各市@@@@、县@@(市@@、区@@)人民政府@@,省@@政府直属各单位@@:
《浙江省@@公共数据授权运营管理办法@@(试行@@)》已经省@@政府同意@@,现印发给你们@@,请结合实际认真贯彻落实@@。
浙江省@@人民政府@@办公厅@@
2023年@@8月@@1日@@
(此件公开发布@@)
浙江省@@公共数据授权运营管理办法@@(试行@@)
为规范公共数据授权运营管理@@,加快公共数据有@@序开发利用@@,培育数据要素市@@场@@,根据@@《中华人民共和@@国网络安全法@@》《中华人民共和@@国数据安全@@法@@》《中华人民共和@@国个人信息保护法@@》和@@《浙江省@@公共数据条例@@》等有关法律法规@@,制定本办法@@。
一@@、总则@@
(一@@)总体要求@@@@。公共数据授权运营坚持中国共产党的领导@@,遵循依法合规@@、安全可控@@、统筹规划@@、稳慎有序的原则@@,按照@@“原始数据不出域@@、数据可用不可见@@”的要求@@@@,在保护个人信息@@、商业秘密@@、保密商务信息和@@确保公共安全的前提下@@,向社会提供数据产品和@@服务@@。支持具备条件的市@@@@、县@@(市@@、区@@)优先在与民生紧密相关@@、行业发展潜力显著和@@产业战略意义重大的领域@@,先行开展公共数据授权运营试点工作@@。禁止开放的公共数据不得授权运营@@。
(二@@)适用范围@@。本办法适用于本省@@行政区@@域内公共数据授权运营试点工作@@。
(三@@)用语含义@@。
所称的公共数据授权运营@@,是指县@@级以上政府按程序依法授权法人@@或者非法人@@组织@@(以下统称授权运营单位@@),对授权的公共数据进行加工处理@@@@,开发形成数据产品和@@服务@@@@,并向社会提供的行为@@。
所称的授权运营协议@@,是指县@@级以上政府与授权运营单位就公共数据授权运营达成的书面协议@@,明确双方权利义务@@、授权运营范围@@、运营期限@@、合理收益的测算方法@@、数据安全@@要求@@@@、期限届满后资产处置@@、退出机制和@@违约责任等@@。
所称的授权运营域@@,是指由公共数据@@主管部门依托一@@体化智能化公共数据平台@@@@(以下简称公共数据平台@@@@)组织建设和@@运维的@@,为授权运营单位提供加工处理@@授权运营公共数据服务@@的特定安全域@@,具备安全脱敏@@、访问控制@@、算法建模@@、监管溯源@@、接口生成@@、封存销毁等功能@@。
所称的数据产品和@@服务@@,是指利用公共数据加工形成的数据包@@、数据模型@@、数据接口@@、数据服务@@、数据报告@@、业务服务等@@。
二@@、职责分工@@
(一@@)建立省@@级公共数据授权运营管理工作协调机制@@(以下简称协调机制@@),由公共数据@@、网信@@、发展改革@@、经信@@、公安@@、国家安全@@、司法行政@@、财政@@、市@@场监管等省@@级单位组成@@。主要职责@@:负责本省@@行政区@@域内授权运营工作的统筹管理@@、安全监管和@@监督评价@@,健全完善授权运营相关制度规范和@@工作机制@@;确定公共数据授权运营的试点地区@@和@@省@@级试点领域@@;审议给予@@、终止或撤销省@@级授权运营等重大事项@@;统筹协调解决授权运营工作中的重大问题@@@@。
试点市@@@@、县@@(市@@、区@@)政府建立本级协调机制@@,负责本行政区@@域内授权运营工作的统筹管理@@、安全监管和@@监督评价@@,审议给予@@、终止或撤销本级授权运营等重大事项@@,统筹协调解决本级授权运营工作中的重大问题@@@@。
(二@@)公共数据主管部门负责落实协调机制确定的工作@@。省@@和@@试点的市@@@@、县@@(市@@、区@@)政府设置公共数据授权运营合同专用章@@,由公共数据@@主管部门管理使用@@。
(三@@)公共管理和@@服务机构负责做好本领域公共数据的@@治理@@、申请审核及安全监管等授权运营相关工作@@。
发展改革@@、经信@@、财政@@、市@@场监管等单位按照@@各自职责@@,做好数据产品和@@服务流通交易的监督管理工作@@。
网信@@、密码管理@@、保密行政管理@@、公安@@、国家安全@@等单位@@按照@@各自职责@@,做好授权运营的安全监管工作@@。
(四@@)省@@、试点市@@@@设本级公共数据授权运营专家组@@,提供业务和@@技术咨询@@@@。试点县@@@@(市@@、区@@)可根据@@需要设专家组@@。
三@@、授权运营单位安全条件@@
(一@@)基本安全要求@@@@。经营状况良好@@,具备授权运营领域所需的专业资质@@、知识人才积累和@@生产服务能力@@,并符合相应的信用条件@@。
(二@@)技术安全要求@@@@。
1.落实数据安全@@负责人和@@管理部门@@,建立公共数据授权运营内部管理和@@安全保障制度@@。
2.具有符合网络安全等级保护三@@级标@@准和@@商用密码安全性评估要求@@的系统开发和@@运维实践经验@@。
3.具备成熟的数据管理能力和@@数据安全@@保障能力@@。
4.近@@3年@@未发生网络安全或数据安全@@事件@@。
(三@@)应用场景安全要求@@@@。
1.授权运营的应用场景具有重大经济价值和@@社会价值@@,并设置数据安全@@保障措施@@。
2.应用场景具有较强的可实施性@@,在授权运营期限@@内有明确的目标@@和@@计划@@,能够取得显著成效@@。
3.按照@@应用场景申请使用公共数据@@,坚持最小必要的原则@@。
(四@@)重点领域具体安全要求@@@@。由公共数据@@主管部门会同相关领域主管部门研究确定@@。
四@@、授权方式@@
(一@@)公共数据主管部门发布重点领域开展授权运营的通告@@,明确相应的条件@@。授权运营申请单位在规定时间内向公共数据主管部门提出需求@@,并提交授权运营申请表@@、最近@@@@1年@@的第三@@方审计报告和@@财务会计报告@@、数据安全@@承诺书@@、安全风险自评报告等材料@@。
协调机制有关单位可委托专家组论证授权运营中的业务和@@技术问题@@@@。
协调机制有关单位应核实授权运营申请单位是否符合安全条件@@、信用条件等要求@@@@,报本级政府确定后向社会公开@@。
(二@@)试点市@@@@、县@@(市@@、区@@)政府坚持总量控制@@、因地制宜@@、公平竞争的原则@@,结合具体应用场景确定授权运营领域与授权运营单位@@,并报省@@政府备案@@。
(三@@)省@@市@@两级公共数据主管部门依托本级公共数据平台@@建设授权运营域@@;县@@(市@@、区@@)依托市@@级授权运营域开展授权运营工作@@,确有必要的@@,可单独建设授权运营域@@。省@@公共数据主管部门负责制定全省@@授权运营域建设标@@准@@,并组织验收@@。
授权运营域应满足以下条件@@:遵循已有的公共数据平台@@标@@准规范体系@@,复用统一@@用户认证组件@@、用户授权服务等公共数据平台@@能力@@;实现网络隔离@@、租户隔离@@、开发与生产环境隔离@@,具备数据脱敏处理@@、数据产品和@@服务出域审核等功能@@,确保全流程操作可追踪@@,数据可溯源@@;满足政府监管需求@@,支持集成外部数据@@,具备分布式隐私计算能力@@;满足授权运营单位的基本数据加工需求@@。
(四@@)授权运营期限@@由双方协商确定@@,一@@般不超过@@3年@@。授权运营期限@@届满后@@,需要继续开展授权运营的@@,授权运营单位应按程序重新申请公共数据授权运营@@。
(五@@)授权运营协议终止或撤销的@@,公共数据主管部门应及时关闭授权运营单位的授权运营域使用权限@@,及时删除授权运营域内留存的相关数据@@,并按照@@规定留存相关网络日@@志不少于@@6个月@@@@。
五@@、授权运营单位权利与行为规范@@
(一@@)授权运营单位在数据加工处理@@或提供服务过程中发现公共数据质量问题@@的@@,可向公共数据主管部门提出数据治理@@需求@@。需求合理的@@,公共数据主管部门应督促数据提供单位在规定期限内完成数据治理@@@@。
(二@@)授权运营单位依法合规开展公共数据运营@@,不得泄露@@、窃取@@、篡改@@、毁损@@、丢失@@、不当利用公共数据@@,不得将授权运营的公共数据提供给第三@@方@@。相关管理人员@@、技术人员应通过省@@公共数据主管部门组织的授权运营岗前培训@@。定期报告运营情况@@,接受公共数据主管部门对授权运营涉及的业务和@@信息系统@@、数据使用情况@@、安全保障能力等方面的监督检查@@。严格执行数据产品和@@服务定价@@、合理收益有关规定@@。完善公共数据安全@@制度@@,建立健全高效的技术防护和@@运行管理体系@@,确保公共数据安全@@@@,切实保护个人信息@@。
授权运营单位在开展公共数据运营过程中@@,因数据汇聚@@、关联分析等原因发现数据间隐含关系与规律@@,并危害国家安全@@@@、公共利益@@,或侵犯个人信息@@、商业秘密@@、保密商务信息的@@,应立即停止相应的数据处理活动@@,及时向公共数据主管部门报告数据风险情况@@。
(三@@)授权运营单位通过一@@体化数字资源系统提交公共数据需求清单@@,涉及省@@回流市@@@@、县@@(市@@、区@@)数据的@@,应经省@@公共数据主管部门同意@@。
涉及个人信息@@、商业秘密@@、保密商务信息的@@公共数据@@,应经过脱敏@@、脱密处理@@,或经相关数据所指向的特定自然人@@、法人@@、非法人@@组织依法授权同意后获取@@。相关数据不得以@@“一@@揽子授权@@”、强制同意等方式获取@@。
(四@@)授权运营单位应在授权运营域内对授权运营的公共数据进行加工处理@@@@,形成数据产品和@@服务@@。加工处理@@公共数据应符合以下要求@@@@:
1.授权运营单位所有参与数据加工处理@@的人员须经实名认证@@、备案与审查@@,签订保密协议@@,操作行为应做到有记录@@、可审查@@。保密协议应明确保密期限和@@违约责任@@。
2.原始数据对数据加工处理@@人员不可见@@。授权运营单位使用经抽样@@、脱敏后的公共数据进行数据产品和@@服务的模型训练与验证@@。
3.经公共数据主管部门审核批准后@@,授权运营单位可将依法合规获取的社会数据导入授权运营域@@,与授权运营的公共数据进行融合计算@@。
(五@@)授权运营单位加工形成的数据产品和@@服务应接受公共数据主管部门审核@@。原始数据包不得导出授权运营域@@@@。通过可逆模型或算法还原出原始数据包的数据产品和@@服务@@,不得导出授权运营域@@。
经公共数据主管部门审核批准后@@导出授权运营域的数据产品和@@服务@@,不得用于或变相用于未经审批的应用场景@@。
数据产品和@@服务应按照@@国家和@@省@@有关数据要素市@@场规则流通交易@@。
(六@@)授权运营单位应坚持依法合规@@、普惠公平@@、收益合理的原则@@,确定数据产品和@@服务的价格@@。
授权运营单位在运营期限@@内@@,应向公共数据主管部门提交公共数据授权运营年@@度运营报告@@。报告内容包括@@:本单位与授权运营相关的数据产品和@@服务存储@@、加工处理@@、分析利用@@、安全管理及市@@场运营情况等@@。
六@@、数据安全@@与监督管理@@
(一@@)公共数据授权运营坚持统筹发展和@@安全的原则@@,按照@@“公共数据分类分级@@”要求@@,加强公共数据全生命周期安全和@@合法利用管理@@,确保数据来源可溯@@、去向可查@@,行为留痕@@、责任可究@@。
(二@@)公共数据授权运营安全坚持谁运营谁负责@@、谁使用谁负责的原则@@。授权运营单位主要负责人是运营公共数据安全@@的第一@@责任人@@。
(三@@)公共数据主管部门应加强公共数据安全@@管理@@。
1.建立健全授权运营安全防护技术标@@准和@@规范@@,落实安全审查@@、风险评估@@、监测预警@@、应急处置等管理机制@@,开展公共数据安全@@培训@@。
2.实施数据产品和@@服务的安全合规管理@@,对授权运营域的操作人员进行认证@@、授权和@@访问控制@@@@,记录数据来源@@、产品加工和@@数据调用等全流程日@@志信息@@。
3.实施公共数据授权运营安全的监督检查@@。
4.监督授权运营单位落实公共数据开发利用与安全管理责任@@。
(四@@)公共数据主管部门会同网信@@@@、密码管理@@、保密行政管理@@、公安@@、国家安全@@等单位@@,按照@@“一@@授权一@@预案@@”要求@@,结合公共数据授权运营的应用场景制定应急预案@@,并组织应急演练@@。未制定应急预案的@@,不得开展授权运营工作@@。
发生数据安全@@事件时@@,公共数据主管部门应按照@@应急预案启动应急响应@@,采取相应的应急处置措施@@,防止危害扩大@@,消除安全隐患@@。
(五@@)市@@场监管部门协同发展改革@@@@、经信@@、财政@@等单位完善数据产品和@@服务的市@@场化运营管理制度@@。对违反反垄断@@、反不正当竞争@@、消费者权益保护等法律法规规定的@@,由有关单位按照@@职责依法处置@@,相关不良信息依法记入其信用档案@@。
(六@@)知识产权主管部门会同发展改革@@@@、经信@@、司法行政@@等单位建立数据知识产权保护制度@@,推进数据知识产权保护和@@运用@@。
(七@@)公共数据主管部门会同有关单位或委托第三@@方机构@@,对本级授权运营单位开展授权运营情况年@@度评估@@,对授权运营单位实行动态管理@@,评估结果作为再次申请授权运营的重要依据@@。
(八@@)授权运营单位违反授权运营协议@@的@@,公共数据主管部门应按照@@协议约定要求@@其改正@@,并暂时关闭其授权运营域使用权限@@。授权运营单位应在约定期限内改正@@,并反馈改正情况@@;未按照@@要求@@改正的@@,终止其相关公共数据的@@授权@@。
授权运营单位违反授权运营协议@@,属于违反网络安全@@、数据安全@@、个人信息保护有关法律法规规定的@@,由网信@@@@、公安@@等单位按照@@职责依法予以查处@@,相关不良信息依法记入其信用档案@@。
七@@、附则@@
本办法自@@2023年@@9月@@1日@@起施行@@。国家和@@省@@对公共数据授权运营管理有新规定的@@,从其规定@@。
