《浙江省公共數據授權運營管理辦法( 試行) 》2023年9月1日起施行
浙江省公共數據授權運營管理辦法(試行)
爲規範公共數據授權運營管理,加快公共數據有序開(kāi)發利用, 培育數據要素市場,根據《中(zhōng)華人民共和國網絡安全法》《中(zhōng)華人民共和國數據安全法》《中(zhōng)華人民共和國個人信息保護法》和《浙江省公共數據條例》等有關法律法規,制定本辦法。
一(yī)、總則
(一(yī))總體(tǐ)要求。公共數據授權運營堅持中(zhōng)國共産黨的領導, 遵循依法合規、安全可控、統籌規劃、穩慎有序的原則,按照“原始 數據不出域、數據可用不可見”的要求,在保護個人信息、商(shāng)業秘密、保密商(shāng)務信息和确保公共安全的前提下(xià),向社會提供數據産品和服務。支持具備條件的市、縣(市、區)優先在與民生(shēng)緊密相關、 行業發展潛力顯著和産業戰略意義重大(dà)的領域,先行開(kāi)展公共數據授權運營試點工(gōng)作。禁止開(kāi)放(fàng)的公共數據不得授權運營。
(二)适用範圍。本辦法适用于本省行政區域内公共數據授權運營試點工(gōng)作。
(三)用語含義。所稱的公共數據授權運營,是指縣級以上政府按程序依法授權法人或者非法人組織(以下(xià)統稱授權運營單位),對授權的公共數據進行加工(gōng)處理,開(kāi)發形成數據産品和服務,并向社會提供的行爲。
所稱的授權運營協議,是指縣級以上政府與授權運營單位就公共數據授權運營達成的書(shū)面協議,明确雙方權利義務、授權運營 範圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿後資(zī)産處置、退出機制和違約責任等。
所稱的授權運營域,是指由公共數據主管部門依托一(yī)體(tǐ)化智能化公共數據平台(以下(xià)簡稱公共數據平台)組織建設和運維的, 爲授權運營單位提供加工(gōng)處理授權運營公共數據服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監管溯源、接口生(shēng)成、封存銷毀等功能。
所稱的數據産品和服務,是指利用公共數據加工(gōng)形成的數據包、數據模型、數據接口、數據服務、數據報告、業務服務等。
二、職責分(fēn)工(gōng)
(一(yī))建立省級公共數據授權運營管理工(gōng)作協調機制(以下(xià)簡稱協調機制),由公共數據、網信、發展改革、經信、公安、國家安全、司法行政、财政、市場監管等省級單位組成。主要職責:負責本省行政區域内授權運營工(gōng)作的統籌管理、安全監管和監督評價,健全完善授權運營相關制度規範和工(gōng)作機制;确定公共數據授權運營的試點地區和省級試點領域;審議給予、終止或撤銷省級授權運營等重大(dà)事項;統籌協調解決授權運營工(gōng)作中(zhōng)的重大(dà)問題。
試點市、縣(市、區)政府建立本級協調機制,負責本行政區域内授權運營工(gōng)作的統籌管理、安全監管和監督評價,審議給予、終止或撤銷本級授權運營等重大(dà)事項,統籌協調解決本級授權運營工(gōng)作中(zhōng)的重大(dà)問題。
(二)公共數據主管部門負責落實協調機制确定的工(gōng)作。省和試點的市、縣(市、區)政府設置公共數據授權運營合同專用章,由公共數據主管部門管理使用。
(三)公共管理和服務機構負責做好本領域公共數據的治理、申請審核及安全監管等授權運營相關工(gōng)作。
發展改革、經信、财政、市場監管等單位按照各自職責,做好數據産品和服務流通交易的監督管理工(gōng)作。
網信、密碼管理、保密行政管理、公安、國家安全等單位按照各自職責,做好授權運營的安全監管工(gōng)作。
(四)省、試點市設本級公共數據授權運營專家組,提供業務和技術咨詢。試點縣(市、區)可根據需要設專家組。
三、授權運營單位安全條件
(一(yī))基本安全要求。經營狀況良好,具備授權運營領域所需的專業資(zī)質、知(zhī)識人才積累和生(shēng)産服務能力,并符合相應的信用條件。
(二)技術安全要求。
1. 落實數據安全負責人和管理部門,建立公共數據授權運營内部管理和安全保障制度。
2. 具有符合網絡安全等級保護三級标準和商(shāng)用密碼安全性評估要求的系統開(kāi)發和運維實踐經驗。
3. 具備成熟的數據管理能力和數據安全保障能力。
4. 近3年未發生(shēng)網絡安全或數據安全事件。
(三)應用場景安全要求。
1. 授權運營的應用場景具有重大(dà)經濟價值和社會價值,并設置數據安全保障措施。
2. 應用場景具有較強的可實施性,在授權運營期限内有明确的目标和計劃,能夠取得顯著成效。
3. 按照應用場景申請使用公共數據,堅持最小(xiǎo)必要的原則。
(四)重點領域具體(tǐ)安全要求。由公共數據主管部門會同相關領域主管部門研究确定。
四、授權方式
(一(yī))公共數據主管部門發布重點領域開(kāi)展授權運營的通告, 明确相應的條件。授權運營申請單位在規定時間内向公共數據主管部門提出需求,并提交授權運營申請表、最近1年的第三方審計報告和财務會計報告、數據安全承諾書(shū)、安全風險自評報告等材料。
協調機制有關單位可委托專家組論證授權運營中(zhōng)的業務和技術問題。
協調機制有關單位應核實授權運營申請單位是否符合安全條件、信用條件等要求,報本級政府确定後向社會公開(kāi)。
(二)試點市、縣(市、區)政府堅持總量控制、因地制宜、公平競争的原則,結合具體(tǐ)應用場景确定授權運營領域與授權運營單位,并報省政府備案。
(三)省市兩級公共數據主管部門依托本級公共數據平台建設授權運營域;縣(市、區)依托市級授權運營域開(kāi)展授權運營工(gōng)作,确有必要的,可單獨建設授權運營域。省公共數據主管部門負責制定全省授權運營域建設标準,并組織驗收。
授權運營域應滿足以下(xià)條件:遵循已有的公共數據平台标準規範體(tǐ)系,複用統一(yī)用戶認證組件、用戶授權服務等公共數據平台能力;實現網絡隔離(lí)、租戶隔離(lí)、開(kāi)發與生(shēng)産環境隔離(lí),具備數據脫敏處理、數據産品和服務出域審核等功能,确保全流程操作可追 蹤,數據可溯源;滿足政府監管需求,支持集成外(wài)部數據,具備分(fēn)布式隐私計算能力;滿足授權運營單位的基本數據加工(gōng)需求。
(四)授權運營期限由雙方協商(shāng)确定,一(yī)般不超過3年。授權運營期限屆滿後,需要繼續開(kāi)展授權運營的,授權運營單位應按程序重新申請公共數據授權運營。
(五)授權運營協議終止或撤銷的,公共數據主管部門應及時關閉授權運營單位的授權運營域使用權限,及時删除授權運營域内留存的相關數據,并按照規定留存相關網絡日志(zhì)不少于6個月。
五、授權運營單位權利與行爲規範
(一(yī))授權運營單位在數據加工(gōng)處理或提供服務過程中(zhōng)發現公共數據質量問題的,可向公共數據主管部門提出數據治理需求。需求合理的,公共數據主管部門應督促數據提供單位在規定期限内完成數據治理。
(二)授權運營單位依法合規開(kāi)展公共數據運營,不得洩露、竊取、篡改、毀損、丢失、不當利用公共數據,不得将授權運營的公共數據提供給第三方。相關管理人員(yuán)、技術人員(yuán)應通過省公共數據主管部門組織的授權運營崗前培訓。定期報告運營情況,接受公共數據主管部門對授權運營涉及的業務和信息系統、數據使用 情況、安全保障能力等方面的監督檢查。嚴格執行數據産品和服務定價、合理收益有關規定。完善公共數據安全制度,建立健全高效的技術防護和運行管理體(tǐ)系,确保公共數據安全,切實保護個人信息。
授權運營單位在開(kāi)展公共數據運營過程中(zhōng),因數據彙聚、關聯分(fēn)析等原因發現數據間隐含關系與規律,并危害國家安全、公共利益,或侵犯個人信息、商(shāng)業秘密、保密商(shāng)務信息的,應立即停止相應的數據處理活動,及時向公共數據主管部門報告數據風險情況。
(三)授權運營單位通過一(yī)體(tǐ)化數字資(zī)源系統提交公共數據需求清單,涉及省回流市、縣(市、區)數據的,應經省公共數據主管部門同意。
涉及個人信息、商(shāng)業秘密、保密商(shāng)務信息的公共數據,應經過脫敏、脫密處理,或經相關數據所指向的特定自然人、法人、非法人組織依法授權同意後獲取。相關數據不得以“一(yī)攬子授權”、強制同意等方式獲取。
(四)授權運營單位應在授權運營域内對授權運營的公共數據進行加工(gōng)處理,形成數據産品和服務。加工(gōng)處理公共數據應符合以下(xià)要求:
1. 授權運營單位所有參與數據加工(gōng)處理的人員(yuán)須經實名認證、備案與審查,簽訂保密協議,操作行爲應做到有記錄、可審查。保密協議應明确保密期限和違約責任。
2. 原始數據對數據加工(gōng)處理人員(yuán)不可見。授權運營單位使用經抽樣、脫敏後的公共數據進行數據産品和服務的模型訓練與驗證。
3. 經公共數據主管部門審核批準後,授權運營單位可将依法合規獲取的社會數據導入授權運營域,與授權運營的公共數據進行融合計算。
(五)授權運營單位加工(gōng)形成的數據産品和服務應接受公共數據主管部門審核。原始數據包不得導出授權運營域。通過可逆模型或算法還原出原始數據包的數據産品和服務,不得導出授權運營域。
經公共數據主管部門審核批準後導出授權運營域的數據産品和服務,不得用于或變相用于未經審批的應用場景。數據産品和服務應按照國家和省有關數據要素市場規則流通交易。
(六)授權運營單位應堅持依法合規、普惠公平、收益合理的原則,确定數據産品和服務的價格。授權運營單位在運營期限内,應向公共數據主管部門提交公共數據授權運營年度運營報告。報告内容包括:本單位與授權運營相關的數據産品和服務存儲、加工(gōng)處理、分(fēn)析利用、安全管理及市場運營情況等。
六、數據安全與監督管理
(一(yī))公共數據授權運營堅持統籌發展和安全的原則,按照 “公共數據分(fēn)類分(fēn)級”要求,加強公共數據全生(shēng)命周期安全和合法 利用管理,确保數據來源可溯、去(qù)向可查,行爲留痕、責任可究。
(二)公共數據授權運營安全堅持誰運營誰負責、誰使用誰負責的原則。授權運營單位主要負責人是運營公共數據安全的第一(yī)責任人。
(三)公共數據主管部門應加強公共數據安全管理。
1. 建立健全授權運營安全防護技術标準和規範,落實安全審查、風險評估、監測預警、應急處置等管理機制,開(kāi)展公共數據安全培訓。
2. 實施數據産品和服務的安全合規管理,對授權運營域的操作人員(yuán)進行認證、授權和訪問控制,記錄數據來源、産品加工(gōng)和數據調用等全流程日志(zhì)信息。
3. 實施公共數據授權運營安全的監督檢查。
4. 監督授權運營單位落實公共數據開(kāi)發利用與安全管理責任。
(四)公共數據主管部門會同網信、密碼管理、保密行政管理、公安、國家安全等單位,按照“一(yī)授權一(yī)預案”要求,結合公共數據授權運營的應用場景制定應急預案,并組織應急演練。未制定應急預案的,不得開(kāi)展授權運營工(gōng)作。
發生(shēng)數據安全事件時,公共數據主管部門應按照應急預案啓動應急響應,采取相應的應急處置措施,防止危害擴大(dà),消除安全隐患。
(五)市場監管部門協同發展改革、經信、财政等單位完善數據産品和服務的市場化運營管理制度。對違反反壟斷、反不正當競争、消費(fèi)者權益保護等法律法規規定的,由有關單位按照職責依法處置,相關不良信息依法記入其信用檔案。
(六)知(zhī)識産權主管部門會同發展改革、經信、司法行政等單位建立數據知(zhī)識産權保護制度,推進數據知(zhī)識産權保護和運用。
(七)公共數據主管部門會同有關單位或委托第三方機構,對本級授權運營單位開(kāi)展授權運營情況年度評估,對授權運營單位實行動态管理,評估結果作爲再次申請授權運營的重要依據。
(八)授權運營單位違反授權運營協議的,公共數據主管部門應按照協議約定要求其改正,并暫時關閉其授權運營域使用權限。授權運營單位應在約定期限内改正,并反饋改正情況;未按照要求改正的,終止其相關公共數據的授權。
授權運營單位違反授權運營協議,屬于違反網絡安全、數據安全、個人信息保護有關法律法規規定的,由網信、公安等單位按照職責依法予以查處,相關不良信息依法記入其信用檔案。
七、附則
本辦法自2023年9月1日起施行。國家和省對公共數據授權運營管理有新規定的,從其規定。
來源:浙江暨浙江大(dà)學立法研究院公衆号