各市、县(市、区)人民政府,省政府直属各单位:
《浙江省公共数据授权运营管理办法(试行)》已经省政府同意,现印发给你们,请结合实际认真贯彻落实。
浙江省人民政府办公厅
2023年8月1日
(此件公开发布)
浙江省公共数据授权运营管理办法(试行)
为规范公共数据授权运营管理,加快公共数据有序开发利用,培育数据要素市场,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《浙江省公共数据条例》等有关法律法规,制定本办法。
一、总则
(一)总体要求。公共数据授权运营坚持中国共产党的领导,遵循依法合规、安全可控、统筹规划、稳慎有序的原则,按照“原始数据不出域、数据可用不可见”的要求,在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下,向社会提供数据产品和服务。支持具备条件的市、县(市、区)优先在与民生紧密相关、行业发展潜力显著和产业战略意义重大的领域,先行开展公共数据授权运营试点工作。禁止开放的公共数据不得授权运营。
(二)适用范围。本办法适用于本省行政区域内公共数据授权运营试点工作。
(三)用语含义。
所称的公共数据授权运营,是指县级以上政府按程序依法授权法人或者非法人组织(以下统称授权运营单位),对授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的行为。
所称的授权运营协议,是指县级以上政府与授权运营单位就公共数据授权运营达成的书面协议,明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。
所称的授权运营域,是指由公共数据主管部门依托一体化智能化公共数据平台(以下简称公共数据平台)组织建设和运维的,为授权运营单位提供加工处理授权运营公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁等功能。
所称的数据产品和服务,是指利用公共数据加工形成的数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。
二、职责分工
(一)建立省级公共数据授权运营管理工作协调机制(以下简称协调机制),由公共数据、网信、发展改革、经信、公安、国家安全、司法行政、财政、市场监管等省级单位组成。主要职责:负责本省行政区域内授权运营工作的统筹管理、安全监管和监督评价,健全完善授权运营相关制度规范和工作机制;确定公共数据授权运营的试点地区和省级试点领域;审议给予、终止或撤销省级授权运营等重大事项;统筹协调解决授权运营工作中的重大问题。
试点市、县(市、区)政府建立本级协调机制,负责本行政区域内授权运营工作的统筹管理、安全监管和监督评价,审议给予、终止或撤销本级授权运营等重大事项,统筹协调解决本级授权运营工作中的重大问题。
(二)公共数据主管部门负责落实协调机制确定的工作。省和试点的市、县(市、区)政府设置公共数据授权运营合同专用章,由公共数据主管部门管理使用。
(三)公共管理和服务机构负责做好本领域公共数据的治理、申请审核及安全监管等授权运营相关工作。
发展改革、经信、财政、市场监管等单位按照各自职责,做好数据产品和服务流通交易的监督管理工作。
网信、密码管理、保密行政管理、公安、国家安全等单位按照各自职责,做好授权运营的安全监管工作。
(四)省、试点市设本级公共数据授权运营专家组,提供业务和技术咨询。试点县(市、区)可根据需要设专家组。
三、授权运营单位安全条件
(一)基本安全要求。经营状况良好,具备授权运营领域所需的专业资质、知识人才积累和生产服务能力,并符合相应的信用条件。
(二)技术安全要求。
1.落实数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度。
2.具有符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验。
3.具备成熟的数据管理能力和数据安全保障能力。
4.近3年未发生网络安全或数据安全事件。
(三)应用场景安全要求。
1.授权运营的应用场景具有重大经济价值和社会价值,并设置数据安全保障措施。
2.应用场景具有较强的可实施性,在授权运营期限内有明确的目标和计划,能够取得显著成效。
3.按照应用场景申请使用公共数据,坚持最小必要的原则。
(四)重点领域具体安全要求。由公共数据主管部门会同相关领域主管部门研究确定。
四、授权方式
(一)公共数据主管部门发布重点领域开展授权运营的通告,明确相应的条件。授权运营申请单位在规定时间内向公共数据主管部门提出需求,并提交授权运营申请表、最近1年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等材料。
协调机制有关单位可委托专家组论证授权运营中的业务和技术问题。
协调机制有关单位应核实授权运营申请单位是否符合安全条件、信用条件等要求,报本级政府确定后向社会公开。
(二)试点市、县(市、区)政府坚持总量控制、因地制宜、公平竞争的原则,结合具体应用场景确定授权运营领域与授权运营单位,并报省政府备案。
(三)省市两级公共数据主管部门依托本级公共数据平台建设授权运营域;县(市、区)依托市级授权运营域开展授权运营工作,确有必要的,可单独建设授权运营域。省公共数据主管部门负责制定全省授权运营域建设标准,并组织验收。
授权运营域应满足以下条件:遵循已有的公共数据平台标准规范体系,复用统一用户认证组件、用户授权服务等公共数据平台能力;实现网络隔离、租户隔离、开发与生产环境隔离,具备数据脱敏处理、数据产品和服务出域审核等功能,确保全流程操作可追踪,数据可溯源;满足政府监管需求,支持集成外部数据,具备分布式隐私计算能力;满足授权运营单位的基本数据加工需求。
(四)授权运营期限由双方协商确定,一般不超过3年。授权运营期限届满后,需要继续开展授权运营的,授权运营单位应按程序重新申请公共数据授权运营。
(五)授权运营协议终止或撤销的,公共数据主管部门应及时关闭授权运营单位的授权运营域使用权限,及时删除授权运营域内留存的相关数据,并按照规定留存相关网络日志不少于6个月。
五、授权运营单位权利与行为规范
(一)授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的,可向公共数据主管部门提出数据治理需求。需求合理的,公共数据主管部门应督促数据提供单位在规定期限内完成数据治理。
(二)授权运营单位依法合规开展公共数据运营,不得泄露、窃取、篡改、毁损、丢失、不当利用公共数据,不得将授权运营的公共数据提供给第三方。相关管理人员、技术人员应通过省公共数据主管部门组织的授权运营岗前培训。定期报告运营情况,接受公共数据主管部门对授权运营涉及的业务和信息系统、数据使用情况、安全保障能力等方面的监督检查。严格执行数据产品和服务定价、合理收益有关规定。完善公共数据安全制度,建立健全高效的技术防护和运行管理体系,确保公共数据安全,切实保护个人信息。
授权运营单位在开展公共数据运营过程中,因数据汇聚、关联分析等原因发现数据间隐含关系与规律,并危害国家安全、公共利益,或侵犯个人信息、商业秘密、保密商务信息的,应立即停止相应的数据处理活动,及时向公共数据主管部门报告数据风险情况。
(三)授权运营单位通过一体化数字资源系统提交公共数据需求清单,涉及省回流市、县(市、区)数据的,应经省公共数据主管部门同意。
涉及个人信息、商业秘密、保密商务信息的公共数据,应经过脱敏、脱密处理,或经相关数据所指向的特定自然人、法人、非法人组织依法授权同意后获取。相关数据不得以“一揽子授权”、强制同意等方式获取。
(四)授权运营单位应在授权运营域内对授权运营的公共数据进行加工处理,形成数据产品和服务。加工处理公共数据应符合以下要求:
1.授权运营单位所有参与数据加工处理的人员须经实名认证、备案与审查,签订保密协议,操作行为应做到有记录、可审查。保密协议应明确保密期限和违约责任。
2.原始数据对数据加工处理人员不可见。授权运营单位使用经抽样、脱敏后的公共数据进行数据产品和服务的模型训练与验证。
3.经公共数据主管部门审核批准后,授权运营单位可将依法合规获取的社会数据导入授权运营域,与授权运营的公共数据进行融合计算。
(五)授权运营单位加工形成的数据产品和服务应接受公共数据主管部门审核。原始数据包不得导出授权运营域。通过可逆模型或算法还原出原始数据包的数据产品和服务,不得导出授权运营域。
经公共数据主管部门审核批准后导出授权运营域的数据产品和服务,不得用于或变相用于未经审批的应用场景。
数据产品和服务应按照国家和省有关数据要素市场规则流通交易。
(六)授权运营单位应坚持依法合规、普惠公平、收益合理的原则,确定数据产品和服务的价格。
授权运营单位在运营期限内,应向公共数据主管部门提交公共数据授权运营年度运营报告。报告内容包括:本单位与授权运营相关的数据产品和服务存储、加工处理、分析利用、安全管理及市场运营情况等。
六、数据安全与监督管理
(一)公共数据授权运营坚持统筹发展和安全的原则,按照“公共数据分类分级”要求,加强公共数据全生命周期安全和合法利用管理,确保数据来源可溯、去向可查,行为留痕、责任可究。
(二)公共数据授权运营安全坚持谁运营谁负责、谁使用谁负责的原则。授权运营单位主要负责人是运营公共数据安全的第一责任人。
(三)公共数据主管部门应加强公共数据安全管理。
1.建立健全授权运营安全防护技术标准和规范,落实安全审查、风险评估、监测预警、应急处置等管理机制,开展公共数据安全培训。
2.实施数据产品和服务的安全合规管理,对授权运营域的操作人员进行认证、授权和访问控制,记录数据来源、产品加工和数据调用等全流程日志信息。
3.实施公共数据授权运营安全的监督检查。
4.监督授权运营单位落实公共数据开发利用与安全管理责任。
(四)公共数据主管部门会同网信、密码管理、保密行政管理、公安、国家安全等单位,按照“一授权一预案”要求,结合公共数据授权运营的应用场景制定应急预案,并组织应急演练。未制定应急预案的,不得开展授权运营工作。
发生数据安全事件时,公共数据主管部门应按照应急预案启动应急响应,采取相应的应急处置措施,防止危害扩大,消除安全隐患。
(五)市场监管部门协同发展改革、经信、财政等单位完善数据产品和服务的市场化运营管理制度。对违反反垄断、反不正当竞争、消费者权益保护等法律法规规定的,由有关单位按照职责依法处置,相关不良信息依法记入其信用档案。
(六)知识产权主管部门会同发展改革、经信、司法行政等单位建立数据知识产权保护制度,推进数据知识产权保护和运用。
(七)公共数据主管部门会同有关单位或委托第三方机构,对本级授权运营单位开展授权运营情况年度评估,对授权运营单位实行动态管理,评估结果作为再次申请授权运营的重要依据。
(八)授权运营单位违反授权运营协议的,公共数据主管部门应按照协议约定要求其改正,并暂时关闭其授权运营域使用权限。授权运营单位应在约定期限内改正,并反馈改正情况;未按照要求改正的,终止其相关公共数据的授权。
授权运营单位违反授权运营协议,属于违反网络安全、数据安全、个人信息保护有关法律法规规定的,由网信、公安等单位按照职责依法予以查处,相关不良信息依法记入其信用档案。
七、附则
本办法自2023年9月1日起施行。国家和省对公共数据授权运营管理有新规定的,从其规定。