雲南省公共數據管理辦法

2023年11月27日，雲南省委副書記、省長王予波主持召開省政府第23次常務會議，審議通過《雲南省公共數據管理辦法》等檔案。

2023年12月10日，雲南省人民政府辦公廳印發《雲南省公共數據管理辦法（試行）》。

第一條　為了加強公共數據管理，保障公共數據安全，促進公共數據共享、開放和套用，保護自然人、法人和非法人組織合法權益，深入推進數字雲南建設，促進省域治理體系和治理能力現代化，根據有關法律、法規、規章和政策規定，結合本省實際，制定本辦法。

第二條　本省行政區域內公共數據的收集、歸集、存儲、加工、傳輸、共享、開放、開發等數據處理活動及數據安全管理，適用本辦法。

涉及國家秘密的公共數據及相關處理活動，或者法律、法規和黨中央、國務院政策檔案對公共數據管理另有規定的，按照有關規定執行。

第三條　本辦法下列用語的含義：

（一）數據，是指任何以電子或者其他方式對信息的記錄。

（二）公共數據，是指本省各級行政機關和經法律、法規授權的具有管理公共事務職能的組織，以及供水、供電、供氣等公共服務運營單位（以下統稱公共機構），在依法履行職責或者提供公共服務過程中收集、產生的數據。公共服務運營單位實施公共服務以外的數據處理活動，不適用本辦法。

根據我省套用需求，稅務、海關等國家有關部門派駐雲南的管理機構授權提供的數據，屬於本辦法所稱公共數據。

（三）數據主體，是指相關數據所指向的自然人、法人和非法人組織。

（四）公共數據共享，是指公共機構因履行法定職責或者提供公共服務需要，依法使用其他公共機構的數據，或者向其他公共機構提供數據的行為。

（五）公共數據開放，是指公共機構向自然人、法人或者非法人組織依法提供公共數據的公共服務行為。

第四條　公共數據管理工作堅持中國共產黨的領導，遵循集約建設、統一標準、分類分級、匯聚整合、共享開放、安全可控的原則。

第五條　縣級以上政府應當將公共數據發展和管理工作納入國民經濟和社會發展規劃以及數字政府建設等相關專項規劃，建立健全工作協調機制和公共數據管理工作考核評價機制，保障公共數據發展和管理工作所需經費，並將公共數據發展和管理工作作為年度政府目標責任制考核的重要內容。

第六條　縣級以上政府數據管理機構作為公共數據主管部門，負責下列工作：

（一）統籌本行政區域內公共數據資源管理工作。

（二）對公共機構提出公共數據管理任務和要求。

（三）編制、維護本級公共數據資源目錄，建立公共數據資源清單管理機制。

（四）會同標準化行政主管部門制定公共數據有關標準和技術規範；上級數據主管部門已制定的，從其規定。

（五）對公共機構的公共數據管理工作進行監督評估，並向本級政府提出相應的督查督辦建議。

第七條　公共機構應當履行本機構公共數據管理的主體責任，負責下列工作：

（一）明確公共數據管理的目標、責任、實施機構及人員。

（二）編制本機構公共數據資源目錄，依法制定本機構公共數據收集清單和規範。

（三）本機構公共數據的校核、更新、匯聚。

（四）本機構公共數據的共享和開放。

（五）本機構公共數據的安全管理。

（六）法律、法規、規章規定的其他管理職責。

第八條　省公共數據主管部門統籌規劃和建設全省統一的公共數據平台，為公共數據處理活動提供支撐。各州、市、縣、區不再建設本級公共數據平台；已建設的，應對接全省統一的公共數據平台並納入統一管理。

第九條　公共數據主管部門應當依託公共數據平台建立統一的數據共享、開放通道。公共機構應當通過統一的共享、開放通道共享、開放公共數據。

公共機構不得新建公共數據共享、開放通道；已建共享、開放通道的，應當併入統一的共享、開放通道。

第十條　省公共數據主管部門組織省直有關部門，依託公共數據平台建設全省一體化的公共數據資源體系，按照職責建立健全人口、法人、自然資源、經濟、電子證照等基礎資料庫和醫療健康、政務服務、社會保障、生態環保、信用體系、應急管理、稅收征管等主題資料庫。

州、市、縣、區公共數據主管部門應當組織同級有關部門按照職責建立健全本級主題資料庫。

第十一條　省公共數據主管部門應當會同有關部門，根據國家有關公共數據分類分級要求，制定省公共數據分類分級規則。

州、市公共數據主管部門牽頭，根據省公共數據分類分級規則，增補完善本行政區域內公共數據的分類分級規則。

行業主管部門根據省公共數據分類分級有關規定，加強對本部門公共數據的分類分級管理。

第十二條　全省公共數據實行統一的目錄化管理，省公共數據主管部門制定統一的目錄編制標準，組織編制省級和全省公共數據目錄並統一發布。

州、市、縣、區公共數據主管部門應當按照統一標準，組織編制本級公共數據目錄，並報上一級公共數據主管部門審定。

公共機構應當按照統一標準，編制本部門（單位）公共數據目錄，報同級公共數據主管部門審定；有修改意見的，應當在10個工作日內完成修改。

公共數據主管部門應當通過公共數據平台發布本級公共數據目錄。

第十三條　公共數據目錄應當包括公共數據的數據形式、共享內容、共享屬性、共享條件、共享範圍、開放屬性、更新頻率和公共數據的收集、核准、提供部門等內容。

法律、法規、規章依據或者法定職能發生變化的，公共機構應當在15個工作日內更新本機構公共數據目錄，並報本級公共數據主管部門審定。公共數據主管部門應當在5個工作日內審定，並更新本級公共數據目錄。

第十四條　使用財政性資金新建和升級改造信息系統的，項目單位應當向同級公共數據主管部門提交項目所涉及的公共數據目錄；項目竣工驗收前應當更新公共數據目錄並向公共數據平台共享和歸集相關公共數據。

通過政府購買服務方式形成或者運維的信息系統，按照前款規定提交和更新公共數據目錄，並歸集相關公共數據。

第十五條　省公共數據主管部門應當會同省標準化主管部門和其他有關部門，推進本省公共數據標準體系建設，制定公共數據處理和安全管理等標準，推動公共數據國家標準、行業標準和地方標準有效實施。

第十六條　公共數據主管部門、公共機構應當建立健全數據全流程質量管控體系，加強數據質量事前、事中和事後的監督檢查，及時更新已變更、失效數據，實現問題數據可追溯、可定責，保證數據的及時性、準確性、完整性。

第十七條　公共機構應當加強公共數據電子檔案管理，依法合理確定保存期限和歸檔範圍，按照歸檔管理要求及時歸檔並向檔案管理部門移交，法律、法規另有規定的除外。

第十八條　省和州、市公共機構按照“按需提供、安全可控”的原則，可採取數據回流、數據專區等方式，通過公共數據平台向下級公共機構提供數據。

需要回流的公共數據，下級公共機構提出申請，上級公共機構應當在5個工作日內予以答覆。

第十九條　公共機構收集數據應當遵循合法、準確、及時的原則，按照法定許可權、範圍、程式和標準規範收集。可以通過共享獲取數據的，公共機構不得重複收集。

第二十條　收集公共數據應當分別以下列號碼或者代碼作為必要標識：

（一）公民身份號碼或者個人其他有效身份證件號碼；

（二）法人統一社會信用代碼；

（三）非法人組織統一社會信用代碼或者其他識別代碼。

公共機構收集數據時，不得強制要求個人採用多種方式重複驗證或者特定方式驗證。已經通過有效身份證件驗明身份的，不得強制通過收集指紋、虹膜、人臉等生物識別信息重複驗證。法律、行政法規另有規定的除外。

第二十一條　省公共機構應當根據公共數據目錄，按照套用需求將公共數據統一歸集到公共數據平台基礎資料庫和主題資料庫。州、市、縣、區公共機構應當根據公共數據目錄，按照套用需求將公共數據統一歸集到本級主題資料庫。

第二十二條　自然人、法人或者非法人組織對涉及自身的公共數據有異議或者發現公共數據不準確、不完整或者不一致的，可以向收集該數據的公共機構提出校核申請。公共機構應當自收到校核申請之日起5個工作日內校核完畢；情況複雜的，經公共機構負責人批准，可以延長至10個工作日。公共機構應當將校核處理結果及時告知當事人。

自然人、法人或者非法人組織對涉及自身的公共數據有異議或者發現公共數據不準確、不完整或者不一致的，也可以向公共數據主管部門提出校核申請。公共數據主管部門應當自收到校核申請之日起2個工作日內轉交相應公共機構，並督促公共機構在前款規定的期限內校核完畢。

公共數據主管部門、公共機構發現數據不準確、不完整或者不一致的，由公共數據主管部門通知數據收集、提供單位限期校核。數據收集、提供單位應當在期限內校核完畢。

第二十三條　公共機構根據法律、法規、規章規定，在發生緊急情況時，可以要求有關單位提供或者向數據主體緊急收集與突發事件應對、國防動員相關的數據。

突發事件應對結束後，公共機構應當對相關公共數據進行分類評估，採取封存、銷毀等方式將涉及國家秘密、個人隱私、個人信息、商業秘密、保密商務信息的公共數據進行安全處理，並關停相關數據套用。法律、法規另有規定的，從其規定。

第二十四條　數據主體有權依法向公共機構申請查閱、複製本單位或者本人的數據；發現相關數據有錯誤或者認為個人隱私、個人信息、商業秘密、保密商務信息等合法權益受到侵害的，有權依法提出異議並請求及時採取更正、刪除等必要措施。

第二十五條　公共數據以共享為原則，不共享為例外。公共數據主管部門應當建立統一的公共數據共享申請、審批和反饋機制，負責組織實施公共數據共享。

第二十六條　公共數據按照共享屬性分為無條件共享、有條件共享、不予共享數據。

可提供給所有公共機構共享使用的公共數據屬於無條件共享數據。

可以按照一定條件提供給有關公共機構共享使用的公共數據屬於有條件共享數據。

不宜提供給其他公共機構共享使用的公共數據屬於不予共享數據。

第二十七條　公共機構應當根據實際情況定期更新公共數據的共享屬性。列為有條件共享數據的，應當說明理由並明確共享條件；列為不予共享數據的，應當提供法律、行政法規或黨中央、國務院政策依據。

公共數據主管部門對同級公共機構確定的公共數據共享屬性有異議，經協商不能達成一致意見的，報本級政府決定。

同級公共機構之間對數據共享屬性有異議的，應當相互協商；不能達成一致意見的，報同級公共數據主管部門協商；仍不能達成一致意見的，由公共數據主管部門報同級政府決定。

第二十八條　公共機構需要通過共享獲取數據的，應當向數據提供單位提出申請，明確套用場景，通過公共數據平台以接口調用、批量數據使用等方式獲取數據。

無法按照前款規定獲取數據的，可以向公共數據主管部門提交數據需求清單，由公共數據主管部門與相關公共機構協商解決。

第二十九條　無條件共享的公共數據，由公共機構通過公共數據平台向數據提供單位獲取，數據提供單位應當在2個工作日內予以共享。

有條件共享的公共數據，由公共機構通過公共數據平台向數據提供單位提出共享申請，數據提供單位應當在5個工作日內予以答覆。同意共享的，數據提供單位應當在答覆之日起5個工作日內完成數據共享；不予共享的，應當提供法律、行政法規或黨中央、國務院政策依據。

對於不予共享的公共數據，以及不符合共享條件的有條件共享的公共數據，公共機構可以向數據提供單位提出核實、比對需求，數據提供單位應當通過適當方式及時予以配合。法律、法規、規章另有規定的除外。

公共機構通過線上共享公共數據確有困難的，可以通過線下方式實施數據共享。

第三十條　公共機構通過共享獲取的公共數據，應當用於本機構依法履行職責的需要，不得用於或者變相用於其他目的。數據提供單位有權了解相關數據使用情況。

第三十一條　公共數據開放按照合法、規範、公平、便民的原則，在法律、法規、規章允許範圍內向社會最大限度開放。

第三十二條　公共數據按照開放屬性分為不予開放、有條件開放、無條件開放數據。法律、法規和黨中央、國務院政策規定禁止開放的，開放後可能危及國家安全、公共安全或者損害公共利益的公共數據，或者涉及個人隱私、個人信息、商業秘密、保密商務信息的公共數據，以及數據獲取協定約定不得開放的公共數據列入不予開放數據。對數據安全和處理能力要求較高，或者需要依法授權向特定自然人、法人或者非法人組織開放的公共數據，列入有條件開放數據。其他公共數據列入無條件開放數據。

不予開放數據經過依法脫密、脫敏處理或者相關權利人同意開放的，可以列入無條件開放數據或者有條件開放數據。

鼓勵公共數據在保護個人隱私和確保公共安全的前提下，按照“原始數據不出域、數據可用不可見”的要求，以模型、核驗等產品和服務等形式向社會提供，對不承載個人信息和不影響公共安全的公共數據推動按用途加大供給使用範圍。

第三十三條　省公共數據主管部門組織科學編制省公共數據開放目錄，並確定公共數據開放重點。

州、市公共數據主管部門應當依照省公共數據開放目錄組織編制本州、市公共數據開放目錄。

公共數據開放目錄應當標註數據名稱、數據開放主體、數據開放屬性、數據格式、數據類型、數據更新頻率等內容。

省和州、市公共數據開放目錄發布到公共數據平台，實行年度動態調整。

第三十四條　公共機構應當按照省公共數據主管部門要求，將審核後開放的公共數據通過公共數據平台對社會開放。公共數據平台可以設立州、市、縣、區公共數據開放專區，州、市、縣、區依託專區開展本級公共數據開放活動。

第三十五條　自然人、法人或者非法人組織需要獲取無條件開放公共數據的，可以通過公共數據平台獲取。

自然人、法人或者非法人組織需要獲取有條件開放公共數據的，可以通過公共數據平台向數據提供單位提出申請，數據提供單位審核後確定是否同意開放。經審核同意開放公共數據的，申請人應當通過公共數據平台與數據提供單位簽署安全承諾書，簽訂開放利用協定。

第三十六條　自然人、法人或者非法人組織認為開放的公共數據侵犯其合法權益的，有權向公共機構提出撤回數據的要求。

公共機構收到撤回數據要求後，應當立即進行核實，必要時立即中止開放；經核實存在前款規定問題的，應當根據不同情形採取撤回數據或者處理後再開放等措施，並將有關處理結果及時告知當事人。當事人對處理結果有異議的，可以向公共數據主管部門申請覆核。

公共機構在日常監督管理過程中發現開放的公共數據存在安全風險的，應當立即中止開放，並在消除安全風險後開放。

第三十七條　省公共數據主管部門積極推進公共數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制先行先試，保障各參與方的合法權益，推動用於公共治理、公益事業的公共數據有條件無償使用；探索用於產業發展、行業發展的公共數據有條件有償使用。

第三十八條　省和州、市人民政府可以依照法定許可權和程式賦予具有條件的法人或者非法人組織對公共數據開展一級開發，形成標準化、可機器讀取、可流通的公共數據要素。一級開發費用可通過政府購買服務或運營一級開發產品所形成的收益分成等方式解決。不予開放的公共數據不得授權開發運營。法律、法規和國家對公共數據開發運營另有規定的，從其規定。

第三十九條　鼓勵有條件的法人或者非法人組織向公共數據主管部門申請，對一級開發形成的公共數據要素開展二級開發。公共數據主管部門應當對申請主體的開發目的、技術條件、處理能力、安全管理等進行評估，對符合條件的法人或者非法人組織，依照法定許可權和程式賦予公共數據要素開發資格，並與申請主體簽訂數據安全管理、數據開發收益等方面的協定。法律、法規和國家對公共數據開發運營另有規定的，從其規定。

第四十條　自然人、法人或者非法人組織開發利用公共數據應當遵循合法、正當的原則，不得損害國家利益、社會公共利益和他人合法權益。

自然人、法人或者非法人組織利用依法獲取的公共數據加工形成的數據產品、服務以及獲得的合法權益受法律保護。

自然人、法人或者非法人組織利用公共數據形成數據產品、研究報告、學術論文等成果的，應當在成果中註明數據來源和獲取日期。

第四十一條　公共數據安全管理應當堅持統籌協調、分類分級、權責統一、預防為主、防治結合的原則，加強公共數據全生命周期安全和合法利用管理，防止數據被非法獲取、篡改、泄露、損毀或者不當利用。

第四十二條　縣級以上公共數據、網信、公安、國家安全、保密、密碼主管部門按照各自職責，做好公共數據安全的監督管理工作。

公共機構在各有關部門指導下，開展本單位、本系統、本領域公共數據安全保護工作。

第四十三條　公共數據安全實行誰收集誰負責、誰持有誰負責、誰使用誰負責、誰運行誰負責的責任制。公共數據主管部門和公共機構的主要負責人是本單位數據安全工作的第一責任人。

公共數據主管部門和公共機構應當強化和落實數據安全主體責任，建立數據安全常態化運行管理機制，具體履行下列職責：

（一）落實網路安全等級保護制度、商用密碼使用和管理有關規定，建立健全本單位數據安全管理制度、技術規範和操作規程。

（二）健全公共數據共享和開放的保密審查等安全保障機制。

（三）設定或明確公共數據安全管理機構和數據安全管理崗位，實行管理崗位責任制，配備安全管理人員和專業技術人員。

（四）定期組織相關人員進行數據安全教育、技術培訓。

（五）加強數據安全日常管理和檢查，對複製、導出、脫敏數據等可能影響數據安全的行為進行監督。

（六）加強平台（系統）壓力測試、風險監測和操作留痕，發現數據安全缺陷、漏洞等風險時立即採取補救措施。

（七）建立健全數據災備機制。

（八）制定數據安全事件應急預案，並定期進行演練。

（九）法律、法規、規章規定的其他職責。

第四十四條　公共數據主管部門、公共機構在處理公共數據過程中，因數據匯聚、關聯分析等原因，可能產生涉密、敏感數據的，應當進行安全評估，並根據評估意見採取相應的安全措施。

第四十五條　公共數據主管部門、公共機構依法委託第三方服務機構開展平台（系統）建設以及運行維護的，應當按照國家和省有關規定對服務提供方進行安全審查；經安全審查符合條件的，簽訂服務外包協定時應當同時簽訂服務安全保護及保密協定，約定違約責任，並監督服務提供方履行數據安全保護義務。

服務外包協定不生效、無效、被撤銷或者終止的，公共數據主管部門、公共機構應當撤銷賬號或者重置密碼，並監督服務提供方以數據覆寫、物理銷毀等不可逆方式刪除相關數據。

第四十六條　違反本辦法規定的行為，法律、法規已有法律責任規定的，從其規定。

第四十七條　公共機構有下列情形之一的，由公共數據主管部門按照管理許可權督促改正：

（一）未按照規定編制或者更新公共數據目錄的；

（二）未及時向公共數據平台歸集數據或者歸集的數據不符合標準要求的；

（三）未按照規定共享或者開放公共數據的；

（四）違反規定重複收集數據的；

（五）未及時核查其他公共機構認為存在異議的公共數據的；

（六）未按照規定校核、封存、撤回公共數據或者關停數據套用的；

（七）違反規定將共享獲取的公共數據用於其他目的的；

（八）擅自更改或者刪除公共數據的；

（九）未依法履行公共數據安全管理職責的；

（十）違反本辦法規定其他情形的。

公共機構應當在規定期限內完成整改，並反饋整改情況；未按照要求整改，情節嚴重的，由公共數據主管部門依規依紀依法移送有關部門處理。

第四十八條　自然人、法人或者非法人組織有下列情形之一的，公共機構、公共數據主管部門等有關機構應當按照法定許可權和程式督促改正，並暫時關閉其獲取相關公共數據的許可權；未按照要求改正的，依法依規處理。

（一）損害國家利益、社會公共利益和他人合法權益的。

（二）未按照數據安全有關要求對開放獲取的數據採取安全保障措施的。

（三）嚴重違反公共數據平台安全管理要求的。

（四）其他嚴重違反公共數據開放和利用要求情形的。

第四十九條　本辦法自2024年3月1日起施行。