湖州市人民政府关于印发湖州市公共数据安全管理暂行办法的通知

湖政发〔2020〕17号

USHUI.NET^®提示：根据《 湖州市人民政府关于公布行政规范性文件评估清理结果的通知》 （ 湖政发〔2022〕21号）规定，继续有效

USHUI.NET^®提示：根据《 湖州市人民政府关于废止和修改部分市政府及市政府办公室行政规范性文件的通知》 （ 湖政发〔2024〕13号）规定，第三十六条的“外包服务造成重大影响或经济损失等数据安全管理事故的，被委托单位五年内不得承接本市公共数据建设和服务项目；不符合国家及本办法有关规定、本市公共数据安全管理规范和技术标准的，系统或者服务不得通过验收和上线；构成犯罪的，移送司法部门依法追究刑事责任。服务委托单位承担外包服务监管责任。”修改为“外包服务不符合国家及本办法有关规定，本市公共数据安全管理规范和技术标准的，系统或者服务不得通过验收和上线；构成犯罪的，移送司法部门依法追究刑事责任，服务委托单位承担外包服务监管责任。”

USHUI.NET^®提示：根据《 湖州市人民政府关于公布行政规范性文件评估清理结果的通知》 （ 湖政发〔2025〕3号）规定，继续有效。

各区县人民政府，市府各部门，市直各单位：

《湖州市公共数据安全管理暂行办法》已经市政府同意，现印发给你们，请认真贯彻执行。


湖州市人民政府

2020年12月21日


第一章  总则

第一条  为维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，加强湖州市公共数据安全管理，建立健全公共数据安全保障体系，防止发生公共数据安全事件，促进湖州市公共数据整合应用，提升政府治理能力和公共服务水平，依据《中华人民共和国网络安全法》《浙江省公共数据和电子政务管理办法》《浙江省政务数据安全管理办法》《浙江省公共数据开放与安全管理暂行办法》等法律法规和有关规定，结合本市实际情况，制定本办法。

第二条  本市行政区域内非涉密公共数据的规划、建设、运维、应用、安全保障和监督考核等活动，适用本办法。国家和省法律法规规章另有规定的，从其规定。

本市各级行政机关以及履行公共管理和服务职能的事业单位（以下统称公共数据安全责任单位）开展公共数据采集、传输、存储、共享、开放和销毁等活动，以及公共数据安全保障和监督管理，适用本办法。

涉及国家秘密的公共数据安全管理工作，按照相关保密法律法规执行。

第三条  本办法所称公共数据，是指本市各级行政机关以及履行公共管理和服务职能的事业单位，在依法履职过程中获得的各类数据资源。

本办法所称个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

本办法所称公共数据安全管理，是指为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险，通过采取监测、防御、处置和监管等措施，保障公共数据全生命周期处于安全可控状态的活动。

第四条  公共数据安全采取"积极防御、综合防范"的方针，坚持保障公共数据安全与促进应用发展相协调、管理与技术统筹兼顾的原则，实行统一协调、分级管理、分工负责。公共数据安全和信息化工作应当同步规划、同步建设、同步运行、同步发展。

第五条  市级公共数据主管部门负责统筹推进全市公共数据安全保障体系建设，完善数据安全管理制度和技术支撑体系，会同市级相关部门制定公共数据安全管理制度和标准规范，指导各单位开展公共数据安全工作，组织公共数据安全监督检查。

市、区县网信、公安、保密、密码管理等部门按照各自职责做好公共数据安全的监督管理工作。

区县公共数据主管部门负责辖区内公共数据安全管理工作，监督指导辖区内各公共数据安全责任单位开展公共数据安全管理工作，承办省、市公共数据主管部门交办的各项公共数据安全管理工作。采取技术措施和其他必要措施，保障区县级公共数据安全，有效应对公共数据安全事件。

各公共数据安全责任单位应当贯彻执行国家、省、市公共数据安全法律法规和政策要求，依照本办法建立健全本单位公共数据安全管理制度和工作规范，落实公共数据安全责任制。

第六条  本市鼓励企业、科研机构参与制订数据安全保护相关的行业标准,建立行业自律体系。

本市鼓励高等院校、科研院所和重点企业积极开展在公共数据安全领域的合作交流，重点突破公共数据资源共享、开放和应用安全的技术瓶颈，特别是区块链、人工智能等技术攻关，促进本市数据安全技术创新和认知水平的整体提升。

鼓励企业、行业协会和其他组织在遵循本管理办法要求的基础上提供各类数据服务及应用，特别是基于大数据、云计算、物联网等示范应用，大力推进生态工业、生态农业和生态旅游业的发展。

第二章  数据安全管理基本要求

第七条  各公共数据安全责任单位应当建立本单位公共数据安全管理领导小组，并由单位主要负责人担任领导小组组长，相关科室主要负责人和信息化管理部门负责人担任组员，落实数据安全管理岗位职责，并保障安全经费。

第八条  各公共数据安全责任单位要按照关键信息基础设施保护、网络安全等级保护等要求，根据数据对政治、经济和公共利益的影响、重要程度以及发生事件的危害程度进行分级分类，从技术和管理等各个层面制定实施数据安全管理制度、规程、安全策略，提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。

第九条  各公共数据安全责任单位应当建立应用信息系统和公共数据资产管理制度，实行资产登记，编制资产清单，明确资产管理责任部门与人员，定期对资产进行一致性检查并保留检查记录。

各公共数据安全责任单位要结合数据生命周期制定完善数据安全管控策略，采取身份认证、授权访问、入侵防范、数据脱敏、加密、隐私计算、安全审计等技术对数据进行有效管控，防止未经授权查询、复制、修改、存储或传输数据。

第十条  各公共数据安全责任单位在选择外部公共信息基础设施时，要按照法律法规规定，选择符合安全保护等级要求的公共基础设施。选择存储载体时，要选择安全性能、防护级别与数据安全等级相匹配的存储载体，并且依法依规进行管理和维护。不得在非涉密计算机及相关设备上存储、 传输、 处理涉密信息。

第十一条  各公共数据安全责任单位应当履行下列职责：

（一）建立公共数据安全应急管理制度，指定应急工作管理机构，负责应急管理工作；

（二）制定公共数据安全事件应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，补充修订应急预案；

（三）根据实际需求与当地线路运营商、电力、公安等部门建立应急协调机制，及时处理由网络中断、电力供应和非法攻击行为等引发的数据安全事件。

第十二条  各公共数据安全责任单位在发生公共数据安全事件时，应当立即启动应急响应，采取补救措施并保存相关记录，按规定向本级公共数据主管部门、网信部门、公安部门报告。区、县级以上公共数据安全主管单位应当联合网信、公安等部门指导事发单位做好应急处置工作，并报上级主管部门。

第十三条  各公共数据安全责任单位应当建立公共数据安全培训制度，并定期开展公共数据安全专项培训。培训计划和培训内容应具有针对性，应实现分阶段的对不同岗位的工作人员进行必要的数据安全意识、数据安全管理和数据安全技能等方面的培训。

第十四条  各公共数据安全责任单位应按照国家法律法规、省、市公共数据主管部门的要求，定期自行或委托具备专业安全服务资质的第三方单位开展公共数据的安全风险评估、测试和整改活动，定期开展重要公共数据资产如单位前置机、数据库等安全测试、风险评估和应急演练工作，夯实风险控制的基线。

第十五条  各公共数据安全责任单位应当对单位内承载公共数据的关键信息基础设施严格按照国家网络安全等级保护制度要求开展工作。

第十六条  公共数据安全责任单位在委托第三方机构开展数据服务时， 应严格按照《浙江省信息技术服务外包网络安全管理办法》执行。委托单位与受托单位共同承担公共数据安全管理责任。安全管理责任不随服务外包而外包，且应与服务第三方签订标准合同协议，明确服务第三方的责任和义务。

各公共数据安全责任单位采购涉及公共数据的产品和服务的，应当在与服务商签订的采购合同中明确服务商的公共数据安全保障义务，服务商在提供服务过程中获取的公共数据，不得用于与提供服务无关的用途。

第三章  数据生命周期安全管理要求

第十七条  各公共数据安全责任单位应当结合数据生命周期制定完善的数据安全管控策略，严格做好数据采集、数据传输、数据存储、数据处理使用、数据共享交换、数据销毁等各个阶段安全保障工作。

第十八条  市级公共数据主管部门应当牵头制定公共数据分级相关规范。各公共数据安全责任单位应当根据相关规范与业务属性要求，考虑数据遭破坏、非法使用或泄露后可能造成的危害程度，对公共数据进行分级管理。

第十九条 各公共数据安全责任单位在数据采集过程中，应当明确采集方法、途径、范围、数量和频度。不得采集与其履行职责无关的个人信息，不得违反法律、行政法规的规定采集个人信息。开展新的数据采集过程前需对采集的数据源、频度、渠道方式和类型自行开展数据安全风险评估，确保数据在采集过程中不会泄露。并对数据采集、授权过程实现完整的日志记录，确保每个采集步骤能够追溯。

第二十条  在数据采集、共享交换、开放等数据传输环节中，各公共数据安全责任单位应当确保数据传输过程中的防泄漏机制的可靠性与完善性、采用先进的加密技术对传输过程中的数据进行加密，确保数据传输过程的可信、可控。

各公共数据安全责任单位应当对关键的网络传输链路、网络设备节点实行冗余建设，保证数据传输可靠性和网络传输服务可用性。各公共数据安全责任单位数据安全管理人员应对数据传输安全策略的变更进行审核和监控，包括对通道安全配置、密码算法配置、密钥管理等保护措施的审核及监控。

第二十一条  各公共数据安全责任单位在选择公共数据存储设施时应当按照法律法规的要求，选择符合等级保护及《关键信息基础设施安全保护条例》要求的公共数据存储设施，并进行相应等级的合规建设，不得在非涉密存储设施上存储涉密信息。

各公共数据安全责任单位应当制定公共数据存储备份和恢复策略，落实相应等级的灾备措施，定期进行灾难恢复演练。

第二十二条  公共数据共享应当遵循"共享为原则、不共享为例外"的原则，通过共享平台实现在本市跨层级、跨地域、跨系统、跨部门、跨业务统筹共享和无偿使用。各政务部门应当维护数据的完整性、可用性，不得制造数据共享交换壁垒。

各公共数据安全责任单位要组织力量对本单位、本行业公共数据资源目录进行全量梳理，并按照《湖州市公共数据管理办法》将公共数据按照共享属性分为无条件共享类、 受限共享类和非共享类上架到湖州市城市数字大脑公共数据服务管理平台。原则上不允许数据供需双方直接进行公共数据的交换和共享，原直接共享数据的业务系统，应逐步向该平台迁移，达到所有公共数据通过一个平台实现在本市跨层级、跨地域、跨系统、跨部门、跨业务的统筹共享。

第二十三条  数据使用单位在对获取到的共享数据开发和测试过程中应当遵循最小范围原则，明确数据开发和测试场景对数据使用和数据范围的需求。需要对公共数据进行运营和应用开发的单位，需要基于不同使用场景进行数据的脱敏工作，明确数据脱敏的范围与方式，再选择合适的数据脱敏机制进行数据脱敏。

在数据的使用和处理过程当中，因数据碰撞、综合关联分析等原因可能产生涉密数据的，各级公共数据管理部门需要进行充分评估后批复使用，数据使用单位也可提前自行检查或委托符合安全服务资质条件的机构协助评估。

第二十四条  在公共数据的共享交换过程中，数据提供方和数据使用方应当签订数据安全保护协议，明确数据内容、用途、事项和期限，双方权利和义务等，严禁数据非授权、非必要利用。

第二十五条  各级公共数据主管部门应当对数据共享和交换的所有操作和行为进行日志记录和监管，并对高危行为进行风险识别。在安全事件发生后，能通过安全日志快速进行回溯分析。同时利用数据水印技术确保数据完整性，并实现数据流向跟踪和溯源。

第二十六条  各级公共数据主管部门应当根据《浙江省公共数据开放与安全管理暂行办法》要求，编制公共数据开放目录，并采用直报、数据接口等形式，通过湖州市公共数据开放平台统一向公民、法人和其他组织开放政务数据，提供无偿服务。

各公共数据安全责任单位开放本部门公共数据，应当遵守保守秘密、政府信息公开等法律、法规的规定，并按照数据安全、隐私保护和使用需求等确定本单位公共数据的开放范围。

第二十七条  各公共数据安全责任单位应当按照国家法律法规的要求做好数据归档工作，制定数据清理策略和过期数据清理机制，对于需要依法销毁的数据，相关单位应当采取必要措施予以销毁并对销毁过程进行记录和备案。

第二十八条  各级公共数据主管部门应当按照相关法律法规规定，制定并落实安全管理制度，采取加密、脱敏、备份、审计等措施，遵循合法、正当、必要的原则，加强对个人信息收集、存储、使用和开放的保护。