各縣（市）區(qū)人民政府，市直、中省直各有關(guān)單位，相關(guān)企業(yè)：

　　為規(guī)范和加強佳木斯市公共數(shù)據(jù)安全管理，根據(jù)《中華人民共和國國家安全法》、《中華人民共和國數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)和有關(guān)規(guī)定，市數(shù)據(jù)局、市委網(wǎng)信辦、市委保密和機要局、市公安局、市營商環(huán)境建設(shè)監(jiān)督局共同制定了《佳木斯市公共數(shù)據(jù)安全管理辦法（試行）》。現(xiàn)印發(fā)給你們，請遵照執(zhí)行。

　　佳木斯市數(shù)據(jù)局

　　中共佳木斯市委網(wǎng)絡(luò)安全和信息化委員會辦公室

　　中共佳木斯市委保密和機要局

　　佳木斯市公安局

　　佳木斯市營商環(huán)境建設(shè)監(jiān)督局

　　2025年1月17日

　　佳木斯市公共數(shù)據(jù)安全管理辦法（試行）

　　第一章　總　則

　　第一條　為規(guī)范佳木斯市公共數(shù)據(jù)處理活動，加強公共數(shù)據(jù)安全管理，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保障全市數(shù)字化系統(tǒng)安全穩(wěn)定運行，保護個人、組織的合法權(quán)益，維護國家安全和發(fā)展利益，根據(jù)《中華人民共和國民法典》《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》等法律法規(guī)，制定本辦法。

　　第二條　在佳木斯市行政區(qū)劃范圍內(nèi)開展的公共數(shù)據(jù)處理活動及其安全監(jiān)管，應(yīng)當遵守相關(guān)法律、行政法規(guī)、地方性法規(guī)、地方政府規(guī)章和本辦法的要求。

　　第三條　本辦法中所指的數(shù)據(jù)皆為公共數(shù)據(jù)。公共數(shù)據(jù)，是指國家機關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織以及供水、供電、供氣、供熱、通訊、公共交通等公共服務(wù)運營單位（以下統(tǒng)稱公共管理和服務(wù)機構(gòu)）在依法履職或者提供公共管理和服務(wù)過程中收集、產(chǎn)生的，以一定形式記錄、保存的各類數(shù)據(jù)及其衍生數(shù)據(jù)，包含政務(wù)、公益事業(yè)單位數(shù)據(jù)和公用企業(yè)數(shù)據(jù)。

　　第四條　本辦法中提到的數(shù)據(jù)處理者，遵照國家、省級相關(guān)法律法規(guī)、標準規(guī)范等進行確定。數(shù)據(jù)處理活動包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

　　第五條　在佳木斯市數(shù)據(jù)安全工作協(xié)調(diào)機制下，數(shù)據(jù)管理部門負責(zé)督促指導(dǎo)各行業(yè)主管部門開展數(shù)據(jù)安全監(jiān)管，對公共數(shù)據(jù)處理活動及安全保護進行監(jiān)督管理。各行業(yè)主管部門分別負責(zé)對本地區(qū)本行業(yè)單位的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。同時行業(yè)主管部門有義務(wù)按照有關(guān)法律及行政法規(guī)，配合數(shù)據(jù)、網(wǎng)信、公安、保密等有關(guān)部門開展數(shù)據(jù)安全監(jiān)管相關(guān)工作。

　　第六條　數(shù)據(jù)管理部門負責(zé)推進本地區(qū)數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全標準體系建設(shè)，組織開展相關(guān)標準制度的修訂及推廣應(yīng)用工作。

　　第二章　數(shù)據(jù)安全分類分級管理

　　第七條　數(shù)據(jù)管理部門依據(jù)國家數(shù)據(jù)局、省數(shù)據(jù)局、行業(yè)主管部門等相關(guān)政策要求，指導(dǎo)佳木斯市全域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定、數(shù)據(jù)分級防護等工作，制定本市重要數(shù)據(jù)和核心數(shù)據(jù)目錄并實施動態(tài)管理。佳木斯市各行業(yè)主管部門分別組織開展數(shù)據(jù)分類分級管理及重要數(shù)據(jù)和核心數(shù)據(jù)識別工作，確定本地區(qū)本行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并同步報數(shù)據(jù)管理部門，報送內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護措施等基本情況，目錄發(fā)生變化的，應(yīng)當及時上報更新。數(shù)據(jù)處理者應(yīng)當定期梳理數(shù)據(jù)，按照相關(guān)標準規(guī)范識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位的具體目錄。

　　第八條　依照國家相關(guān)標準對本辦法中所指數(shù)據(jù)進行分類分級。數(shù)據(jù)處理者根據(jù)數(shù)據(jù)的屬性及特征，將其按一定原則和方法進行區(qū)分和歸類，并建立起一定的分類體系和排列順序。根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益等造成的危害程度，數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。危害程度符合下列條件之一的為一般數(shù)據(jù)。（一）對公共利益或者個人、組織合法權(quán)益造成較小影響，社會負面影響??；（二）受影響的用戶和企業(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時間較短，對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等影響較??；（三）恢復(fù)數(shù)據(jù)或消除負面影響所需付出的代價?。唬ㄋ模┢渌醇{入重要數(shù)據(jù)、核心數(shù)據(jù)目錄的數(shù)據(jù)。危害程度符合下列條件之一的為重要數(shù)據(jù)。（一）對政治、國土、軍事、經(jīng)濟、文化、社會、科技、電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點領(lǐng)域；（二）對城市發(fā)展、生產(chǎn)、運行和經(jīng)濟利益等造成嚴重影響；（三）造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故，對公共利益或者個人、組織合法權(quán)益造成嚴重影響，社會負面影響大；（四）引發(fā)的級聯(lián)效應(yīng)明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響；（五）恢復(fù)數(shù)據(jù)或消除負面影響所需付出的代價大；（六）經(jīng)行業(yè)主管部門評估確定的其他重要數(shù)據(jù)。危害程度符合下列條件之一的為核心數(shù)據(jù)。（一）對政治、國土、軍事、經(jīng)濟、文化、社會、科技、電磁、網(wǎng)絡(luò)、生態(tài)、資源、核安全等構(gòu)成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關(guān)的重點領(lǐng)域；（二）對城市重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)施、重要資源等造成重大影響；（三）對各企業(yè)生產(chǎn)運營、業(yè)務(wù)開展等造成重大損害，導(dǎo)致大范圍停工停產(chǎn)、大面積無線電業(yè)務(wù)中斷、大規(guī)模網(wǎng)絡(luò)與服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失等；（四）經(jīng)行業(yè)主管部門評估確定的其他核心數(shù)據(jù)。

　　第三章　數(shù)據(jù)全生命周期安全管理

　　第九條　數(shù)據(jù)處理者應(yīng)當對數(shù)據(jù)處理活動負安全主體責(zé)任，對各類數(shù)據(jù)實行分級防護，不同級別數(shù)據(jù)同時被處理且難以分別采取保護措施的，應(yīng)當按照其中級別最高的要求實施保護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)。（一）建立數(shù)據(jù)全生命周期安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程；（二）建設(shè)數(shù)據(jù)安全基礎(chǔ)防護能力，包括：國產(chǎn)密碼技術(shù)的密碼基礎(chǔ)設(shè)施及數(shù)據(jù)動靜態(tài)脫敏設(shè)施，以提供數(shù)據(jù)在存儲、使用、傳輸、提供、公開等環(huán)節(jié)的數(shù)據(jù)安全保護；（三）根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理，協(xié)助行業(yè)主管部門開展工作；（四）合理確定數(shù)據(jù)處理活動的操作權(quán)限，嚴格實施人員權(quán)限管理；（五）根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案，并開展應(yīng)急演練；（六）定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn)；（七）法律、行政法規(guī)等規(guī)定的其他措施。重要數(shù)據(jù)和核心數(shù)據(jù)的處理者，還應(yīng)當：建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)，建立常態(tài)化溝通與協(xié)作機制。本單位法定代表人或者主要負責(zé)人是數(shù)據(jù)安全第一責(zé)任人，分管數(shù)據(jù)安全的領(lǐng)導(dǎo)是直接責(zé)任人；明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書，責(zé)任書內(nèi)容包括但不限于數(shù)據(jù)安全崗位職責(zé)、義務(wù)、處罰措施、注意事項等內(nèi)容；建立內(nèi)部登記、審批等工作機制，對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動進行嚴格管理并留存記錄。

　　第十條　數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當遵循合法、正當?shù)脑瓌t，不得竊取或者以其他非法方式收集數(shù)據(jù)。數(shù)據(jù)收集過程中，應(yīng)當根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施，加強重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理，并記錄收集來源、時間、類型、數(shù)量、頻度、流向等。通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，數(shù)據(jù)處理者應(yīng)當與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)任。

　　第十一條　數(shù)據(jù)處理者應(yīng)當按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數(shù)據(jù)存儲。存儲重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當按照國家相關(guān)標準采用國產(chǎn)商用密碼技術(shù)安全存儲，并實施數(shù)據(jù)容災(zāi)備份和存儲介質(zhì)安全管理，定期開展數(shù)據(jù)恢復(fù)測試。

　　第十二條　數(shù)據(jù)處理者利用數(shù)據(jù)進行自動化決策的，應(yīng)當保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當加強訪問控制。

　　第十三條　數(shù)據(jù)處理者應(yīng)當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景，制定安全策略并采取保護措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，須按照國家相關(guān)標準采用國產(chǎn)商用密碼技術(shù)進行傳輸過程的數(shù)據(jù)安全保護。

　　第十四條　數(shù)據(jù)處理者對外提供數(shù)據(jù)，應(yīng)當明確提供的范圍、類別、條件、程序等。其中重要數(shù)據(jù)和核心數(shù)據(jù)應(yīng)委托第三方專業(yè)機構(gòu)進行數(shù)據(jù)安全評估，出具評估報告交市級數(shù)據(jù)管理部門審核通過后，方可提供。對提供重要數(shù)據(jù)和核心數(shù)據(jù)的，數(shù)據(jù)處理者還應(yīng)與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議，對數(shù)據(jù)獲取方數(shù)據(jù)安全保護能力進行核驗，并采取數(shù)據(jù)脫敏等安全保護措施。

　　第十五條　數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響，存在重大影響的不得公開。

　　第十六條　數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求，對銷毀活動進行記錄和留存。數(shù)據(jù)處理者銷毀重要數(shù)據(jù)和核心數(shù)據(jù)后，不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復(fù)，引起本單位重要和核心數(shù)據(jù)目錄內(nèi)容發(fā)生變化的，應(yīng)當立即向行業(yè)主管部門進行報備。

　　第十七條　數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲要求的，應(yīng)當在境內(nèi)存儲，確需向境外提供的，應(yīng)當依法依規(guī)進行數(shù)據(jù)出境安全評估。

　　第十八條　數(shù)據(jù)處理者因機構(gòu)改革、撤銷，以及兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的，應(yīng)明確數(shù)據(jù)轉(zhuǎn)移方案，并通過電話、短信、郵件、公告等方式通知受影響用戶。涉及重要數(shù)據(jù)和核心數(shù)據(jù)目錄內(nèi)容發(fā)生變化的，應(yīng)當立即向行業(yè)主管部門報備。

　　第十九條　數(shù)據(jù)處理者委托他人開展數(shù)據(jù)處理活動的情況，應(yīng)當通過簽訂合同協(xié)議等方式，明確委托方與受托方的數(shù)據(jù)安全責(zé)任和義務(wù)。委托處理重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當對受托方的數(shù)據(jù)安全保護能力、資質(zhì)進行核驗。除法律、行政法規(guī)等另有規(guī)定外，未經(jīng)委托方同意，受托方不得將數(shù)據(jù)提供給第三方。

　　第二十條　跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的情況，數(shù)據(jù)處理者應(yīng)當評估安全風(fēng)險，采取必要的安全保護措施，并報本地區(qū)行業(yè)主管部門審查。

　　第二十一條　數(shù)據(jù)處理者應(yīng)當在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時間不少于六個月。

　　第四章　數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理

　　第二十二條　按照“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則，實行數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理，保障數(shù)據(jù)全生命周期安全。

　　第二十三條　數(shù)據(jù)管理部門建立本地區(qū)數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警機制，統(tǒng)籌開展數(shù)據(jù)安全監(jiān)測預(yù)警，按照有關(guān)規(guī)定及時發(fā)布預(yù)警信息，通知本地區(qū)數(shù)據(jù)處理者及時采取應(yīng)對措施。數(shù)據(jù)處理者應(yīng)當開展數(shù)據(jù)安全風(fēng)險監(jiān)測，及時排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險。

　　第二十四條　各行業(yè)主管部門匯總分析本地區(qū)本行業(yè)數(shù)據(jù)安全風(fēng)險，及時上報。數(shù)據(jù)處理者應(yīng)當及時將可能造成較大及以上安全事件的風(fēng)險向本地區(qū)行業(yè)主管部門報告。

　　第二十五條　數(shù)據(jù)管理部門制定本地區(qū)數(shù)據(jù)安全事件應(yīng)急預(yù)案，組織協(xié)調(diào)本地區(qū)重要數(shù)據(jù)和核心數(shù)據(jù)安全事件應(yīng)急處置工作。佳木斯市各行業(yè)主管部門分別組織開展本地區(qū)數(shù)據(jù)安全事件應(yīng)急處置工作。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，應(yīng)當立即報告市數(shù)據(jù)管理部門，并及時報告事件發(fā)展和處置情況。數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后，應(yīng)當按照應(yīng)急預(yù)案內(nèi)容，及時開展應(yīng)急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時間向本地區(qū)行業(yè)主管部門報告，事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報告，每年向本地區(qū)行業(yè)主管部門報告數(shù)據(jù)安全事件處置情況。數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當及時告知用戶，并提供減輕危害措施。

　　第五章　數(shù)據(jù)安全評估管理

　　第二十六條　數(shù)據(jù)管理部門牽頭負責(zé)組織開展本地區(qū)數(shù)據(jù)安全評估工作。

　　第二十七條　全市擬立項涉公共數(shù)據(jù)的數(shù)字化項目，應(yīng)在立項前向市級數(shù)據(jù)管理部門提交數(shù)據(jù)安全建設(shè)方案，未提供方案的，由數(shù)據(jù)管理部門出具書面建議，視情況重新開展立項審核。已立項項目應(yīng)由立項單位在項目驗收環(huán)節(jié)組織有資質(zhì)的專業(yè)機構(gòu)對項目所涉及的數(shù)據(jù)開展數(shù)據(jù)安全風(fēng)險評估，并由該機構(gòu)出具數(shù)據(jù)安全風(fēng)險評估報告報市級數(shù)據(jù)管理部門。已建設(shè)完成運行的信息化項目，每年應(yīng)對項目所涉及的數(shù)據(jù)開展至少一次數(shù)據(jù)安全風(fēng)險評估，出具數(shù)據(jù)安全風(fēng)險評估報告報市級數(shù)據(jù)管理部門。重要數(shù)據(jù)處理者每年開展至少一次數(shù)據(jù)安全風(fēng)險評估。

　　第六章　監(jiān)督檢查

　　第二十八條　數(shù)據(jù)管理部門統(tǒng)籌各行業(yè)主管部門對本地、本部門、本行業(yè)數(shù)據(jù)處理者落實本辦法要求的情況進行監(jiān)督檢查。各行業(yè)主管部門每年至少對本部門、本行業(yè)開展一次數(shù)據(jù)安全專項檢查，評估數(shù)據(jù)安全風(fēng)險隱患。數(shù)據(jù)處理者應(yīng)當對行業(yè)主管部門監(jiān)督檢查予以配合。

　　第二十九條　數(shù)據(jù)管理部門會同網(wǎng)信、公安、保密、營商等部門在佳木斯市數(shù)據(jù)安全工作協(xié)調(diào)機制指導(dǎo)下，開展全市數(shù)據(jù)安全監(jiān)督檢查相關(guān)工作。

　　第七章　法律責(zé)任

　　第三十條　各級行業(yè)主管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中，發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風(fēng)險的，可以按照規(guī)定權(quán)限和程序?qū)ο嚓P(guān)領(lǐng)域數(shù)據(jù)處理者進行約談，并要求采取措施進行整改，消除隱患。

　　第三十一條　開展數(shù)據(jù)處理活動的組織、個人不履行本管理辦法規(guī)定的數(shù)據(jù)安全保護義務(wù)的，由市級數(shù)據(jù)管理部門會同有關(guān)行政執(zhí)法部門參照《中華人民共和國數(shù)據(jù)安全法》等相關(guān)法律法規(guī)給予相應(yīng)處罰。

　　第八章　附　則

　　第三十二條　開展涉及個人信息的數(shù)據(jù)處理活動，還應(yīng)當遵守有關(guān)法律、行政法規(guī)的規(guī)定。

　　第三十三條　按照本辦法第十四條相關(guān)規(guī)定，數(shù)據(jù)處理者不得自行開展公共數(shù)據(jù)授權(quán)運營。

　　第三十四條　涉及軍事、國家秘密信息等數(shù)據(jù)的處理活動，按照國家有關(guān)規(guī)定執(zhí)行。

　　第三十五條　本辦法生效期內(nèi)相關(guān)條款如與上級有關(guān)規(guī)定沖突，以上級規(guī)定為準。

　　第三十六條　本辦法自2025年2月1日起施行，有效期1年。

　　第三十七條　本辦法最終解釋權(quán)歸佳木斯市數(shù)據(jù)局所有。