浙江省公共數據授權運營(yíng)管理辦法(試行)
為規范公共數據授權運營(yíng)管理,加快公共數據有序開(kāi)發(fā)利用, 培育數據要素市場(chǎng),根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》和《浙江省公共數據條例》等有關(guān)法律法規,制定本辦法。
一、總則
(一)總體要求。公共數據授權運營(yíng)堅持中國共產(chǎn)黨的領(lǐng)導, 遵循依法合規、安全可控、統籌規劃、穩慎有序的原則,按照“原始 數據不出域、數據可用不可見(jiàn)”的要求,在保護個(gè)人信息、商業(yè)秘密、保密商務(wù)信息和確保公共安全的前提下,向社會(huì )提供數據產(chǎn)品和服務(wù)。支持具備條件的市、縣(市、區)優(yōu)先在與民生緊密相關(guān)、 行業(yè)發(fā)展潛力顯著(zhù)和產(chǎn)業(yè)戰略意義重大的領(lǐng)域,先行開(kāi)展公共數據授權運營(yíng)試點(diǎn)工作。禁止開(kāi)放的公共數據不得授權運營(yíng)。
(二)適用范圍。本辦法適用于本省行政區域內公共數據授權運營(yíng)試點(diǎn)工作。
(三)用語(yǔ)含義。所稱(chēng)的公共數據授權運營(yíng),是指縣級以上政府按程序依法授權法人或者非法人組織(以下統稱(chēng)授權運營(yíng)單位),對授權的公共數據進(jìn)行加工處理,開(kāi)發(fā)形成數據產(chǎn)品和服務(wù),并向社會(huì )提供的行為。
所稱(chēng)的授權運營(yíng)協(xié)議,是指縣級以上政府與授權運營(yíng)單位就公共數據授權運營(yíng)達成的書(shū)面協(xié)議,明確雙方權利義務(wù)、授權運營(yíng) 范圍、運營(yíng)期限、合理收益的測算方法、數據安全要求、期限屆滿(mǎn)后資產(chǎn)處置、退出機制和違約責任等。
所稱(chēng)的授權運營(yíng)域,是指由公共數據主管部門(mén)依托一體化智能化公共數據平臺(以下簡(jiǎn)稱(chēng)公共數據平臺)組織建設和運維的, 為授權運營(yíng)單位提供加工處理授權運營(yíng)公共數據服務(wù)的特定安全域,具備安全脫敏、訪(fǎng)問(wèn)控制、算法建模、監管溯源、接口生成、封存銷(xiāo)毀等功能。
所稱(chēng)的數據產(chǎn)品和服務(wù),是指利用公共數據加工形成的數據包、數據模型、數據接口、數據服務(wù)、數據報告、業(yè)務(wù)服務(wù)等。
二、職責分工
(一)建立省級公共數據授權運營(yíng)管理工作協(xié)調機制(以下簡(jiǎn)稱(chēng)協(xié)調機制),由公共數據、網(wǎng)信、發(fā)展改革、經(jīng)信、公安、國家安全、司法行政、財政、市場(chǎng)監管等省級單位組成。主要職責:負責本省行政區域內授權運營(yíng)工作的統籌管理、安全監管和監督評價(jià),健全完善授權運營(yíng)相關(guān)制度規范和工作機制;確定公共數據授權運營(yíng)的試點(diǎn)地區和省級試點(diǎn)領(lǐng)域;審議給予、終止或撤銷(xiāo)省級授權運營(yíng)等重大事項;統籌協(xié)調解決授權運營(yíng)工作中的重大問(wèn)題。
試點(diǎn)市、縣(市、區)政府建立本級協(xié)調機制,負責本行政區域內授權運營(yíng)工作的統籌管理、安全監管和監督評價(jià),審議給予、終止或撤銷(xiāo)本級授權運營(yíng)等重大事項,統籌協(xié)調解決本級授權運營(yíng)工作中的重大問(wèn)題。
(二)公共數據主管部門(mén)負責落實(shí)協(xié)調機制確定的工作。省和試點(diǎn)的市、縣(市、區)政府設置公共數據授權運營(yíng)合同專(zhuān)用章,由公共數據主管部門(mén)管理使用。
(三)公共管理和服務(wù)機構負責做好本領(lǐng)域公共數據的治理、申請審核及安全監管等授權運營(yíng)相關(guān)工作。
發(fā)展改革、經(jīng)信、財政、市場(chǎng)監管等單位按照各自職責,做好數據產(chǎn)品和服務(wù)流通交易的監督管理工作。
網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位按照各自職責,做好授權運營(yíng)的安全監管工作。
(四)省、試點(diǎn)市設本級公共數據授權運營(yíng)專(zhuān)家組,提供業(yè)務(wù)和技術(shù)咨詢(xún)。試點(diǎn)縣(市、區)可根據需要設專(zhuān)家組。
三、授權運營(yíng)單位安全條件
(一)基本安全要求。經(jīng)營(yíng)狀況良好,具備授權運營(yíng)領(lǐng)域所需的專(zhuān)業(yè)資質(zhì)、知識人才積累和生產(chǎn)服務(wù)能力,并符合相應的信用條件。
(二)技術(shù)安全要求。
1. 落實(shí)數據安全負責人和管理部門(mén),建立公共數據授權運營(yíng)內部管理和安全保障制度。
2. 具有符合網(wǎng)絡(luò )安全等級保護三級標準和商用密碼安全性評估要求的系統開(kāi)發(fā)和運維實(shí)踐經(jīng)驗。
3. 具備成熟的數據管理能力和數據安全保障能力。
4. 近3年未發(fā)生網(wǎng)絡(luò )安全或數據安全事件。
(三)應用場(chǎng)景安全要求。
1. 授權運營(yíng)的應用場(chǎng)景具有重大經(jīng)濟價(jià)值和社會(huì )價(jià)值,并設置數據安全保障措施。
2. 應用場(chǎng)景具有較強的可實(shí)施性,在授權運營(yíng)期限內有明確的目標和計劃,能夠取得顯著(zhù)成效。
3. 按照應用場(chǎng)景申請使用公共數據,堅持最小必要的原則。
(四)重點(diǎn)領(lǐng)域具體安全要求。由公共數據主管部門(mén)會(huì )同相關(guān)領(lǐng)域主管部門(mén)研究確定。
四、授權方式
(一)公共數據主管部門(mén)發(fā)布重點(diǎn)領(lǐng)域開(kāi)展授權運營(yíng)的通告, 明確相應的條件。授權運營(yíng)申請單位在規定時(shí)間內向公共數據主管部門(mén)提出需求,并提交授權運營(yíng)申請表、最近1年的第三方審計報告和財務(wù)會(huì )計報告、數據安全承諾書(shū)、安全風(fēng)險自評報告等材料。
協(xié)調機制有關(guān)單位可委托專(zhuān)家組論證授權運營(yíng)中的業(yè)務(wù)和技術(shù)問(wèn)題。
協(xié)調機制有關(guān)單位應核實(shí)授權運營(yíng)申請單位是否符合安全條件、信用條件等要求,報本級政府確定后向社會(huì )公開(kāi)。
(二)試點(diǎn)市、縣(市、區)政府堅持總量控制、因地制宜、公平競爭的原則,結合具體應用場(chǎng)景確定授權運營(yíng)領(lǐng)域與授權運營(yíng)單位,并報省政府備案。
(三)省市兩級公共數據主管部門(mén)依托本級公共數據平臺建設授權運營(yíng)域;縣(市、區)依托市級授權運營(yíng)域開(kāi)展授權運營(yíng)工作,確有必要的,可單獨建設授權運營(yíng)域。省公共數據主管部門(mén)負責制定全省授權運營(yíng)域建設標準,并組織驗收。
授權運營(yíng)域應滿(mǎn)足以下條件:遵循已有的公共數據平臺標準規范體系,復用統一用戶(hù)認證組件、用戶(hù)授權服務(wù)等公共數據平臺能力;實(shí)現網(wǎng)絡(luò )隔離、租戶(hù)隔離、開(kāi)發(fā)與生產(chǎn)環(huán)境隔離,具備數據脫敏處理、數據產(chǎn)品和服務(wù)出域審核等功能,確保全流程操作可追 蹤,數據可溯源;滿(mǎn)足政府監管需求,支持集成外部數據,具備分布式隱私計算能力;滿(mǎn)足授權運營(yíng)單位的基本數據加工需求。
(四)授權運營(yíng)期限由雙方協(xié)商確定,一般不超過(guò)3年。授權運營(yíng)期限屆滿(mǎn)后,需要繼續開(kāi)展授權運營(yíng)的,授權運營(yíng)單位應按程序重新申請公共數據授權運營(yíng)。
(五)授權運營(yíng)協(xié)議終止或撤銷(xiāo)的,公共數據主管部門(mén)應及時(shí)關(guān)閉授權運營(yíng)單位的授權運營(yíng)域使用權限,及時(shí)刪除授權運營(yíng)域內留存的相關(guān)數據,并按照規定留存相關(guān)網(wǎng)絡(luò )日志不少于6個(gè)月。
五、授權運營(yíng)單位權利與行為規范
(一)授權運營(yíng)單位在數據加工處理或提供服務(wù)過(guò)程中發(fā)現公共數據質(zhì)量問(wèn)題的,可向公共數據主管部門(mén)提出數據治理需求。需求合理的,公共數據主管部門(mén)應督促數據提供單位在規定期限內完成數據治理。
(二)授權運營(yíng)單位依法合規開(kāi)展公共數據運營(yíng),不得泄露、竊取、篡改、毀損、丟失、不當利用公共數據,不得將授權運營(yíng)的公共數據提供給第三方。相關(guān)管理人員、技術(shù)人員應通過(guò)省公共數據主管部門(mén)組織的授權運營(yíng)崗前培訓。定期報告運營(yíng)情況,接受公共數據主管部門(mén)對授權運營(yíng)涉及的業(yè)務(wù)和信息系統、數據使用 情況、安全保障能力等方面的監督檢查。嚴格執行數據產(chǎn)品和服務(wù)定價(jià)、合理收益有關(guān)規定。完善公共數據安全制度,建立健全高效的技術(shù)防護和運行管理體系,確保公共數據安全,切實(shí)保護個(gè)人信息。
授權運營(yíng)單位在開(kāi)展公共數據運營(yíng)過(guò)程中,因數據匯聚、關(guān)聯(lián)分析等原因發(fā)現數據間隱含關(guān)系與規律,并危害國家安全、公共利益,或侵犯個(gè)人信息、商業(yè)秘密、保密商務(wù)信息的,應立即停止相應的數據處理活動(dòng),及時(shí)向公共數據主管部門(mén)報告數據風(fēng)險情況。
(三)授權運營(yíng)單位通過(guò)一體化數字資源系統提交公共數據需求清單,涉及省回流市、縣(市、區)數據的,應經(jīng)省公共數據主管部門(mén)同意。
涉及個(gè)人信息、商業(yè)秘密、保密商務(wù)信息的公共數據,應經(jīng)過(guò)脫敏、脫密處理,或經(jīng)相關(guān)數據所指向的特定自然人、法人、非法人組織依法授權同意后獲取。相關(guān)數據不得以“一攬子授權”、強制同意等方式獲取。
(四)授權運營(yíng)單位應在授權運營(yíng)域內對授權運營(yíng)的公共數據進(jìn)行加工處理,形成數據產(chǎn)品和服務(wù)。加工處理公共數據應符合以下要求:
1. 授權運營(yíng)單位所有參與數據加工處理的人員須經(jīng)實(shí)名認證、備案與審查,簽訂保密協(xié)議,操作行為應做到有記錄、可審查。保密協(xié)議應明確保密期限和違約責任。
2. 原始數據對數據加工處理人員不可見(jiàn)。授權運營(yíng)單位使用經(jīng)抽樣、脫敏后的公共數據進(jìn)行數據產(chǎn)品和服務(wù)的模型訓練與驗證。
3. 經(jīng)公共數據主管部門(mén)審核批準后,授權運營(yíng)單位可將依法合規獲取的社會(huì )數據導入授權運營(yíng)域,與授權運營(yíng)的公共數據進(jìn)行融合計算。
(五)授權運營(yíng)單位加工形成的數據產(chǎn)品和服務(wù)應接受公共數據主管部門(mén)審核。原始數據包不得導出授權運營(yíng)域。通過(guò)可逆模型或算法還原出原始數據包的數據產(chǎn)品和服務(wù),不得導出授權運營(yíng)域。
經(jīng)公共數據主管部門(mén)審核批準后導出授權運營(yíng)域的數據產(chǎn)品和服務(wù),不得用于或變相用于未經(jīng)審批的應用場(chǎng)景。數據產(chǎn)品和服務(wù)應按照國家和省有關(guān)數據要素市場(chǎng)規則流通交易。
(六)授權運營(yíng)單位應堅持依法合規、普惠公平、收益合理的原則,確定數據產(chǎn)品和服務(wù)的價(jià)格。授權運營(yíng)單位在運營(yíng)期限內,應向公共數據主管部門(mén)提交公共數據授權運營(yíng)年度運營(yíng)報告。報告內容包括:本單位與授權運營(yíng)相關(guān)的數據產(chǎn)品和服務(wù)存儲、加工處理、分析利用、安全管理及市場(chǎng)運營(yíng)情況等。
六、數據安全與監督管理
(一)公共數據授權運營(yíng)堅持統籌發(fā)展和安全的原則,按照 “公共數據分類(lèi)分級”要求,加強公共數據全生命周期安全和合法 利用管理,確保數據來(lái)源可溯、去向可查,行為留痕、責任可究。
(二)公共數據授權運營(yíng)安全堅持誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責的原則。授權運營(yíng)單位主要負責人是運營(yíng)公共數據安全的第一責任人。
(三)公共數據主管部門(mén)應加強公共數據安全管理。
1. 建立健全授權運營(yíng)安全防護技術(shù)標準和規范,落實(shí)安全審查、風(fēng)險評估、監測預警、應急處置等管理機制,開(kāi)展公共數據安全培訓。
2. 實(shí)施數據產(chǎn)品和服務(wù)的安全合規管理,對授權運營(yíng)域的操作人員進(jìn)行認證、授權和訪(fǎng)問(wèn)控制,記錄數據來(lái)源、產(chǎn)品加工和數據調用等全流程日志信息。
3. 實(shí)施公共數據授權運營(yíng)安全的監督檢查。
4. 監督授權運營(yíng)單位落實(shí)公共數據開(kāi)發(fā)利用與安全管理責任。
(四)公共數據主管部門(mén)會(huì )同網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位,按照“一授權一預案”要求,結合公共數據授權運營(yíng)的應用場(chǎng)景制定應急預案,并組織應急演練。未制定應急預案的,不得開(kāi)展授權運營(yíng)工作。
發(fā)生數據安全事件時(shí),公共數據主管部門(mén)應按照應急預案啟動(dòng)應急響應,采取相應的應急處置措施,防止危害擴大,消除安全隱患。
(五)市場(chǎng)監管部門(mén)協(xié)同發(fā)展改革、經(jīng)信、財政等單位完善數據產(chǎn)品和服務(wù)的市場(chǎng)化運營(yíng)管理制度。對違反反壟斷、反不正當競爭、消費者權益保護等法律法規規定的,由有關(guān)單位按照職責依法處置,相關(guān)不良信息依法記入其信用檔案。
(六)知識產(chǎn)權主管部門(mén)會(huì )同發(fā)展改革、經(jīng)信、司法行政等單位建立數據知識產(chǎn)權保護制度,推進(jìn)數據知識產(chǎn)權保護和運用。
(七)公共數據主管部門(mén)會(huì )同有關(guān)單位或委托第三方機構,對本級授權運營(yíng)單位開(kāi)展授權運營(yíng)情況年度評估,對授權運營(yíng)單位實(shí)行動(dòng)態(tài)管理,評估結果作為再次申請授權運營(yíng)的重要依據。
(八)授權運營(yíng)單位違反授權運營(yíng)協(xié)議的,公共數據主管部門(mén)應按照協(xié)議約定要求其改正,并暫時(shí)關(guān)閉其授權運營(yíng)域使用權限。授權運營(yíng)單位應在約定期限內改正,并反饋改正情況;未按照要求改正的,終止其相關(guān)公共數據的授權。
授權運營(yíng)單位違反授權運營(yíng)協(xié)議,屬于違反網(wǎng)絡(luò )安全、數據安全、個(gè)人信息保護有關(guān)法律法規規定的,由網(wǎng)信、公安等單位按照職責依法予以查處,相關(guān)不良信息依法記入其信用檔案。
七、附則
本辦法自2023年9月1日起施行。國家和省對公共數據授權運營(yíng)管理有新規定的,從其規定。