关于落实《上海市公共数据开放分级分类指南（试行）》相关要求的通知

各相关单位：

为深入贯彻落实《上海市公共数据开放暂行办法》（沪府令21号）文件精神，加快推进青浦区公共数据开放工作，有效促进开放数据共享应用，助力城市数字化转型，现就落实《上海市公共数据开放分级分类指南（试行）》相关要求的有关事项通知如下：

一、工作目标

按照《上海市公共数据开放分级分类指南（试行）》相关要求，对我区公共数据开展分级分类，梳理汇总形成青浦区公共数据开放清单，在上海市公共数据开放平台进行统一开放。围绕重点开放领域打造一批经济价值较高、社会价值显著的政企数据融合示范应用项目，释放公共数据价值，助力城市数字化转型，服务“一网通办”、“一网统管”等重大项目和上海“五个中心”建设。

二、工作责任

区政务办：统筹规划、协调推进、指导监督本区公共数据开放工作，指导全区各单位开展公共数据开放清单编制以及相关开放数据的归集、整合、开放、应用。

区科委：推动社会主体对开放数据的创新应用和价值挖掘，引导我区数字产业发展。

各职能部门：负责本单位数据开放清单的编制和维护；按照市级相关责任部门的规范要求，实施公共数据采集工作，并确保数据采集的准确性、完整性、时效性；负责将本单位在履职过程中产生的公共数据向区大数据资源平台归集，实现公共数据资源的集中存储，并承担相应公共数据质量责任，确保数据适时、真实、准确、完整；依据相关规定，按需共享本单位公共数据。

三、主要任务

（一）落实完善分级分类开放

1.全面梳理数据家底，形成开放清单。各单位进一步梳理可开放数据，除相关法规、文件明确要求不予开放的，应100%列入开放清单。围绕普惠金融、交通出行、医疗健康等领域，编制形成本单位公共数据开放清单，并每季度定期报送至区政务办。（牵头单位：区政务办；配合单位：各相关单位）

2.完善开放数据与信息化项目预算审核挂钩制度。在信息化建设中加强规划和落实公共数据开放，对存在无合理理由不开放数据、数据服务能力与规划不符等情况的项目，将不予支持。（牵头单位：区科委）

3.全面落实有条件开放机制。推进分级分类、申请受理、申请评估、跟踪反馈等工作，对于有条件开放的数据请求，原则上各单位配合区政务办在5个工作日内通过全市统一平台“上海市公共数据开放平台（https://data.sh.gov.cn）”完成受理和答复，成功受理率应达100%。（牵头单位：区政务办；配合单位：各相关单位）

（二）深化公共数据开放应用。

1.组织重点领域公共数据开放应用建设。区政务办依托上海市公共数据开放平台（https://data.sh.gov.cn），根据自身业务重点和区域特色，结合年度开放重点，强化开放数据需求对接，在保障公共利益和个人隐私前提下，按需向社会各方进行数据开放，进行深度挖掘分析和增值利用，助力数字产业发展。（牵头单位：区政务办；配合单位：各相关单位）

2.加强数据治理，提升数据质量。根据用户反馈情况，对已开放数据开展巡查，针对数据名称、文件格式、接口服务、字段描述、隐私保护等内容开展治理优化。（牵头单位：区政务办；配合单位：各相关单位）

3.开展公共数据开放应用试点项目征集。针对防疫复工、医疗健康、智联交通、智慧文旅等重点方向，征集一批落地性好、社会效益和经济效益显著的试点应用项目，形成一批示范案例。（牵头单位：区科委；配合单位：各相关单位）

（三）加强数据安全和隐私保护

1.完善公共数据开放安全管理制度。对网络攻击、数据泄露、隐私泄露、相关舆情等风险加强监测预警和行为追溯。对公共数据开放安全管理情况开展巡查。（牵头单位：区委网信办；配合部门：区科委、区政务办）

2.加强违规行为监测。对平台行为、数据利用报告、数据调用日志等加强监测，对非授权使用、数据泄露、隐私挖掘等违法违规行为开展行为追溯和依法惩治。（牵头单位：区委网信办；配合部门：区政务办、区科委）

3.加强保护个人隐私和商业秘密。加强开放前脱敏脱密处理，配合市级部门定期开展敏感字段平台核查，及时处理收到的相关投诉举报。（牵头单位：区政务办；配合单位：各相关单位）

附件：《上海市公共数据开放分类分级指南（试行）》

青浦区政务服务办公室

2021年2月10日

附件：上海市公共数据开放分级分类指南（试行）

1.引言

根据《上海市公共数据和一网通办管理办法》（沪府令9号）和《上海市公共数据开放暂行办法》（沪府令21号）相关要求，对公共数据实施分级分类开放。

本指南规定了公共数据开放的分级分类流程、要点、方法、示例等内容，本市公共数据开放主体根据本指南对公共数据进行分级分类，并采取相应风险防控和安全保障措施，全面保障本市公共数据开放工作有力有序开展。

2.范围

本指南适用于本市各级行政机关以及履行公共管理和服务职能的事业单位（以下统称公共管理和服务机构）在依法履职过程中，采集和产生的各类数据资源面向社会开放的分级分类。上海市水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性数据开放，可参考本指南进行分级分类。

本指南提供通用、共性参考原则和方法，各数据开放主体根据本行业、本区域的法律法规和相关规定，对本指南进行调整、补充，并制定本机构公共数据开放分级分类细则。

涉及国家秘密的公共数据管理，按照相关保密法律、法规的规定执行，不纳入公共数据开放范围。

3.规范性引用文件

《上海市公共数据和一网通办管理办法》（沪府令9号）

《上海市公共数据开放暂行办法》（沪府令21号）

GB/T 25069信息安全技术术语

GB/T 35273个人信息安全规范

4.术语和定义

4.1公共数据开放分级

公共数据开放分级是指在公共数据开放过程中，从公共数据安全要求、个人信息保护要求和应用要求等因素，将公共数据分为不同级别的管理方式。

4.2公共数据开放分类

公共数据开放分类是指在公共数据开放过程中，将公共数据分为无条件开放、有条件开放、非开放三种开放类别的管理方式。

4.3个人敏感信息

一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰，以及基因、照片、指纹等生物特征数据。

5.分级分类原则

5.1兼容性

分级分类应遵循国家、地方、部门法律法规、相关规定的要求。

5.2安全性

分级分类应以公共数据安全可控开放为基础。

5.3科学性

分级分类应符合公共数据的多维特征及其相互间客观存在的逻辑关联。

5.4需求导向

分级分类应充分考虑社会公众对开放数据的实际需求。

5.5可操作性

分级分类应具有可操作性，能够快速有效地制定妥善的开放方式。

5.6可扩展性

分级分类应充分考虑国际国内发展趋势，定期征询相关专家咨询组织，完善和调整分级分类规则。

6.公共数据开放类别

公共数据分为以下三种开放类别：

序号

开放类别

说明

1

非开放

涉及商业秘密、个人隐私，或者法律、法规规定不得开放的公共数据

2

有条件开放

对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据

3

无条件开放

除上述非开放和有条件开放以外的其他公共数据

表1：公共数据开放类别

6.1无条件开放类

对列入无条件开放类的公共数据，数据开放主体应当通过开放平台主动向社会开放。自然人、法人和其他组织无需申请即可获取、使用或者传播该类数据。

6.2有条件开放类

对列入有条件开放类的公共数据，数据开放主体应当通过平台公示开放条件，自然人、法人和其他组织通过开放平台向数据开放主体提交数据开放申请，并说明申请用途、应用场景和安全保障措施等信息，符合条件的，可以获取公共数据。

6.3非开放类

对列入非开放类的公共数据，暂时不纳入开放范围。经脱敏、匿名等处理后符合开放要求的，可将处理后的数据纳入无条件开放或有条件开放类。

7.分级分类规则

公共数据的开放级别按照公共数据描述的对象，从三个维度分别展开：个人、组织、客体。个人指自然人；组织指本市政府部门、企事业单位以及其他法人、非法人组织和团体；客体指本市非个人或组织的客观实体，如道路、建筑等。

7.1个人维度

表2：个人维度开放级别

注：数据提供主体可以根据社会需求，对非开放类数据进行匿名、脱敏等处理，降级后按对应类别开放。

7.2组织维度

开放

级别

数据特征

数据示例

开放

类型

B0

可从公开途径获取或者法律法规授权公开的数据

1.组织发布在网站、宣传册中或任何其他公开来源的数据；   2.组织涉及行政、司法行为、公共事项必须披露的数据；   3.依据法律法规必须公开的数据，如“企业信息公示暂行条例”中明确应公开的内容；

4.有条件开放类数据的脱敏脱密样本。

无条件

开放

B1

数据用于支撑组织运营管理和业务开展，或可反映出组织经营状况，在特定范围内

对象知晓

1.组织规范日常管理和运营的制度、规范、手册、流程图、信息系统等；   2.组织水、电、气等资源消耗数据；   3.组织缴纳税务、社保、公积金等数据；   4.组织应披露但未到披露时间节点的各类信息，如财务报表等。

有条件

开放

B2

数据涉及到组织核心利益，数据的泄露会对组织造成财务、声誉、技术等方面的影响

1.技术信息：技术设计、技术样品、质量控制、应用试验、工艺流程、工业配方、化学配方、制作工艺、制作方法、计算机程序等；   2.经营信息：发展规划、竞争方案、管理诀窍、客户名单、货源、产销策略、财务状况、投融资计划、标书标底、谈判方案等。

非开放

表3：组织维度开放级别

7.3客体维度

开放

级别

数据特征

数据示例

开放

类型

C0

可从公开途径获取或者法律法规授权公开的数据

1.公共设施、设备的位置、指标参数、运行状态、统计数据等；   2.环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况。

无条件

开放

C1

数据开放风险低，对公共秩序、公共利益影响较小

1.城市公共卫生间、充电桩、公交站等公共服务设施的分布及状态等；   2.城市道路车流量、道路、桥梁、隧道等可通行数据。

有条件

开放

C2

数据开放风险中等，数据非授权操作后会对个人、企业、其他组织或国家机关运作造成损害

1.传染病统计数据、药品使用统计数据等；   2.公共治安视频数据等。

C3

数据开放风险较高，数据非授权操作后会对个人、企业、其他组织或国家造成严重损害

1.重要公共或基础设施的详细数据；   2.高精度的地理、海洋、气象测绘数据等；   3.各行业监管部门单独规定的本行业高风险数据等。

非开放

表4：客体维度开放级别

8.分级分类流程

分级分类按照以下流程进行：

8.1确定分级分类对象

分级分类的对象为市大数据资源平台中已编目的数据集。

8.2进行数据分级分类

数据开放主体按照第7章所述内容，对照表2、表3、表4，确定数据集在个人、组织、客体三个维度的开放级别和开放类别。

8.3确定开放条件

对于无条件开放类数据，直接开放数据；

对于非开放类数据，不予开放；

对于有条件开放类数据，根据开放级别查询附录，确定公共数据开放条件。由数据利用主体申请使用，评估符合条件后开放；

8.4非开放类数据处理

对于非开放类数据，经脱敏、匿名等处理后符合开放要求的，可将处理后的数据重新进行分级，纳入无条件开放或有条件开放类后开放。

图1：分级分类流程图

9.数据融合风险

分级分类时，应当预判与已开放的数据集多源融合可能造成的数据安全风险。例如：数据集A采用了删除身份证号码中间8位的匿名处理后开放（如310000XXXXXXXX1234），但同时开放的数据集B中包含了自然人生日信息，在该情况下，等同于开放了自然人全部身份证号码。数据开放主体应当对A、B重新定为更高级别开放，或改变匿名处理方式，处理后重新开放。

对于无法评估的不确定性风险，建议组织行业专家座谈、提请公共数据开放专家委员会研讨等方式确定开放方。

10.数据开放条件

10.1数据安全要求：

级别

数据安全

要求

需提供的相关材料

A1

有基础的数据安全

保护能力

数据安全保护人员、相关制度规范。根据具体数据集确定是否需提供个人或企业数据使用授权书。

A2

有较完善的数据安全保护体系

有等保2级以上，ISO27000等认证，或满足同等要求的数据安全保护体系。根据具体数据集确定是否需提供个人或企业数据使用授权书。

B1

有较完善的数据安全保护体系

有等保2级以上，ISO27000等认证，或有满足同等要求的数据安全保护措施。根据具体数据集确定是否需提供个人或企业数据使用授权书。

C1

有基础的数据安全

保护能力

有数据安全保护人员、相关制度规范。根据具体数据集确定是否需提供个人或企业数据使用授权书。

C2

有较完善的数据安全保护体系

有等保2级以上，ISO27000等认证，或满足同等要求的数据安全保护体系。根据具体数据集确定是否需提供个人或企业数据使用授权书。

附表1

10.2应用场景要求：

级别

应用场景要求

示例或禁止

A1

不得用于挖掘个人敏感信息

禁止用于营销等目的的个人敏感信息挖掘，例如：融合自有数据挖掘个人电话号码。

A2

仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景，不得对外提供查询服务

禁止用于向他人提供敏感信息的查询，例如：匿名的个人X光片可以进行科学研究，但不可用于向第三方提供查阅服务。

B1

仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景，不得针对具体组织对外发布新闻等信息

不得发布相关解读。例如：禁止发布某企业用电量过低的新闻。

C1

可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景

例如：公共充电桩充电信息，可以进行商店选址、规划等业务支撑。

C2

仅可用于主管部门授权的场景

例如：对交通监控视频数据的使用必须提供公安部门的授权。

附表2

10.3反馈要求：

级别

反馈内容

A1

注明数据来源，定期抽查数据使用情况

A2

注明数据来源，实时日志反馈，定期提交利用报告

B1

注明数据来源，定期抽查数据使用情况

C1

注明数据来源，定期抽查数据使用情况

C2

注明数据来源，实时日志反馈，定期提交利用报告

附表3

11.分级分类示例

数据集名称：2018年交通处罚信息。

字段：决定书编号，案件案号，处罚当事人，法人代表，违章事实，处罚依据，处罚结果，执法主体，处罚日期

11.1数据分级：

A.个人维度：处罚当事人、法人代表中含有个人姓名，违章事实、处罚结果、处罚日期属于个人非敏感信息。列入A1级。

B.组织维度：决定书编号，案件案号，执法主体为低风险的数据项，如果泄露不会造成对组织的不良影响。列入B0级。

C.客体维度：处罚依据为公开可查询的客体信息，造成不良影响风险较低。列入C0级。

数据集整体描述了交通违法违章的处罚情况，无国家秘密、商业机密。

综上，本数据集的开放级别为A1，B0，C0级。

11.2数据分类：

由于A1级为有条件开放，B0、C0为无条件开放，因此本数据集为有条件开放。

11.3确定开放条件：

查询附表1、2、3中A1级所对应的开放条件可得：

数据利用主体需有基础的数据安全保护能力（需提供数据安全保护负责人和联系方式，有数据安全和隐私保护制度），并提供个人数据使用授权书，应用场景不得用于个人敏感信息挖掘，需配合定期抽查数据使用情况，形成成果的，应当注明数据使用来源。