云南出台公共数据管理办法 数据安全谁收集谁持有谁使用谁运行谁负责

　　近日，云南省人民政府办公厅公开发布《云南省公共数据管理办法（试行）》(以下简称《办法》)，并印发《通知》，要求全省各州、市人民政府，省直各委、办、厅、局认真贯彻执行。《办法》自2024年3月1日起施行。

　　《办法》所称公共数据，是指本省各级行政机关和经法律、法规授权的具有管理公共事务职能的组织，以及供水、供电、供气等公共服务运营单位（以下统称公共机构），在依法履行职责或者提供公共服务过程中收集、产生的数据。公共服务运营单位实施公共服务以外的数据处理活动，不适用本办法。根据云南省应用需求，税务、海关等国家有关部门派驻云南的管理机构授权提供的数据，属于本《办法》所称公共数据。公共数据按照共享属性分为无条件共享、有条件共享、不予共享数据。

　　《办法》明确，云南省县级以上人民政府应当将公共数据发展和管理工作纳入国民经济和社会发展规划以及数字政府建设等相关专项规划，建立健全工作协调机制和公共数据管理工作考核评价机制，保障公共数据发展和管理工作所需经费，并将公共数据发展和管理工作作为年度政府目标责任制考核的重要内容。

　　全省公共数据实行统一的目录化管理，省公共数据主管部门制定统一的目录编制标准，组织编制省级和全省公共数据目录并统一发布。

　　公共数据目录应当包括公共数据的数据形式、共享内容、共享属性、共享条件、共享范围、开放属性、更新频率和公共数据的收集、核准、提供部门等内容。法律、法规、规章依据或者法定职能发生变化的，公共机构应当在15个工作日内更新本机构公共数据目录，并报本级公共数据主管部门审定。公共数据主管部门应当在5个工作日内审定，并更新本级公共数据目录。

　　公共数据主管部门、公共机构应当建立健全数据全流程质量管控体系，加强数据质量事前、事中和事后的监督检查，及时更新已变更、失效数据，实现问题数据可追溯、可定责，保证数据的及时性、准确性、完整性。

　　公共机构收集数据时，不得强制要求个人采用多种方式重复验证或者特定方式验证。已经通过有效身份证件验明身份的，不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证。法律、行政法规另有规定的除外。

　　为确保公共数据安全管理，《办法》明确，县级以上公共数据、网信、公安、国家安全、保密、密码主管部门，应按照各自职责做好公共数据安全的监督管理工作。公共数据安全实行谁收集谁负责、谁持有谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门和公共机构的主要负责人是本单位数据安全工作的第一责任人。

　　公共数据主管部门和公共机构应当强化和落实数据安全主体责任，建立数据安全常态化运行管理机制。具体职责包括：落实网络安全等级保护制度、商用密码使用和管理有关规定，建立健全本单位数据安全管理制度、技术规范和操作规程；健全公共数据共享和开放的保密审查等安全保障机制;设置或明确公共数据安全管理机构和数据安全管理岗位，实行管理岗位责任制，配备安全管理人员和专业技术人员；定期组织相关人员进行数据安全教育、技术培训;加强数据安全日常管理和检查，对复制、导出、脱敏数据等可能影响数据安全的行为进行监督；加强平台(系统)压力测试、风险监测和操作留痕，发现数据安全缺陷、漏洞等风险时立即采取补救措施；建立健全数据灾备机制；制定数据安全事件应急预案，并定期进行演练;法律、法规、规章规定的其他职责。

　　《办法》同时明确，涉及国家秘密的公共数据及相关处理活动，或者法律、法规和党中央、国务院政策文件对公共数据管理另有规定的，按照有关规定执行。（记者 孔垂炼）