局依照有关法律、法规规定,在各自职责范围内承担公共数据安全监管职责。
本区公共管理和服务机构应当贯彻执行公共数据安全法律法规和政策要求,依照本办法建立健全本单位公共数据安全管理制度和工作规范,落实公共数据安全责任制,保障持有、使用的公共数据安全。
第二章 公共数据安全基本管理要求
第六条 成立领导小组
本区公共管理和服务机构应当建立本单位公共数据安全管理领导小组,由单位主要负责人担任领导小组组长,并指定分管领导和数据管理员,落实本单位公共数据安全管理日常工作。
第七条 数据分级分类
本区公共管理和服务机构应按照关键信息基础设施保护、网络安全等级保护等要求,根据公共数据在经济社会发展中的重要程度以及发生公共数据安全事件的危害程度,对公共数据实行分类分级,并通过管理和技术手段,提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。
第八条 技术保护措施
本区公共管理和服务机构应结合公共数据全生命周期制定完善数据安全管控策略,采取身份认证、授权访问、入侵防范、数据脱敏、数据加密、隐私计算、安全审计等各类技术对公共数据进行有效管控,防止未经授权查询、复制、修改、存储或传输数据。
第九条 数据风险监测
本区公共管理和服务机构开展公共数据处理活动时,应当加强数据安全风险监测,发现公共数据存在安全缺陷、安全漏洞等风险时,应当立即采取补救措施。
区大数据中心应当对通过区大数据资源平台开展数据共享和交换的所有操作和行为进行日志记录和监管,并对高危行为进行风险识别。在公共数据安全事件发生后,能够通过安全日志快速进行回溯分析。同时利用数据水印等技术确保数据完整性,并实现数据流向跟踪和溯源。
第十条 数据应急演练
本区公共管理和服务机构应当建立公共数据安全应急管理制度,制定公共数据应急处置预案,定期开展应急演练,并对演练情况进行评估,针对演练中发现的问题,修订完善应急预案。
第十一条 数据应急处置
本区公共管理和服务机构在发生公共数据安全事件时,应当立即报告区委网信办、公安青浦分局、区大数据中心,依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会公布与公众有关的警示信息。
第十二条 数据安全培训
本区公共管理和服务机构应结合本单位实际,定期组织开展具有针对性的公共数据安全培训,不断提升本单位工作人员数据安全意识。
区大数据中心应当建立公共数据安全培训制度,定期对本区公共管理和服务机构、各项目外包服务提供商等开展数据安全意识、数据安全管理和数据安全技能等方面的培训。
第十三条 数据风险评估
本区公共管理和服务机构应对本单位实施的公共数据处理活动定期开展风险评估,并向区大数据中心报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展公共数据处理活动的情况,面临的公共数据安全风险及其应对措施等。
区大数据中心可以委托第三方专业机构,围绕公共数据安全防护能力、安全责任落实情况等,对全区公共数据安全工作开展风险评估。
第十四条 外包服务提供商安全监管
本区公共管理和服务机构通过服务外包形式开展数字化项目建设、运维,或者开展公共数据处理活动的,应当在合同签订前对外包服务提供商及其工作人员进行背景审查,要求外包服务提供商应当具备履行法律法规、落实制度标准、确保数据安全的能力,并建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度流程和技术防护措施。
本区公共管理和服务机构应与通过背景审查的外包服务提供商签订公共数据安全保护和保密协议,要求外包服务提供商应当按照法律法规规定和合同约定开展公共数据处理活动,履行公共数据安全保护义务。本区公共管理和服务机构的公共数据安全责任不因服务外包而发生转移,双方应共同承担公共数据安全责任。
本区公共管理和服务机构应安排外包服务提供商在指定地点开展公共数据处理活动,本区公共管理和服务机构应对外包服务提供商所有数据操作行为进行严格监督,并定期审计操作日志。
本区公共管理和服务机构应监督外包服务提供商不得在提供服务过程中将获取的公共数据用于与提供服务无关的用途,不得擅自留存、使用、泄露或者向他人提供公共数据。对造成公共数据安全事故的外包服务提供商,限制后续承接本区数字化项目;构成违法犯罪的,移送司法部门依法追究法律责任。
第三章 公共数据全生命周期安全管理要求
第十五条 数据采集安全
本区公共管理和服务机构应当明确采集公共数据的目的和用途,采集行为遵循目的正当、需求必要、方式合法、最小够用的原则,按照数据采集规范要求,在公共数据资源目录范围内采集公共数据,不得过度采集。
本区公共管理和服务机构在数据采集过程中,应当对公共数据采集的物理环境、技术工具等采取必要的安全管控措施,确保数据采集的准确性、完整性、可靠性和及时性,保证在采集过程中的数据不被泄露。在公共场所设置采集公共数据采集设施时,应当设置明显标识。
本区公共管理和服务机构应当对采集的公共数据进行数据分级管理,添加必要的安全标识信息,并可进行溯源管理。
本区公共管理和服务机构在采集个人信息时,应当征得该自然人或者其监护人同意,法律法规另有规定的除外。
本区公共管理和服务机构应当按照国家相关法律法规要求制定和公示相关隐私政策和管理措施,明确个人信息采集的目的、种类、数量、频度、方式、范围等要素,法律法规另有规定的除外。
本区公共管理和服务机构在采集个人敏感信息时,应当获得采集人的明示同意,提供有效的可替代选项和申诉机制,采取必要管理措施和技术手段保证被采集人能够终止采集行为,并删除已被采集信息,法律法规另有规定的除外。
第十六条 数据归集安全
区大数据中心在进行数据归集过程中,应当对公共数据归集的物理环境、技术工具等采取必要的安全管控措施,确保数据归集的准确性、完整性、可靠性和及时性,保证在归集过程中的数据不被泄露。
区大数据中心在数据归集过程中落实身份鉴别、数据源认证等安全机制保障共享数据来源的真实性,制定完善的访问控制策略,在数据归集过程中严格规范不同等级用户在区大数据资源平台的权限,防止未经授权查询、修改和传输数据。
区大数据中心在数据归集过程中提供内容加密、链路加密、数据脱敏等安全措施能力,根据业务需要和数据责任单位需求提供使用。在数据归集过程中记录并保持数据交换日志,做到所有数据操作行为可管可控,确保审计日志的完整性和真实性。
第十七条 数据传输安全
本区公共管理和服务机构应当制定并执行本单位公共数据安全传输策略和规程,评估公共数据传输可能存在的安全风险,明确不同级别公共数据传输的安全要求,采取满足传输安全策略和公共数据安全等级的安全控制措施,确保公共数据传输的安全性和可靠性。
本区公共管理和服务机构应当建立健全公共数据传输的安全评估机制并保持更新,对传输介质、加密算法、密码秘钥等传输安全工具应定期进行有效性和安全性评估。
第十八条 数据存储安全
本区公共管理和服务机构应当制定并执行本单位公共数据存储策略和规程,明确数据备份与恢复操作过程规范。应当根据公共数据安全等级采取相应的管控措施,不同安全等级的公共数据应当分开存储,并采取必要的加密存储、身份鉴别和访问控制措施,确保公共数据存储的安全性和可用性。
第十九条 数据使用安全
本区公共管理和服务机构应做好数据访问控制,根据用户需求和角色,设置不同的访问权限。应当制定包括身份标识、鉴别鉴权、认证授权、操作流程和终端设备的公共数据访问权限管理制度,明确不同身份权限可接触的数据类型、级别和量级,采用技术手段严格限制对个人敏感数据和重要数据的操作权限。
涉及到个人敏感信息和重要数据使用时,应当采取单位内二次评估和授权,并做好数据脱敏与去标识化,对于敏感数据,在使用前进行脱敏处理,去除或替换关键信息。严格限制个人敏感信息和重要数据批量修改、复制、下载等重要操作权限,采用技术手段防止个人敏感信息和重要数据通过截屏、复制等方式泄露。因工作需要处理公共数据的业务人员,应严格遵守工作纪律和本单位信息安全制度,依照法律、行政法规及相关工作制度规范明确的权限、程序处理公共数据。
在数据使用过程中记录并保存数据使用日志,确保所有数据操作行为可管可控并保证审计日志的完整性和真实性。
第二十条 数据共享安全
区大数据中心依托区大数据资源平台,建设统一的共享交换子平台,实现区内各单位之间的数据共享交换。本区公共管理和服务机构按照《上海市青浦区公共数据管理办法》要求,明确公共数据共享需求并经数据责任单位和区大数据中心必要的审核后,通过区大数据资源平台获取数据。
区大数据中心在数据共享过程中采用身份鉴别、访问控制等安全保障机制,确保获得授权的数据使用方访问共享数据。
区大数据中心在数据共享过程中,按照分级分类基本原则,提供内容加密、链路加密、数据脱敏、接口参数过滤和数字水印等安全能力,根据业务需要和数据提供部门要求进行使用。
区大数据中心在数据共享过程中记录并保存数据交换日志,确保所有数据操作行为可管可控并保证审计日志的完整性和真实性。
第二十一条 数据销毁安全
区大数据中心及本区公共管理和服务机构应落实安全可靠的数据销毁机制,确保以不可逆方式销毁敏感数据及其副本内容。在数据责任单位要求销毁或达到数据保存期限的情况下,区大数据中心评估并审核数据销毁的业务必要性,执行对区大数据资源平台中公共数据的销毁;本区公共管理和服务机构执行对获取并保存到本部门信息系统中的公共数据的销毁。进行销毁处理的同时应对数据销毁处理过程相关的操作进行记录,以满足安全审计的要求。
第四章 公共数据安全监督与责任追究
第二十二条 日常监督检查
区大数据中心应当建立健全公共数据安全工作日常监督检查机制,明确监督检查内容、重点、目标、方式和标准,对本区公共管理和服务机构、各项目外包服务提供商的公共数据安全管理工作进行日常监督。
监督检查结果应当与区委网信办、公安青浦分局之间互通和共享,发现存在问题的,应当及时开展督查整改。本区公共管理和服务机构应当进行整改,并反馈整改情况。
第二十三条 联合安全调查
有下列情形之一的,区委网信办、公安青浦分局和区大数据中心启动联合调查:
(一)发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击、遭到破坏;
(二)发生重大公共数据安全事件;
(三)公民、企业信息或重要公共数据泄露,造成重大影响或经济损失;
(四)国家、省、市公共数据主管部门通报的事件;
(五)其他需要调查的。
第二十四条 约谈整改
区委网信办、公安青浦分局和区大数据中心在履行公共数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关单位、个人进行约谈,并要求有关单位、个人采取措施进行整改,消除隐患。
第二十五条 责任追究
区大数据中心应会同区委网信办、公安青浦分局等部门,对于本区公共管理和服务机构不履行本办法规定的公共数据安全保护责任的,玩忽职守、滥用职权、徇私舞弊的,将对单位主要负责人和其他直接责任人员予以通报及相应处理。
本区公共管理和服务机构及其工作人员按照有关法律、法规、规章和本办法进行公共数据安全管理,并履行了监督管理职责和合理注意义务,由于难以预见或者难以避免的因素导致公共数据使用主体或者其他第三方损失的,对有关单位和个人不作负面评价,依法不承担或者免予承担相关责任。
第五章 附 则
第二十六条参照执行
运行经费由本区各级财政保障的其他机关、团体等部门及各区属公司在依法履行公共管理和服务职责过程中采集和产生的各类数据资源的安全管理,参照本办法执行。法律、法规另有规定的,从其规定。
第二十七条实施时间
本办法自印发之日起施行。