為規範全市公共數據授權運營管理,加快公共數據有序開發利用,助力中國(溫州)數安港高質量發展,加速培育數據要素市場,根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中共中央國務院關於構建數據基礎制度更好發揮數據要素作用的意見》《浙江省公共數據條例》和《浙江省公共數據授權運營管理辦法(試行)》(浙政辦發〔2023〕44號)等有關法律、法規和規章規定,結合溫州市實際,制定實施細則。
細則全文
一、總則
(一)總體要求。
公共數據授權運營堅持中國共產黨的領導,遵循依法合規、安全可控、統籌規劃、穩慎有序的原則,按照“原始數據不出域、數據可用不可見”的要求,在保護個人信息、商業秘密、保密商務信息和確保公共安全的前提下,向社會提供數據產品和服務。授權運營單位應遵循依法合規、普惠公平、收益合理的原則,對數據產品和服務進行合理定價。鼓勵授權運營單位面向公共治理、公益事業等領域,提供多樣化的數據產品和服務。優先在與民生緊密相關、行業發展潛力顯著和產業戰略意義重大的領域,先行開展公共數據授權運營工作。禁止開放的公共數據不得授權運營。
(二)適用範圍。
本實施細則適用於本市行政區域內與公共數據授權運營相關的授權、加工、經營、定價、安全監管等數據活動。
(三)用語含義。
公共數據,是指本市國家機關、法律法規規章授權的具有管理公共事務職能的組織以及供水、供電、供氣、公共運輸等公共服務運營單位(以下統稱公共管理和服務機構),在依法履行職責或者提供公共服務過程中收集、產生的數據。
公共數據授權運營,是指縣級以上政府按程式依法授權法人或者非法人組織,對授權的公共數據進行加工處理,開發形成數據產品和服務,並向社會提供的行為。
授權運營單位,是指經縣級以上政府按程式依法授權,對授權的公共數據進行加工處理,開發形成數據產品和服務,並向社會提供的法人或者非法人組織。
授權運營域(以下簡稱運營域),是指由市公共數據主管部門依託一體化智慧型化公共數據平台(以下簡稱公共數據平台)組織建設和運維的,為授權運營單位提供加工處理授權運營公共數據服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監管溯源、接口生成、封存銷毀、全程審計等功能。
授權運營協定(以下簡稱運營協定),是指縣級以上政府與授權運營單位就公共數據授權運營達成的書面協定,明確雙方權利義務、授權運營範圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿後資產處置、退出機制和違約責任等。
數據產品和服務,是指利用公共數據參與加工形成的數據包、數據模型、數據接口、數據服務、數據報告、業務服務等。
(四)授權主體。
縣級以上政府是公共數據授權主體,本級公共數據主管部門負責公共數據授權運營的具體實施工作和對授權運營單位的日常監督管理工作。縣級以上政府設定公共數據授權運營契約專用章,由本級公共數據主管部門管理使用。
公共管理和服務機構未經批准,不得擅自將公共數據開放給社會機構或企業,不得以合作開發、委託開發等方式交由第三方承建相關信息系統而使其直接獲取數據運營權。
(五)授權方式。
堅持“無場景不授權”,按照總量控制、因地制宜、公平競爭的原則,結合具體套用場景確定授權運營領域與授權運營單位。授權運營單位應按照套用場景申請授權運營公共數據,並提供申請授權運營的業務場景清單和數據需求清單。
授權運營單位申請的套用場景應滿足下列要求:套用場景明確,具有重大經濟價值或社會價值,並設定數據安全保障措施;申請使用公共數據應當符合最小必要的原則;套用場景具有較強的可實施性,在授權運營期限內有明確目標和計畫,能夠取得顯著成效。短期無法取得成效,但對當地有長期社會經濟效益,也可酌情納入。
(六)授權範圍。
公共數據主管部門應綜合考慮與民生緊密相關、行業增值潛力顯著、產業戰略意義重大等因素,優先面向醫療健康、文化教育、普惠金融、交通物流、工業製造、城市治理等重點領域,按照運營協定向授權運營單位授權公共數據。授權運營單位應在運營域內對授權的公共數據進行加工處理,形成數據產品和服務,經合法合規審核後向用戶提供,數據產品和服務僅能用於運營協定約定的套用場景。
禁止開放的公共數據不得授權運營,具體包括:開放後危及或者可能危及國家安全的,開放後可能損害公共利益的,可能侵犯個人信息、商業秘密、保密商務信息的,數據獲取協定約定不得開放的,法律、法規和規章規定不得開放的數據。
(七)使用定價方式。
公共數據授權使用定價方式應當結合套用場景確定,並經本級公共數據授權運營工作協調小組會商,報本級政府審核後實施。推動用於公共治理、公益事業的公共數據有條件無償使用。對於與民生緊密相關、行業發展潛力顯著和產業推動戰略意義重大的套用場景,可採用限期無償的定價方式支持場景運營孵化。探索用於產業發展、行業發展的公共數據有條件有償使用,逐步將公共數據授權運營納入政府國有資源(資產)有償使用範圍,形成公共數據開發利用良性循環。
(八)收益機制。
通過授權運營加工形成的數據產品和服務,授權運營單位可以向用戶收取成本費用或者獲取合理收益,並承擔相應風險。
二、職責分工
(一)建立健全市級公共數據授權運營工作協調小組(以下簡稱市協調小組),由市大數據發展管理局、市委網信辦、市發展改革委、市經信局、市公安局、市安全局、市司法局、市財政局、市國資委、市市場監管局等單位作為小組成員,對市級公共數據授權運營進行統籌管理、安全監管和監督評價。市協調小組工作職責主要包括:建立健全公共數據授權運營相關制度規範和工作機制;確定公共數據授權運營領域;審議給予、終止或撤銷授權運營等重大事項,並報市政府同意;監督指導公共數據授權運營年度評估工作;監督指導公共數據使用定價等相關工作;統籌協調解決公共數據授權運營工作中遇到的重大問題。
市協調小組辦公室設在市公共數據主管部門,負責統籌確定協調小組會議議題、組織落實會議決議以及日常事務等。相關市直部門在各自職責範圍內積極配合市協調小組的公共數據授權運營指導與監督工作。
(二)組建市級授權運營工作專家組(以下簡稱市專家組),在市協調小組的領導下,負責對公共數據授權運營單位資質等進行綜合評審,研究論證公共數據授權運營中的專業技術問題等,為協調小組的組織、運行、決策提供諮詢意見和決策支撐。
(三)市公共數據主管部門負責落實市協調小組確定的具體工作,制定公共數據授權運營管理細則,指導、協調其他有關部門按照各自職責做好授權運營相關工作,統籌建設運營域等。
(四)各縣(市、區)參照市級建立公共數據授權運營管理組織架構和工作機制。縣級公共數據主管部門負責加強本區域公共數據的治理,協調、指導、監督本級公共數據授權運營工作。
(五)公共管理和服務機構及行業主管部門負責做好本領域公共數據的治理、申請審核和安全監管等工作。根據相關法律、法規和規章的規定,提供可授權運營的公共數據資源,監督本領域公共數據運營工作。
(六)發展改革、經信、財政、國資、市場監管等部門按照各自職責,做好數據產品和服務流通交易的監督管理工作。
(七)網信、公安、安全、司法等部門按照各自職責,做好公共數據授權運營的安全監督管理工作。
三、授權程式
(一)發布公告。公共數據主管部門會同相關行業主管部門制定並發布重點領域開展授權運營的公告,明確授權運營申報條件等。
(二)提交申請。授權運營單位應滿足《浙江省公共數據授權運營管理辦法(試行)》(浙政辦發〔2023〕44號)的基本安全要求、技術安全要求、套用場景安全要求和重點領域具體安全要求等。授權運營單位應在規定時間內向公共數據主管部門提交申請,包括提交授權運營申請表、最近一年的第三方審計報告和財務會計報告、數據安全承諾書、安全風險自評報告等相關材料。
(三)材料預審。公共數據主管部門對授權運營單位的材料進行初步審查,對資料不齊全或不符合要求的,應一次性告知需補充的資料及內容;申請單位應在規定時間內補交相關材料。
(四)專家審查。公共數據主管部門組織召開專家論證會,專家組對授權運營單位的安全條件、信用條件、業務技術實力等進行綜合評審,對授權運營套用場景的安全性和合規性等進行集體研討,出具論證評審意見。
(五)終審。公共數據主管部門組織相關部門對市專家組評審結果進行審議,出具建議名單報本級政府審核確定。
(六)社會公開。公共數據主管部門應及時向社會公開公共數據授權運營單位等相關信息,對異議及時答覆和處理。
(七)授權備案。市縣兩級政府應及時將授權運營領域及單位等信息報上級政府備案。
(八)簽訂協定。由縣級以上政府與授權運營單位簽訂運營協定,並在協定中明確授權運營範圍、授權運營期限、授權方式、違約責任等;如涉及公共數據有償使用,應明確有償使用的收費標準、獲取收益或補償方式等。
(九)授權終止。授權運營期限由雙方協商確定,一般不超過3年。授權運營單位需要繼續開展授權運營,應在期限屆滿6個月前,按程式向公共數據主管部門重新申請授權運營。在授權運營期間,授權運營單位可以向公共數據主管部門提出公共數據授權運營提前註銷申請。當運營協定終止或撤銷時,公共數據主管部門應及時撤銷授權運營單位的運營域使用許可權,及時刪除運營域內留存的相關數據,並按照規定留存相關網路日誌不少於6個月。
四、授權運營行為規範
(一)簽訂授權運營協定後,授權運營單位應按要求派遣一定數量的管理、技術人員,參加省公共數據主管部門組織的授權運營崗前培訓,通過考核後方可開通運營域相關許可權。
(二)授權運營單位應依託運營域提出公共數據需求申請,數據提供單位根據數據需求清單進行需求審核,審核通過後將相應公共數據資源納入運營域統一管理,並向授權運營單位開放相應許可權。涉及個人信息、商業秘密、保密商務信息的公共數據,應經過脫敏、脫密處理,或經相關數據所指向的特定自然人、法人和非法人組織依法授權同意後獲取。
授權運營單位在數據加工處理或提供服務過程中發現公共數據質量問題,可以向公共數據主管部門提出數據治理需求。需求合理的,公共數據主管部門應督促數據提供單位在規定期限內完成數據治理。授權運營單位可以根據基本數據加工需求,向公共數據主管部門提出定製化服務需求,授權運營單位應承擔相應加工處理成本和服務費用。
(三)公共數據主管部門應探索建立數據供給激勵機制,從數據提供數量、數據質量、數據套用等維度對公共數據提供單位的數據貢獻情況進行評估,評估結果作為部門信息化項目預算安排、試點示範申請、優秀案例評選等重要參考。
(四)授權運營單位應在運營域內按照協定對授權運營的公共數據進行加工處理,形成可面向市場提供的數據產品。授權運營單位應確保原始數據包不得導出運營域;可以通過可逆模型或算法還原出原始數據包的,不得導出運營域。
授權運營單位所有參與數據加工處理的人員須經實名認證、審查與備案,並簽訂保密協定;操作行為應做到有記錄、可審查,原始數據對數據加工人員不可見。授權運營單位應使用經抽樣、脫敏後的公共數據進行數據產品的模型訓練與驗證。
經公共數據主管部門審核批准後,授權運營單位可將依法依規獲取的社會數據導入運營域,與授權運營的公共數據進行融合計算。
(五)授權運營單位應嚴格按照運營協定約定的授權範圍依法依規使用公共數據,不得泄露、竊取、篡改、毀損、丟失、不當利用公共數據,不得以任何方式將授權運營的公共數據提供給第三方。經公共數據主管部門審核批准後導出運營域的數據產品,授權運營單位應嚴格按照運營協定相關要求使用,不得用於或變相用於未經審批的套用場景。
(六)授權運營單位在運營期限內,應向公共數據主管部門提交公共數據授權運營年度運營報告,報告應包括本單位與授權運營相關的數據產權和服務存儲、加工處理、分析利用、安全管理及市場運營情況等。
五、授權運營域
(一)市公共數據主管部門應按照全省統一的建設標準和驗收要求,統籌建設運營域,為授權運營單位統籌提供個人/企業授權、授權運營管理、數據出域審核、全流程安全監控等功能服務,確保公共數據授權運營全流程操作可審計,數據可溯源。各縣(市、區)原則上不再單獨建設運營域。
(二)授權運營單位應在運營域內對授權運營的公共數據進行加工處理。授權運營單位應承擔運營域資源消耗的必要成本,有償使用運營域的開發席位、開發環境、開發工具、雲計算等相關資源和增值服務。
(三)市公共數據主管部門應加強技術投入和運維管理,制定相關管理規範和技術標準,確保運營域安全穩定運行。
(四)運營域應支持授權運營單位面向不同場景需求,採用聯合計算、多方安全計算、數據元件、聯邦計算、可信執行環境等多種技術路線,進行公共數據加工開發,實現“原始數據不出域、數據可用不可見”。
六、數據安全與監督管理
(一)按照“誰運營誰負責、誰使用誰負責”的原則,授權運營單位主要負責人是運營公共數據安全的第一責任人;授權運營單位應嚴格遵守數據安全、個人信息保護、反壟斷、反不正當競爭、消費者權益保護等有關法律法規規定,嚴格執行數據產品和服務定價、合理收益有關規定。授權運營單位應嚴格落實數據安全的主體責任,做好自有上傳數據的合規性、合法性自查,根據公共數據主管部門要求籤訂數據安全承諾書,嚴格履行數據安全保護義務與保密義務,切實做好數據安全和個人信息保護工作。
(二)公共數據主管部門應根據《浙江省公共數據授權運營管理辦法(試行)》(浙政辦發〔2023〕44號)相關要求,切實履行公共數據安全管理職責。公共數據主管部門應定期組織對授權運營單位的授權運營相關業務和信息系統、數據使用情況、安全保障能力等進行監督檢查,授權運營單位應積極配合監督檢查,並根據監管需要提供相關材料。公共數據主管部門應會同網信、公安、安全等部門,按照“一授權一預案”要求,結合公共數據授權運營的套用場景制定應急預案,並組織應急演練。未制定應急預案的,不得開展授權運營工作。
(三)授權運營單位應根據公共數據分類分級管理要求,建立健全公共數據安全管理制度,對本單位公共數據授權運營相關的崗位人員、系統平台、技術套用、對外合作等實施全面的安全管理。授權運營單位應充分利用各種技術手段,建立健全高效的安全技術防護和運行體系,加強對公共數據的全過程安全防護和監測預警,確保公共數據安全,切實保護個人信息。
(四)在數據授權運營過程中,授權運營單位如發現存在數據安全隱患或其它不安全因素,應第一時間向公共數據主管部門上報,並密切配合公共數據主管部門做好數據安全事件的處置及調查工作,積極採取措施消除安全隱患。授權運營單位一旦發現可能或已經發生數據泄露等數據安全事件的,應立即通知公共數據主管部門,調查事件發生原因,積極採取補救措施,並承擔相應責任。
(五)公共數據主管部門應定期委託第三方機構,根據法律、法規和規章等有關規定,對授權運營單位開展數據安全檢測評估。根據評估意見,發現授權運營單位存在較大安全風險的,可依法依規對授權運營單位進行約談,並要求其採取相應的安全措施進行整改消除隱患。安全評估根據評估結果將授權運營單位分為“優秀”“合格”“不合格”三類,評估結果作為再次申請授權依據,對不合格單位立即取消授權資格。
(六)公共數據主管部門應會同相關部門對授權運營單位開展運營績效評估,實施動態管理,運營績效評估可以委託第三方機構開展。授權運營單位應配合做好評估工作,如實提供有關資料,不得拒絕、隱匿、瞞報。運營績效根據評估結果將授權運營單位分為“優秀”“合格”“不合格”三類,評估結果作為再次申請授權依據,對不合格單位取消授權資格。
(七)社會公眾有權對公共數據授權運營相關活動進行監督,認為存在違法違規行為的,可以向公共數據主管部門進行投訴或舉報,公共數據主管部門應會同相關部門及時調查處理,並為舉報人保密。
(八)授權運營單位違反運營協定,有下列情形之一的,應按照協定約定要求制定整改方案,在收到整改通知書之日起30日(自然日)內完成整改,報公共數據主管部門進行整改情況評估。
1.未履行公共數據安全管理義務的;
2.違規使用公共數據的;
3.授權運營活動存在較大安全風險的;
4.未嚴格執行運營需求審批確定的數據使用範圍和類型,超授權範圍加工使用數據;
5.違反運營協定及相關法律法規規定的其他情形。
整改期間,公共數據主管部門可以暫時關閉其運營域使用許可權。授權運營單位在規定期限內未按照要求完成整改的,公共數據主管部門有權取消其相關公共數據的運營授權。
(九)授權運營單位及相關人員存在違反國家相關法律法規的,應承擔相應法律責任,侵犯商業秘密、個人隱私等他人合法權益或造成財產損失的,由授權運營單位直接承擔。
(十)智慧財產權主管部門會同發展改革、經信、司法行政等單位建立數據智慧財產權保護制度,推進數據智慧財產權保護和運用。
七、附則
本實施細則自2023年10月21日起施行,國家、省、市對公共數據授權運營管理有新規定的,從其規定。
