温州市人民政府办公室关于印发温州市公共数据授权运营管理实施细则(试行)的通知
温政办〔2023〕77号
各县(市、区)人民政府,市政府直属各单位:
《温州市公共数据授权运营管理实施细则(试行)》已经市政府同意,现印发给你们,请结合实际认真贯彻落实。
温州市人民政府办公室
2023年9月21日
(此件公开发布)
温州市公共数据授权运营管理实施细则(试行)
为规范全市公共数据授权运营管理,加快公共数据有序开发利用,助力中国(温州)数安港高质量发展,加速培育数据要素市场,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《浙江省公共数据条例》和《浙江省公共数据授权运营管理办法(试行)》(浙政办发〔2023〕44号)等有关法律、法规和规章规定,结合本市实际,制定本实施细则。
一、总则
(一)总体要求。
公共数据授权运营坚持中国共产党的领导,遵循依法合规、安全可控、统筹规划、稳慎有序的原则,按照“原始数据不出域、数据可用不可见”的要求,在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下,向社会提供数据产品和服务。授权运营单位应遵循依法合规、普惠公平、收益合理的原则,对数据产品和服务进行合理定价。鼓励授权运营单位面向公共治理、公益事业等领域,提供多样化的数据产品和服务。优先在与民生紧密相关、行业发展潜力显著和产业战略意义重大的领域,先行开展公共数据授权运营工作。禁止开放的公共数据不得授权运营。
(二)适用范围。
本实施细则适用于本市行政区域内与公共数据授权运营相关的授权、加工、经营、定价、安全监管等数据活动。
(三)用语含义。
公共数据,是指本市国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。
公共数据授权运营,是指县级以上政府按程序依法授权法人或者非法人组织,对授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的行为。
授权运营单位,是指经县级以上政府按程序依法授权,对授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的法人或者非法人组织。
授权运营域(以下简称运营域),是指由市公共数据主管部门依托一体化智能化公共数据平台(以下简称公共数据平台)组织建设和运维的,为授权运营单位提供加工处理授权运营公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁、全程审计等功能。
授权运营协议(以下简称运营协议),是指县级以上政府与授权运营单位就公共数据授权运营达成的书面协议,明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。
数据产品和服务,是指利用公共数据参与加工形成的数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。
(四)授权主体。
县级以上政府是公共数据授权主体,本级公共数据主管部门负责公共数据授权运营的具体实施工作和对授权运营单位的日常监督管理工作。县级以上政府设置公共数据授权运营合同专用章,由本级公共数据主管部门管理使用。
公共管理和服务机构未经批准,不得擅自将公共数据开放给社会机构或企业,不得以合作开发、委托开发等方式交由第三方承建相关信息系统而使其直接获取数据运营权。
(五)授权方式。
坚持“无场景不授权”,按照总量控制、因地制宜、公平竞争的原则,结合具体应用场景确定授权运营领域与授权运营单位。授权运营单位应按照应用场景申请授权运营公共数据,并提供申请授权运营的业务场景清单和数据需求清单。
授权运营单位申请的应用场景应满足下列要求:应用场景明确,具有重大经济价值或社会价值,并设置数据安全保障措施;申请使用公共数据应当符合最小必要的原则;应用场景具有较强的可实施性,在授权运营期限内有明确目标和计划,能够取得显著成效。短期无法取得成效,但对当地有长期社会经济效益,也可酌情纳入。
(六)授权范围。
公共数据主管部门应综合考虑与民生紧密相关、行业增值潜力显著、产业战略意义重大等因素,优先面向医疗健康、文化教育、普惠金融、交通物流、工业制造、城市治理等重点领域,按照运营协议向授权运营单位授权公共数据。授权运营单位应在运营域内对授权的公共数据进行加工处理,形成数据产品和服务,经合法合规审核后向用户提供,数据产品和服务仅能用于运营协议约定的应用场景。
禁止开放的公共数据不得授权运营,具体包括:开放后危及或者可能危及国家安全的,开放后可能损害公共利益的,可能侵犯个人信息、商业秘密、保密商务信息的,数据获取协议约定不得开放的,法律、法规和规章规定不得开放的数据。
(七)使用定价方式。
公共数据授权使用定价方式应当结合应用场景确定,并经本级公共数据授权运营工作协调小组会商,报本级政府审核后实施。推动用于公共治理、公益事业的公共数据有条件无偿使用。对于与民生紧密相关、行业发展潜力显著和产业推动战略意义重大的应用场景,可采用限期无偿的定价方式支持场景运营孵化。探索用于产业发展、行业发展的公共数据有条件有偿使用,逐步将公共数据授权运营纳入政府国有资源(资产)有偿使用范围,形成公共数据开发利用良性循环。
(八)收益机制。
通过授权运营加工形成的数据产品和服务,授权运营单位可以向用户收取成本费用或者获取合理收益,并承担相应风险。
二、职责分工
(一)建立健全市级公共数据授权运营工作协调小组(以下简称市协调小组),由市大数据发展管理局、市委网信办、市发展改革委、市经信局、市公安局、市安全局、市司法局、市财政局、市国资委、市市场监管局等单位作为小组成员,对市级公共数据授权运营进行统筹管理、安全监管和监督评价。市协调小组工作职责主要包括:建立健全公共数据授权运营相关制度规范和工作机制;确定公共数据授权运营领域;审议给予、终止或撤销授权运营等重大事项,并报市政府同意;监督指导公共数据授权运营年度评估工作;监督指导公共数据使用定价等相关工作;统筹协调解决公共数据授权运营工作中遇到的重大问题。
市协调小组办公室设在市公共数据主管部门,负责统筹确定协调小组会议议题、组织落实会议决议以及日常事务等。相关市直部门在各自职责范围内积极配合市协调小组的公共数据授权运营指导与监督工作。
(二)组建市级授权运营工作专家组(以下简称市专家组),在市协调小组的领导下,负责对公共数据授权运营单位资质等进行综合评审,研究论证公共数据授权运营中的专业技术问题等,为协调小组的组织、运行、决策提供咨询意见和决策支撑。
(三)市公共数据主管部门负责落实市协调小组确定的具体工作,制定公共数据授权运营管理细则,指导、协调其他有关部门按照各自职责做好授权运营相关工作,统筹建设运营域等。
(四)各县(市、区)参照市级建立公共数据授权运营管理组织架构和工作机制。县级公共数据主管部门负责加强本区域公共数据的治理,协调、指导、监督本级公共数据授权运营工作。
(五)公共管理和服务机构及行业主管部门负责做好本领域公共数据的治理、申请审核和安全监管等工作。根据相关法律、法规和规章的规定,提供可授权运营的公共数据资源,监督本领域公共数据运营工作。
(六)发展改革、经信、财政、国资、市场监管等部门按照各自职责,做好数据产品和服务流通交易的监督管理工作。
(七)网信、公安、安全、司法等部门按照各自职责,做好公共数据授权运营的安全监督管理工作。
三、授权程序
(一)发布公告。公共数据主管部门会同相关行业主管部门制定并发布重点领域开展授权运营的公告,明确授权运营申报条件等。
(二)提交申请。授权运营单位应满足《浙江省公共数据授权运营管理办法(试行)》(浙政办发〔2023〕44号)的基本安全要求、技术安全要求、应用场景安全要求和重点领域具体安全要求等。授权运营单位应在规定时间内向公共数据主管部门提交申请,包括提交授权运营申请表、最近一年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等相关材料。
(三)材料预审。公共数据主管部门对授权运营单位的材料进行初步审查,对资料不齐全或不符合要求的,应一次性告知需补充的资料及内容;申请单位应在规定时间内补交相关材料。
(四)专家审查。公共数据主管部门组织召开专家论证会,专家组对授权运营单位的安全条件、信用条件、业务技术实力等进行综合评审,对授权运营应用场景的安全性和合规性等进行集体研讨,出具论证评审意见。
(五)终审。公共数据主管部门组织相关部门对市专家组评审结果进行审议,出具建议名单报本级政府审核确定。
(六)社会公开。公共数据主管部门应及时向社会公开公共数据授权运营单位等相关信息,对异议及时答复和处理。
(七)授权备案。市县两级政府应及时将授权运营领域及单位等信息报上级政府备案。
(八)签订协议。由县级以上政府与授权运营单位签订运营协议,并在协议中明确授权运营范围、授权运营期限、授权方式、违约责任等;如涉及公共数据有偿使用,应明确有偿使用的收费标准、获取收益或补偿方式等。
(九)授权终止。授权运营期限由双方协商确定,一般不超过3年。授权运营单位需要继续开展授权运营,应在期限届满6个月前,按程序向公共数据主管部门重新申请授权运营。在授权运营期间,授权运营单位可以向公共数据主管部门提出公共数据授权运营提前注销申请。当运营协议终止或撤销时,公共数据主管部门应及时撤销授权运营单位的运营域使用权限,及时删除运营域内留存的相关数据,并按照规定留存相关网络日志不少于6个月。
四、授权运营行为规范
(一)签订授权运营协议后,授权运营单位应按要求派遣一定数量的管理、技术人员,参加省公共数据主管部门组织的授权运营岗前培训,通过考核后方可开通运营域相关权限。
(二)授权运营单位应依托运营域提出公共数据需求申请,数据提供单位根据数据需求清单进行需求审核,审核通过后将相应公共数据资源纳入运营域统一管理,并向授权运营单位开放相应权限。涉及个人信息、商业秘密、保密商务信息的公共数据,应经过脱敏、脱密处理,或经相关数据所指向的特定自然人、法人和非法人组织依法授权同意后获取。
授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题,可以向公共数据主管部门提出数据治理需求。需求合理的,公共数据主管部门应督促数据提供单位在规定期限内完成数据治理。授权运营单位可以根据基本数据加工需求,向公共数据主管部门提出定制化服务需求,授权运营单位应承担相应加工处理成本和服务费用。
(三)公共数据主管部门应探索建立数据供给激励机制,从数据提供数量、数据质量、数据应用等维度对公共数据提供单位的数据贡献情况进行评估,评估结果作为部门信息化项目预算安排、试点示范申请、优秀案例评选等重要参考。
(四)授权运营单位应在运营域内按照协议对授权运营的公共数据进行加工处理,形成可面向市场提供的数据产品。授权运营单位应确保原始数据包不得导出运营域;可以通过可逆模型或算法还原出原始数据包的,不得导出运营域。
授权运营单位所有参与数据加工处理的人员须经实名认证、审查与备案,并签订保密协议;操作行为应做到有记录、可审查,原始数据对数据加工人员不可见。授权运营单位应使用经抽样、脱敏后的公共数据进行数据产品的模型训练与验证。
经公共数据主管部门审核批准后,授权运营单位可将依法依规获取的社会数据导入运营域,与授权运营的公共数据进行融合计算。
(五)授权运营单位应严格按照运营协议约定的授权范围依法依规使用公共数据,不得泄露、窃取、篡改、毁损、丢失、不当利用公共数据,不得以任何方式将授权运营的公共数据提供给第三方。经公共数据主管部门审核批准后导出运营域的数据产品,授权运营单位应严格按照运营协议相关要求使用,不得用于或变相用于未经审批的应用场景。
(六)授权运营单位在运营期限内,应向公共数据主管部门提交公共数据授权运营年度运营报告,报告应包括本单位与授权运营相关的数据产权和服务存储、加工处理、分析利用、安全管理及市场运营情况等。
五、授权运营域
(一)市公共数据主管部门应按照全省统一的建设标准和验收要求,统筹建设运营域,为授权运营单位统筹提供个人/企业授权、授权运营管理、数据出域审核、全流程安全监控等功能服务,确保公共数据授权运营全流程操作可审计,数据可溯源。各县(市、区)原则上不再单独建设运营域。
(二)授权运营单位应在运营域内对授权运营的公共数据进行加工处理。授权运营单位应承担运营域资源消耗的必要成本,有偿使用运营域的开发席位、开发环境、开发工具、云计算等相关资源和增值服务。
(三)市公共数据主管部门应加强技术投入和运维管理,制定相关管理规范和技术标准,确保运营域安全稳定运行。
(四)运营域应支持授权运营单位面向不同场景需求,采用联合计算、多方安全计算、数据元件、联邦计算、可信执行环境等多种技术路线,进行公共数据加工开发,实现“原始数据不出域、数据可用不可见”。
六、数据安全与监督管理
(一)按照“谁运营谁负责、谁使用谁负责”的原则,授权运营单位主要负责人是运营公共数据安全的第一责任人;授权运营单位应严格遵守数据安全、个人信息保护、反垄断、反不正当竞争、消费者权益保护等有关法律法规规定,严格执行数据产品和服务定价、合理收益有关规定。授权运营单位应严格落实数据安全的主体责任,做好自有上传数据的合规性、合法性自查,根据公共数据主管部门要求签订数据安全承诺书,严格履行数据安全保护义务与保密义务,切实做好数据安全和个人信息保护工作。
(二)公共数据主管部门应根据《浙江省公共数据授权运营管理办法(试行)》(浙政办发〔2023〕44号)相关要求,切实履行公共数据安全管理职责。公共数据主管部门应定期组织对授权运营单位的授权运营相关业务和信息系统、数据使用情况、安全保障能力等进行监督检查,授权运营单位应积极配合监督检查,并根据监管需要提供相关材料。公共数据主管部门应会同网信、公安、安全等部门,按照“一授权一预案”要求,结合公共数据授权运营的应用场景制定应急预案,并组织应急演练。未制定应急预案的,不得开展授权运营工作。
(三)授权运营单位应根据公共数据分类分级管理要求,建立健全公共数据安全管理制度,对本单位公共数据授权运营相关的岗位人员、系统平台、技术应用、对外合作等实施全面的安全管理。授权运营单位应充分利用各种技术手段,建立健全高效的安全技术防护和运行体系,加强对公共数据的全过程安全防护和监测预警,确保公共数据安全,切实保护个人信息。
(四)在数据授权运营过程中,授权运营单位如发现存在数据安全隐患或其它不安全因素,应第一时间向公共数据主管部门上报,并密切配合公共数据主管部门做好数据安全事件的处置及调查工作,积极采取措施消除安全隐患。授权运营单位一旦发现可能或已经发生数据泄露等数据安全事件的,应立即通知公共数据主管部门,调查事件发生原因,积极采取补救措施,并承担相应责任。
(五)公共数据主管部门应定期委托第三方机构,根据法律、法规和规章等有关规定,对授权运营单位开展数据安全检测评估。根据评估意见,发现授权运营单位存在较大安全风险的,可依法依规对授权运营单位进行约谈,并要求其采取相应的安全措施进行整改消除隐患。安全评估根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,评估结果作为再次申请授权依据,对不合格单位立即取消授权资格。
(六)公共数据主管部门应会同相关部门对授权运营单位开展运营绩效评估,实施动态管理,运营绩效评估可以委托第三方机构开展。授权运营单位应配合做好评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。运营绩效根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,评估结果作为再次申请授权依据,对不合格单位取消授权资格。
(七)社会公众有权对公共数据授权运营相关活动进行监督,认为存在违法违规行为的,可以向公共数据主管部门进行投诉或举报,公共数据主管部门应会同相关部门及时调查处理,并为举报人保密。
(八)授权运营单位违反运营协议,有下列情形之一的,应按照协议约定要求制定整改方案,在收到整改通知书之日起30日(自然日)内完成整改,报公共数据主管部门进行整改情况评估。
1.未履行公共数据安全管理义务的;
2.违规使用公共数据的;
3.授权运营活动存在较大安全风险的;
4.未严格执行运营需求审批确定的数据使用范围和类型,超授权范围加工使用数据;
5.违反运营协议及相关法律法规规定的其他情形。
整改期间,公共数据主管部门可以暂时关闭其运营域使用权限。授权运营单位在规定期限内未按照要求完成整改的,公共数据主管部门有权取消其相关公共数据的运营授权。
(九)授权运营单位及相关人员存在违反国家相关法律法规的,应承担相应法律责任,侵犯商业秘密、个人隐私等他人合法权益或造成财产损失的,由授权运营单位直接承担。
(十)知识产权主管部门会同发展改革、经信、司法行政等单位建立数据知识产权保护制度,推进数据知识产权保护和运用。
七、附则
本实施细则自2023年10月21日起施行,国家、省、市对公共数据授权运营管理有新规定的,从其规定。