各縣(市)區(qū)人民政府，市直各委、辦、局(公司), 市屬各高等院校，自貿(mào)區(qū)福州片區(qū)管委會：

　　為規(guī)范本市公共數(shù)據(jù)處理活動，保障公共數(shù)據(jù)安全，促進本市數(shù)據(jù)合理開發(fā)利用，發(fā)揮數(shù)據(jù)要素作用，我們制定了《福州市公共數(shù)據(jù)安全管理辦法（試行）》，現(xiàn)印發(fā)給你們，請認真組織實施。

　　附件：福州市公共數(shù)據(jù)安全管理辦法（試行）

　　福州市數(shù)據(jù)管理局

　　2025年12月17日

　?。ù思鲃庸_）

　　附件

　　福州市公共數(shù)據(jù)安全管理辦法（試行）

　　第一章 總則

　　第一條 為規(guī)范本市公共數(shù)據(jù)處理活動，保障公共數(shù)據(jù)安全，促進本市數(shù)據(jù)合理開發(fā)利用，發(fā)揮數(shù)據(jù)要素作用，保護個人、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《福建省大數(shù)據(jù)發(fā)展條例》《福建省政務(wù)數(shù)據(jù)管理辦法》等法律法規(guī)，結(jié)合本市實際情況，制定本辦法。

　　第二條 本辦法所稱公共數(shù)據(jù)，是指黨政機關(guān)、企事業(yè)單位依法履職或提供公共服務(wù)過程中產(chǎn)生的具有利用價值的數(shù)據(jù)集合。

　　第三條 在本市行政區(qū)域內(nèi)開展的公共數(shù)據(jù)處理活動及其安全監(jiān)管，適用本辦法。法律法規(guī)另有規(guī)定的，從其規(guī)定。

　　涉及國家秘密的公共數(shù)據(jù)處理活動，按照有關(guān)保密法律法規(guī)執(zhí)行。

　　第四條 本市公共數(shù)據(jù)安全管理應(yīng)當遵循依法管理、分級分類、規(guī)范有序、需求導向、精準服務(wù)的原則，堅持保障數(shù)據(jù)安全與發(fā)展并重，積極推進數(shù)據(jù)資源開發(fā)利用，保障數(shù)據(jù)依法有序自由流動。

　　第二章 職責分工

　　第五條 福州市數(shù)據(jù)管理局作為公共數(shù)據(jù)主管部門，負責組織、指導和協(xié)調(diào)本級公共數(shù)據(jù)安全保障工作，履行下列職責：

　?。ㄒ唬┮勒諊?、省、市數(shù)據(jù)安全法律法規(guī)及標準，指導公共管理和服務(wù)機構(gòu)開展公共數(shù)據(jù)安全管理工作；

　?。ǘ┙y(tǒng)籌規(guī)劃公共數(shù)據(jù)安全管理工作，組織建設(shè)公共數(shù)據(jù)安全保障基礎(chǔ)設(shè)施，完善公共數(shù)據(jù)安全管理制度；

　?。ㄈ┲笇ПO(jiān)督公共數(shù)據(jù)安全保障工作，協(xié)調(diào)處置公共數(shù)據(jù)安全有關(guān)的重大問題；

　?。ㄋ模┙M織開展公共數(shù)據(jù)安全教育和培訓；

　?。ㄎ澹┲笇录墧?shù)據(jù)管理部門開展公共數(shù)據(jù)安全管理工作；

　?。┏袚渌矓?shù)據(jù)安全管理工作。

　　第六條 網(wǎng)信、公安、保密、密碼管理等部門和國家安全機關(guān)依照有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)承擔公共數(shù)據(jù)安全監(jiān)管職責。

　　第七條 公共管理和服務(wù)機構(gòu)，應(yīng)當按照有關(guān)法律法規(guī)及本辦法的規(guī)定，履行下列職責：

　?。ㄒ唬┴瀼芈鋵崌?、省、市公共數(shù)據(jù)安全法律法規(guī)要求，履行公共數(shù)據(jù)安全保護義務(wù)；

　?。ǘ┙⒈締挝坏墓矓?shù)據(jù)安全管理體系，明確公共數(shù)據(jù)安全負責人和管理部門，制定本單位的公共數(shù)據(jù)安全管理制度和操作規(guī)程，落實相關(guān)責任和制度；

　?。ㄈ┎扇”匾墓矓?shù)據(jù)安全技術(shù)措施，加強公共數(shù)據(jù)全生命周期安全管理，定期開展公共數(shù)據(jù)安全風險評估；

　?。ㄋ模┏袚渌矓?shù)據(jù)安全管理工作。

　　第三章 公共數(shù)據(jù)安全基本管理要求

　　第八條 公共管理和服務(wù)機構(gòu)應(yīng)按照相關(guān)法律法規(guī)規(guī)定，履行公共數(shù)據(jù)安全保護義務(wù)，明確公共數(shù)據(jù)生產(chǎn)、處理、使用及管理各環(huán)節(jié)的責任主體，明確數(shù)據(jù)安全管理部門、制定數(shù)據(jù)安全管理制度、實施技術(shù)防護措施。

　　第九條 公共管理和服務(wù)機構(gòu)應(yīng)按照關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)安全等級保護等要求，根據(jù)公共數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度以及發(fā)生公共數(shù)據(jù)安全事件的危害程度，對公共數(shù)據(jù)實行分類分級，并通過管理和技術(shù)手段，提高防惡意代碼、防攻擊、防篡改、防泄露、防竊取等防護能力。

　　第十條 公共管理和服務(wù)機構(gòu)應(yīng)結(jié)合公共數(shù)據(jù)全生命周期制定完善數(shù)據(jù)安全管控策略，對本單位的公共數(shù)據(jù)采取授權(quán)訪問、身份認證等技術(shù)措施，防止未經(jīng)授權(quán)查詢、復(fù)制、修改、存儲或傳輸數(shù)據(jù)等行為。

　　第十一條 公共管理和服務(wù)機構(gòu)應(yīng)建立數(shù)據(jù)安全培訓制度，定期開展數(shù)據(jù)安全教育和技術(shù)培訓，提升工作人員數(shù)據(jù)安全保護意識與技能水平。

　　第十二條 公共管理和服務(wù)機構(gòu)信息化項目建設(shè)應(yīng)符合國家信息技術(shù)應(yīng)用創(chuàng)新、軟件正版化和密碼管理等工作要求，優(yōu)先采用安全可靠的軟硬件產(chǎn)品、系統(tǒng)和服務(wù)，使用符合國家密碼管理要求的技術(shù)、產(chǎn)品和服務(wù)加強公共數(shù)據(jù)保護，提升供應(yīng)鏈安全可控水平。

　　第十三條 公共管理和服務(wù)機構(gòu)通過服務(wù)外包形式開展信息化項目建設(shè)、運維，或者開展公共數(shù)據(jù)處理活動的，應(yīng)依法與外包服務(wù)提供商、外包服務(wù)人員簽訂數(shù)據(jù)安全保密協(xié)議，明確落實數(shù)據(jù)安全責任，并對數(shù)據(jù)操作行為進行監(jiān)督，對服務(wù)人員進行安全培訓，對關(guān)鍵崗位人員開展必要的信息審查。

　　公共管理和服務(wù)機構(gòu)的公共數(shù)據(jù)安全責任不因服務(wù)外包而發(fā)生轉(zhuǎn)移，雙方應(yīng)共同承擔公共數(shù)據(jù)安全責任。

　　第四章 公共數(shù)據(jù)全生命周期安全管理要求

　　第十四條 公共管理和服務(wù)機構(gòu)應(yīng)遵循合法、必要、正當?shù)脑瓌t，明確采集數(shù)據(jù)的目的、方式、頻率和范圍，確保數(shù)據(jù)獲取的合法性、必要性、正當性。

　　第十五條 公共管理和服務(wù)機構(gòu)應(yīng)選擇安全性能、防護級別與數(shù)據(jù)安全等級相匹配的存儲載體，并制定落實本單位的公共數(shù)據(jù)存儲備份和恢復(fù)策略。

　　第十六條 公共管理和服務(wù)機構(gòu)應(yīng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景，采取滿足傳輸安全策略和公共數(shù)據(jù)安全等級的安全控制措施，確保傳輸過程可信、可控。

　　第十七條 公共管理和服務(wù)機構(gòu)應(yīng)做好數(shù)據(jù)訪問控制，根據(jù)用戶需求和角色，設(shè)置不同的訪問權(quán)限。在數(shù)據(jù)使用過程中記錄并保存數(shù)據(jù)使用日志，確保所有數(shù)據(jù)操作行為可管可控并保證審計日志的完整性和真實性。

　　第十八條 公共管理和服務(wù)機構(gòu)應(yīng)通過福州市匯聚共享平臺進行數(shù)據(jù)共享，按照本部門數(shù)據(jù)資源目錄實時、全量匯聚，不得直接共享數(shù)據(jù)；未能匯聚的數(shù)據(jù)應(yīng)當經(jīng)福州市數(shù)據(jù)管理局確認，依托市匯聚共享平臺以服務(wù)接口的方式提供共享服務(wù)。數(shù)據(jù)使用單位對獲取的共享數(shù)據(jù)承擔同等安全管理責任。

　　第十九條 公共管理和服務(wù)機構(gòu)對本機構(gòu)公共數(shù)據(jù)開展數(shù)據(jù)校驗、數(shù)據(jù)治理，應(yīng)當按照相關(guān)技術(shù)標準和要求，對公共數(shù)據(jù)進行整理、清洗、脫敏、格式轉(zhuǎn)換等處理，并建立數(shù)據(jù)處理過程中的安全機制，防止數(shù)據(jù)泄露。

　　第二十條 公共管理和服務(wù)機構(gòu)按照數(shù)據(jù)分類分級原則建立數(shù)據(jù)銷毀機制，明確銷毀對象、流程和技術(shù)等要求，設(shè)置相關(guān)監(jiān)督角色，以不可逆方式完全銷毀相關(guān)數(shù)據(jù)內(nèi)容，同時應(yīng)當保留銷毀記錄，以滿足安全審計的要求。

　　第二十一條 公共管理和服務(wù)機構(gòu)應(yīng)參考福州市公共數(shù)據(jù)安全技術(shù)防護相關(guān)具體要求，實施相應(yīng)的技術(shù)措施和管理策略。綜合運用數(shù)據(jù)安全技術(shù)與管理手段，保障公共數(shù)據(jù)全生命周期數(shù)據(jù)處理活動的安全性，確保信息化系統(tǒng)運行及維護環(huán)境安全可控。

　　第五章 應(yīng)急響應(yīng)與處置

　　第二十二條 公共管理和服務(wù)機構(gòu)應(yīng)建立數(shù)據(jù)安全應(yīng)急管理制度，制定公共數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展數(shù)據(jù)安全應(yīng)急演練，并對演練情況進行評估，針對演練中發(fā)現(xiàn)的問題，修訂完善應(yīng)急預(yù)案。

　　第二十三條 根據(jù)數(shù)據(jù)安全事件對國家安全、企業(yè)網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)、生產(chǎn)運營、經(jīng)濟運行等造成的影響范圍和危害程度，將數(shù)據(jù)安全事件分為特別重大、重大、較大和一般四個級別。

　　發(fā)生數(shù)據(jù)安全事件時，公共管理和服務(wù)機構(gòu)依法啟動應(yīng)急預(yù)案，采取相應(yīng)措施防止危害擴大，并保存相關(guān)記錄，告知可能受到影響的個人及組織，按照規(guī)定向公共數(shù)據(jù)主管部門、其他有關(guān)主管部門報告。

　　第六章 監(jiān)督檢查

　　第二十四條 公共數(shù)據(jù)主管部門應(yīng)當建立健全公共數(shù)據(jù)安全工作常態(tài)監(jiān)督檢查機制，明確監(jiān)督檢查內(nèi)容、重點、目標、方式和標準，對本市公共管理和服務(wù)機構(gòu)、各項目外包服務(wù)提供商的公共數(shù)據(jù)安全管理工作進行日常監(jiān)督。

　　第二十五條 公共管理和服務(wù)機構(gòu)應(yīng)每年至少對本單位實施的公共數(shù)據(jù)處理活動開展一次風險評估。

　　第七章 責任追究

　　第二十六條 對違反本辦法規(guī)定的行為，法律、行政法規(guī)已有法律責任規(guī)定的，從其規(guī)定執(zhí)行。

　　第二十七條 公共數(shù)據(jù)主管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中，發(fā)現(xiàn)公共管理和服務(wù)機構(gòu)在數(shù)據(jù)處理活動存在較大安全風險的，可以按照規(guī)定權(quán)限和程序?qū)ο嚓P(guān)人員進行約談，并要求采取措施進行整改，消除隱患。

　　第八章 附則

　　第二十八條 縣（市、區(qū)）公共數(shù)據(jù)主管部門參照本辦法，統(tǒng)籌協(xié)調(diào)本行政區(qū)域內(nèi)公共數(shù)據(jù)安全管理工作。

　　第二十九條 本辦法由福州市數(shù)據(jù)管理局負責解釋。

　　第三十條 本辦法自公布之日起施行，試行期設(shè)定為兩年。