查看原文
其他

《温州市公共数据授权运营管理实施细则(试行)》(征求意见稿)

原文内容来自浙江省人民政府官网

第一章 总则

第一条 【目的依据】

为规范全市公共数据授权运营行为,加快公共数据有序开发利用,培育数据要素市场,根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》《浙江省公共数据授权运营管理暂行办法》等有关法律、法规、规章的规定,结合本市实际情况,制定本实施细则。

第二条 【适用范围】

本市行政区域内与公共数据授权运营相关的授权、加工、经营、定价、安全监管等数据活动,适用本实施细则。

第三条 【基本原则】

公共数据授权运营应当遵循依法合规、统筹规划、稳慎有序、安全可控的原则,应当在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,向社会提供模型、核验等形式的产品和服务。

通过授权运营加工形成的公共数据产品或服务,授权运营单位可以向用户收取成本费用或者获取合理收益,并承担相应风险。授权运营单位应当遵循依法合规、普惠公平、收益合理的原则,对公共数据产品或服务进行合理定价。鼓励授权运营单位面向公共治理、公益事业等领域,提供多样化的公共数据产品或服务。

第四条 【术语定义】

本实施细则下列用语的含义:

公共数据,是指本市国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。

公共数据授权运营,是指市人民政府按程序依法授权法人或者非法人组织,依托公共数据授权运营域,对授权的公共数据进行加工处理,开发形成数据产品或服务,并向社会提供的行为。

授权运营单位,是指经市人民政府按程序依法授权,对授权的公共数据进行加工处理,开发形成数据产品或服务,并向社会提供的法人或者非法人组织。

授权运营域(以下简称运营域),是指依托一体化智能化公共数据平台(以下简称公共数据平台)建设,为授权运营单位提供加工处理公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁、全程审计等功能。

授权运营协议(以下简称运营协议),是指市人民政府与授权运营单位就公共数据授权运营达成的书面协议,主要内容包括:授权运营单位的权利和义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制等。

公共数据产品或服务(以下简称公共数据产品),是指利用公共数据参与加工形成的产品或服务,主要形态有数据包、数据接口、数据模型、数据服务、数据报告、业务服务等。

第五条 【主管机构】

建立健全市级公共数据授权运营工作协调小组(以下简称协调小组),由市委网信办、市发展改革委、市经信局、市公安局、市安全局、市财政局、市市场监管局、市大数据发展管理局等部门作为小组成员,实现对市、县两级公共数据授权运营的统筹管理。

协调小组工作职责主要包括:

(一)建立健全公共数据授权运营相关制度规范和工作机制;

(二)审议给予授权、终止或撤销授权等重大事项,并报市人民政府同意;

(三)监督指导公共数据授权运营年度评估工作;

(四)监督指导公共数据使用定价等相关工作;

(五)统筹协调解决公共数据授权运营工作中遇到的重大问题;

(六)组建授权运营工作专家组(以下简称专家组),负责对公共数据授权运营单位资质等进行综合评审,研究论证公共数据授权运营中的专业技术问题等,为协调小组的组织、运行和决策提供咨询意见和决策支撑。

协调小组办公室设在市公共数据主管部门,负责统筹确定协调小组会议议题、组织落实会议决议以及日常事务等。

第六条 【职责分工】

相关市直部门在各自职责范围内积极配合协调小组的公共数据授权运营指导与监督工作。

市公共数据主管部门负责全市公共数据授权运营的统筹管理和监督评价,指导、协调、督促其他有关部门按照各自职责做好公共数据授权运营相关工作。负责统筹制定公共数据定价管理制度,协同相关部门研究确定公共数据使用定价方式、有偿使用收费方式等。

各县(市、区)公共数据主管部门负责加强本区域公共数据的治理,使用全市统一的运营域,参照市级的公共数据授权运营办法进行授权,协调、指导、监督本级公共数据运营工作。

公共管理和服务机构及主管部门负责做好本领域公共数据的治理、申请审核和安全监管等授权运营相关工作。根据相关法律、法规和规范性文件,提供可授权运营的公共数据资源,监督本领域公共数据运营工作。

市发展改革委、市经信局、市财政局、市市场监管局等部门按照各自职责,做好公共数据授权运营的市场化监督管理工作。

市委网信办、市公安局、市安全局等部门按照各自职责,做好公共数据授权运营的安全监督管理工作。

第七条 【授权主体】

市人民政府是公共数据授权主体,委托市公共数据主管部门负责全市公共数据授权运营的具体实施工作和对授权运营单位实施日常监督管理。公共管理和服务机构未经批准不得与任何第三方签订公共数据运营协议,不得以合作开发、委托开发等方式交由第三方承建相关信息系统而使其直接获取数据运营权。

第八条 【授权方式】

坚持“无场景不授权”,授权运营单位应当按照应用场景申请授权运营公共数据,并提供申请授权运营的业务场景清单和数据需求清单。授权运营单位应当满足下列申请要求:应用场景明确,且具有重大经济价值或社会价值;申请使用公共数据应当符合最小必要的原则;应用场景具有较强的可实施性,在授权运营期限内有明确目标和计划,能够取得显著成效。短期无法取得成效,但对当地社会经济效益有长期效益,也可酌情纳入。

第九条 【授权范围】

市公共数据主管部门应综合考虑与民生紧密相关、行业增值潜力显著、产业战略意义重大等因素,优先面向医疗健康、普惠金融、交通物流、工业制造、市域治理等重点领域,按照运营协议约定的数据清单,向授权运营单位授权公共数据。授权运营单位应在运营域内对授权的公共数据进行加工处理,形成公共数据产品,经合法合规审核后向用户提供,公共数据产品仅能用于运营协议约定的应用场景。

禁止开放的公共数据不得授权运营,具体包括:开放后危及或者可能危及国家安全的,开放后可能损害公共利益的,涉及个人信息、保密商务信息的,数据获取协议约定不得开放的,法律、法规规定不得开放的数据。

第十条 【使用定价方式】

推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。公共数据授权使用定价结合应用场景确定,由协调小组制定定价方案,报市人民政府审核后实施。

第十一条 【收益机制】

探索建立政府、企业间公共数据授权运营收益的合理分配机制。结合公共数据使用定价方案,探索将公共数据授权运营纳入政府国有资源(资产)有偿使用范围,反哺财政预算收入。

第二章 授权程序

第十二条 【发布公告】

市公共数据主管部门协同相关行业主管部门制定并发布重点领域开展公共数据授权运营的公告,明确授权运营申报条件等。

第十三条 【提交申请】

授权运营单位应当满足《浙江省公共数据授权运营管理暂行办法》的基本要求、技术与安全要求等。

授权运营单位应当在规定时间内向市公共数据主管部门提交申请,包括提交授权运营申请表、最近一年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等相关材料。

第十四条 【材料预审】

市公共数据主管部门对授权运营单位的材料进行初步审查,申请单位提交材料不齐全或者不符合形式要求的,应在规定时间内补交相关材料。

第十五条 【专家审查】

市公共数据主管部门组织召开专家论证会,授权运营单位详细介绍技术实力、资源优势等,专家组对授权运营单位的资质实力进行综合评审,对授权运营应用场景的安全性和合规性等进行集体研讨,出具论证评审意见。

第十六条 【终审与上报】

协调小组根据专家组评审结果,召开会议决议授权运营单位是否通过审核,会后将拟授权运营单位名单上报市人民政府,经过市政府的审批决策流程,最终确定授权运营单位名单并在市政府备案。

第十七条 【社会公开】

市公共数据主管部门应及时向社会公开公共数据授权运营单位等相关信息,对异议及时答复和处理。

第十八条 【授权备案】

市人民政府及时将授权运营领域及单位等,报省级人民政府备案。

第十九条 【签订协议】

由市人民政府委托市公共数据主管部门与授权运营单位签订运营协议,并在协议中明确授权运营范围、授权运营期限、授权方式等,如涉及公共数据有偿使用,还应明确有偿使用的收费标准、获取收益或补偿方式、违约责任等。

第二十条 【授权终止】

授权运营单位应在期限届满6个月前,向市公共数据主管部门重新申请公共数据授权运营。在授权运营期间,授权运营单位可以向市公共数据主管部门提出公共数据授权运营提前注销申请。运营协议终止或撤销的,市公共数据主管部门应当及时撤销授权运营单位的运营域使用权限,及时删除运营域内留存的相关数据,并按照规定留存相关网络日志不少于6个月。

第三章 授权运营行为规范

第二十一条 【岗前培训】

授权运营单位签订运营协议后,授权运营单位应按要求派遣一定数量的管理、技术人员,参加省公共数据主管部门组织的授权运营岗前培训,相关人员通过考核后方可开通运营域相关权限。

第二十二条 【数据获取】

授权运营单位应当依托运营域提出公共数据需求申请,数据提供单位根据场景审核通过的数据需求清单,将相应公共数据资源纳入运营域统一管理,并向授权运营单位开放相应权限。

授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的,可以向市公共数据主管部门提出数据治理需求。数据治理需求合理的,市公共数据主管部门应当督促数据提供单位在规定期限内完成数据治理。

授权运营单位可以根据数据加工处理的基础性需要,向市公共数据主管部门提出定制化服务需求,授权运营单位应承担相应加工处理成本和服务费用。

第二十三条 【数据供给激励】

市公共数据主管部门应从数据提供数量、数据质量、数据应用等维度对公共数据提供单位的数据贡献情况进行评估,评估情况作为部门信息化项目审核与验收、试点示范申请、优秀案例评选等的重要参考。

第二十四条 【数据加工】

授权运营单位应在运营域内按照协议对所申请的公共数据资源进行加工处理,形成可面向市场提供的数据产品。授权运营单位应确保原始数据不导出运营域;可以通过可逆模型或算法还原出原始数据的,不得导出运营域。

授权运营单位所有参与数据加工处理的人员须经实名认证、备案与审查,签订保密协议,操作行为应做到有记录、可审查,原始数据对数据加工人员不可见。授权运营单位应使用经抽样、脱敏后的公共数据,进行数据产品的模型训练与验证。

经市公共数据主管部门审核批准后,授权运营单位可将依法依规获取的社会数据导入运营域,与授权运营的公共数据进行融合计算。

第二十五条 【数据应用】

授权运营单位应严格按照运营协议约定的授权范围使用公共数据,不得以任何方式将相关数据提供给非授权第三方。涉及个人信息和商业秘密的数据,必须经自然人、法人和非法人组织授权同意后使用。

经市公共数据主管部门审核批准后导出运营域的数据产品,授权运营单位应当严格按照运营协议相关要求使用,不得用于或变相用于未经审批的应用场景。

第二十六条 【运营报告】

授权运营单位在运营期限内,应当向市公共数据主管部门提交公共数据授权运营年度运营报告,报告应当包括本单位数据资源的授权存储、加工处理、分析挖掘、融合利用情况,公共数据产品销售情况、成本及净利润情况等内容。

第四章 授权运营域

第二十七条 【平台建设】

市公共数据主管部门应按照全省运营域建设标准和验收要求,统筹建设市级运营域,为授权运营单位统筹提供个人/企业授权、授权运营管理、数据出域审核、全流程安全监控等功能服务,确保公共数据授权运营全流程操作可审计,数据可溯源。各县(市、区)原则上不再单独建设运营域,应充分依托市级运营域开展授权运营相关工作。

第二十八条 【平台使用】

授权运营单位应当在运营域内对授权运营的公共数据进行加工处理。授权运营单位应当承担运营域资源消耗的必要成本,有偿使用运营域的开发席位、开发环境、开发工具、云计算等相关资源和增值服务。

第二十九条 【平台运维】

市公共数据主管部门应当加强技术投入和运维管理,制定相关管理规范和技术标准,确保公共数据运营域安全稳定运行。

第三十条 【兼容多种技术】

市级运营域应支持授权运营单位面向不同场景需求,采用多方安全计算、数据元件、联邦计算、可信执行环境等多种技术路线,进行公共数据加工开发,实现“原始数据不出域、数据可用不可见”。

第五章 数据安全与监督管理

第三十一条 【主体责任】

授权运营单位应当严格遵守数据安全、个人信息保护、反垄断、反不正当竞争、消费者权益保护等有关法律法规规定,严格执行公共数据使用定价及合理收益有关要求。

按照“谁运营谁负责、谁使用谁负责”的原则,授权运营单位应严格落实数据安全的主体责任,做好自有上传数据的合规性、合法性自查,根据市公共数据主管部门要求签订数据安全承诺书,严格履行数据安全保护义务与保密义务,切实做好数据安全和个人信息保护工作。

第三十二条 【安全监管】

市公共数据主管部门应根据《浙江省公共数据授权运营管理暂行办法》相关要求,切实履行公共数据安全管理职责。市公共数据主管部门应牵头组织对授权运营单位的授权运营相关业务和信息系统、数据使用情况、安全保障能力等进行监督检查。授权运营单位应积极配合,并根据监管工作需要提供相关材料。

第三十三条 【运营单位安全管理】

授权运营单位应根据公共数据分类分级管理要求,建立健全公共数据安全管理制度,对本单位公共数据授权运营相关的岗位人员、系统平台、技术应用、对外合作等实施全面的安全管理。

授权运营单位应充分利用各种技术手段,建立健全高效的安全技术防护和运行体系,加强对公共数据的全过程全周期安全防护和监测预警,确保公共数据安全,切实保护个人信息。

第三十四条 【问题上报】

在数据授权运营过程中,授权运营单位如发现存在数据安全隐患或其它不安全因素,应第一时间向市公共数据主管部门上报,并密切配合市公共数据主管部门做好数据安全事件的处置及调查工作,积极采取措施消除安全隐患。

授权运营单位一旦发现可能或已经发生数据泄露等数据安全事件的,应立即通知市公共数据主管部门,调查事件发生原因,积极采取补救措施,并承担相应责任。

第三十五条 【安全评估】

市公共数据主管部门应定期委托第三方机构,根据法律、法规等有关规定,对授权运营单位开展数据安全检测评估。根据评估意见,发现授权运营单位存在较大安全风险的,可依法依规对授权运营单位进行约谈,并要求其采取相应的安全措施进行整改,消除隐患。安全评估根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,不合格单位纳入30日限期整改范围,连续三次不合格取消授权资格。

第三十六条 【运营评估】

市公共数据主管部门应会同相关部门对授权运营单位开展年度评估,实施动态管理,年度评估可以委托第三方机构开展,评估结果作为再次申请授权依据。授权运营单位应当配合有关部门做好安全保障、绩效评价等评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。运营评估根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,不合格单位纳入30日限期整改范围,连续三次不合格取消授权资格。

第三十七条 【限期整改】

授权运营单位违反运营协议,有下列情形之一的,应当按照协议约定要求制定整改方案,在30日内完成整改,报市公共数据主管部门进行整改情况评估。整改期间,市公共数据主管部门暂时关闭其运营域使用权限。

(一)未履行公共数据安全管理义务的;

(二)违规使用公共数据并造成损失的;

(三)授权运营活动存在较大安全风险的;

(四)未严格执行运营需求审批确定的数据使用范围和类型,超授权范围加工使用数据;

(五)违反运营协议及相关法律法规规定的其他情形。

授权运营单位在规定期限内未按照要求完成整改,情节严重或存在数据安全风险的,市公共数据主管部门有权及时停止运营授权,运营协议自动失效。

第三十八条 【法律责任】

授权运营单位及相关人员存在违反国家相关法律法规的,应直接承担相应法律责任,侵犯商业秘密、个人隐私等他人合法权益或造成财产损失的,应由授权运营单位直接承担。

第六章 附则

第三十九条 【办法解释】本实施细则由温州市人民政府负责解释。

第四十条 【施行日期】本实施细则自2023年XX月XX日起施行,有效期三年。

素材来源官方媒体/网络新闻
继续滑动看下一个
开放数据中国
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存