政务数据共享安全权限分级管理办法

政务数据共享安全权限分级管理办法第一章总则第一条为规范政务数据共享过程中的安全管理，落实数据安全保护责任，确保政务数据在共享、开放和使用过程中的保密性、完整性和可用性，根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》及相关法律法规，结合本地区政务信息化建设实际情况，制定本办法。第二条本办法所称政务数据，是指各级行政机关、履行公共管理和服务职能的事业单位（以下统称政务部门）在依法履行职责过程中采集和产生的各类数据资源。第三条政务数据共享安全权限分级管理（以下简称“分级管理”）的核心目标是确立“以数据为中心、以权限为纽带、以安全为底线”的管理体系。通过对数据敏感程度、共享范围、使用场景的精准分级，实现对数据访问权限的精细化控制，防止数据滥用、泄露和篡改。第四条本办法适用于本地区行政区域内各级政务部门之间的数据共享活动，以及政务数据依托政务云平台、数据共享交换平台（以下简称“共享平台”）进行的跨部门、跨层级、跨区域的数据交换与访问。第五条分级管理遵循以下原则：（一）权责一致原则。谁提供、谁负责；谁使用、谁负责；谁管理、谁负责。数据提供部门负责数据源头分类分级和源头安全；数据使用部门负责数据使用过程的安全；数据管理部门负责平台环境的安全监管。（二）按需共享原则。数据共享权限的授予应当严格遵循“最小权限”和“最小必要”原则，仅提供完成业务职能所必需的数据范围和访问频次。（三）动态调整原则。根据法律法规变化、数据价值变化、安全威胁变化以及业务需求变化，定期对数据分级和共享权限进行评估和动态调整。（四）分类分级原则。根据数据属性、内容特征及泄露后的影响程度，对数据进行科学分类和定级，并匹配相应的安全管理策略和技术防护措施。第六条建立政务数据共享安全联席会议制度，由大数据管理部门牵头，网信、公安、保密等部门参与，统筹协调政务数据共享安全分级管理中的重大事项。第二章术语定义第七条【数据分类】根据政务数据的属性、特征、管理主体及业务范畴，将数据划分为不同的类别，如人口、法人、自然资源、经济、社会信用、行政执法等基础库数据，以及各类主题库和专题库数据。第八条【数据分级】根据数据在保密性、完整性、可用性以及安全性被破坏后，对国家安全、公共利益、组织权益以及个人隐私的侵害程度，将数据划分为不同的安全级别。第九条【共享类型】根据数据共享属性，将共享类型分为无条件共享、有条件共享和不予共享三类。（一）无条件共享：可提供给所有政务部门共享使用的政务数据。（二）有条件共享：可提供给相关政务部门共享使用或仅能部分提供给相关政务部门共享使用的政务数据。（三）不予共享：不宜提供给其他政务部门共享使用的政务数据。第十条【数据脱敏】指对某些敏感信息通过脱敏规则进行数据的变形、屏蔽、加密、隐藏等操作，实现敏感隐私数据的可靠保护，同时保持数据的业务属性和逻辑一致性。第十一条【权限粒度】指访问控制的最小单元，包括数据库级、表级、列级（字段级）、行级（记录级）。对于高敏感数据，原则上应控制到列级或行级。第三章政务数据分类分级标准第十二条政务数据安全级别从低到高划分为四级：第一级（公开级）、第二级（内部级）、第三级（敏感级）、第四级（绝密级）。第十三条第一级（公开级）数据定义及特征：（一）定义：指可依法向社会公开、披露，或一旦泄露、丢失、篡改、损毁不会对国家安全、公共利益、组织权益或个人合法权益造成危害的数据。（二）特征：不涉及国家秘密、商业秘密和个人隐私；属于法律法规要求主动公开的信息；已在政府门户网站或其他公开渠道发布的信息。（三）共享类型：通常为无条件共享。（四）示例：政策法规、行政区划代码、公共服务清单、统计数据摘要等。第十四条第二级（内部级）数据定义及特征：（一）定义：指仅能在政务部门内部或特定业务系统间共享使用，不宜向公众公开，一旦泄露可能对正常政务秩序造成轻微影响，或对公民、法人及其他组织的合法权益造成一般损害的数据。（二）特征：涉及一般工作秘密、内部管理信息；涉及非核心的个人身份信息（如姓名、性别）或非敏感的商业信息。（三）共享类型：通常为有条件共享。（四）示例：政务部门内部会议纪要、一般办事流程记录、经过模糊化处理的统计数据等。第十五条第三级（敏感级）数据定义及特征：（一）定义：指涉及个人隐私、敏感个人信息或重要商业秘密，一旦泄露、丢失、篡改、损毁可能对公民、法人及其他组织的合法权益造成严重损害，或对政府公信力造成较大影响的数据。（二）特征）包含身份证号、手机号、银行卡号、生物识别信息、详细住址、医疗健康信息、金融账户信息等；涉及特定商业主体的关键经营数据。（三）共享类型：严格的有条件共享，需经过严格的审批流程。（四）示例：社保缴纳明细、公积金账户信息、企业税务申报详细数据、不动产登记信息等。第十六条第四级（绝密级）数据定义及特征：（一）定义：指一旦泄露、丢失、篡改、损毁可能直接危害国家安全、公共利益，或者造成特别重大经济损失、社会影响极其恶劣的数据。（二）特征：涉及国家秘密；高密度汇聚的敏感个人信息；尚未公开的重大决策草案；关键基础设施的运行参数和拓扑结构。（三）共享类型：原则上不予共享，确需共享的需经过专项审批并采取最高级别的安全防护措施。（四）示例：国防相关地理信息、国家关键基础设施保密数据、重大突发事件未公开的指挥调度数据等。第十七条政务数据分类分级清单管理。各政务部门应依据本办法，结合本部门职能和数据资源目录，编制《本部门政务数据分类分级清单》，并报送同级大数据管理部门备案。清单应包括数据名称、数据格式、所属类别、安全级别、共享类型、脱敏规则、责任部门等字段。第四章用户与角色权限管理第十八条实行统一的用户身份认证管理。政务数据共享交换平台应建立统一的身份认证系统，对接政务数字证书（CA）、电子营业执照等可信凭证，实现对访问用户实名的真实性、有效性核验。第十九条建立基于角色的访问控制（RBAC）与基于属性的访问控制（ABAC）相结合的权限模型。（一）角色定义：根据用户职责和业务需求，预定义标准角色，如数据管理员、数据审核员、业务办理员、数据分析员、审计员等。（二）属性定义：包括用户属性（部门、职级、岗位）、环境属性（IP地址、时间、设备指纹）、数据属性（级别、类别）。（三）权限策略：系统应支持“角色+属性”的复合策略判定，确保只有满足特定角色和环境属性的用户才能访问相应级别的数据。第二十条数据提供方权限管理。（一）数据管理员：负责本部门数据资源的注册、目录编制、分类分级标注、挂接资源、发布服务以及共享授权。（二）数据审核员：负责对其他部门提出的数据共享申请进行审核，包括审核申请理由的充分性、使用范围的合理性等。第二十一条数据使用方权限管理。（一）业务办理员：仅在办理具体政务服务事项时，通过业务系统接口调用相关数据，仅拥有“读”权限，且数据通常仅用于当前业务办理，禁止下载或二次分发。（二）数据分析员：用于宏观统计、趋势分析等场景，原则上只能访问脱敏后的数据或统计汇总后的数据，严禁访问明文敏感数据。第二十二条平台运维方权限管理。（一）平台运维人员应遵循“职权分离”原则，系统管理员、安全管理员、安全审计员应由不同人员担任。（二）严禁运维人员利用运维特权直接查询、导出业务数据。运维操作必须通过堡垒机进行，并全程录屏审计。第二十三条权限有效期管理。所有授予的数据共享权限均应设定有效期，原则上不超过一年。有效期届满前，使用部门如需继续使用，必须重新发起申请。对于临时性任务（如专项普查），权限有效期应与任务周期严格绑定，任务结束立即回收权限。第五章数据共享申请与审批流程第二十四条数据共享申请应通过共享平台在线发起，严禁线下私自拷贝、传输数据。申请流程包括申请、受理、审核、授权、开通五个环节。第二十五条申请环节。申请人需填写《政务数据共享申请表》，内容包括：（一）申请单位、申请人及联系方式；（二）使用场景描述（需关联具体的业务事项编码）；（三）申请的数据资源名称及编码；（四）申请的权限类型（如查询、核验、批量获取）及频次；（五）数据使用期限及安全保密承诺。第二十六条受理环节。数据提供部门在收到申请后，应在2个工作日内完成形式审查。对于申请材料不齐全或不符合要求的，予以退回并一次性告知需补正的内容。第二十七条审核环节。数据提供部门应根据数据分级和申请理由进行实质审核。（一）第一级（公开级）数据：原则上由系统自动审核通过。（二）第二级（内部级）数据：由数据提供部门的数据审核员进行审核，重点核实使用部门的职能相关性。（三）第三级（敏感级）数据：需经数据提供部门内部审批流程，由部门负责人或授权的分管领导审批。必要时，需双方部门签订《数据共享安全保密协议》。（四）第四级（绝密级）数据：原则上不予受理。确因国家重大任务需要共享的，需数据提供部门主要领导签字确认，并报同级大数据管理部门及网信部门备案。第二十八条授权环节。审核通过后，数据提供部门在共享平台配置授权策略，明确可访问的数据项（字段级）、访问方式（API库表）、访问时段、IP白名单等限制条件。第二十九条开通环节。共享平台自动根据授权策略，向使用部门的系统开放数据接口访问权限，并通过短信、邮件等方式通知申请人。第三十条紧急共享机制。对于应对自然灾害、事故灾难、公共卫生事件、社会安全事件等突发事件，需要紧急获取数据的，可开启“绿色通道”。使用部门可先行申请“临时紧急权限”，数据提供部门应在1小时内予以响应，开通有限权限，并在事后24小时内补齐审批手续。第六章数据访问控制与安全策略第三十一条接口访问控制。共享平台提供的所有数据接口（API）必须具备以下安全控制能力：（一）身份认证：支持双向认证，确保调用方身份合法。（二）传输加密：必须使用HTTPS/TLS1.2及以上协议进行传输，防止数据在网络传输过程中被窃听或篡改。（三）流量控制：对高频调用、异常流量进行限流和熔断，防止数据被恶意爬取。（四）签名验签：接口请求参数必须包含基于时间戳和密钥的数字签名，防止请求重放和参数篡改。第三十二条数据脱敏策略。对于第三级（敏感级）及以上数据，在共享输出前必须实施动态脱敏处理。脱敏规则如下表所示：敏感字段类型脱敏规则示例原始数据示例脱敏后数据示例适用场景公民身份号码遮蔽中间8位110101199003071234110101****1234办事核验、一般查询手机号码遮蔽中间4位13812345678138****5678联系、通知银行卡号遮蔽中间部分，保留前4后462220212345678901236222***0123支付验证姓名保留姓氏，名字遮蔽（2字遮1，3字遮2）张三、王小明张*、王**列表展示电子邮箱遮蔽@前部分字符zhangsan@zha***@联系展示家庭住址保留到街道/社区级，门牌号脱敏北京市朝阳区XX路1号北京市朝阳区XX路**号物流、邮寄第三十三条数据使用范围控制。数据使用部门应将获取的数据仅用于申请时填报的特定业务场景，严禁用于任何其他目的，严禁转授权给第三方单位。对于批量获取的数据，必须在本地受控环境（政务云专区）内使用，严禁下载至本地终端或互联网环境。第三十四条数据溯源与水印。对于第三级（敏感级）数据的导出或高敏感场景的查询，系统应自动在返回结果中植入隐形数字水印（如数据库水印、文档水印）。水印信息包含申请单位、申请人、时间戳等关键信息。一旦发生数据泄露，可通过提取水印信息进行精准溯源追责。第三十五条异常行为监测。共享平台应部署用户实体行为分析（UEBA）系统，实时监测用户的数据访问行为。对以下异常行为进行实时告警并自动阻断：（一）非工作时间（如深夜、凌晨）的高频数据查询；（二）单次查询返回数据量远超正常业务范围；（三）同一账号在短时间内在不同IP地址并发登录；（四）尝试访问未授权的高敏感数据接口；（五）批量查询特定敏感人群（如特定富人、特定官员）的数据。第七章安全审计与日志管理第三十六条全流程审计记录。共享平台应记录数据共享的全生命周期日志，包括但不限于：（一）数据目录注册、变更、注销日志；（二）共享申请、受理、审批、授权日志；（三）数据访问接口调用日志（含调用时间、源IP、调用方、返回数据量、执行状态）；（四）数据查询、导出、下载日志；（五）用户登录、权限变更、密码修改日志；（六）系统运维操作日志。第三十七条日志存储要求。审计日志应采用服务器本地存储与独立审计系统存储相结合的方式。日志保存时间不得少于6个月，对于涉及第三级（敏感级）及以上数据的操作日志，保存时间不得少于3年。第三十八条日志完整性保护。审计日志生成后，禁止进行任何删除或修改操作。应采用密码技术（如哈希算法、电子签名）对日志进行完整性校验，确保日志的真实性和不可抵赖性。第三十九条定期审计与通报。大数据管理部门应每季度组织一次数据共享安全专项审计，检查各部门数据分类分级执行情况、权限审批合规性、日志留存情况。审计结果纳入政务信息化工作年度绩效考核，并对发现的安全隐