区政府各委、办、局，各街道办事处、镇政府：

《上海市普陀区公共数据安全管理暂行办法》已经2021年8月20日区政府第124次常务会议审议通过，现予印发。

上海市普陀区人民政府办公室

2021年8月24日

上海市普陀区公共数据安全管理暂行办法

第一章  总  则

第一条  目的和依据

为规范本区公共数据处理活动，保障公共数据安全，促进公共数据开发利用，保护自然人、法人和非法人组织的数据权益，维护国家安全和社会公共利益，根据《中华人民共和国数据安全法》等法律、法规规定，结合本区实际，制定本办法。

第二条  适用范围

在本区行政区域内开展的公共数据处理活动及其安全监管，适用本办法。法律、法规另有规定的，从其规定。

涉及国家秘密的公共数据处理活动，按照有关保密法律、法规执行。

第三条  定义

本办法所称的公共数据，是指本区各级行政机关以及履行公共管理和服务职能的事业单位（以下统称“区各职能单位”）在依法履职过程中，采集和产生的各类数据，包括但不限于业务数据、视频数据、物联数据、地图数据等。

本办法所称的公共数据处理，是指公共数据的收集、存储、使用、加工、传输、共享、开放、流通等行为。

本办法所称的公共数据安全管理，是指为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险，通过采取监测、防御、处置和监管等措施，保障公共数据全生命周期处于安全可控状态的活动。公共数据全生命周期包括数据采集、归集、传输、存储、共享、销毁等阶段。

第四条  管理原则

本区公共数据安全坚持“积极防御、综合防范”的原则，建立健全公共数据安全协调治理体系，坚持安全与发展并重、管理与技术兼顾，实行统筹协调、分级管理、分工负责。公共数据安全应与信息化项目同步规划、同步建设、同步运行、同步发展。

第五条  职责分工

区府办是本区公共数据安全管理工作的主管部门，负责统筹规划、综合协调全区公共数据安全管理工作。区府办委托区大数据中心监督指导区各职能单位开展公共数据安全保障工作；落实市级公共数据主管部门交办的各项公共数据安全管理工作；采取必要的技术措施和管理手段，保障区大数据平台及其存储、加工的公共数据安全。

区委网信办负责统筹协调本区网络数据安全和相关监管工作。

区公安分局、区安全分局依照有关法律、法规规定，在各自职责范围内承担公共数据安全监管职责。

区各职能单位应当贯彻执行公共数据安全法律法规和政策要求，依照本办法建立健全本单位公共数据安全管理制度和工作规范，落实公共数据安全责任制，保障持有、使用的公共数据安全。

第二章  公共数据安全基本管理要求

第六条  成立领导小组

区各职能单位应当建立本单位公共数据安全管理领导小组，由单位主要负责人担任领导小组组长，并指定分管领导和数据管理员，落实本单位公共数据安全管理日常工作。

第七条  数据分级分类

区各职能单位应按照关键信息基础设施保护、网络安全等级保护等要求，根据公共数据在经济社会发展中的重要程度以及发生公共数据安全事件的危害程度，对公共数据实行分类分级，并通过管理和技术手段，提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。

第八条  技术保护措施

区各职能单位应结合公共数据全生命周期制定完善数据安全管控策略，采取身份认证、授权访问、入侵防范、数据脱敏、数据加密、隐私计算、安全审计等各类技术对公共数据进行有效管控，防止未经授权查询、复制、修改、存储或传输数据。

第九条  数据风险监测

区各职能单位开展公共数据处理活动时，应当加强数据安全风险监测，发现公共数据存在安全缺陷、安全漏洞等风险时，应当立即采取补救措施。

区大数据中心应当对数据共享和交换的所有操作和行为进行日志记录和监管，并对高危行为进行风险识别。在公共数据安全事件发生后，能够通过安全日志快速进行回溯分析。同时利用数据水印等技术确保数据完整性，并实现数据流向跟踪和溯源。

第十条  数据应急演练

区各职能单位应当建立公共数据安全应急管理制度，制定公共数据应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，修订完善应急预案。

第十一条  数据应急处置

区各职能单位在发生公共数据安全事件时，应当立即报告区委网信办、区公安分局、区大数据中心，依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会公布与公众有关的警示信息。

第十二条  数据安全培训

区各职能单位应结合本单位实际，定期组织开展具有针对性的公共数据安全培训，不断提升本单位工作人员数据安全意识。

区大数据中心应当建立公共数据安全培训制度，定期对区各职能单位、各项目外包服务提供商等开展数据安全意识、数据安全管理和数据安全技能等方面的培训。

第十三条  数据风险评估

区各职能单位应对本单位开展的公共数据处理活动定期开展风险评估，并向区大数据中心报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展公共数据处理活动的情况，面临的公共数据安全风险及其应对措施等。

区大数据中心可以委托第三方专业机构，围绕公共数据安全防护能力、安全责任落实情况等，对全区公共数据安全工作开展风险评估。

第十四条  外包服务提供商安全监管

区各职能部门通过服务外包形式开展信息化项目建设、运维，或者开展公共数据处理活动的，应当在合同签定前对外包服务提供商及其工作人员进行背景审查，要求外包服务提供商应当具备履行法律法规、落实制度标准、确保数据安全的能力，并建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度流程和技术防护措施。

区各职能部门应与通过背景审查的外包服务提供商签订公共数据安全保护和保密协议，要求外包服务提供商应当按照法律法规规定和合同约定开展公共数据处理活动，履行公共数据安全保护义务。区各职能部门的公共数据安全责任不因服务外包而发生转移，双方应共同承担公共数据安全责任。

区各职能部门应安排外包服务提供商在指定地点开展公共数据处理活动，区各职能部门应对外包服务提供商所有数据操作行为进行严格监督，并定期审计操作日志。

区各职能部门应监督外包服务提供商不得在提供服务过程中将获取的公共数据用于与提供服务无关的用途，不得擅自留存、使用、泄露或者向他人提供公共数据。对造成公共数据安全事故的外包服务提供商，限制后续承接本区信息化项目；构成违法犯罪的，移送司法部门依法追究法律责任。

严格禁止区各职能部门允许外包服务提供商以项目测试验证形式或未签定正式项目合同，开展公共数据处理活动。

第三章  公共数据全生命周期安全管理要求

第十五条  数据采集安全

区各职能单位应当明确采集公共数据的目的和用途，采集行为遵循目的正当、需求必要、方式合法、最小够用的原则，按照数据采集规范要求，在公共数据资源目录范围内采集公共数据，不得过度采集。

区各职能单位在数据采集过程中，应当对公共数据采集的物理环境、技术工具等采取必要的安全管控措施，确保数据采集的准确性、完整性、可靠性和及时性。保证在采集过程中的数据不被泄露。在公共场所设置采集公共数据采集设施时，应当设置明显标识。

区各职能单位应当对采集的公共数据进行数据分级管理，添加必要的安全标识信息，并可进行溯源管理。

区各职能单位在采集个人信息时，应当征得该自然人或者其监护人同意，法律法规另有规定的除外。

区各职能单位应当按照国家相关法律法规要求制定和公示相关隐私政策和管理措施，明确个人信息采集的目的、种类、数量、频度、方式、范围等要素，法律法规另有规定的除外。

区各职能单位在采集个人敏感信息时，应当获得采集人的明示同意，提供有效的可替代选项和申诉机制，采取必要管理措施和技术手段保证被采集人能够终止采集行为，并删除已被采集信息，法律法规另有规定的除外。

第十六条  数据归集安全

区大数据中心在进行数据归集过程中，应当对公共数据归集的物理环境、技术工具等采取必要的安全管控措施，确保数据归集的准确性、完整性、可靠性和及时性。保证在归集过程中的数据不被泄露。

区大数据中心在数据归集过程中落实身份鉴别、数据源认证等安全机制保障共享数据来源的真实性，制定完善的访问控制策略，在数据归集过程中严格规范不同等级用户在区大数据平台的权限，防止未经授权查询、修改和传输数据。

区大数据中心在数据归集过程中提供内容加密、链路加密、数据脱敏等安全措施能力，根据业务需要和数据责任单位需求提供使用。在数据归集过程中记录并保持数据交换日志，做到所有数据操作行为可管可控，确保审计日志的完整性和真实性。

第十七条  数据传输安全

区各职能单位应当制定并执行本单位公共数据安全传输策略和规程，评估公共数据传输可能存在的安全风险，明确不同级别公共数据传输的安全要求，采取满足传输安全策略和公共数据安全等级的安全控制措施，确保公共数据传输的安全性和可靠性。

涉及到个人敏感信息和重要数据传输时，应当采取单位内二次评估和授权，严格限制个人敏感信息和重要数据批量修改、复制、下载等重要操作权限，采用技术手段防止个人敏感信息和重要数据通过截屏、复制等方式泄露。

区各职能单位应当建立健全公共数据传输的安全评估机制并保持更新，对传输介质、加密算法、密码秘钥等传输安全工具应定期进行有效性和安全性评估。

第十八条  数据存储安全

区各职能单位应当制定并执行本单位公共数据存储策略和规程，明确数据备份与恢复操作过程规范。应当根据公共数据安全等级采取相应的管控措施，不同安全等级的公共数据应当分开存储，并采取必要的加密存储、身份鉴别和访问控制措施，确保公共数据存储的安全性和可用性。

区各职能单位应当制定包括身份标识、鉴别鉴权、认证授权、操作流程和终端设备的公共数据访问权限管理制度，明确不同身份权限可接触的数据类型、级别和量级，采用技术手段严格限制对个人敏感数据和重要数据的操作权限。

第十九条  数据共享安全

区大数据中心依托区大数据平台，建设统一的共享交换子平台，实现区内各单位之间的数据共享交换。

区各职能单位按照《上海市普陀区公共数据管理办法》要求，明确公共数据共享需求并经数据责任单位和区大数据中心必要的审核后，通过区大数据平台获取数据。

区大数据中心在数据共享过程中采用身份鉴别、访问控制等安全保障机制，确保获得授权的数据使用方访问共享数据。

区大数据中心在数据共享过程中，按照分级分类基本原则，提供内容加密、链路加密、数据脱敏、接口参数过滤和数字水印等安全能力，根据业务需要和数据提供部门要求进行使用。

区大数据中心在数据共享过程中记录并保存数据交换日志，确保所有数据操作行为可管可控并保证审计日志的完整性和真实性。因工作需要处理公共数据的业务人员，应严格遵守工作纪律和本单位信息安全制度，依照法律、行政法规及相关工作制度规范明确的权限、程序处理公共数据。

第二十条  数据销毁安全

区大数据中心及区各职能单位应落实安全可靠的数据销毁机制，确保以不可逆方式销毁敏感数据及其副本内容。在数据责任单位要求销毁或达到数据保存期限的情况下，区大数据中心评估并审核数据销毁的业务必要性，执行对区大数据平台中公共数据的销毁；区各职能单位执行对获取并保存到本部门信息系统中的公共数据的销毁。进行销毁处理的同时应对数据销毁处理过程相关的操作进行记录，以满足安全审计的要求。

第四章  公共数据安全监督与责任追究

第二十一条  日常监督检查

区大数据中心应当建立健全公共数据安全工作日常监督检查机制，明确监督检查内容、重点、目标、方式和标准，对区各职能单位、各项目外包服务提供商的公共数据安全管理工作进行日常监督。

监督检查结果应当与区委网信办、区公安分局之间互通和共享，发现存在问题的，应当及时开展督查整改。各职能单位应当进行整改，并反馈整改情况。

第二十二条  联合安全调查

有下列情形之一的，区委网信办、区公安分局、区安全分局和区大数据中心启动联合调查：

（一）发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击、遭到破坏；

（二）发生重大公共数据安全事件；

（三）公民、企业信息或重要公共数据泄露，造成重大影响或经济损失；

（四）国家、省、市公共数据主管部门通报的事件；

（五）其他需要调查的。

第二十三条  约谈整改

区委网信办、区公安分局、区安全分局和区大数据中心在履行公共数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关单位、个人进行约谈，并要求有关单位、个人采取措施进行整改，消除隐患。

第二十四条  责任追究

区各职能单位不履行本办法规定的公共数据安全保护责任的，玩忽职守、滥用职权、徇私舞弊的，对本单位主要负责人和其他直接责任人员依法给予处分。

第五章  附  则

第二十五条  参照执行

区管企业的公共数据安全管理参照本办法执行。

第二十六条  实施时间

本办法自印发之日起施行。

相关附件
• 普府办〔2021〕35号.pdf

相关稿件：
• 图解：上海市普陀区公共数据安全管理暂行办法