集团公司数据管理规定

第一章  总  则

第一条  为进一步规范集团公司及下属企业的数据管理工作，推进数据共建共治共享，挖掘数据价值，依据国家相关法律法规、规定和集团公司相关规章制度，制定本规定。

第二条  本规定适用于集团公司总部部门、专业公司，直属企业、专业公司成员企业（以下统称所属企业）的数据管理工作。

控股公司、实际控制企业通过法定程序执行本规定，参股公司参照本规定执行。

国家秘密和商业秘密数据的管理执行保密法律法规和集团公司保密管理相关规定。

第三条  本规定所称的数据是指集团公司在生产运行、经营管理和战略决策过程中，依托信息技术产生的企业内外部各类电子化记录。

数据管理是指集团公司开展数据管理专项规划制定、数据治理体系建设，以及数据采集、存储、使用、加工、传输、提供、公开等工作过程中，为有效发挥数据作用、提高数据价值而进行的管理行为。

第四条  集团公司按照“一个整体、两个层次”的信息化工作要求，围绕“统一规划、协同建设、集享、合规使用”的总体思路，遵从管业务必须管数据的理念，实行“归口管理、分级负责、各司其职、安全可控”的工作机制，加强数据管理工作的标准化、专业化和集中化。

第五条  所有数据由集团公司统一管理和使用。任何单位和员工都应依法依规，遵循合法、正当、必要和诚信原则，进行数据采集、存储、使用、加工、传输、提供、公开等活动，不得非授权使用、转让、买卖数据，不得从事危害、公共利益的信息处理活动。涉及个人信息时，应遵循个人信息保护的相关法律规定。

第二章  机构与职责

第六条  集团公司网络安全与信息化工作领导小组（以下简称领导小组）领导决策集团公司数据管理工作，主要履行以下职责：

（一）负责落实国家数据管理相关和工作部署；

（二）负责审定集团公司数据管理；

（三）负责决策数据管理过程中的重大事项；

（四）负责审议决策集团公司数据资源目录。

第七条  集团公司数字和信息化管理部（以下简称数字和信息化管理部）是集团公司数据归口管理部门，对数据管理工作承担整体责任，主要履行以下职责：

（一）落实领导小组数据管理各项工作决策部署；制订集团公司数据管理；

（二）组织制定集团公司数据管理制度和标准规范；

（三）组织编制集团公司数据管理专项规划和工作计划；

（四）组织开展集团公司数据治理、数据治理质量分析和改进、数据安全管理和监督考核工作，组织建设与维护集团公司统一数据架构，组织编制集团公司数据资源目录；

（五）组织开展集团公司数据应用工具、数据模型归口管理与服务；

（六）负责审批相关授权共享数据使用申请；

（七）组织开展集团公司数据生态建设、数据管理与应用技术以及数据安全的研究、培训和交流工作。

第  数据管理中心（以下简称数据管理中心）是集团公司数据管理工作实施单位，主要履行以下职责：

（一）负责编制集团公司数据管理制度和标准规范；

（二）负责编制集团公司数据管理专项规划和工作计划；

（三）组织落实集团公司数据治理、数据治理质量分析和改进工作，统一管理集团数据架构和主数据，协助编制集团公司数据资源目录；

（四）组织落实集团公司数据应用工具、数据模型归口管理与服务，提供数据应用服务；配合开展数据应用效果评估工作；为集团公司数据应用提供技术服务，为总部部门、专业公司和所属企业开展数据深化应用提供技术支持；

（五）负责集团公司数据资源共享归口管理与服务，授权共享数据需求申请清单的审核与登记备案；

（六）组织落实集团公司数据日常管理、检查考核，组织开展数据质量评估、数据安全风险评估和检查；

（七）组织落实集团公司数据生态建设、数据管理与应用技术以及数据安全的研究、培训和交流工作。

第九条  总部部门是所管业务领域数据管理责任主体，对本领域数据承担管理责任，主要履行以下职责：

（一）负责所管业务领域数据管理的组织建设和岗位设置；

（二）组织制定所管业务领域数据管理标准规范；

（三）组织开展所管业务领域数据治理工作，包括组织开展所管业务领域数据架构建设与维护、数据资源目录编制及内容审核、主数据建设、数据质量管理和数据按标准汇入数据湖等工作；

（四）审批所管业务领域归口管理的授权共享数据使用申请； 

（五）组织开展所管业务领域数据深化应用；

（六）组织开展所管业务领域数据分类分级制定、安全风险评估、安全监督等数据安全管理工作；配合开展监测预警、数据灾难恢复、应急响应等数据安全管控工作；

（七）组织制定所管业务领域的数据退役机制。

第十条  专业公司是本专业领域数据管理责任主体，对本领域数据承担管理责任，主要履行以下职责：

（一）负责本专业领域数据管理的组织建设，明确本专业领域数据管理组织和岗位设置；

（二）组织编制本专业领域数据管理专项规划和工作计划；

（三）组织制定本专业领域数据管理制度和标准规范；

（四）组织开展本专业领域数据治理工作，包括组织开展本专业领域数据架构建设与维护、数据资源目录编制及内容审核、专业主数据建设、数据质量管理和数据按标准汇入数据湖等工作；

（五）审批本专业领域归口管理的授权共享数据使用申请； 

（六）组织开展本专业领域数据深化应用；

（七）组织开展本专业领域数据分类分级制定、安全风险评估、监测预警、数据灾难恢复、应急响应和安全监督等数据安全管理工作；

（八）组织制定本专业领域的数据退役机制。

第十一条  所属企业是本单位数据管理责任主体，对本单位采集、提供的数据承担主体责任，主要履行以下职责：

（一）负责本单位数据管理的组织建设，明确本单位数据管理组织和岗位设置；

（二）编制本单位数据管理工作计划；

（三）落实数据归口管理机构制定的数据管理制度和标准规范；

（四）开展本单位数据治理工作，协助数据归口管理机构完成数据架构建设与维护、数据资源目录编制工作，开展本单位所建信息系统数据资源注册登记、数据质量管理和数据按标准汇入数据湖等工作；

（五）审批本单位归口管理的授权共享数据使用申请；

（六）开展本单位数据深化应用；

（七）开展本单位数据分类分级制定、安全风险评估、监测预警、数据灾难恢复、应急响应和安全监督等数据安全管理工作；

（八）制定本单位的数据退役机制。

第十二条  集团公司信息化内部支持单位（以下简称信息化内部支持单位）是集团公司信息系统    数据技术支持单位，按照数据归口管理机构下达的要求和任务完成相关工作，主要履行以下职责：

（一）完成集团公司信息系统数据的技术支持工作，明确相应数据支持的技术岗位设置；

（二）执行集团公司数据管理制度和标准规范；

（三）协助数据归口管理机构完成数据治理、数据架构建设与维护、数据资源目录编制、数据资源注册登记、数据质量管理和数据按标准汇入数据湖等工作；

（四）协助数据归口管理机构承担集团公司信息系统安全风险评估、监测预警、数据灾难恢复、应急响应和访问控制等数据安全管控工作。

第三章  规划与架构

第十三条  集团公司制定并实行统一的数据管理专项规划和年度工作计划，应包含建立数据管理责任体系，规划数据管理蓝图框架，统一数据管理标准规范，构建全生命周期数据治理体系，建设及运营数据基础设施，建立健全相关数据安全共享技术保障措施等内容。

第十四条  数字和信息化管理部会同总部部门和专业公司统一组织编制集团公司数据管理专项规划，明确集团公司数据管理发展方向、目标和任务；组织对数据管理专项规划执行情况及其对业务的适应性进行评估，根据需要对数据管理专项规划进行调整；编制或调整的数据管理专项规划报领导小组审议批准后，纳入集团公司数字化转型、智能化发展规划；组织制定集团公司数据管理年度工作计划并纳入数字化转型、智能化发展年度工作计划执行。

第十五条  按照集团公司数据管理专项规划和年度工作计划，专业公司结合本专业领域数据管理和应用需求，编制本专业领域数据管理专项规划，并纳入本专业领域数字化转型、智能化发展规划；总部部门、专业公司和所属企业制定本领域或本单位年度数据治理、数据安全、数据应用等数据管理工作计划，并纳入本领域或本单位数字化转型、智能化发展年度工作计划执行。

第十六条  数字和信息化管理部组织编制集团公司通用数据管理标准规范；总部部门和专业公司应遵循集团公司通用数据管理标准规范，制定本领域数据管理标准规范。

第十七条  数据管理中心统一管理集团数据架构，根据总部部门和专业公司报送或确认的数据主题域及分级分类数据资源目录，提出划分集团数据主题域和分级分类数据资源目录建议方案，经数字和信息化管理部会同总部部门和专业公司组织审核，报领导小组审议批准后施行。

第十  总部部门和专业公司遵从集团数据架构，组织制修订本领域数据架构，细化本领域数据主题域及分级分类数据资源目录，建立本领域数据模型，经数字和信息化管理部组织审核通过后施行。

第十九条  数据归口管理机构和信息化内部支持单位遵从集团数据架构、专业数据架构和数据管理标准规范组织及开展数字化转型、智能化发展建设项目相关工作。

（一）在数字化转型、智能化发展建设项目可行性研究和详细方案设计中应包含数据管理方案，在可行性研究报告和详细方案设计报告审查时对数据管理方案进行专项审查；

（二）在数字化转型、智能化发展建设项目实施和系统上线运维过程中，持续优化修订数据架构和标准规范，由数据管理中心组织审查，经数字和信息化管理部审定后施行。

第二十条  集团公司按照“一数一源”原则，实行统一数据资源注册管理，数据归口管理机构和信息化内部支持单位根据实际业务情况登记业务实体对象及其业务属性、技术属性、管理属性、安全属性和共享属性等内容，经数据管理中心审核，数字和信息化管理部会同总部部门和专业公司审查通过后完成注册。

第二十一条  总部部门和专业公司依据数据资源注册内容，持续组织本领域数据资源目录的制修订工作，原则上每年修订一次目录，经数字和信息化管理部组织审定后，由数据管理中心发布。

第四章  采集与管理

第二十二条  集团公司实行数据创建管控，数据归口管理机构和信息化内部支持单位遵从数据资源注册登记的内容，合规创建数据。

（一）应根据业务需要，制定原始数据采集规范，明确数据采集频率、质量规范等内容，并严格按照原始数据所产生的初始业务活动为唯一数据源进行数据采集和创建，保障数据原始一致；

（二）派生数据应严格按照特定目标、业务过程，由信息系统按照算法、规则等自动进行创建。

第二十三条  数据采集一线人员是本岗位所采集数据的责任主体，对所采集数据承担直接责任，应严格执行本岗位数据采集职责，确保所采集数据质量等符合相关标准规范。

第二十四条  落实数据质量源头管理，数据采集者对所采集数据质量负责，采取必要的管理措施和技术手段，保证所采集数据的准确性、完整性、及时性、有效性、唯一性和一致性。

第二十五条  按业务领域统一完善数据采集标准规范，数据从源头一次采集，随业务运行按需流转使用；跨专业公司应用的数据由相关专业公司共同制定数据采集和交付标准规范；业务承担主体单位负责原始数据采集、管理和质量控制；业务运行涉及主体发生转移时，应按照数据交付的标准和有关要求进行，数据正式交付后由业务主体单位负责数据的管理和使用。

第五章  创建与维护

第二十六条  集团公司统一构建集团主数据，总部部门、专业公司建设专业主数据。集团主数据由数字和信息化管理部组织总部部门、专业公司和所属企业统一认定，专业主数据由总部部门和专业公司组织相关所属企业认定；数据归口管理机构统一组织主数据的创建、维护、审核和发布工作，确保其真实性、有效性、规范性和唯一性。

第二十七条  数据归口管理机构和信息化内部支持单位从集团公司外部采集、购买的数据，应纳入集团公司统一数据管理。

与内外部单位或个人签署的协议、合同等条款中，应依法合规约定相关数据的权利，明确相应的数据采集、存储、使用、传输、提供、保密等责任。

第二十  数据归口管理机构和信息化内部支持单位根据数据的使用频度、系统性能要求等因素，确定在线、近线和离线方式的最佳数据存储策略，实行数据分级存储。

第二十九条  数据归口管理机构应建立完备的数据维护机制，明确相关数据维护的权限和职责，根据业务实际情况对数据进行维护，登记数据维护信息。

第三十条  数据归口管理机构和数据管理中心应加强数据质量管理：

（一）组织制定覆盖数据生命周期的数据质量管理制度和控制标准；

（二）在信息系统中严格落实数据质量控制标准，实现数据质量源头管控；

（三）建立数据质量日常监督机制和数据质量评估流程，及时发现和分析数据质量问题，建立数据质量管理长效机制。

第三十一条  数据归档和电子档案管理按照集团公司档案有关制度执行。

第三十二条  数据归口管理机构应根据实际业务需要，制定合规、有效的数据退役机制，报上级数据归口管理机构审定后，合理合规执行历史数据的归档、迁移和销毁工作。

第六章  共享与应用

第三十三条  集团公司实行数据集享，实现数据集中存储、授权共享、统一服务、使用追溯等数据共享管理与服务。

集团公司通过数据湖统一实现数据共享服务；信息系统间的数据直接共享模式，须相关总部部门和专业公司提出必要性申请，经数据管理中心审查、数字和信息化管理部审定后执行。

数据管理中心统一管理共享数据存储，统一提供共享数据服务接口，统一监管共享数据使用行为。

第三十四条  以受控共享为原则、不共享为特例，集团公司所有数据划分为无条件共享数据、授权共享数据和非共享数据。

（一）无条件共享数据是面向集团公司内部所有单位和员工，经数据管理中心备案，无需申请授权即可共享使用的数据，主要包括由集团公司、总部部门或专业公司批准同意的无需授权即可使用的业务数据、公共数据等；

（二）授权共享数据面向集团公司内部所有单位和员工，根据实际业务所需，经授权方可使用的数据。未认定为无条件共享数据和非共享数据，均为授权共享数据；

（三）非共享数据是仅限特定员工使用的数据，主要包括集团公司商业秘密数据、网络安全核心数据、因协议或者知识产权而无法共享的数据、集团公司批准同意不予共享的数据等。

第三十五条  集团公司所有无条件共享数据和授权共享数据，应统一归集到数据湖，实现共享数据资源的集中存储和统一管理。

数据归口管理机构和信息化内部支持单位应制定共享数据归集策略和归集到数据湖的数据质量控制标准，由数据管理中心组织审查通过后备案执行。

第三十六条  申请使用数据湖授权共享数据的单位依据数据资源目录共享属性，基于业务应用场景，向数据管理中心提交数据湖共享数据需求申请；共享数据需求申请经数据管理中心审核后，由数据归口管理机构进行授权审批；审批结果在数据管理中心登记备案。

（一）数据产生单位及其上级业务归口管理部门有权使用本单位所产生数据，备案使用数据湖相应共享数据；

（二）所属企业的内部单位间使用本企业产生的数据湖授权共享数据，由所属企业进行审批；

（三）总部部门、专业公司管理范围内的所属企业间使用数据湖授权共享数据，由总部部门、专业公司进行审批；

（四）集团公司跨总部部门、专业公司管理范围的单位间使用数据湖授权共享数据，由总部部门或专业公司、数字和信息化管理部进行双重审批。

第三十七条  数据管理中心按照数据资源目录共享属性及相应授权审批结果，面向集团公司各单位和员工提供数据湖共享数据、共享通道、共享监管等服务。

第三十  共享数据使用部门或员工获得的共享数据仅限于本部门或员工合规履职使用，并保障数据安全。

第三十九条  共享数据的初始产生单位、创建单位及相应数据归口管理机构的权益应得到保护，其中：

（一）利用共享数据形成的成果，须在成果中清楚地说明数据源、数据归口管理机构等数据属性信息；

（二）数据归口管理机构有权获取相应共享数据使用情况信息；

（三）任何单位和员工未经授权不得私自留存或转让获得使用授权的共享数据。

第四十条  对部门、社会机构等外部单位或个人提供数据，须按国家及集团公司有关规定执行。数据归口管理机构应明确数据共享的目的、内容、使用时间及范围，做好数据共享前的数据安全评估工作，确定技术防护措施，对数据共享进行安全管理和技术管控，防止数据在共享过程中产生数据安全风险，对于授权共享数据和非共享数据需在数据管理中心登记。

在境内收集和产生的数据，原则上不得存储于境外服务器，不得向境外传输境内信息；有向境外提供数据需求的，应按照国家和集团公司相关规定执行。 

第四十一条  发生以下情形的，数据归口管理机构和数据管理中心应及时撤销数据共享。

（一）当发现共享数据使用可能引起商业秘密、个人隐私泄露或有安全缺陷、漏洞等风险时；

（二）当发现使用共享数据的信息系统存在系统漏洞、安全策略不合规等情况时；

（三）当共享数据使用部门和员工出现违享数据使用要求时；

（四）当出现其他违反国家法律法规或集团公司相关规定时。

第四十二条  总部部门、专业公司和所属企业应发挥共享数据聚集与流转效应，合理开展数据资源开发应用，探索数据应用模式创新，逐步形成用数据管理、用数据决策、用数据创新的良好数据生态环境和数字化运营机制。

第七章  安全与保密

第四十三条  任何单位和员工应依据“谁主管谁负责、谁使用谁负责”的原则，对所接触的数据承担安全与保密的责任和义务。

第四十四条  任何单位和员工不得非法收集、使用、加工、传输他人个人信息，对个人隐私、个人信息、商业秘密、保密商务信息等数据应当严格保密，不得泄露、篡改、出售或者非法向他人提供。

第四十五条  集团公司实行数据分类分级保护，数据归口管理机构根据实际业务情况、数据影响和重要程度，对数据进行分类分级，不同级别数据采取相应的保护措施，加强数据采集、存储、使用、传输、提供等全生命周期安全管理。

第四十六条  数据归口管理机构、保密监管部门和信息化内部支持单位应加强数据安全、保密风险监测，建立数据灾难恢复机制和应急响应机制，编制应急预案。发现数据安全缺陷、漏洞等风险时，应立即采取补救措施。发生数据安全事件、数据泄密事件时，应立即向上级数据归口管理机构、保密监管部门报告，并启动应急响应，迅速采取应急措施，降低数据损失，保障业务安全平稳运行。

第四十七条  数据管理中心组织开展数据安全风险评估，识别潜在数据安全风险，提出数据安全隐患整改建议，优化数据保护机制。

（一）数据归口管理机构和信息化内部支持单位应每年开展一次数据安全风险评估，数据安全风险评估报告在数据管理中心备案；

（二）数据安全风险评估报告应包括数据基本情况、数据保护等级与保护措施、数据安全风险分析、数据安全解决方案等。

第四十  数据资源目录应由集团公司总部部门和专业公司组织数据保密审查，确认数据安全属性和共享属性，防止因数据共享造成数据泄露。

第四十九条  任何单位和员工应当采取合法、正当的方式获取、使用数据，不得窃取或者以其他非法方式获取、出售或向他人提供数据。法律、行规对采集、使用数据的目的、范围有规定的，应当在法律、行规规定的目的和范围内采集、使用数据。

第八章  检查与考核

第五十条  总部部门、专业公司、所属企业作为数据归口管理机构，其主要领导是数据管理的第一责任人。集团公司定期开展数据管理检查与考核工作，包括现场抽查和远程检查。检查内容包括数据管理组织体系建设、规章制度建设、数据架构遵从、数据创建、数据存储、数据传输、数据质量、数据共享、数据安全等要求的执行情况，检查结果纳入集团公司年度信息化工作考核。

第五十一条  违反本规定，有下列情形之一的，给予批评教育；情节严重的，按照集团公司有关规定追究相关单位与人员责任：

（一）未按集团数据架构和专业数据架构开展信息系统建设的；

（二）未按数据创建要求创建数据的；

（三）未按要求归集共享数据的；

（四）未按规定使用数据的；

（五）未按数据保护等级保护数据的；

（六）发生数据安全事件的；

（七）其他违反本规定的。

第九章  附  则

第五十二条  有关术语定义如下：

数据采集：是指在实际的业务执行活动中根据需要通过信息系统、信息化设备或其他手段进行数据获取的行为。

数据存储：是指原始数据或计算的结果以任何数字格式进行物理存储或云存储的行为。

数据使用：是指按照统一的管理策略，对数据进行使用，包括数据的增加、修改、删除、导入、导出、应用、分析等行为。

数据加工：是指以数据价值实现为目标，根据特定的业务需求和场景，对数据进行加工处理并形成结果的过程。

数据传输：是指数据通过一条或者多条数据链路，将数据从数据源端传输到数据终端的过程。

数据提供：是指向集团公司内外部单位或个人提供数据的过程。

数据公开：是指数据通过授权或审批向集团公司内外部公开和共享的过程。

数据退役：是指数据从实际使用中撤销及数据销毁。

数据归档：是指按照国家规定将具有保存价值的数据及其元数据的保管权交给档案部门的过程。电子档案是指具有凭证、查考和保存价值并归档保存的电子文件。

数据治理：是指对数据进行处置、格式化和规范化的活动集合。

数据安全：是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据归口管理机构：是指集团公司各类数据的数据管理责任主体的统称。

保密监管部门：是指集团公司各级保密委员会办公室。

第五十三条  总部相关部门和专业公司应依据本规定制定本领域数据管理实施细则。

第五十四条  本规定由数字和信息化管理部负责解释。

第五十五条  本规定自印发之日起施行。