耀时观察

政府机关在政务信息化项目中的数据安全责任

2024年10月2日江苏耀时律师事务所

随着数字化转型的深入,政务信息化建设已成为提升政府服务效率和质量的重要一环,保障政务数据安全的重要性也随之凸显。2024年9月24日,国务院总理李强签署第790号国务院令,公布《网络数据安全管理条例》(以下简称“条例”)。《条例》自2025年1月1日起施行。根据《条例》第十五条,“国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全保护义务。”那么,政务信息化项目中建设单位具体需履行哪些数据安全责任呢?

国务院办公厅2019年12月30日公布的《国家政务信息化项目建设管理办法》(以下简称“《办法》”)规定了政务信息化项目建设的具体要求,包括规划和审批管理、项目建设和验收、运行维护和绩效评估等方面,以确保政务信息系统的安全可靠,各地也根据该办法制定了各省、市政务信息化项目建设管理办法。总体而言,政府机关作为政务信息化项目建设单位时的数据安全责任包括如下方面:

一、编制信息资源目录

项目建设单位应当编制信息资源目录,明确共享类型,建立信息共享长效机制和共享信息使用情况反馈机制,确保信息资源共享,不得将应当普遍共享的数据仅与特定部门共享,或仅向特定企业、社会组织开放。

信息资源目录是审批相关政务信息化项目的必备条件。信息资源共享的完整性、时效性以及网络安全情况是确定项目建设投资、运行维护经费和验收的重要依据。

二、明确项目责任人

项目建设单位应当确定项目实施机构和项目责任人,建立健全项目管理制度,加强对项目全过程的统筹协调,强化信息共享和业务协同,并严格执行招标投标、政府采购、工程监理、合同管理等制度。招标采购涉密信息系统的,还应当执行有关保密法律法规规定。

三、建立健全网络安全管理制度

项目建设单位应当按照《中华人民共和国网络安全法》等法律法规以及党政机关安全管理等有关规定,建立健全网络安全管理制度,采取有效技术措施,加强政务信息系统与信息资源的安全保密设施建设,定期开展网络安全检测与风险评估,保障信息系统安全稳定运行。

四、落实密码管理要求

项目建设单位应当落实国家和省密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。重要领域网络与信息系统规划阶段,项目单位应当依据有关规定,制定密码应用建设方案,组织专家或委托测评机构评估。

五、 落实涉密信息系统要求

对于涉及国家秘密的政务信息化项目,项目建设单位应当落实国家涉密信息系统分级保护制度和标准要求。安全保密防护措施和保密设施设备应当与涉密政务信息化项目同步规划、同步建设、同步运行。涉密项目应当经保密行政管理部门审查合格,方可投入运行,建设使用单位应当指定专门机构或者人员负责运行使用管理。

六、采用安全可靠软硬件

项目应当采用安全可靠的软硬件产品。在项目报批阶段,项目建设单位要对产品的安全可靠情况进行说明。项目软硬件产品的安全可靠情况,项目密码应用和安全审查情况,以及硬件设备和新建数据中心能源利用效率情况是项目验收的重要内容。

七、开展集约化建设

项目建设单位应当充分依托电子政务网络资源、政务云服务资源以及其他可共享利用的基础设施资源,开展集约化建设。可以通过共享交换获取的信息资源,原则上不应重复采集,相关系统不重复建设。

八、实行工程监理制

政务信息化项目实行工程监理制,项目建设单位应当按照信息系统工程监理有关规定,委托工程监理单位对项目建设进行工程监理。

九、进行项目绩效评价

项目建设单位应当对项目绩效目标执行情况进行评价,并征求有关项目使用单位和监理单位的意见,形成项目绩效评价报告。以省级项目为例,建设单位应在建设期内、年度结束前向省财政厅和省发展改革委提交,并抄送省政务办、省工业和信息化厅。

项目绩效评价报告主要包括建设进度和投资计划执行情况。对于已投入试运行的系统,还应当说明试运行效果及遇到的问题等。

十、自评价与后评价

项目建设单位应当在项目通过验收并投入运行后12-24个月内,参照国家政务信息化建设管理绩效评价有关要求开展自评价。以省级项目为例,建设单位应将自评价报告报送省发展改革委、省财政厅。省发展改革委结合项目建设单位自评价情况,可以委托相应的第三方咨询机构开展后评价。

十一、接受监督管理

项目建设单位应当接受项目审批部门及有关部门的监督管理。以省级项目为例,省发展改革委、省财政厅、省政务办、省工业和信息化厅、省委网信办会同有关部门按照职责分工,对政务信息化项目是否符合国家和省有关政务信息共享的要求,是否符合政务信息基础设施集约化建设要求,以及项目建设中招标采购、资金使用、密码应用、网络安全等情况实施监督管理。发现违反国家和省有关规定或者批复要求的,应当要求项目建设单位限期整改。逾期不整改或者整改后仍不符合要求的,可以对其进行通报批评、暂缓安排信息化投资计划、暂停项目建设直至终止项目。

网络安全监管部门则负责对政务信息系统的安全监管,并指导监督项目建设单位落实网络安全审查制度要求。

附:《网络数据安全管理条例》全文

▼ 详细阅读:

李强签署国务院令 公布《网络数据安全管理条例》

本文仅为一般性信息分享,不构成任何法律意见或建议。如您需要针对具体事项的法律意见,请与耀时律师联系。

就本文议题需要专业意见?

耀时律师提供定制化、私密性、可落地的法律服务。

预约咨询