为规范公共数据资源开发利用活动，保障公共数据安全，促进数据资源高效合规流通利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，现就《武汉市公共数据资源开发利用安全管理实施细则（试行）（征求意见稿）》（见附件）面向社会公开征求意见。欢迎社会各界积极参与，如有修改意见，请于2025年8月29日前将word电子版和盖章扫描件（个人签名，团体或企事业单位盖章）反馈至武汉市数据局。

联系电话：65771391；

电子邮箱：1571031040@qq.com；

附件：武汉市公共数据资源开发利用安全管理实施细则（试行）（征求意见稿）

武汉市数据局

2025年7月29日

武汉市公共数据资源开发利用安全管理实施细则（试行）（征求意见稿）

一、总则

二、安全责任

三、安全要求

四、安全监管

五、附则

第一章 总  则

第一条【目的和依据】

为规范公共数据资源开发利用活动，保障公共数据安全，促进数据资源高效合规流通利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，根据有关法律、法规和规定，结合本市实际，制定本细则。

第二条【适用范围】

本细则适用于在本市行政区域内开展的公共数据资源开发利用活动及其安全监管。

涉及国家秘密和安全的公共数据资源开发利用活动，按照有关保密法律、法规执行。

第三条【有关定义】

本细则所称公共数据资源，是指本市各级党政机关企事业单位(以下统称公共管理和服务机构)依法履职或者在提供公共服务过程中产生的数据集合。

本细则所称公共数据资源开发利用，是指基于安全、可控、可信的平台环境，对公共数据资源进行共享、开放与授权运营等实现公共数据价值挖掘的活动。

本细则所称公共数据资源开发利用相关主体（以下简称开发利用相关主体）主要包括数据提供者、数据加工者、数据使用者、数据开发利用平台的主管部门和运营单位。其中，数据提供者指依法持有或管理并提供公共数据资源的市、区公共管理和服务机构；数据加工者指对公共数据资源进行清洗、脱敏、分析、建模等处理，提升数据质量和价值的主体；数据使用者指通过合法途径获取公共数据资源，并用于科学研究、商业应用、公共服务等目的的主体。

本细则所称第三方服务机构，是指在公共数据资源开发利用活动中受托承担数字化项目建设、运维、安全保障等服务的组织机构。

第四条【管理原则】

坚持发展与安全并重，遵循科学统筹、权责统一、动态防护的原则，保障公共数据资源的开发利用依法依规、安全可控。

公共数据资源开发利用安全应与实现公共数据资源开发利用功能的信息系统、平台同步规划、同步建设、同步运行、同步发展。

第二章 安全责任

第五条【安全责任制】

公共数据资源开发利用按照“谁管理谁负责、谁使用谁负责”的原则落实数据安全责任制，开发利用相关主体对其产生、管理和使用的数据负有数据安全主体责任，应当加强公共数据全生命周期安全和合法合规利用管理。

第六条【职责分工】

市数据安全工作协调机制统一领导全市数据安全工作。

市数据局负责统筹规划、综合协调公共数据资源开发利用过程中的安全管理与监督工作，组织做好全市一体化数字资源平台(以下简称市数字资源平台)开发利用安全管理工作、建立数据安全管理体系，监督指导全市公共数据资源授权运营平台相关主体做好数据安全管理工作。

市委网信办负责统筹协调网络数据安全、个人信息保护、数据跨境流动及相关监督管理等工作。

市国家保密局负责公共数据资源开发利用的保密监管相关工作。

市公安局、市国家安全局依照有关法律、法规和本细则的规定，在各自职责范围内承担网络安全、数据安全监督管理职责，依法防范和打击危害网络安全、数据安全的违法犯罪活动。

各行业主管部门承担本行业、本领域公共数据安全监管职责，保障公共数据资源开发利用中的数据安全。

各区人民政府(含开发区、长江新区、东湖风景区管委会，下同)应当建立本区域公共数据资源开发利用安全管控体系和工作机制。各区数据主管部门负责统筹协调本辖区公共数据资源开发利用安全管理工作。

第七条【相关主体责任】

本市各类公共数据资源汇聚治理和开发利用平台主管部门负责做好平台数据安全管理的监督指导，平台建设运营单位履行平台数据安全主体责任。

数据提供者承担数据提供前的安全管理责任，确保数据在安全前提下向市数字资源平台提供。要依法收集数据，对数据采集来源合法性负责，不得泄露或非法提供涉及个人信息、商业秘密的数据，需要授权运营的应当根据授权范围、期限等明确相应安全要求。

数据加工者承担数据加工过程中的安全管理责任。应当采取加密、备份等技术措施，保障数据安全。发现数据间隐含关系与规律可能危害国家安全、公共利益、个人隐私和商业秘密的，应当立即停止数据处理活动，及时上报相关主管部门。

数据使用者承担数据使用过程中的安全管理责任。不得超范围使用数据或用于非授权场景，应当对使用的数据做好安全保护，发生数据安全事件时，应立即采取补救措施并通知受影响方。

开发利用相关主体须贯彻执行公共数据资源开发利用安全有关法律法规和政策要求，建立健全安全管理制度与工作规范，落实数据安全主体责任，保障公共数据资源开发利用安全，同时不得损害国家利益、社会公共利益、组织及个人的合法权益。

第三章 安全要求

第八条【人员管理】

开发利用相关主体应当加强人员管理，明确在人员任用、人员培训、人员考核、调岗离职、外部人员管理等方面的管理规定并严格落实。

第九条【分类分级】

开发利用相关主体应当按照《武汉市公共数据分类分级指南（试行）》对公共数据实行分类分级，定期调整更新分类分级结果，严格控制不同安全级别存储区域间的数据访问，并通过管理和技术手段加强分类管理，落实分级保护。

第十条【技术保护措施】

开发利用相关主体在开展公共数据资源存储活动时，应当制定并执行本单位公共数据存储策略和规程，建立数据备份及恢复机制，根据公共数据级别采取相应的安全管控措施，确保公共数据存储的安全性和可用性。

开发利用相关主体在开展公共数据资源传输活动时，应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施，采取校验技术、密码技术、安全传输通道等措施，保障公共数据传输过程可信可控。

开发利用相关主体在开展公共数据资源加工活动时，应当在其履行法定职责的范围内加工数据，运用数据脱敏、数据沙箱、隐私保护计算、区块链等技术手段，采取访问控制、登记审批、日志记录等管控措施确保数据加工合规，过程安全，使用生成式人工智能等技术时，需加强训练数据的安全管理，防范数据关联汇聚风险。

开发利用相关主体在使用公共数据时，应当做好数据权限管理，明确不同身份权限可接触的数据类型、级别和量级，严格限制对敏感数据的操作权限。

第十一条【风险监测】

开发利用相关主体应当加强数据安全风险监测，发现存在安全缺陷、安全漏洞等风险时，应当立即采取补救措施。应当对公共数据资源采集、汇聚、开发利用的所有操作和行为进行日志记录和监管，并对高危行为进行风险识别，利用数据水印、数据溯源等技术确保数据完整性，实现数据流向跟踪和溯源，在数据安全事件发生后，能够通过安全日志快速进行回溯分析。

第十二条【应急处置】

开发利用相关主体在发生公共数据资源开发利用安全事件时，应当按照处置流程立即报告网信、公安和数据等主管部门，依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并根据需要及时向社会公布与公众有关的警示信息。

第十三条【安全培训】

市数据局应当定期组织开展数据安全意识、数据安全管理和数据安全技能等方面的培训。

开发利用相关主体应结合本单位实际，定期组织开展具有针对性的数据安全培训，不断提升本单位工作人员数据安全意识。

第十四条【风险评估】

开发利用相关主体应当对本单位开展的公共数据资源开发利用活动定期开展风险评估，并形成风险评估报告。风险评估报告应当包括开展公共数据处理活动的情况，面临的公共数据资源开发利用安全风险及其应对措施等。公共数据资源开发利用相关重要系统、平台的主管部门应当定期向市数据局报送风险评估报告。

市数据局可以围绕公共数据资源开发利用安全防护能力、安全责任落实情况等，对全市公共数据资源开发利用安全工作开展风险评估。

第十五条【应急演练】

开发利用相关主体应当建立公共数据资源开发利用安全应急管理制度，制定公共数据安全应急处置预案，定期开展应急演练，并对演练情况进行评估，针对演练中发现的问题，修订完善应急预案。

第十六条【第三方服务机构安全监管】

开发利用相关主体通过服务外包形式开展数字化项目建设、运维的，应当在合同签订前对第三方服务机构及其工作人员进行背景审查，要求第三方服务机构应当具备履行法律法规、落实制度标准、确保数据安全的能力，并签订安全保护和保密协议，要求第三方服务机构按照法律法规规定和合同约定开展公共数据处理活动，履行公共数据资源开发利用安全保护义务。

开发利用相关主体的数据安全责任不因服务外包而发生转移，双方应共同承担公共数据资源开发利用安全责任。

第四章 安全监管

第十七条【监督检查】

市数据局应当建立健全公共数据资源开发利用安全工作日常监督检查机制，明确监督检查内容、重点、目标、方式和标准，对公共数据资源开发利用安全管理工作进行日常监督。

监督检查结果应当与市委网信办、市公安局之间互通和共享，发现存在问题的，可以按照规定的权限和程序，要求有关单位、个人采取措施进行整改，消除隐患。

发生公共数据资源开发利用安全事件，造成重大影响或经济损失的，由市委网信办、市公安局和市数据局启动联合调查。

各行业主管部门应当加强对本行业、本领域公共数据资源开发利用的安全监管，定期组织本行业数据安全监督检查，协调处置本行业数据安全事件。

第十八条【责任追究】

市数据局应会同市委网信办、市公安局等部门，对公共数据资源开发利用过程中不履行本细则规定的安全保护责任的，玩忽职守、滥用职权、徇私舞弊的，对单位予以通报，对相关责任人员予以相应处理。对违反网络安全、数据安全、个人信息保护等法律法规的行为，相关部门依法追究法律责任。

开发利用相关主体及其工作人员按照有关法律、法规、规章和本细则进行公共数据资源开发利用安全管理，并履行了监督管理职责和合理注意义务，由于难以预见或者难以避免的因素导致公共数据使用主体或者其他第三方损失的，依法不承担或者免予承担相关责任。

第五章 附  则

第十九条【实施时间】

本细则自2025年x月x日起施行，有效期2年。国家或本省对公共数据资源开发利用安全管理有新规定的，从其规定。