各县@@(市@@、区@@)人民政府@@,市@@政府直属各单位@@:
《温州@@市@@公共数据@@授权运营@@管理实施细则@@(试行@@)》已经市@@政府同意@@,现印发给你们@@,请结合实际认真贯彻落实@@。
温州@@市@@人民政府@@办公室@@
2023年@@9月@@21日@@
(此件公开发布@@)
温州@@市@@公共数据@@授权运营@@管理实施细则@@(试行@@)
为规范全市@@公共数据@@授权运营@@管理@@,加快@@公共数据@@有序开发利用@@,助力中国@@(温州@@)数安港高质量发展@@,加速培育数据要素市@@场@@,根据@@《中华人民共和@@国网络安全@@法@@》《中华人民共和@@国数据安全@@法@@》《中华人民共和@@国个人信息保护@@法@@》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的@@意见@@》《浙江省@@公共数据@@条例@@》和@@《浙江省@@公共数据@@授权运营@@管理办法@@(试行@@)》(浙政办发@@〔2023〕44号@@)等有关法律@@@@、法规和@@规章规定@@,结合本市@@实际@@,制定本实施细则@@。
一@@、总则@@
(一@@)总体要求@@@@。
公共数据@@授权运营@@坚持@@中国共产党的@@领导@@,遵循依法合规@@、安全@@可控@@、统筹规划@@、稳慎有序的@@原则@@@@,按照@@“原始数据不出域@@、数据可用不可见@@”的@@要求@@@@,在保护个人信息@@、商业秘密@@、保密商务信息和@@确保公共安全@@的@@前提下@@,向社会提供数据产品和@@服务@@@@。授权运营单位@@应遵循依法合规@@@@、普惠公平@@、收益合理的@@原则@@@@,对数据产品和@@服务@@进行合理定价@@@@。鼓励授权运营单位@@面向公共治理@@、公益事业等领域@@,提供多样化的@@数据产品和@@服务@@@@。优先在与民生紧密相关@@、行业发展潜力显著和@@产业战略意义重大的@@领域@@,先行开展公共数据@@授权运营@@工作@@。禁止开放的@@公共数据@@不得授权运营@@。
(二@@)适用范围@@。
本实施细则适用于本市@@行政区@@域内与公共数据@@授权运营@@相关的@@授权@@、加工@@、经营@@、定价@@、安全@@监管等数据活动@@。
(三@@)用语含义@@。
公共数据@@,是指本市@@国家@@机关@@、法律@@法规规章授权的@@具有管理公共事务职能的@@组织以及供水@@、供电@@、供气@@、公共交通等公共服务运营单位@@(以下统称公共管理和@@服务机构@@),在依法履行职责或者提供公共服务过程中收集@@、产生的@@数据@@。
公共数据@@授权运营@@,是指县级以上政府按程序依法授权法人或者非法人组织@@,对授权的@@公共数据@@进行加工@@处理@@@@,开发形成数据产品和@@服务@@@@@@,并向社会提供的@@行为@@。
授权运营单位@@,是指经县级以上政府按程序依法授权@@,对授权的@@公共数据@@进行加工@@处理@@@@,开发形成数据产品和@@服务@@@@@@,并向社会提供的@@法人或者非法人组织@@。
授权运营域@@(以下简称运营域@@),是指由市@@公共数据@@主管部门依托一@@体化智能化公共数据@@平台@@@@(以下简称公共数据@@平台@@@@)组织建设和@@运维的@@@@,为授权运营单位@@提供加工@@处理@@授权运营公共数据@@服务的@@特定安全@@域@@,具备安全@@脱敏@@、访问控制@@、算法建模@@、监管溯源@@、接口生成@@、封存销毁@@、全程审计等功能@@。
授权运营协议@@(以下简称运营协议@@),是指县级以上政府与授权运营单位@@就公共数据@@授权运营@@达成的@@书面协议@@,明确双方权利义务@@、授权运营范围@@、运营期限@@、合理收益的@@测算方法@@、数据安全@@要求@@@@、期限届满后资产@@处置@@、退出机制和@@违约责任等@@@@。
数据产品和@@服务@@,是指利用公共数据@@参与加工@@形成的@@数据包@@、数据模型@@、数据接口@@、数据服务@@、数据报告@@、业务服务等@@。
(四@@)授权主体@@@@。
县级以上政府是公共数据@@授权主体@@@@@@,本级公共数据@@主管部门负责公共数据@@授权运营@@的@@具体实施工作和@@对授权运营单位@@的@@日@@常监督管理工作@@。县级以上政府设置公共数据@@授权运营@@合同专用章@@,由本级公共数据@@主管部门管理使用@@。
公共管理和@@服务机构未经批准@@,不得擅自将公共数据@@开放给社会机构或企业@@,不得以合作开发@@、委托开发等方式交由第三@@方承建相关信息系统而使其直接获取数据运营权@@。
(五@@)授权方式@@。
坚持@@“无场景不授权@@”,按照@@总量控制@@、因地制宜@@、公平竞争的@@原则@@@@,结合具体应用场景确定授权运营领域与授权运营单位@@@@。授权运营单位@@应按照@@应用场景申请授权运营公共数据@@@@,并提供申请授权运营的@@业务场景清单和@@数据需求清单@@。
授权运营单位@@申请的@@应用场景应满足下列要求@@@@:应用场景明确@@,具有重大经济价值或社会价值@@,并设置数据安全@@保障措施@@;申请使用公共数据@@应当符合最小必要的@@原则@@@@;应用场景具有较强的@@可实施性@@,在授权运营期限@@@@内有明确目标@@和@@计划@@,能够取得显著成效@@。短期无法取得成效@@,但对当地有长期社会经济效益@@,也可酌情纳入@@。
(六@@)授权范围@@。
公共数据@@主管部门应综合考虑与民生紧密相关@@、行业增值潜力显著@@、产业战略意义重大等因素@@,优先面向医疗健康@@、文化教育@@、普惠金融@@、交通物流@@、工业制造@@、城市@@治理等重点领域@@,按照@@运营协议向授权运营单位@@授权公共数据@@@@。授权运营单位@@应在运营域内对授权的@@公共数据@@进行加工@@处理@@@@@@,形成数据产品和@@服务@@@@,经合法合规审核后向用户提供@@,数据产品和@@服务@@仅能用于运营协议约定的@@应用场景@@。
禁止开放的@@公共数据@@不得授权运营@@,具体包括@@:开放后危及或者可能危及国家@@安全@@的@@@@,开放后可能损害公共利益的@@@@,可能侵犯个人信息@@、商业秘密@@、保密商务信息的@@@@,数据获取协议约定不得开放的@@@@,法律@@、法规和@@规章规定@@不得开放的@@数据@@。
(七@@)使用定价@@方式@@。
公共数据@@授权使用定价@@方式@@应当结合应用场景确定@@,并经本级公共数据@@授权运营@@工作协调@@小组会商@@,报本级政府审核后实施@@。推动用于公共治理@@、公益事业的@@公共数据@@有条件无偿使用@@。对于与民生紧密相关@@、行业发展潜力显著和@@产业推动战略意义重大的@@应用场景@@,可采用限期无偿的@@定价@@方式支持场景运营孵化@@。探索用于产业发展@@、行业发展的@@公共数据@@有条件有偿使用@@,逐步将公共数据@@授权运营@@纳入政府国有资源@@(资产@@)有偿使用范围@@,形成公共数据@@开发利用良性循环@@。
(八@@)收益机制@@。
通过授权运营加工@@形成的@@数据产品和@@服务@@@@,授权运营单位@@可以向用户收取成本费用或者获取合理收益@@,并承担相应风险@@。
二@@、职责分工@@
(一@@)建立健全市@@级公共数据@@授权运营@@工作协调@@小组@@(以下简称市@@协调@@小组@@),由市@@大数据发展管理局@@、市@@委网信@@办@@、市@@发展改革@@委@@、市@@经信@@局@@、市@@公安@@局@@、市@@安全@@局@@、市@@司法局@@、市@@财政@@局@@、市@@国资@@委@@、市@@市@@场监管局等单位作为小组成员@@,对市@@级公共数据@@授权运营@@进行统筹管理@@、安全@@监管和@@监督评价@@。市@@协调@@小组工作职责主要包括@@:建立健全公共数据@@授权运营@@相关制度规范和@@工作机制@@;确定公共数据@@授权运营@@领域@@;审议给予@@、终止或撤销授权运营等重大事项@@,并报市@@政府同意@@;监督指导@@公共数据@@授权运营@@年@@度评估工作@@;监督指导@@公共数据@@使用定价@@等相关工作@@;统筹协调@@解决公共数据@@授权运营@@工作中遇到的@@重大问题@@@@。
市@@协调@@小组办公室设在市@@公共数据@@主管部门@@,负责统筹确定协调@@小组会议议题@@@@、组织落实会议决议以及日@@常事务等@@。相关市@@直部门在各自职责范围内积极配合市@@协调@@小组的@@公共数据@@授权运营@@指导@@与监督工作@@。
(二@@)组建市@@级授权运营工作专家组@@(以下简称市@@专家组@@),在市@@协调@@小组的@@领导下@@,负责对公共数据@@授权运营@@单位资质等进行综合评审@@,研究论证公共数据@@授权运营@@中的@@专业技术问题@@等@@,为协调@@小组的@@组织@@、运行@@、决策提供咨询@@意见和@@决策支撑@@。
(三@@)市@@公共数据@@主管部门负责落实市@@协调@@小组确定的@@具体工作@@,制定公共数据@@授权运营@@管理细则@@,指导@@、协调@@其他有关部门按照@@各自职责做好授权运营相关工作@@,统筹建设运营域@@等@@。
(四@@)各县@@(市@@、区@@)参照市@@级建立公共数据@@授权运营@@管理组织架构和@@工作机制@@。县级公共数据@@主管部门负责加强本区@@域公共数据@@的@@治理@@,协调@@、指导@@、监督本级公共数据@@授权运营@@工作@@。
(五@@)公共管理和@@服务机构及行业主管部门负责做好本领域公共数据@@的@@治理@@、申请审核和@@安全@@监管等工作@@。根据@@相关法律@@@@、法规和@@规章的@@规定@@,提供可授权运营的@@公共数据@@资源@@,监督本领域公共数据@@运营工作@@。
(六@@)发展改革@@、经信@@、财政@@、国资@@、市@@场监管等部门按照@@各自职责@@,做好数据产品和@@服务@@流通交易的@@监督管理工作@@。
(七@@)网信@@、公安@@、安全@@、司法等部门按照@@各自职责@@,做好公共数据@@授权运营@@的@@安全@@监督管理工作@@。
三@@、授权程序@@
(一@@)发布公告@@。公共数据@@主管部门会同相关行业主管部门制定并发布重点领域开展授权运营的@@公告@@,明确授权运营申报条件等@@。
(二@@)提交申请@@。授权运营单位@@应满足@@《浙江省@@公共数据@@授权运营@@管理办法@@(试行@@)》(浙政办发@@〔2023〕44号@@)的@@基本安全@@要求@@@@、技术安全@@要求@@@@、应用场景安全@@要求@@和@@重点领域具体安全@@要求@@等@@。授权运营单位@@应在规定时间内向公共数据@@主管部门提交申请@@@@,包括提交授权运营申请表@@、最近一@@年@@的@@第三@@方审计报告和@@财务会计报告@@、数据安全@@承诺书@@、安全@@风险自评报告等相关材料@@。
(三@@)材料预审@@。公共数据@@主管部门对授权运营单位@@的@@材料进行初步审查@@,对资料不齐全或不符合要求@@的@@@@,应一@@次性告知需补充的@@资料及内容@@;申请单位应在规定时间内补交相关材料@@。
(四@@)专家审查@@。公共数据@@主管部门组织召开专家论证会@@,专家组对授权运营单位@@的@@安全@@条件@@、信用条件@@、业务技术实力等进行综合评审@@,对授权运营应用场景的@@安全@@性和@@合规性等进行集体研讨@@,出具论证评审意见@@。
(五@@)终审@@。公共数据@@主管部门组织相关部门对市@@专家组评审结果进行审议@@,出具建议名单报本级政府审核确定@@。
(六@@)社会公开@@。公共数据@@主管部门应及时向社会公开@@公共数据@@授权运营@@单位等相关信息@@,对异议及时答复和@@处理@@。
(七@@)授权备案@@。市@@县两级政府应及时将授权运营领域及单位等信息报上级政府备案@@。
(八@@)签订协议@@。由县级以上政府与授权运营单位@@签订运营协议@@,并在协议中明确授权运营范围@@@@、授权运营期限@@@@、授权方式@@、违约责任等@@;如涉及公共数据@@有偿使用@@,应明确有偿使用的@@收费标@@准@@、获取收益或补偿方式等@@。
(九@@)授权终止@@。授权运营期限@@@@由双方协商确定@@,一@@般不超过@@3年@@。授权运营单位@@需要继续开展授权运营@@,应在期限届满@@6个月@@@@前@@,按程序向公共数据@@主管部门重新申请授权运营@@。在授权运营期间@@,授权运营单位@@可以向公共数据@@主管部门提出公共数据@@授权运营@@提前注销申请@@。当运营协议终止或撤销时@@,公共数据@@主管部门应及时撤销授权运营单位@@的@@运营域使用权限@@,及时删除运营域内留存的@@相关数据@@,并按照@@规定留存相关网络日@@志不少于@@6个月@@@@。
四@@、授权运营行为规范@@
(一@@)签订授权运营协议@@后@@,授权运营单位@@应按要求@@派遣一@@定数量的@@管理@@、技术人员@@,参加省@@公共数据@@主管部门组织的@@授权运营岗前培训@@,通过考核后方可开通运营域相关权限@@。
(二@@)授权运营单位@@应依托运营域提出公共数据@@需求申请@@,数据提供单位根据@@数据需求清单进行需求审核@@,审核通过后将相应公共数据@@资源纳入运营域统一@@管理@@,并向授权运营单位@@开放相应权限@@。涉及个人信息@@、商业秘密@@、保密商务信息的@@@@公共数据@@@@,应经过脱敏@@、脱密处理@@,或经相关数据所指向的@@特定自然人@@、法人和@@非法人组织依法授权同意后获取@@。
授权运营单位@@在数据加工@@处理@@或提供服务过程中发现公共数据@@质量问题@@@@,可以向公共数据@@主管部门提出数据治理@@需求@@。需求合理的@@@@,公共数据@@主管部门应督促数据提供单位在规定期限内完成数据治理@@@@。授权运营单位@@可以根据@@基本数据加工@@需求@@,向公共数据@@主管部门提出定制化服务需求@@,授权运营单位@@应承担相应加工@@处理@@成本和@@服务费用@@。
(三@@)公共数据@@主管部门应探索建立数据供给激励机制@@,从数据提供数量@@、数据质量@@、数据应用等维度对公共数据@@提供单位的@@数据贡献情况进行评估@@,评估结果作为部门信息化项目预算安排@@、试点示范申请@@、优秀@@案例评选等重要参考@@。
(四@@)授权运营单位@@应在运营域内按照@@协议对授权运营的@@公共数据@@进行加工@@处理@@@@,形成可面向市@@场提供的@@数据产品@@。授权运营单位@@应确保原始数据包不得导出运营域@@@@;可以通过可逆模型或算法还原出原始数据包的@@@@,不得导出运营域@@。
授权运营单位@@所有参与数据加工@@处理@@的@@人员须经实名认证@@、审查与备案@@,并签订保密协议@@;操作行为应做到有记录@@、可审查@@,原始数据对数据加工@@人员不可见@@。授权运营单位@@应使用经抽样@@、脱敏后的@@公共数据@@进行数据产品的@@模型训练与验证@@。
经公共数据@@主管部门审核批准后@@,授权运营单位@@可将依法依规获取的@@社会数据导入运营域@@,与授权运营的@@公共数据@@进行融合计算@@。
(五@@)授权运营单位@@应严格按照@@运营协议约定的@@授权范围@@依法依规使用公共数据@@@@,不得泄露@@、窃取@@、篡改@@、毁损@@、丢失@@、不当利用公共数据@@@@,不得以任何方式将授权运营的@@公共数据@@提供给第三@@方@@。经公共数据@@主管部门审核批准后@@导出运营域的@@数据产品@@,授权运营单位@@应严格按照@@运营协议相关要求@@@@使用@@,不得用于或变相用于未经审批的@@应用场景@@。
(六@@)授权运营单位@@在运营期限@@内@@,应向公共数据@@主管部门提交公共数据@@授权运营@@年@@度运营报告@@,报告应包括本单位与授权运营相关的@@数据产权和@@服务存储@@、加工@@处理@@、分析利用@@、安全@@管理及市@@场运营情况等@@。
五@@、授权运营域@@
(一@@)市@@公共数据@@主管部门应按照@@全省@@统一@@的@@建设标@@准和@@验收要求@@@@,统筹建设运营域@@,为授权运营单位@@统筹提供个人@@/企业授权@@、授权运营管理@@、数据出域审核@@、全流程安全@@监控等功能服务@@,确保公共数据@@授权运营@@全流程操作可审计@@,数据可溯源@@。各县@@(市@@、区@@)原则上不再单独建设运营域@@。
(二@@)授权运营单位@@应在运营域内对授权运营的@@公共数据@@进行加工@@处理@@@@。授权运营单位@@应承担运营域资源消耗的@@必要成本@@,有偿使用运营域的@@开发席位@@、开发环境@@、开发工具@@、云计算等相关资源和@@增值服务@@。
(三@@)市@@公共数据@@主管部门应加强技术投入和@@运维管理@@,制定相关管理规范和@@技术标@@准@@,确保运营域安全@@稳定运行@@@@。
(四@@)运营域应支持授权运营单位@@面向不同场景需求@@,采用联合计算@@、多方安全@@计算@@、数据元件@@、联邦计算@@、可信执行环境等多种技术路线@@,进行公共数据@@加工@@开发@@,实现@@“原始数据不出域@@、数据可用不可见@@”。
六@@、数据安全@@与监督管理@@
(一@@)按照@@“谁运营谁负责@@、谁使用谁负责@@”的@@原则@@,授权运营单位@@主要负责人是运营公共数据@@安全@@的@@第一@@责任人@@;授权运营单位@@应严格遵守数据安全@@@@、个人信息保护@@、反垄断@@、反不正当竞争@@、消费者权益保护等有关法律@@@@法规规定@@,严格执行数据产品和@@服务@@定价@@@@、合理收益有关规定@@。授权运营单位@@应严格落实数据安全@@的@@主体@@责任@@,做好自有上传数据的@@合规性@@、合法性自查@@,根据@@公共数据@@主管部门要求@@签订数据安全@@承诺书@@@@,严格履行数据安全@@保护义务与保密义务@@,切实做好数据安全@@和@@个人信息保护@@工作@@。
(二@@)公共数据@@主管部门应根据@@@@《浙江省@@公共数据@@授权运营@@管理办法@@(试行@@)》(浙政办发@@〔2023〕44号@@)相关要求@@@@,切实履行公共数据@@安全@@管理职责@@。公共数据@@主管部门应定期组织对授权运营单位@@的@@授权运营相关业务和@@信息系统@@、数据使用情况@@、安全@@保障能力等进行监督检查@@,授权运营单位@@应积极配合监督检查@@,并根据@@监管需要提供相关材料@@。公共数据@@主管部门应会同网信@@@@、公安@@、安全@@等部门@@,按照@@“一@@授权一@@预案@@”要求@@,结合公共数据@@授权运营@@的@@应用场景制定应急预案@@,并组织应急演练@@。未制定应急预案的@@@@,不得开展授权运营工作@@。
(三@@)授权运营单位@@应根据@@公共数据@@分类分级管理要求@@@@,建立健全公共数据@@安全@@管理制度@@,对本单位公共数据@@授权运营@@相关的@@岗位人员@@、系统平台@@@@、技术应用@@、对外合作等实施全面的@@安全@@管理@@。授权运营单位@@应充分利用各种技术手段@@,建立健全高效的@@安全@@技术防护和@@运行@@体系@@,加强对公共数据@@的@@全过程安全@@防护和@@监测预警@@,确保公共数据@@安全@@@@,切实保护个人信息@@。
(四@@)在数据授权运营过程中@@,授权运营单位@@如发现存在数据安全@@隐患或其它不安全@@因素@@,应第一@@时间向公共数据@@主管部门上报@@,并密切配合公共数据@@主管部门做好数据安全@@事件的@@处置及调查工作@@,积极采取措施消除安全@@隐患@@。授权运营单位@@一@@旦发现可能或已经发生数据泄露等数据安全@@事件的@@@@,应立即通知@@公共数据@@主管部门@@,调查事件发生原因@@,积极采取补救措施@@,并承担相应责任@@。
(五@@)公共数据@@主管部门应定期委托第三@@方机构@@,根据@@法律@@@@、法规和@@规章等有关规定@@,对授权运营单位@@开展数据安全@@检测评估@@。根据@@评估意见@@,发现授权运营单位@@存在较大安全@@风险的@@@@,可依法依规对授权运营单位@@进行约谈@@,并要求@@其采取相应的@@安全@@措施进行整改消除隐患@@。安全@@评估根据@@评估结果将授权运营单位@@分为@@“优秀@@”“合格@@”“不合格@@@@”三@@类@@,评估结果作为再次申请授权依据@@,对不合格@@@@单位立即取消授权资格@@。
(六@@)公共数据@@主管部门应会同相关部门对授权运营单位@@开展运营绩效评估@@,实施动态管理@@,运营绩效评估可以委托第三@@方机构开展@@。授权运营单位@@应配合做好评估工作@@,如实提供有关资料@@,不得拒绝@@、隐匿@@、瞒报@@。运营绩效根据@@评估结果将授权运营单位@@分为@@“优秀@@”“合格@@”“不合格@@@@”三@@类@@,评估结果作为再次申请授权依据@@,对不合格@@@@单位取消授权资格@@。
(七@@)社会公众有权对公共数据@@授权运营@@相关活动进行监督@@,认为存在违法违规行为的@@@@,可以向公共数据@@主管部门进行投诉或举报@@,公共数据@@主管部门应会同相关部门及时调查处理@@,并为举报人保密@@。
(八@@)授权运营单位@@违反运营协议@@,有下列情形之一@@的@@@@,应按照@@协议约定要求@@制定整改方案@@,在收到整改通知@@书之日@@起@@30日@@(自然日@@@@)内完成整改@@,报公共数据@@主管部门进行整改情况评估@@。
1.未履行公共数据@@安全@@管理义务的@@@@;
2.违规使用公共数据@@的@@@@;
3.授权运营活动存在较大安全@@风险的@@@@;
4.未严格执行运营需求审批确定的@@数据使用范围和@@类型@@,超授权范围@@加工@@使用数据@@;
5.违反运营协议及相关法律@@法规规定的@@其他情形@@。
整改期间@@,公共数据@@主管部门可以暂时关闭其运营域使用权限@@。授权运营单位@@在规定期限内未按照@@要求@@完成整改的@@@@,公共数据@@主管部门有权取消其相关公共数据@@的@@运营授权@@。
(九@@)授权运营单位@@及相关人员存在违反国家@@相关法律@@法规的@@@@,应承担相应法律@@责任@@,侵犯商业秘密@@@@、个人隐私等他人合法权益或造成财产损失的@@@@,由授权运营单位@@直接承担@@。
(十@@)知识产权主管部门会同发展改革@@@@、经信@@、司法行政等单位建立数据知识产权保护制度@@,推进数据知识产权保护和@@运用@@。
七@@、附则@@
本实施细则自@@2023年@@10月@@21日@@起施行@@,国家@@、省@@、市@@对公共数据@@授权运营@@管理有新规定的@@@@,从其规定@@。
