为规范和促进海南省公共信息资源共享和开放,加强对公共信息资源在共享、开放全过程的安全管理,保障公共信息资源使用安全,更好地发挥数据价值,提升政府治理能力和公共服务水平,经省政府同意,于2019年7月22日印发了《海南省公共信息资源安全使用管理办法》(琼府办〔2019〕18号,以下简称《管理办法》)。《管理办法》发布以来,受到广泛关注,现就《管理办法》相关内容作一下简要介绍。
一、《管理办法》编制背景
为贯彻落实党中央国务院领导关于大力加强政务信息共享工作的精神,加快政务信息整合共享,我省组织开展了政务信息整合共享专项行动,搭建了省电子政务信息共享交换平台和省政府数据开放平台,着力解决海南省政务信息系统建设“蜂窝煤”问题,打破“数据壁垒”,消除“信息孤岛”,促进大数据健康快速发展,提升政务服务和社会治理能力。数字化转型网www.szhzxw.cn
2017年5月,省政府印发实施《海南省公共信息资源管理办法》,对公共信息资源采集、使用、共享、开放、监管等全过程提出相关安全要求和管理规定。随着公共信息资源共享开放工作的推进,数据安全问题日趋凸显,其中包括制度体系不健全、管理流程不清晰、权责关系不明确、数据分级分类缺乏标准规范、保障措施不到位等,给公共信息资源共享开放工作带来挑战。沈晓明省长于2018年10月12日主持召开省政府专题会议,对保障数据安全特别是敏感数据的安全提出具体要求。为规范和加强公共信息资源在共享、开放全过程的安全,特别是敏感数据的使用安全,有必要针对公共信息资源安全使用制定专门的管理办法,明确公共信息资源,特别是敏感数据在共享和开放过程中相关主体的权责关系,对重要环节和流程提出具有可操作性的安全管理要求和安全防护要求。数字化转型网www.szhzxw.cn
编制《管理办法》,是我省公共信息资源安全保障工作的创新尝试,为公共信息资源共享、开放安全使用管理提供制度保障,对建设和完善公共信息资源共享和开放数据安全体系具有指导性和规范性作用,有助于推动我省公共信息资源共享和开放工作;同时,作为全国首个公共信息资源安全使用管理制度文件,也可为国家相关部门研究制定政务信息资源共享和开放安全管理制度性文件提供参考。
二、《管理办法》主要内容
《管理办法》包括总则、信息资源主体、信息资源提供、信息资源使用、信息资源平台管理、监督管理和附则,共7章34条内容。
《管理办法》主要明晰了涉及公共信息资源共享开放工作的各方权责,创新提出了数据分类分级标准及不同等级的数据需建立的安全防护策略,对公共信息资源共享开放全过程从数据提供、数据使用、数据共享开放平台管理、数据安全监管等方面的流程和要求作出较为明确、具体的规定。具体可归纳为:明确一个定义、建立一个体系、实现三大覆盖、强化三项管理、提出四项制度。
明确一个定义。公共信息资源安全使用管理是指公共信息资源共享、开放等活动中,为防范公共信息资源遭受攻击、泄露、窃取、篡改、毁损、非法使用等风险,所采取的监测、防御、处置和监管等管理策略和技术措施。
建立一个体系。即公共信息资源分级体系,按照数据泄露影响程度,将我省公共信息资源分为1-4级,并明确了相应的开放属性、共享属性和安全防护策略。数字化转型网www.szhzxw.cn
实现三大覆盖。一是覆盖信息资源提供方、使用方、平台管理方和监管方等相关责任主体,二是覆盖信息资源提供、使用、共享、开放、召回、监管等关键环节,三是覆盖公共机构共享、开放和使用的所有公共信息资源。做到数据流转可追溯,关键环节可监管,保障公共信息资源共享管理有理可依、有据可循。
强化三项管理。一是强化数据交换管理,即信息共享及开放原则上应通过共享平台和开放平台进行,擅自通过其他方式进行共享及开放,需承担相关责任;二是强化数据校核和召回管理,即使用方对获取的共享信息有疑义或发现有明显错误的,应及时向该信息直接提供方反馈,提供方应在一定时间内完成数据校核工作,同时,提供方对发现的问题数据应及时进行更新或召回;三是强化共享监管审查管理,即省政务信息资源共享数据安全监管工作实行全省统筹、各部门与各地区分工负责的体制,按照“谁提供,谁负责”、“谁经手,谁使用,谁管理,谁负责”的原则定位具体的直接责任主体,以及关联责任主体。
提出四项制度。一是目录管理制度,提供方应当制定公共信息资源共享和开放计划,实行目录管理制度,做好本部门公共信息资源共享和开放目录登记、审核、发布、更新等工作的管理;二是数据发布注册制度,即提供方应将经审核确认的公共信息资源共享目录通过省电子政务信息共享交换平台进行发布注册,开放数据通过省政府数据开放平台进行发布注册;三是数据使用注册登记制度,使用方对公共信息资源的使用,须通过省电子政务信息共享交换平台和省政府数据开放平台进行注册登记,经平台管理方进行有效鉴别验证后方可申请使用公共信息资源;四是平台安全管理制度,平台管理方应完善平台安全管理制度和数据保护措施,完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施,健全防篡改、防泄露、防攻击、防病毒、防越权存取等安全防护体系。
三、《管理办法》主要解决的问题
一是解决数据分级分类缺乏标准规范的问题。目前,我国尚未建立数据安全分级分类的标准规范,不同数据的安全级别和敏感程度没有相关标准可以进行有效界定。《管理办法》参照《政务信息资源目录编制指南(试行)》(发改高技〔2017〕1272号),根据公共信息资源的共享属性(无条件共享、有条件共享和不予共享)、开放属性(无条件开放、授权开放和不开放),结合数据在被破坏、非法使用或泄露后对个人及企业权益、社会公共利益、国家安全可能造成的危害程度,对数据的安全级别和敏感属性进行界定,公共机构可以据此对数据是否属于敏感数据进行识别,并按照数据安全级别进行分类管理。
二是解决不同安全级别的数据安全保障要求不明的问题。不同安全级别的数据对安全保护的强度要求不同,安全保护措施不当会出现数据安全保护强度不足导致的数据泄露风险,或数据过度保护带来的数据共享困难。《管理办法》对不同安全级别的数据如何进行适度必要的安全防护做出具体要求,公共机构据此可以对不同安全级别的数据建立适度必要的安全防护措施。 数字化转型网www.szhzxw.cn
三是解决数据安全使用权责不清导致出现数据安全问题难以确责和追责的问题。数据安全使用涉及数据提供方、数据使用方、数据共享开放平台管理方、数据安全监管方等各方权责,各方权责不清,当发生数据泄露等安全事件时将难以确责与追责。《管理办法》对数据安全使用各方在数据共享开放全过程的责任予以明确,有利于各方按责任分工加强数据安全履职并承担对应责任。同时《管理办法》明确要求平台建设单位要建立数据安全使用可追溯体系,当出现数据安全问题时可以为监管方确责和追责提供支撑。
四、《管理办法》突出亮点
目前,全国各省尚未出台公共信息资源安全使用管理方面的制度文件,我省作为较早探索公共信息资源安全使用管理的省份,具备三方面的亮点:
一是厘清了共享和开放相关主体的权责关系。《管理办法》梳理了公共信息资源涉及的四大责任主体,即信息资源提供方、信息资源使用方、平台管理方和监管方,明确了各方在信息资源共享和开放关键环节的数据安全保护要求,明晰了权责边界,有利于各方按责任分工加强数据安全履职并承担相应责任,当发生数据泄露或违规使用等安全事件时可以为监管方确责和追责提供支撑。
二是明确了共享和开放的操作流程和制度规范。《管理办法》首次围绕数据共享和开放关键环节明确了相应流程规则的设计,创新性地提出了目录管理制度、数据发布注册制度、数据使用注册登记制度和平台安全管理制度,规定了数据校核、数据召回和监管审查等操作流程和方式,确保了公共信息资源共享和开放工作的制度化、流程化和规范化。数字化转型网www.szhzxw.cn
三是强化了共享和开放数据的质量管理。《管理办法》提出建立并落实数据质量控制机制,对共享和开放数据目录的编制、发布、更新等提出了完整性、一致性、规范性等要求;对发布注册的数据提出了准确性、完整性、时效性、可用性等要求;对问题数据或过期数据提出要及时进行数据更新、召回或销毁,并通过共享平台和开放平台发布相关通告,加强对数据的安全审计。
四是建立了公共信息资源分级分类体系。《管理办法》根据公共信息资源的业务属性并考虑数据在被破坏、非法使用或泄露后对个人及企业权益、社会公共利益、国家安全可能造成的危害程度,提出了数据分级标准,界定了数据敏感属性,明确了不同安全级别的数据需建立的安全防护策略和必要措施,并按照数据安全级别进行分级分类管理。
五是突出了对敏感数据的管理和保护。《管理办法》对敏感数据共享交换全流程提出了明确的要求。提供方应在公共信息资源共享和开放前自行开展风险评估,对敏感数据进行加密存储保护,脱敏时应严格遵守脱敏规则和流程。使用方应将敏感数据分级分域存储;不能随意扩大敏感数据使用范围、改变敏感数据使用目的;控制敏感数据知悉范围,对敏感数据访问及使用过程进行安全审计;建立敏感数据销毁管理机制。平台管理方应做好敏感数据共享交换全过程日志管理;采用加密机制保证数据传输通道安全;共享交换完成后清除通道历史缓存数据。数字化转型网www.szhzxw.cn
五、下一步工作安排
《管理办法》出台后,我省将进一步细化规范数据安全使用相关制度、流程和标准,加强数据安全保障体系建设,切实保障公共信息资源共享开放安全。
一是完善体制机制建设,设置和明确相关数据安全管理部门及其人员。各政务部门应建立健全有效的数据安全管理体制,明确数据安全责任和义务,设立数据安全管理部门,指定数据安全第一责任人,有能力的机构配备专职的数据安全技术和管理人员。
二是完善制度建设,规范和指导公共信息资源共享开放和安全管理。在《海南省公共信息资源安全使用管理办法》基础上,进一步探索建立共享开放各相关主体的责任制度包括《数据分类分级制度》《数据发布注册制度》《数据使用登记制度》《数据交换管理制度》《数据校核和召回管理制度》《共享监管审计制度》《监督考核与联合奖惩管理制度》等,细化边界与责任。数字化转型网www.szhzxw.cn
三是完善技术能力建设,建立管理和技术一体化数据安全监管平台。借鉴国内外先进的建设和应用经验,建立公共信息资源共享数据安全监管系统,构建数据分类分级保护标准体系、共享全流程数据安全标准体系、共享平台安全运维和安全监测体系,打造管理流程和技术流程相结合、共享业务和安全监管相结合、具有我省特色的一体化数据共享开放安全监管平台。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于国务院办公厅;编辑/翻译:数字化转型网Jack。
