《天津市公共数据资源开发利用安全管理办法（试行）》政策解读

为规范我市公共数据资源开发利用秩序，在守牢安全底线的前提下，激活数据要素价值，市数据局制定了《天津市公共数据资源开发利用安全管理办法（试行）》（以下简称《管理办法》）。为便于全社会准确理解和执行，现从出台背景、核心内容、主要亮点、落实举措四个方面进行解读。

一、出台背景：锚定“安全”与“发展”双重目标

《管理办法》聚焦“以安全保发展、以发展促安全”的主线，既是落实国家任务部署的要求，也是解决我市公共数据资源开发利用现实问题的迫切需要。

（一）国家政策的“落地生根”

近年来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规相继出台，明确了数据安全管理的“顶层设计”。国家层面先后印发《关于加快公共数据资源开发利用的意见》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，要求地方建立健全公共数据资源开发利用安全机制。《管理办法》进一步细化了国家政策的操作路径，确保国家法律法规在本地“落地生根”。

（二）我市推进数据要素价值释放的“现实需要”

当前，我市正加快推进公共数据资源共享开放与授权运营，助力数字经济发展，但同时也面临“数据安全风险防控不足”“责任主体边界不清”“开发利用与安全平衡难”等问题。《管理办法》通过明确责任、规范流程、强化监管，为我市公共数据资源开发利用划定“安全底线”，防范数据安全事件发生。

（三）权益保障的“制度兜底”

公共数据涉及国家安全、公共利益，以及公民、法人和其他组织的合法权益。《管理办法》通过全链条安全管理，既防止数据被篡改、破坏、泄露或非法利用，又保障公共数据合规高效开发，实现“国家安全、公共利益、个人权益”与“数据要素价值”的协同统一。

二、核心内容：构建“全链条、分主体”的安全管理体系

《管理办法》共5章20条，围绕“谁来管、管什么、怎么管”，构建了覆盖公共数据资源开发利用全生命周期的安全管理框架，重点明确四方面内容：

（一）明确适用范围，划定“管的边界”

《管理办法》适用于本市行政区域内的公共数据资源开发利用活动，具体包括三大类场景。

1. 公共数据资源的共享、开放活动。

2. 公共数据资源的授权运营活动。

3. 上述活动涉及的责任主体安全管理与监督活动。

同时，明确涉及国家秘密的公共数据资源开发利用、公共数据跨境流动等，需按照国家和本市有关规定执行，避免与现有保密、跨境数据管理体系冲突。

（二）细化责任体系，解决“谁来担责”

《管理办法》创新性地将责任主体划分为“六方”，覆盖公共数据资源开发利用“供给—开发—经营—使用—平台运营—监管”全链条。同时，明确“谁管理谁负责、谁使用谁负责”的总原则，确保每个环节的安全责任“可追溯、可问责”。

（三）强化安全要求，明确“怎么管安全”

《管理办法》以“全生命周期安全”为核心，对各责任主体提出系统性安全管理要求，重点聚焦三大领域。

1. 基础安全制度，筑牢“防护底座”

所有责任主体需落实“三项基础要求”。制度建设：建立健全安全管理制度、应急预案，开展安全教育培训。技术防护：采取访问控制、数据加密、备份恢复等技术措施，提升风险识别能力。分类分级：落实数据分类分级保护制度，按数据重要程度与风险级别采取差异化防护措施。

2.重点数据保护，守住“安全底线”

重要数据：开发利用前需开展风险评估，并向主管部门报送评估报告。个人信息：严格遵循《个人信息保护法》，不得非法收集、使用或泄露。原始数据：严禁对未依法公开的原始公共数据直接开发利用，防范数据源头风险。

3.事件应急处置，完善“响应机制”

要求各主体建立数据安全事件应急预案，加强风险监测；发生安全事件时，需立即采取控制措施，并按规定向主管部门报告，避免风险扩散。

（四）规范监督机制，确保“监管有效”

《管理办法》通过“四方面举措”规范监管行为，保障监督既“有力”又“有效”：

1. 明确监管内容。从法律法规落实、制度执行、技术体系建设、应急处置等方面开展检查。

2. 划定监管边界。严禁向被检查单位收费或推销产品，不得收集与安全无关的业务信息，对知悉的个人信息、商业秘密依法保密。

3. 强化协同配合。各监管部门需加强协作，避免重复检查或不必要检查。

4. 畅通社会监督。鼓励公众投诉举报违法违规行为，收到举报的部门需及时处理，并保护举报人权益。

对存在较大安全风险的主体，监管方可责令整改；拒不整改或违法违规的，将依据《数据安全法》《个人信息保护法》等追究责任。

三、主要亮点：凸显“天津特色”与“实践创新”

相较于一般地方政策，《管理办法》在责任划分、技术应用上体现两大创新亮点。

（一）“六方责任体系”实现全链条责任闭环

现有政策多聚焦“提供方、使用方、监管方”三类主体，《管理办法》新增“加工方、经营方、平台运营方”，覆盖公共数据从“源头到终端”的全流程：例如，针对“数据加工”这一中间环节，明确加工方需保存3年过程记录，解决“加工过程不可追溯”的痛点；针对“平台运营”，要求支持隐私计算、区块链等技术，为数据流通提供“技术安全底座”，填补了中间环节责任空白。

（二）“技术+制度”双轮驱动“安全与发展”

《管理办法》既强调制度规范，也注重技术赋能，通过“技术手段”实现“安全”与“开发利用”的平衡。

1. 明确平台运营方需支持隐私计算技术，可在不泄露原始数据的前提下实现数据“可用不可见”，解决“数据想用又不敢用”的难题。

2. 要求平台符合网络安全等级保护、商用密码管理等技术标准，确保数据传输、存储、加工的技术安全。

3. 鼓励经营方采用加密、授权访问等技术，防范数据产品被非法复制或滥用，为数据产品流通提供安全保障。

四、落实举措：推动《管理办法》从“制度”到“实践”

为确保《管理办法》落地见效，需多方协同、分层推进，重点做好两方面工作：

（一）监管部门要强化“协同联动”

1. 牵头部门（市数据局）需会同网信、公安、国家安全、保密、密码管理等部门，形成监管合力。

2. 建立“跨部门协同监管机制”，定期开展联合检查，共享监管信息，避免监管碎片化。

3. 加强对基层单位的培训指导，确保各部门、各区准确理解《管理办法》要求，规范开展公共数据资源开发利用活动。

（二）市场主体要落实“主体责任”

1. 数据资源提供方需梳理本单位公共数据清单，明确共享、开放、授权运营条件，开展数据安全审查。

2. 数据资源加工方、数据产品经营方需制定内部安全管理制度，采用技术防护措施，开展员工安全培训，确保加工、经营环节合规。

3. 数据平台运营方需建设安全可控开发利用环境，落实等保、商用密码等要求，支持安全可信流通技术应用，实现开发利用过程“可管、可控、可追溯”。