各縣(市、區)人民政府,市直屬各單位:
《金華市公共數據授權運營實施細則(試行)》已經市政府同意,現印發給你們,請認真組織實施。
金華市人民政府辦公室
2024年1月12日
(此件公開發布)
金華市公共數據授權運營實施細則(試行)
為規范公共數據授權運營管理,加快公共數據有序開發利用,培育數據要素市場,激活經濟發展新動能,推動數字經濟高質量發展,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》《浙江省公共數據條例》《浙江省公共數據授權運營管理辦法(試行)》等有關法律法規和文件規定,結合本市實際,制定本細則。
一、總則
(一)總體要求。
公共數據授權運營堅持中國共產黨的領導,遵循依法合規、安全可控、統籌規劃、穩慎有序的原則,按照“原始數據不出域、數據可用不可見”的要求,在保護個人信息、商業秘密、保密商務信息和確保公共安全的前提下,向社會提供數據產品和服務。優先面向與民生緊密相關、行業增值潛力顯著、產業戰略意義重大的領域開展授權運營。禁止開放的公共數據不得授權運營。
(二)適用范圍。
本細則適用于本市行政區域內與公共數據授權運營相關的數據活動。
(三)名詞定義。
公共數據授權運營,是指縣級以上政府按程序依法授權法人或者非法人組織(以下統稱“授權運營單位”),對授權的公共數據進行加工處理,開發形成數據產品和服務,并向社會提供的行為。
授權運營域,是指由公共數據主管部門依托一體化智能化公共數據平臺組織建設和運維的,為授權運營單位提供加工處理授權運營公共數據服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監管溯源、接口生成、封存銷毀等功能。
授權運營協議,是指縣級以上政府與授權運營單位就公共數據授權運營達成的書面協議,明確雙方權利義務、授權運營范圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿后資產處置、退出機制和違約責任等。
數據產品和服務,是指利用公共數據加工形成的數據包、數據模型、數據接口、數據服務、數據報告、業務服務等。
(四)授權方式。
授權運營堅持“總量控制、因地制宜、公平競爭”原則,按照應用場景開展授權運營。應用場景應具有重大經濟價值或社會價值,具有較強的可實施性,在授權運營期限內有明確目標和計劃,能夠取得顯著成效。場景所需公共數據需求應當符合最小必要的原則。
(五)定價及收益分配。
探索建立公共數據定價管理和收益分配機制,探索將公共數據授權運營納入政府國有資源(資產)有償使用范圍,結合具體應用場景確定公共數據使用定價和收益分配方式。推動用于公共治理、公益事業的公共數據有條件無償使用,探索用于產業發展、行業發展的公共數據有條件有償使用。
(六)公共數據開放激勵。
公共數據主管部門應探索建立公共數據開放激勵機制,對公共管理和服務機構的數據開放數量、授權數量、數據質量等方面進行數據貢獻情況評估,評估結果作為部門信息化項目績效的重要參考。
二、職責分工
(一)建立公共數據授權運營管理工作協調機制,由公共數據主管部門會同網信、發改、經信、公安、國家安全、司法行政、財政、市場監管等部門負責本市行政區域內授權運營工作的統籌管理、安全監管和監督評價,建立健全公共數據授權運營相關制度規范和工作機制;確定授權運營領域;監督指導公共數據授權運營評估工作;負責審議給予授權、終止或撤銷授權等重大事項,協調解決公共數據授權運營工作中遇到的重大問題;負責組建公共數據授權運營工作專家組。
(二)公共數據主管部門負責公共數據授權運營具體實施工作,指導、協調、督促其他有關部門按照各自職責做好授權運營相關工作,負責授權運營域的建設和運維,并負責會同相關領域主管部門研究確定領域具體安全要求。市、縣(市、區)政府設置公共數據授權運營合同專用章,由公共數據主管部門管理使用。
(三)公共數據授權運營工作專家組負責對公共數據授權運營申請單位資質、場景可行性、數據需求清單合理性、數據產品和服務合規性等進行技術評審,就授權運營工作的規范性、先進性、科學性等方面提出針對性優化意見建議,為授權運營工作的組織、運行、決策提供咨詢意見和決策支撐。
(四)發改、經信、財政、市場監管等部門按照各自職責,做好數據產品和服務流通交易的監督管理工作。
(五)網信、保密、密碼管理、公安、國家安全等部門按照各自職責,做好授權運營的安全監管工作。
(六)公共管理和服務機構負責做好本領域公共數據的治理、申請審核及安全監管等授權運營相關工作。
三、授權程序
(一)信息發布。
公共數據主管部門發布重點領域開展授權運營的通告,明確申報條件。
(二)申請提交。
授權運營申請單位應遵循《浙江省公共數據授權運營管理辦法(試行)》關于授權運營單位安全條件的基本安全要求、技術安全要求、應用場景安全要求和重點領域具體安全要求,在規定時間內,向公共數據主管部門提出需求,并提交授權運營申請表、最近1年的第三方審計報告和財務會計報告、數據安全承諾書、安全風險自評報告等材料。
(三)資格審查。
1.材料預審。公共數據主管部門對授權運營申請單位的申報材料進行初步審查,申請單位提交材料不齊全或者不符合形式要求的,應在規定時間內補齊。
2.專家評審。公共數據主管部門會同相關單位組織召開專家評審會,對授權運營中的業務和技術問題進行論證,出具評審意見。
3.資格終審。公共數據主管部門根據評審意見召開協調機制會議擬定授權運營單位,提交本級政府確定。
(四)上報備案。
公共數據主管部門應及時將審定后的授權運營單位與應用場景向省政府備案。
(五)社會公開。
公共數據主管部門及時向社會公開授權運營單位、授權運營場景等相關信息。
(六)協議簽訂。
本級政府與授權運營單位簽訂授權運營協議。授權運營協議期限一般不超過1年,期限屆滿后,授權運營單位可按程序重新申請。
(七)授權終止。
當授權運營協議終止或撤銷時,公共數據主管部門應及時關閉授權運營單位的授權運營域使用權限,刪除授權運營域內留存的相關數據,并按照規定留存相關網絡日志不少于6個月。
四、授權運營行為規范
授權運營單位應根據授權運營范圍,依法依規進行公共數據申請、加工、運營。在開展授權運營過程中,因數據匯聚、關聯分析等原因發現數據間隱含關系與規律,并危害國家安全、公共利益,或侵犯個人信息、商業秘密、保密商務信息的,應立即停止相應的數據處理活動,及時向公共數據主管部門報告數據風險情況。
(一)數據申請獲取。
授權運營單位應通過授權運營域提交公共數據需求申請,公共數據主管部門會同相關公共管理和服務機構審核確認后,將相應公共數據資源納入授權運營域統一管理,并向授權運營單位開放相應權限。授權運營單位相關管理、技術人員須經實名認證、備案與審查,簽訂保密協議,通過授權運營崗前培訓后,方可開通授權運營域的權限。
涉及個人信息、商業秘密、保密商務信息的公共數據,應經過脫敏、脫密處理,或經相關數據所指向的特定自然人、法人、非法人組織依法授權同意后獲取。涉及社會數據時,經公共數據主管部門審核批準后,授權運營單位可將依法合規獲取的社會數據導入授權運營域,與授權運營的公共數據進行融合計算。
(二)數據加工處理。
授權運營單位應在授權運營域內對公共數據進行加工處理形成數據產品,數據加工人員使用經抽樣、脫敏后的公共數據進行數據產品的模型訓練與驗證。授權運營單位在數據加工處理或提供服務過程中發現公共數據質量問題的,可以向公共數據主管部門提出數據治理需求。需求合理的,公共數據主管部門應督促數據提供單位在規定期限內完成數據治理。
(三)產品形成。
授權運營單位加工形成的數據產品和服務接受公共數據主管部門審核后上線。原始數據或者通過可逆模型或算法還原出原始數據的數據產品和服務,不得導出授權運營域。經公共數據主管部門審核批準后導出授權運營域的數據產品和服務,不得用于或變相用于未經審批的應用場景。
(四)產品運營。
授權運營單位應堅持依法合規、普惠公平、收益合理的原則,確定數據產品和服務的價格。授權運營單位在運營期限內,應當向公共數據主管部門提交授權運營年度運營報告,報告應當包括本單位與授權運營相關的數據產品和服務存儲、加工處理、分析利用、安全管理及市場運營情況等內容。數據產品和服務應當按照國家、省和市有關數據要素市場規則流通交易。
(五)第三方管理。
授權運營單位應加強對合作方、第三方機構及相關人員管理,保障公共數據產品和服務合法合規安全應用,防范違規使用、轉賣、泄露或其他不當應用情況。授權運營單位發現上述情況的,應該采取相關措施避免損失擴大,并上報公共數據主管部門。
五、授權運營域
(一)建設原則。
市公共數據主管部門應按照全省授權運營域建設標準,依托一體化智能化公共數據平臺建設授權運營域。全市公共管理和服務機構、縣(市、區)依托市級授權運營域開展授權運營工作。
(二)系統功能。
授權運營域應實現網絡隔離、租戶隔離、開發與生產環境隔離,具備數據脫敏處理、數據產品和服務審核、數據加工處理人員的實名認證與備案管理等功能,滿足政府監管需求,支持集成外部數據,具備分布式隱私計算能力,滿足授權運營單位的基本數據加工需求。
(三)系統運維。
市公共數據主管部門應當加強技術投入和運維管理,制定相關管理規范和技術標準,確保授權運營域安全穩定運行。
六、數據安全
(一)公共數據授權運營堅持統籌發展和安全的原則,按照“公共數據分類分級”要求,加強公共數據全生命周期安全和合法利用管理,確保數據來源可溯、去向可查、行為留痕、責任可究。
(二)公共數據主管部門應根據《浙江省公共數據授權運營管理辦法(試行)》相關要求,加強數據安全管理。應建立授權運營域安全管理制度,健全安全保障措施,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入、數據泄露等危害網絡及數據安全的風險。定期組織授權運營單位開展安全培訓、應急演練和攻防演練。
(三)公共數據主管部門應會同網信、保密、密碼管理、公安、國家安全等單位,按照“一授權一預案”要求,結合授權運營的應用場景制定應急預案,并組織應急演練。未制定應急預案的,不得開展授權運營工作。
發生數據安全事件時,公共數據主管部門應按照應急預案啟動應急響應,采取相應的應急處置措施,防止危害擴大,消除安全隱患。
(四)公共數據授權運營安全堅持“誰運營誰負責、誰使用誰負責”的原則。授權運營單位主要負責人是運營公共數據安全的第一責任人。授權運營單位應建立健全高效的技術防護和運行管理體系,完善安全制度,確保公共數據安全,切實保護個人信息。
(五)授權運營單位應制定授權運營安全應急處置預案并組織應急演練,加強防攻擊、防泄露、防竊取的監測、預警、控制和應急處置能力建設。
七、監督管理
(一)建立健全監督機制,加強對授權運營域、數據產品和服務、數據管理等安全合規情況的監督檢查,并督促整改落實。公共數據主管部門應會同有關部門或委托第三方機構組織對授權運營單位開展授權運營和安全評估。對授權運營單位實行動態管理,評估結果作為再次申請授權運營的重要依據。
(二)市場監管部門協同發改、經信、財政等單位完善數據產品和服務的市場化運營管理制度。對違反反壟斷、反不正當競爭、消費者權益保護等法律法規規定的,由有關單位按照職責依法處置,相關不良信息依法記入其信用檔案。
(三)知識產權主管部門會同發改、經信、司法行政等單位建立數據知識產權保護制度,推進數據知識產權保護和運用。
(四)授權運營單位違反授權運營協議的,公共數據主管部門應按照協議約定要求其改正,并暫時關閉其授權運營域使用權限。授權運營單位應在約定期限內改正,并反饋改正情況;未按要求完成改正的,終止其相關公共數據的授權。
(五)授權運營單位存在違反網絡安全、數據安全、個人信息保護有關法律法規規定行為的,由網信、公安等單位按照職責依法予以查處,相關不良信息依法記入其信用檔案。
八、附則
本細則自2024年2月15日起施行。國家和省對公共數據授權運營管理另有規定的,從其規定。
