【智慧城市網 城市在線】日前,紹興市數據局發布《紹興市公共數據授權運營管理實施細則(試行)》。為便于各地、各部門和廣大企業、群眾更好理解《紹興市公共數據授權運營管理實施細則(試行)》(以下簡稱《細則》),現將相關情況解讀如下。
一、制定背景
2021年12月,國務院辦公廳印發《要素市場化配置綜合改革試點總體方案》,提出要“探索開展政府數據授權運營”。2022年1月,浙江省十三屆人大六次會議審議通過的《浙江省公共數據條例》第三十五條明確:允許縣級以上人民政府授權符合條件的法人或非法人組織運營公共數據。2022年12月,中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》,明確“推進實施公共數據確權授權機制”。省政府于2023年8月1日印發《浙江省公共數據授權運營管理辦法(試行)》。為貫徹落實國家和省有關政策法規精神,推進公共數據有序開發利用,培育數據要素市場,結合我市實際,起草制定《紹興市公共數據授權運營管理實施細則(試行)》(以下簡稱《細則》)。
二、主要內容
《細則》分總則、職責分工、授權申請程序、運營實施、授權終止、安全監管、附則等七個部分。
(一)總則。主要從總體要求、適用范圍、用語含義等方面說明主要內容。
(二)職責分工。建立市、縣兩級公共數據授權運營管理工作協調機制,負責統籌推進轄區內授權運營管理工作;具體由市數據局牽頭,網信、發改、經信、公安、國安、司法、財政、市場監管等部門組成。
(三)授權申請程序。明確了發布公告、資格審查、授權備案、社會公開、簽訂協議、期滿重新申請等核心環節和具體操作規范要求。
(四)運營實施。明確運營域平臺建設、運營要求、數據申請、數據加工、數據導出、授權收益、運營報告、運營評估等具體規范要求。
(五)授權終止。明確授權運營終止分為授權運營單位主動退出和被動退出兩種情形。授權終止時,協調機制有關單位應對退出條件進行審查,授權運營單位應依照協議約定做好退出工作和數據處置工作。
(六)安全監管。明確了安全原則、政府監管、單位職責、社會監督、法律責任等公共數據授權運營活動中的安全管理內容和職責。
(七)附則。主要明確文件的施行日期。
三、特色與亮點
(一)明確授權流程。《細則》以工作推進的時間順序為軸心,對授權方式、安全條件、行為規范等塊狀要求進行全面解構和重塑,按照授權運營申請、實施、監管、退出等步驟和節點,進一步理順工作流程,細化工作要求。
(二)探索收益共享。探索建立公共數據產品定價和收益分配模式,鼓勵多方合作開展數據產品和服務市場化運營,探索成本分攤、利潤分成、股權參股、知識產權共享等多元化利益分配機制,推動公共數據價值轉化,賦能我市數字經濟高質量發展。
(一)確保安全可控。強調在保護個人信息、商業秘密和確保公共安全的前提下,采用“原始數據不出域、數據可用不可見”的方式開展公共數據授權運營。明確由市級統建授權運營域,各縣(市、區)原則上不再單獨建設,突出集約建設。
四、解讀機關、解讀人及聯系方式
解讀機關:紹興市數據局
解 讀 人:孫彥、吳星同
聯系電話:0575-85085593
正文:
紹興市公共數據授權運營管理
實施細則(試行)
為規范公共數據授權運營管理,促進公共數據有序開發利用,加快培育數據要素市場,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《浙江省公共數據條例》《浙江省公共數據授權運營管理辦法(試行)》等規定,結合本市實際,制定本實施細則。
一、總則
(一)總體要求。公共數據授權運營遵循“依法合規、安全可控、統籌規劃、穩慎有序”原則,按照“原始數據不出域、數據可用不可見”要求,在保護個人信息、商業秘密、保密商務信息和確保公共安全的前提下,向社會提供數據產品和服務。優先支持與民生緊密相關、行業發展潛力顯著和產業戰略意義重大的領域,開展公共數據授權運營。禁止開放的公共數據不得授權運營。
(二)適用范圍。本市行政區域內公共數據授權運營相關的授權、加工、經營、安全監管等數據活動,適用本實施細則。
(三)術語定義
公共數據授權運營(以下簡稱“授權運營”):指市、縣兩級政府按程序依法授權法人或者非法人組織(以下簡稱“授權運營單位”),對授權的公共數據進行加工處理,開發形成數據產品和服務,并向社會提供的行為。
授權運營協議:指市、縣兩級政府與授權運營單位就公共數據授權運營達成的書面協議,明確雙方權利義務、授權運營范圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿后資產處置、退出機制和違約責任等。
授權運營域:指由公共數據主管部門依托一體化智能化公共數據平臺(以下簡稱“公共數據平臺”)組織建設和運維,為授權運營單位提供加工處理授權運營公共數據服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監管溯源、接口生成、封存銷毀等功能。
數據產品和服務:指利用公共數據加工形成的數據包、數據模型、數據接口、數據服務、數據報告、業務服務等。
二、職責分工
(一)協調機制。建立市級公共數據授權運營管理工作協調機制,由市數據局牽頭,網信、發改、經信、公安、國安、司法、財政、市場監管等部門組成,負責統籌推進本市行政區域內授權運營管理工作,建立健全授權運營制度規范和工作機制,審議給予授權、終止或撤銷授權等重大事項,授權運營的安全監管和監督評價,組建市公共數據授權運營專家組,統籌協調解決授權運營工作中遇到的重大問題。
區、縣(市)建立本級協調機制,負責本行政區域內授權運營工作的統籌管理、安全監管、監督評價,審議給予、終止或撤銷本級授權運營等重大事項,根據需要組建縣級專家組,統籌協調解決本級授權運營工作中的重大問題。
(二)職責分工
市、縣兩級相關部門在各自職責范圍內,積極配合公共數據授權運營指導和監督工作。
公共數據主管部門負責落實協調機制確定的工作任務,承擔協調機制日常工作,研究提出推進授權運營的政策建議,指導開展授權運營工作。本級政府設置公共數據授權運營合同專用章,由公共數據主管部門管理使用。
公共管理和服務機構做好本領域公共數據的編目、歸集、治理、申請審核和安全監管等授權運營工作。未經本級政府批準,不得與第三方簽訂公共數據運營協議,不得以合作開發、委托開發等方式,交由第三方承建信息系統使其直接獲取數據運營權。
發改、經信、財政、市場監管等部門按照各自職責,做好數據產品和服務流通交易的監督管理工作。完善數據產品和服務的市場化運營管理制度。對違反反壟斷、反不正當競爭、消費者權益保護等法律法規規定的,由有關單位按照職責依法處置,不良信息依法記入其信用檔案。
市場監管會同發改、經信、司法等部門,建立數據知識產權保護制度,推進數據知識產權保護和運用。
網信、密碼管理、保密行政管理、公安、國安等部門按照各自職責,做好授權運營的安全監管工作。
專家組負責提供授權運營業務和技術咨詢。協調機制有關單位可委托專家對授權運營申請單位進行綜合評審,輔助決策。
三、授權申請程序
(一)發布公告。公共數據主管部門發布重點領域開展授權運營的公告,明確申報條件。公告內容包括申請條件、授權運營工作要求,所需提交材料、申請方式、申請時間等。
授權運營單位應當在公告規定的時間內提交申請,申請時應當提交下列材料:
1.授權運營申請表;
2.最近一年的第三方審計報告和財務會計報告;
3.數據安全承諾書;
4.安全風險自評報告;
5.授權運營單位資格證明佐證材料;
6.公共數據主管部門要求提供的其他材料。
(二)資格審查。公共數據主管部門對授權運營單位提交的資料進行初步審查,材料不全或者不符合形式要求的,申請單位應當在規定時間內補交材料。初審通過后,有關單位按要求組織召開專家論證會,專家組對授權運營單位的資質實力、安全條件、信用條件等進行綜合評審,出具論證評審意見。資格條件審查內容包括:
1.基本條件審查:經營狀況良好,具備授權運營領域所需的專業資質、知識人才積累和生產服務能力;企業及其法定代表人無重大違法記錄。企業及其法定代表人應符合相應信用條件,包括但不限于未被列入失信被執行人名單、重大稅收違法案件當事人名單、嚴重失信名單。
2.技術安全條件審查:落實數據安全負責人和管理部門,建立授權運營內部管理和安全保障制度;具有符合網絡安全等級保護三級標準和商用密碼安全性評估的系統開發和運維實踐經驗;具備成熟的數據管理能力和數據安全保障能力;近3年未發生網絡安全或數據安全事件。
3.應用場景審查:應用場景明確,具有重大經濟價值或社會價值,并設置數據安全保障措施;應用場景具有較強的可實施性,在授權運營期限內有明確的目標和計劃,能夠取得顯著成效;按照應用場景申請使用公共數據,堅持最小必要的原則。
4.重點領域具體安全要求審查:由公共數據主管部門會同相關領域主管部門研究確定。
(三)授權備案。市、縣兩級協調機制有關單位綜合專家組評審結果,由公共數據主管部門將擬授權運營單位名單報本級政府。市、縣兩級政府堅持總量控制、因地制宜、公平競爭原則,結合具體應用場景,確定授權運營領域和授權運營單位。
(四)社會公開。有關單位按要求向社會公開授權運營單位名單等信息。
(五)簽訂協議。市、縣兩級政府委托公共數據主管部門,與授權運營申請單位簽訂授權運營協議,協議中應明確授權運營范圍、授權運營期限、授權方式等。其他細節事項由授權運營單位與公共數據主管部門商議決定,并在協議中體現。
(六)期滿重新申請。授權運營期限由雙方協商確定,一般不超過3年。期限屆滿后需要繼續開展授權運營的,授權運營單位應提前6個月按程序重新申請。
四、運營實施
(一)建立平臺。市級公共數據主管部門應當依托本級公共數據平臺建設授權運營域,為授權運營活動提供支撐平臺,區、縣(市)原則上依托市級授權運營域開展授權運營工作。授權運營域的建設需按照省公共數據主管部門制定的標準進行,并提交省公共數據主管部門驗收。
授權運營域應滿足以下條件:遵循已有公共數據平臺標準規范體系,復用統一用戶認證組件、用戶授權服務等公共數據平臺能力;實現網絡隔離、租戶隔離、開發與生產環境隔離,具備數據脫敏處理、數據產品和服務出域審核功能,確保全流程操作可追蹤,數據可溯源;滿足政府監管需求,支持集成外部數據,具備分布式隱私計算能力;滿足授權運營單位基本數據加工需求。
(二)運營要求。授權運營單位應當依法合規開展公共數據運營,在實施過程中遵循下列要求:
1.不得泄露、竊取、篡改、毀損、丟失、不當利用公共數據,不得將授權運營的公共數據提供給第三方;
2.管理人員、技術人員應當通過省公共數據主管部門組織的授權運營崗前培訓;
3.定期報告運營情況,接受公共數據主管部門對授權運營涉及的業務和信息系統、數據使用情況、安全保障能力等方面的監督檢查;
4.嚴格執行數據產品和服務定價、合理收益規定。完善公共數據安全制度,建立健全高效的技術防護和運行管理體系,確保公共數據安全,切實保護個人信息。
(三)數據申請。授權運營單位通過一體化數字資源系統提交公共數據需求清單,經公共數據主管部門會同數源單位審核通過后獲取。申請省回流市、縣數據的,應當經省公共數據主管部門同意后獲取。涉及個人信息、商業秘密、保密商務信息的公共數據,應當經脫敏、脫密處理后,或經相關數據所指向的特定自然人、法人或者非法人組織依法授權同意后獲取。數據不得以“一攬子授權”、強制同意等方式獲取。
(四)數據加工。獲取公共數據后,授權運營單位應當在授權運營域內對公共數據進行加工處理,形成數據產品和服務。公共數據加工處理應當符合下列要求:
1.授權運營單位所有參與數據加工處理的人員須經實名認證、備案與審查,簽訂保密協議,操作行為有記錄、可審查。保密協議應當明確保密期限和違約責任。
2.原始數據對數據加工人員不可見。授權運營單位使用經抽樣、脫敏的公共數據進行數據產品和服務的模型訓練與驗證;
3.經本級公共數據主管部門審核批準后,授權運營單位可以將依法合規獲取的社會數據導入授權運營域,與授權運營的公共數據進行融合計算。
授權運營單位在數據加工處理或提供服務過程中發現公共數據質量問題的,可向本級公共數據主管部門提出數據治理需求。需求合理的,公共數據主管部門應當督促數據提供單位,在規定期限內完成數據治理。
授權運營單位在開展公共數據運營過程中,因數據匯聚、關聯分析等原因,發現數據間隱含關系與規律,危害國家安全、公共利益,或侵犯個人信息、商業秘密、保密商務信息的,應當立即停止數據處理活動,及時向公共數據主管部門報告風險情況。
(五)數據導出。授權運營單位加工形成的數據產品和服務,在導出授權運營域前,應當向本級公共數據主管部門提交導出申請,審核通過后方可導出。原始數據包不得導出授權運營域。通過可逆模型或算法還原出原始數據包的數據產品和服務,不得導出授權運營域。經公共數據主管部門審核批準后導出授權運營域的數據產品和服務,不得用于或變相用于未經審批的應用場景。數據產品和服務應當按照數據要素市場規則流通交易。
(六)授權收益。推動用于公共治理、公益事業的公共數據采用有條件無償使用方式進行授權;探索用于產業發展、行業發展的公共數據可在價值評估基礎上,探索采用有條件有償使用方式進行授權,并在授權運營協議中予以約定。
授權運營單位應當遵循依法合規、普惠公平、收益合理原則,嚴格執行公共數據產品定價和合理收益規定,對加工形成的公共數據產品和服務確定價格,并依據授權協議在公共數據授權運營參與方之間進行合理的利益分配。鼓勵多方合作開展數據產品和服務市場化運營,探索成本分攤、利潤分成、股權參股、知識產權共享等多元化利益分配機制。
(七)運營報告。授權運營單位在運營期限內,應當向本級公共數據主管部門提交公共數據授權運營年度報告,報告內容包括:本單位與授權運營相關的數據產品和服務存儲、加工處理、分析利用、安全管理及市場運營情況等。
(八)運營評估。公共數據主管部門會同有關單位或委托第三方機構,對本級授權運營單位開展授權運營情況年度評估,對授權運營單位實行動態管理,評估結果作為再次申請授權運營的重要依據。
評估結果分為通過、未通過和限期整改。通過評估的授權運營單位,可繼續承擔公共數據授權運營工作。限期整改的授權運營單位應當制定整改方案,30日內整改完成,報本級公共數據主管部門再次評估。未通過或限期整改后仍未通過的,由公共數據主管部門向本級政府反饋評估結果,依據授權運營協議約定終止其授權運營工作,并重新發布信息,審核符合條件的授權運營單位承擔授權運營工作。
五、授權終止
(一)終止情形。授權運營終止分為授權運營單位主動退出和被動退出兩種情形。主動退出包括授權運營協議期滿退出和提前終止協議。確需提前終止協議的授權運營單位,應提前6個月向公共數據主管部門提出主動退出申請,提交提前終止申請書,并做好數據處置工作。
授權運營單位違反授權運營協議的,公共數據主管部門應按照協議約定要求其改正,并暫時關閉其授權運營域使用權限。授權運營單位應當在約定期限內改正,并反饋改正情況;未按照要求改正的,終止其公共數據授權。
(二)退出審查。授權運營協議終止或撤銷的,本級公共數據主管部門應當及時撤銷授權運營域使用權限,及時刪除授權運營域內留存的數據,按照規定留存網絡日志不少于6個月。
有關單位應當對授權運營單位的退出條件進行審查,防止出現授權運營工作不合規、數據安全漏洞、數據泄露等安全隱患,若審查結果不通過,授權運營單位有義務依照授權運營協議完成整改工作。
六、安全監管
(一)安全原則。公共數據授權運營堅持統籌發展和安全原則,按照“公共數據分類分級”要求,加強公共數據全生命周期安全和合法利用管理,確保數據來源可溯、去向可查,行為留痕、責任可究。
(二)政府監管。市、縣公共數據主管部門應當履行下列安全管理職責:
1.建立健全授權運營安全防護技術標準和規范,落實安全審查、風險評估、監測預警等管理機制,明確管理機制對應的負責部門,定期開展公共數據安全培訓,培訓主題與內容應當針對培訓對象作調整;
2.實施數據產品和服務的安全合規管理,對授權運營域的操作人員進行認證、授權和訪問控制,記錄數據來源、產品加工和數據調用等全流程日志信息;
3.建立健全公共數據授權運營安全監督檢查機制,做好針對授權運營行為中產生數據信息的監督追蹤,定期開展安全監督工作成果檢查和安全檢查系統技術升級。在安全監督檢查中發現授權運營單位存在較大安全風險的,可依法依規進行約談,并要求其采取安全措施進行整改;
4.會同網信、密碼管理、保密行政管理、公安、國家安全等部門,按照“一授權一預案”要求,結合公共數據授權運營的應用場景制定應急預案,定期組織應急演練。發生數據安全事件時,公共數據主管部門啟動應急響應,采取應急處置措施,防止危害擴大,消除安全隱患;
5.監督授權運營單位落實公共數據開發利用和安全管理責任,定期委托第三方機構,根據法律法規規定,對授權運營單位開展數據安全檢測評估,并根據評估意見采取安全措施。
(三)單位職責。授權運營單位應當履行下列公共數據安全管理職責:
1.建立完善的數據安全管理制度。實行“誰運營誰負責、誰使用誰負責”責任制,明確授權運營單位的主要負責人是授權運營公共數據安全的第一責任人。
2.依照授權運營協議約定,配合公共數據主管部門完成安全審查、信息登記、檢測評估和培訓演練工作,如實提供評估資料,不得拒絕、隱匿、瞞報。
3.依照授權運營協議約定,建立健全公共數據開發利用日常監測、安全測評、風險評估、安全審查等機制,確保各參與主體在公共數據管理、需求審核、開發利用、技術支撐等全流程的安全可控。
4.依照安全承諾書,制定安全事件應急預案,發生數據泄露、毀損、丟失等安全事件或重大風險時,立即啟動應急預案,并及時向公共數據主管部門匯報情況。
5.在數據授權運營過程中,授權運營單位如發現存在數據安全隱患或其它不安全因素,應當依照安全承諾書第一時間向本級公共數據主管部門上報,密切配合本級公共數據主管部門做好數據安全事件的處置及調查,積極采取措施消除安全隱患。
6.發現可能或已經發生數據泄露等數據安全事件的,應當依照安全承諾書,立即通知本級公共數據主管部門,調查事件發生原因,積極采取補救措施,并承擔相應法律責任。
(四)社會監督。社會公眾有權對公共數據授權運營活動進行監督,認為存在違法違規行為的,可以向公共數據主管部門投訴舉報,公共數據主管部門應當會同相關部門及時調查處理,并為舉報人保密。
(五)法律責任。授權運營單位及相關人員存在違反國家法律法規,侵犯他人商業秘密、個人隱私等合法權益或造成財產損失的,應當依法承擔法律責任。
授權運營單位違反授權運營協議,屬于違反網絡安全、數據安全、個人信息保護法律法規規定的,由網信、公安等部門按照職責依法查處,不良信息依法記入信用檔案。
七、附則
本實施細則自2024年6月1日起施行。國家、省對公共數據授權運營管理有新規定的,從其規定。
我要評論
所有評論僅代表網友意見,與本站立場無關。