福州市数据管理局关于印发《福州市公共数据安全管理办法（试行）》的通知

各县(市)区人民政府，市直各委、办、局(公司), 市属各高等院校，自贸区福州片区管委会：

　　为规范本市公共数据处理活动，保障公共数据安全，促进本市数据合理开发利用，发挥数据要素作用，我们制定了《福州市公共数据安全管理办法（试行）》，现印发给你们，请认真组织实施。

　　附件：福州市公共数据安全管理办法（试行）

　　福州市数据管理局

　　2025年12月17日

　　（此件主动公开）

　　附件

　　福州市公共数据安全管理办法（试行）

　　第一章 总则

　　第一条 为规范本市公共数据处理活动，保障公共数据安全，促进本市数据合理开发利用，发挥数据要素作用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《福建省大数据发展条例》《福建省政务数据管理办法》等法律法规，结合本市实际情况，制定本办法。

　　第二条 本办法所称公共数据，是指党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合。

　　第三条 在本市行政区域内开展的公共数据处理活动及其安全监管，适用本办法。法律法规另有规定的，从其规定。

　　涉及国家秘密的公共数据处理活动，按照有关保密法律法规执行。

　　第四条 本市公共数据安全管理应当遵循依法管理、分级分类、规范有序、需求导向、精准服务的原则，坚持保障数据安全与发展并重，积极推进数据资源开发利用，保障数据依法有序自由流动。

　　第二章 职责分工

　　第五条 福州市数据管理局作为公共数据主管部门，负责组织、指导和协调本级公共数据安全保障工作，履行下列职责：

　　（一）依照国家、省、市数据安全法律法规及标准，指导公共管理和服务机构开展公共数据安全管理工作；

　　（二）统筹规划公共数据安全管理工作，组织建设公共数据安全保障基础设施，完善公共数据安全管理制度；

　　（三）指导监督公共数据安全保障工作，协调处置公共数据安全有关的重大问题；

　　（四）组织开展公共数据安全教育和培训；

　　（五）指导下级数据管理部门开展公共数据安全管理工作；

　　（六）承担其他公共数据安全管理工作。

　　第六条 网信、公安、保密、密码管理等部门和国家安全机关依照有关法律、行政法规的规定，在各自职责范围内承担公共数据安全监管职责。

　　第七条 公共管理和服务机构，应当按照有关法律法规及本办法的规定，履行下列职责：

　　（一）贯彻落实国家、省、市公共数据安全法律法规要求，履行公共数据安全保护义务；

　　（二）建立本单位的公共数据安全管理体系，明确公共数据安全负责人和管理部门，制定本单位的公共数据安全管理制度和操作规程，落实相关责任和制度；

　　（三）采取必要的公共数据安全技术措施，加强公共数据全生命周期安全管理，定期开展公共数据安全风险评估；

　　（四）承担其他公共数据安全管理工作。

　　第三章 公共数据安全基本管理要求

　　第八条 公共管理和服务机构应按照相关法律法规规定，履行公共数据安全保护义务，明确公共数据生产、处理、使用及管理各环节的责任主体，明确数据安全管理部门、制定数据安全管理制度、实施技术防护措施。

　　第九条 公共管理和服务机构应按照关键信息基础设施保护、网络安全等级保护等要求，根据公共数据在经济社会发展中的重要程度以及发生公共数据安全事件的危害程度，对公共数据实行分类分级，并通过管理和技术手段，提高防恶意代码、防攻击、防篡改、防泄露、防窃取等防护能力。

　　第十条 公共管理和服务机构应结合公共数据全生命周期制定完善数据安全管控策略，对本单位的公共数据采取授权访问、身份认证等技术措施，防止未经授权查询、复制、修改、存储或传输数据等行为。

　　第十一条 公共管理和服务机构应建立数据安全培训制度，定期开展数据安全教育和技术培训，提升工作人员数据安全保护意识与技能水平。

　　第十二条 公共管理和服务机构信息化项目建设应符合国家信息技术应用创新、软件正版化和密码管理等工作要求，优先采用安全可靠的软硬件产品、系统和服务，使用符合国家密码管理要求的技术、产品和服务加强公共数据保护，提升供应链安全可控水平。

　　第十三条 公共管理和服务机构通过服务外包形式开展信息化项目建设、运维，或者开展公共数据处理活动的，应依法与外包服务提供商、外包服务人员签订数据安全保密协议，明确落实数据安全责任，并对数据操作行为进行监督，对服务人员进行安全培训，对关键岗位人员开展必要的信息审查。

　　公共管理和服务机构的公共数据安全责任不因服务外包而发生转移，双方应共同承担公共数据安全责任。

　　第四章 公共数据全生命周期安全管理要求

　　第十四条 公共管理和服务机构应遵循合法、必要、正当的原则，明确采集数据的目的、方式、频率和范围，确保数据获取的合法性、必要性、正当性。

　　第十五条 公共管理和服务机构应选择安全性能、防护级别与数据安全等级相匹配的存储载体，并制定落实本单位的公共数据存储备份和恢复策略。

　　第十六条 公共管理和服务机构应根据传输的数据类型、级别和应用场景，采取满足传输安全策略和公共数据安全等级的安全控制措施，确保传输过程可信、可控。

　　第十七条 公共管理和服务机构应做好数据访问控制，根据用户需求和角色，设置不同的访问权限。在数据使用过程中记录并保存数据使用日志，确保所有数据操作行为可管可控并保证审计日志的完整性和真实性。

　　第十八条 公共管理和服务机构应通过福州市汇聚共享平台进行数据共享，按照本部门数据资源目录实时、全量汇聚，不得直接共享数据；未能汇聚的数据应当经福州市数据管理局确认，依托市汇聚共享平台以服务接口的方式提供共享服务。数据使用单位对获取的共享数据承担同等安全管理责任。

　　第十九条 公共管理和服务机构对本机构公共数据开展数据校验、数据治理，应当按照相关技术标准和要求，对公共数据进行整理、清洗、脱敏、格式转换等处理，并建立数据处理过程中的安全机制，防止数据泄露。

　　第二十条 公共管理和服务机构按照数据分类分级原则建立数据销毁机制，明确销毁对象、流程和技术等要求，设置相关监督角色，以不可逆方式完全销毁相关数据内容，同时应当保留销毁记录，以满足安全审计的要求。

　　第二十一条 公共管理和服务机构应参考福州市公共数据安全技术防护相关具体要求，实施相应的技术措施和管理策略。综合运用数据安全技术与管理手段，保障公共数据全生命周期数据处理活动的安全性，确保信息化系统运行及维护环境安全可控。

　　第五章 应急响应与处置

　　第二十二条 公共管理和服务机构应建立数据安全应急管理制度，制定公共数据安全事件应急预案，定期开展数据安全应急演练，并对演练情况进行评估，针对演练中发现的问题，修订完善应急预案。

　　第二十三条 根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度，将数据安全事件分为特别重大、重大、较大和一般四个级别。

　　发生数据安全事件时，公共管理和服务机构依法启动应急预案，采取相应措施防止危害扩大，并保存相关记录，告知可能受到影响的个人及组织，按照规定向公共数据主管部门、其他有关主管部门报告。

　　第六章 监督检查

　　第二十四条 公共数据主管部门应当建立健全公共数据安全工作常态监督检查机制，明确监督检查内容、重点、目标、方式和标准，对本市公共管理和服务机构、各项目外包服务提供商的公共数据安全管理工作进行日常监督。

　　第二十五条 公共管理和服务机构应每年至少对本单位实施的公共数据处理活动开展一次风险评估。

　　第七章 责任追究

　　第二十六条 对违反本办法规定的行为，法律、行政法规已有法律责任规定的，从其规定执行。

　　第二十七条 公共数据主管部门在履行数据安全监督管理职责中，发现公共管理和服务机构在数据处理活动存在较大安全风险的，可以按照规定权限和程序对相关人员进行约谈，并要求采取措施进行整改，消除隐患。

　　第八章 附则

　　第二十八条 县（市、区）公共数据主管部门参照本办法，统筹协调本行政区域内公共数据安全管理工作。

　　第二十九条 本办法由福州市数据管理局负责解释。

　　第三十条 本办法自公布之日起施行，试行期设定为两年。