海南省人民政府辦公廳關于印發海南省公共信息資源安全使用管理辦法的通知

海南省人民政府辦公廳關于印發
海南省公共信息資源安全使用管理辦法的通知

各市、縣、自治縣人民政府，省政府直屬各單位：

《海南省公共信息資源安全使用管理辦法》已經省政府同意，現印發給你們，請認真貫徹執行。

海南省人民政府辦公廳

2019年7月22日

(此件主動公開)

海南省公共信息資源安全使用管理辦法

第一章 總 則

第一條 為規范和促進海南省公共信息資源共享和開放，保障共享和開放安全有序，更好地發揮數據價值，提升政府治理能力和公共服務水平，依據《中華人民共和國網絡安全法》、《國務院關于印發政務信息資源共享管理暫行辦法的通知》(國發〔2016〕51號)、《國務院辦公廳關于印發政務信息系統整合共享實施方案的通知》(國辦發〔2017〕39號)和《海南省信息化條例》、《海南省公共信息資源管理辦法》等規定，結合本省實際，制定本辦法。

第二條 公共信息資源安全使用管理是指公共信息資源共享、開放等活動中，為防范公共信息資源遭受攻擊、泄露、竊取、篡改、毀損、非法使用等風險，所采取的監測、防御、處置和監管等管理策略和技術措施。

第三條 本辦法用于規范在本行政區域內履職或開展生產經營活動的公共機構共享、開放和使用公共信息資源的行為。社會組織及個人使用開放數據適用本辦法。

涉及國家秘密的數據活動，按國家相關保密法律法規的有關規定執行。

第四條 公共信息資源共享交換應當通過省電子政務信息共享交換平臺進行共享交換，公共信息資源開放應當通過省政府數據開放平臺向社會統一開放。

公共機構在共享、開放和使用公共信息資源過程中, 應當遵循制度約束和技術支撐并重原則，將安全使用管理要求落到實處，建立并不斷完善相應的長效機制，提高數據安全管理水平和技術能力。對敏感數據應當采取相應措施進行保護。

實施公共信息資源安全使用管理，應當遵循全覆蓋原則，覆蓋信息資源提供方、使用方、平臺管理方和監管方等相關責任主體，覆蓋公共信息資源提供、使用、共享、開放、召回等關鍵環節，覆蓋公共機構共享、開放和使用的所有公共信息資源。

第二章 信息資源主體

第五條 公共信息資源安全使用管理涉及信息資源提供方(以下簡稱提供方)、信息資源使用方(以下簡稱使用方)、共享與開放平臺管理方(以下簡稱平臺管理方)和監管方四類主體。

提供方是指提供公共信息資源共享、開放服務的公共機構;使用方是指獲取、處理并利用共享、開放數據的公共機構，也包括獲取、處理并利用開放數據的社會組織及個人;平臺管理方是指為提供方和使用方提供公共信息資源共享、開放業務支撐的信息資源管理機構;監管方是指依照法律法規和政策文件的要求對公共信息資源共享、開放安全管理實施監督審查和指導的管理部門。

第六條 省網信部門和省信息化主管部門在職責范圍內對全省公共信息資源安全使用工作進行指導和監督。省大數據管理機構負責全省公共信息資源安全使用管理工作，負責全省公共信息資源目錄、數據分類分級、敏感數據脫敏和銷毀等數據安全管理工作。公共機構負責本機構的公共信息資源安全使用管理工作。各市縣政府要加強對本轄區公共信息資源安全使用管理工作。

第七條 公共機構應當明確公共信息資源共享、開放數據安全相關責任人，指定專人負責本單位數據安全審計工作。各公共機構應建立數據安全使用管理責任制度，發現數據安全重大風險或事故，應及時報告省信息化主管部門、省網信部門和平臺管理方，并積極配合處理。

第八條 公共機構應切實加強本單位公共信息資源的分類和分級工作，并采取相應的安全防護措施。公共信息資源分類方法參照《國家發展改革委 中央網信辦關于印發〈政務信息資源目錄編制指南(試行)〉的通知》(發改高技〔2017〕1272號)。公共信息資源分級應根據業務屬性要求，在共享、開放中考慮數據在被破壞、非法使用或泄露后對個人及企業權益、社會公共利益、國家安全可能造成的危害程度進行分級，界定數據敏感屬性。

具體分級方法及安全防護策略參見附件。

第三章 信息資源提供

第九條 提供方應當制定公共信息資源共享和開放計劃，實行目錄管理制度，做好本部門公共信息資源共享和開放目錄登記、審核、發布、更新等工作的管理，確保目錄內容的完整性、邏輯的一致性、命名的規范性。

第十條 公共信息資源共享、開放實行發布注冊制度，提供方應將經審核確認的公共信息資源共享目錄通過省電子政務信息共享交換平臺進行發布注冊，開放數據通過省政府數據開放平臺進行發布注冊。注冊內容應包含信息資源名稱、信息資源代碼、提供方名稱、提供方代碼、信息資源摘要、信息資源格式、信息項名稱、數據類型、共享類型、共享條件、共享方式、開放屬性、分類分級、更新周期、發布日期和關聯資源代碼等。

第十一條 提供方向平臺管理方進行發布注冊時，其身份得到有效鑒別驗證后方可有權向省電子政務信息共享交換平臺和省政府數據開放平臺發布信息資源。無條件共享、開放的信息資源，提供方應向平臺管理方整體授權，由平臺管理方向使用方提供共享、開放服務。

第十二條 提供方應在公共信息資源共享和開放前自行開展風險評估，對敏感數據應當采用數據加密方式和密碼算法等技術手段進行加密存儲保護，必要時可進行分級分域存儲。

第十三條 提供方應制定完備的敏感數據脫敏規則和流程，以保證數據脫敏工作執行的規范性和有效性;對敏感數據進行脫敏時，應結合使用方申請的業務需求進行相應脫敏。

第十四條 提供方應定期維護共享和開放的公共信息資源，確保所提供數據的準確性、完整性、時效性、可用性，建立并落實數據質量控制機制，對問題數據或過期數據應及時進行數據更新、召回或銷毀，并通過省電子政務信息共享交換平臺和省政府數據開放平臺發布數據更新、召回或銷毀通告，加強對數據的安全審計。

第四章 信息資源使用

第十五條 公共信息資源共享、開放實行使用注冊登記制度。使用方對公共信息資源的使用，須通過省電子政務信息共享交換平臺和省政府數據開放平臺進行注冊登記，經平臺管理方進行有效鑒別驗證后方可申請使用公共信息資源。使用方可通過公共信息資源共享目錄和開放目錄分別查詢所需的信息資源，根據自身業務需要向平臺管理方提出使用申請。

第十六條 對于有條件共享、開放的公共信息資源，使用方須向提供方提出使用申請，經提供方審核通過后使用方方可使用數據。申請內容包括使用申請信息項、申請機構名稱、機構代碼、資源名稱、資源類別、提供方名稱、申請依據說明(行政依據、工作參考、數據校核、業務協調等)、需求字段、需求時效、采用的安全保障措施等。

第十七條 對于無條件共享、開放的公共信息資源，使用方向平臺管理方提出使用申請后，即可獲取和使用。

第十八條 使用方有義務對獲取的共享、開放的公共信息資源作基本校核，發現有疑義或錯誤的，應及時向平臺管理方反饋，并配合開展數據召回、更新和銷毀等操作。對有問題的數據，使用方接到通告后應及時進行相關數據更新、銷毀，并向省電子政務信息共享交換平臺和省政府數據開放平臺反饋處理結果。

第十九條 數據使用應遵循“最小夠用”的原則，使用方應當按照提供方發布的共享、開放公共信息資源的數據類型、級別等安全管理要求進行合理共享使用，并采取相應的安全管理策略和技術手段，對使用的公共信息資源在存儲、傳輸、應用等過程進行有效管理。

使用方申請使用敏感數據時，應遵循最小化原則，僅申請使用本機構履職所需的必要數據。原則上能通過查詢、校驗方式滿足業務開展需要的應采用查詢、校驗方式。

使用方獲取的共享、開放信息資源，只能按照明確的使用用途用于本機構履行職責需要，未經授權不得以直接或間接改變數據形式等方式轉給第三方，也不得用于或變相用于其他目的，不得擅自向社會發布所獲取的信息資源。使用方應加強共享、開放信息資源使用環節的日志審計。

第二十條 使用方不能隨意擴大敏感數據使用范圍、改變敏感數據使用目的，并控制敏感數據知悉范圍。使用方應建立適當的敏感數據安全保障手段，將敏感數據分級分域存儲。對敏感數據的操作應復合采用兩種或兩種以上的鑒別技術進行身份認證。對敏感類數據的使用應經過二次授權，按照最小授權原則，嚴格限制敏感數據批量修改、復制、下載等重要操作權限，采用技術手段防止敏感數據在未授權條件下通過下載、復制、截屏等方式實現數據輸出。

使用方應對敏感數據訪問及使用處理全過程進行安全審計，防止非授權訪問、篡改或刪除審計記錄，及時處理審計過程中發現的敏感數據違規使用、濫用等情況，審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐，在發生任何異常訪問時能夠快速追蹤溯源。

使用方應建立敏感數據銷毀管理機制，在敏感數據過期或失效后，以不可逆方式進行銷毀處理;同時應對數據銷毀處理過程相關的操作進行記錄，以滿足安全審計的要求。

第五章 信息資源平臺管理

第二十一條 平臺管理方應完善平臺安全管理制度和數據保護措施，采用安全可靠的產品和服務，完善數據管控、屬性管理、身份識別、行為追溯、黑名單等管理措施，健全防篡改、防泄露、防攻擊、防病毒、防越權存取等安全防護體系，保障公共信息資源在共享和開放環節的安全可控。

第二十二條 平臺管理方應當對提供方和使用方注冊登記的身份進行有效鑒別和驗證確認;平臺管理方應如實記錄并妥善保存共享、開放數據發布注冊、使用登記以及變更通告的原始記錄，不得修改、刪除或泄露原始記錄數據，對共享、開放信息資源的流動狀況實施監測，實現可追蹤、可考核和可責任認定;跟蹤和記錄敏感數據共享交換全過程，特別是異常訪問記錄，確保能滿足溯源需要，敏感數據共享交換記錄日志應由省電子政務信息共享交換平臺保存至少6個月。

第二十三條 平臺管理方應加強共享、開放數據安全防護管理。通過數據格式合規性審查、數據來源抽取驗證等方式，對提供方提供的共享、開放信息資源進行有效性驗證;通過技術手段加強開放數據下載的實名認證、授權等防護管理，防止數據被惡意使用。對于歸集在省政府數據中心的數據，平臺管理方應做好數據的安全存儲保護。對于非歸集數據，平臺管理方應為提供方和使用方提供便捷、安全的數據共享交換通道和數據安全支撐服務，平臺可根據需要留存數據。

第二十四條 平臺管理方在處理敏感數據共享交換時，可對提供方和使用方復合采用用戶名/口令、一次性口令、數字證書、標識密碼、生物特征等兩種或兩種以上鑒別技術進行身份鑒別，以增強安全性。采用加密機制保證數據傳輸通道安全，保證傳輸數據的保密性和完整性。在共享交換完成后應清除通道歷史緩存數據。

第二十五條 平臺管理方應當統籌建立公共信息資源安全監測手段、應急響應預案、事件處置聯動機制和應急處置團隊，加強公共信息資源運行狀況的安全監控和巡檢巡查，加強應急處置專門團隊的能力培訓和應急演練，及時發現安全隱患，避免發生數據泄露、違法違規使用和變換等重大安全事件。對于歸集在平臺上的公共信息資源，平臺管理方應建立應急處置和備份恢復機制，加強數據安全監測預警和態勢感知能力建設。發現數據安全重大風險或發生安全事件，應及時報告監管方，并積極配合處理。

第二十六條 平臺管理方要做好共享、開放數據的使用審計工作，每六個月開展對平臺的安全審計，采取必要的技術手段支撐數據可追溯、可使用、可校核、可召回。

第六章 監督管理

第二十七條 省公共信息資源共享、開放數據安全監管工作實行全省統籌、各部門與各地區分責的機制。

第二十八條 省網信部門負責全省公共信息資源共享、開放數據安全監管工作的統籌協調;省信息化主管部門負責省公共信息資源共享、開放業務中公共信息資源安全使用的監管工作;省公安廳負責省公共信息資源共享、開放相關部門信息系統等級保護情況及網絡攻擊等專項監管工作;省國家保密局負責省公共信息資源共享、開放數據安全保密管理方面的專項監管工作;省密碼管理局負責省公共信息資源共享、開放工作中密碼應用專項監管工作;各市縣政府信息化主管部門負責督促檢查本轄區公共信息資源共享、開放數據安全管理工作落實情況。

第二十九條 監管方應建立公共信息資源共享、開放數據安全監督管理制度，定期對公共機構信息資源安全使用管理制度及其共享、開放工作進行安全審查;不定期對平臺管理方數據安全保障措施、技術能力、管理制度、應急預案等建設情況進行安全檢查;建立數據安全監督考核機制，定期對公共機構信息資源共享、開放工作進行數據安全監督考核評估，對本辦法的落實情況進行監督管理。

監管方應及時總結經驗，提出公共信息資源安全使用管理改進性意見，不斷優化管理辦法。

監管方應當建立健全敏感數據安全使用監督檢查機制，各市縣政府對本轄區內敏感數據安全使用情況進行定期監督檢查，檢查結果應及時報告監管方。

第三十條 鼓勵各公共機構探索安全可靠的新技術手段保障公共信息資源安全。各公共機構根據業務需要，可依托安全可靠的外部專業機構提供數據安全使用管理支撐服務，但須同時做好外部機構的安全保密管理監督工作，確保公共信息資源共享、開放的安全。

第七章 附 則

第三十一條 公共機構之間公共信息資源共享交換及公共信息資源開放須依托省電子政務信息共享交換平臺和省政府數據開放平臺進行，擅自通過其他方式進行共享交換及開放，需承擔相關責任。

對提供不準確、不完整公共信息資源共享、開放目錄和信息資源的，以及未按照規定時限發布、更新公共信息資源共享、開放目錄和信息資源所造成的責任，由提供方負責。

使用方未按要求對所獲取的信息資源進行有效防護，未嚴格按照約定的使用目的、使用范圍、傳輸載體等規定造成的責任，由使用方負責。

平臺管理方未經授權擅自將公共信息資源提供給使用方或對外開放所造成的責任，由平臺管理方負責。

第三十二條 違反本辦法相關規定，在共享、開放工作中造成公共信息資源泄露特別是敏感數據泄露等安全事件的，監管方依照數據追溯報告，按照“誰提供，誰負責”“誰經手，誰使用，誰管理，誰負責”的原則定位具體的直接責任主體，以及關聯責任主體。

公共機構應當建立數據安全事故報告制度，做好應急預案。對未履行數據安全保護義務，安全管理責任落實不到位，存在較大安全風險或發生安全事件的，監管方將予以警告并責令其整改。拒不改正或者導致危害數據安全產生不良后果的，按照相關行政規章予以追責。違反《中華人民共和國網絡安全法》等法律、法規的，承擔相應的法律責任。

第三十三條 本辦法由省信息化主管部門負責解釋。

第三十四條 本辦法自印發之日起施行。

附件：海南省公共信息資源分級體系表