区委各部、委、办、局，区政府各委、办、局，各乡镇人民政府，各区直属企事业单位：

经研究，现将《崇明区公共数据安全管理细则（试行）》印发给你们，请认真参照执行。

附件：崇明区公共数据安全管理细则（试行）

上海市崇明区数据局

2025年7月3日  

附件

崇明区公共数据安全管理细则（试行）

第一章 总则

第一条  为规范本区公共数据处理活动，保障公共数据安全，促进公共数据开发利用，保护自然人、法人和非法人组织的数据权益，维护国家安全和社会公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《上海市数据条例》等法律、法规规定，结合本区实际，制定本细则。

第二条  在本区范围内开展的公共数据处理活动及其安全监管，适用本细则。法律、法规另有规定的，从其规定。

涉及国家秘密等的数据管理,按照国家相关保密法律、法规的规定执行。

第三条  公共数据，是指本区各级行政机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的组织，在履行公共管理和服务职责过程中收集和产生的数据。

公共数据安全管理，是指为防范公共数据被攻击、破坏、泄露、窃取、篡改、非法使用等风险，通过采取监测、防御、处置和监管等措施，保障公共数据处于安全可控状态的活动。

公共数据安全管理应当贯穿于公共数据的收集、归集、治理、登记、共享、开放、应用、授权运营等生命周期全过程。

第四条  本区公共数据安全坚持“积极防御、综合防范”的原则，建立健全本区公共数据安全协调治理体系，坚持安全与发展并重、管理和技术兼顾，实行统筹协调、分级管理、分工负责。公共数据安全应当与数字化项目同步规划、同步建设、同步运行、同步发展。

第五条  区数据局是本区公共数据安全管理工作的主管部门，统筹全区公共数据安全保障体系建设，负责全区公共数据安全监督管理工作。区委网信办、区公安分局、区保密局在各自职责范围内承担公共数据安全管理职责。

区级行政机关、直属事业单位、乡镇人民政府作为数据安全责任单位，应当履行本行业、本领域、本区域公共数据安全管理主体责任，保障持有、使用的公共数据安全。

第二章 基本管理要求

第六条  数据安全责任单位应当建立本单位数据安全体系、管理机制和工作规范，明确数据安全负责人和管理机构，加强本单位公共数据安全管理日常工作。

第七条  数据安全责任单位应当按照关键数字基础设施保护、网络安全等级保护、安全保密防控等要求，根据公共数据在经济社会发展中的重要程度以及发生公共数据安全时的危害程度，参照《TC260-PG-202112A 网络安全标准实践指南-网络数据分类分级指引》《DB31/T 1446-2023 公共数据安全分级指南》《上海市公共数据安全分级指南》等标准规范对公共数据实行分类分级，并通过管理和技术手段，提高防病毒、防攻击、防篡改、防泄露、防窃取等防护能力。

第八条  数据安全责任单位应当结合公共数据全生命周期制定完善数据安全管控策略，采取身份认证、授权访问、入侵防范、数据脱敏、数据加密、隐私计算、安全审计等各类技术对公共数据进行有效管控，防止未经授权查询、复制、修改、存储或传输数据。

第九条  数据安全责任单位开展公共数据处理活动时，应当加强数据安全风险监测，定期开展安全风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的数据种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

评估中发现公共数据存在安全缺陷、安全漏洞等风险时，应当立即采取补救措施。

第十条  数据安全责任单位应当建立公共数据安全应急管理机制，制定公共数据应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，修订完善应急预案。

第十一条  数据安全责任单位在发生公共数据安全事件时，应当根据具体情况，立即报告区委网信办、区数据局、区公安分局、区保密局，依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会公布与公众有关的警示信息。

第十二条  区数据局定期对数据安全责任单位开展数据安全意识、数据安全管理和数据安全技能等方面的培训。

数据安全责任单位应当定期组织开展公共数据安全培训，持续提升本单位工作人员数据安全意识和数据安全管理能力。

第十三条  数据安全责任单位通过委托方式开展数字化项目建设、运维，或者开展公共数据处理活动的，应当在合同签订前对受托方及其工作人员进行背景调查。受托方应当具备履行法律法规、落实制度标准、确保数据安全的能力，并建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度流程和技术防护措施。

数据安全责任单位应当与通过背景审查的受托方及其所属人员签订公共数据安全保护和保密协议，要求受托方及其所属人员按照法律法规规定和合同约定开展公共数据处理活动，履行公共数据安全保护义务。数据安全责任单位的公共数据安全责任不因委托而发生转移，各方应当共同承担公共数据安全责任。

数据安全责任单位委托他人建设、维护信息系统，存储、加工公共数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

数据安全责任单位应当安排受托方及其人员在指定地点开展公共数据处理活动，对受托方所有数据操作行为进行严格监督。

严禁数据安全责任单位以项目测试验证为名或双方还未签订正式项目合同的情况下，要求受托方开展数据处理工作。

第三章 全生命周期管理要求

第十四条  数据安全责任单位应当明确收集公共数据的目的和用途，遵循目的正当、需求必要、方式合法、最小够用的原则，按照数据收集规范要求，在公共数据资源目录范围内收集公共数据。

数据安全责任单位在数据收集过程中，应当对公共数据收集的物理环境、技术工具等采取必要的安全管控措施，确保数据收集的准确性、完整性、可靠性和及时性，保证在收集过程中的数据不被泄露。严禁利用私人设备开展收集操作。

数据安全责任单位应当对收集的公共数据进行数据分级管理，添加必要的安全标识信息，并可进行溯源管理。

收集个人信息时，应当征得该自然人或者其监护人同意，法律法规另有规定的除外；明确数据收集过程中个人信息和重要数据的知悉范围和安全管控措施，记录并保存数据收集过程中个人信息和重要数据的操作过程。

收集个人敏感信息时，应当获得被收集人的明示同意，提供有效的可替代选项和申诉机制，采取必要管理措施和技术手段保证被收集人能够终止收集行为，并删除已被收集信息，法律法规另有规定的除外。

数据安全责任单位可通过共享方式获得的数据不得重复收集。

第十五条  公共数据归集过程中，应制定完善的访问控制策略，采取必要的安全管控措施，确保归集传输过程中的可信、可控。数据安全责任单位应当安排人员负责本部门对接区大数据平台的公共数据安全工作，将本部门待归集数据按照公共数据目录推送至区大数据资源平台。除有特殊情况或具体规定外，严禁使用个人终端、移动存储介质等电子设备传输敏感公共数据。

第十六条  数据安全责任单位应当建立本单位公共数据存储、备份与恢复机制，确保公共数据存储的安全性和可用性。本区公共数据应当在境内存储。

除有特殊情况或具体规定外，严禁使用个人终端、移动存储介质等电子设备存储敏感公共数据。

第十七条  本区依托区大数据平台，建设统一的数据治理子平台，对已归集的公共数据开展数据治理。

数据安全责任单位在数据处理过程中应当确保开发环境、软件平台、人员场地的可管可控，保证数据处理日志的完整性和真实性。在获取公共数据后，严禁在测试环境内使用原始敏感数据进行开发测试。

第十八条  本区依托区大数据平台，建设统一的共享交换子平台，实现区内各单位之间的数据共享交换。

数据安全责任单位在明确公共数据共享需求，经区数据局、数据提供单位审核并报备后，可通过区大数据平台以安全的方式获取数据。

因工作需要接触、处理公共数据的数据安全责任单位业务人员，应当严格遵守工作纪律和本单位数据安全制度，依照法律法规及相关工作制度、规范所明确的权限、流程处理公共数据。

第十九条  数据安全责任单位应当落实安全可靠的数据销毁机制，确保以不可逆的方式销毁敏感数据及其副本内容。数据安全责任单位要求销毁或达到数据保存期限的情况下，经评估审核后，执行对区大数据平台中公共数据的销毁；对已获取并留存到本单位信息系统中的公共数据，由数据安全责任单位按要求销毁。进行销毁处理的同时应当对数据销毁处理过程相关的操作进行记录。

第四章 安全监督

第二十条  数据安全责任单位应当建立健全公共数据安全工作日常监督检查机制，明确监督检查内容、重点、目标、方式和标准，对本单位及数字化项目受托方的公共数据安全管理工作进行日常监督。

监督检查发现存在问题的，应当根据具体情况，及时报告区委网信办、区数据局、区公安分局、区保密局，并开展闭环整改。

第二十一条  区委网信办、区数据局、区公安分局和区保密局在履行公共数据安全监管职责中，发现数据处理活动存在较大以上安全风险的，可以按照规定的权限和程序对有关单位、个人进行约谈，并要求有关单位、个人采取措施进行整改，消除隐患。

第二十二条  有下列情形之一的，区委网信办、区数据局、区公安分局和区保密局启动联合调查：

（一）发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击、遭到破坏；

（二）发生重大公共数据安全事件；

（三）公民、企业信息或重要公共数据泄露，造成重大影响或经济损失；

（四）国家、市公共数据主管部门通报的事件；

（五）其他需要调查的事项。

第二十三条  数据安全责任单位不履行本细则规定的公共数据安全保护责任的，玩忽职守、滥用职权的，依法依规追究相关单位及人员责任。

第五章 附则

第二十四条  区直属企业等相关单位在依法履行公共管理和服务职责过程中收集和产生的各类数据，参照本细则执行。

第二十五条  本细则自印发之日起施行，有效期两年。