《安徽省公共数据授权运营管理办法(试行)》发布
12月7日,安徽省数据资源管理局关于《安徽省公共数据授权运营管理办法(试行)》(以下简称《办法》)公开征求意见。
《办法》以赋能实体经济为导向,面向安徽省主导产业,划分若干赛道,建立“赛道+合伙人”机制,开展公共数据授权运营,有利于充分满足数字经济发展中的场景创新和企业对数据的迫切需求,推动更多企业利用数据、开发场景,构建公共数据与社会数据深度融合的产业生态,用数据赋能经济社会高质量发展。安徽省公共数据授权运营管理办法(试行)
第一章 总则
第一条 目的依据
为规范公共数据授权运营及其相关管理活动,充分释放公共数据价值,培育数据要素市场,促进数据产业发展,推进数字安徽建设,根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》、国务院办公厅《要素市场化配置综合改革试点总体方案》及《安徽省大数据发展条例》《安徽省政务数据资源管理办法》和中共安徽省委、安徽省人民政府印发的《数字安徽建设总体方案》《构建数据基础制度更好发挥数据要素作用若干举措》等政策法规精神,结合安徽省实际,制定本办法。
第二条 适用范围和定义
本办法适用于在安徽省行政区域范围内开展公共数据授权运营及其相关管理活动。
公共数据授权运营是指授权符合条件的企事业单位,在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下,依据法律法规、政策规定和本办法,对授权的公共数据进行加工处理,开发形成公共数据产品和服务,并向社会提供服务的活动。
公共数据运营主体(以下简称运营主体)是指根据授权承担公共数据运营的企事业单位。
公共数据,是指各级政务部门、企事业单位依法履职或提供公共服务过程中产生的数据,包括政务数据和公共服务数据。政务数据是指国家机关和法律、法规授权的具有管理公共事务职能的组织(以下统称政务部门)履行法定职责收集、产生的各类数据。公共服务数据是指供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共服务机构)提供公共服务过程中收集、产生的各类数据。
公共数据产品和服务(以下统称公共数据产品)是指利用公共数据加工形成的产品和服务,主要有数据集、数据接口等数据类产品,特定算法加工处理形成的数据模型类产品,数据报告、解决方案等定制类产品,以及其他形态的数据产品和服务。
第三条 基本原则
公共数据授权运营应当坚持统筹管理、需求驱动、管运分离、安全可控的原则,按照数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,保障数据要素各参与方的合法权益。
第四条 实施层级
省级及有条件的市、县(市、区)开展公共数据授权运营,市、县(市、区)运营方案报省数据资源主管部门批准。
第五条 职责分工
数据资源主管部门负责统筹管理、指导监督公共数据授权运营。牵头设立由高校、科研机构、相关部门专家组成的专家委员会,负责对运营主体提供的运营方案进行评审。
数据提供部门应当强化数据高质量供给,及时向全省一体化数据基础平台归集汇聚数据资源,参与专家委员会和相关场景评审,配合数据资源主管部门做好授权运营管理工作。
网信部门、公安部门等相关部门在各自职责范围内履行数据安全保护和监督管理等职责。
第六条 运营平台
按照统一建设、分级运营的原则,省数据资源主管部门在全省一体化数据基础平台规划建设统一的公共数据运营平台,明确运营平台服务保障机构。运营平台服务保障机构负责公共数据运营平台的日常管理、运维和安全保障,为运营主体正常开展授权运营提供相应技术保障和服务。
公共数据运营平台应具备用户管理、数据供需管理、数据分类分级管理、数据处理等基础能力,具备服务封装、数据沙箱、数据可视化等数据服务能力,具备安全可信计算、数据脱敏、数据加密、全流程监控等数据安全保障能力。
第二章 授权机制
第七条 授权主体
数据资源主管部门受本级人民政府委托,作为公共数据运营的授权主体,择优遴选符合条件的企事业单位作为运营主体。
第八条 授权条件
运营主体应当符合下列条件:
(一)具有公信力,在数字经济领域具有较高知名度和影响力,在数据要素流通体系建设方面具有行业引领性;
(二)具有较强的技术能力,在保障数据安全、开发数据产品、开展运营服务等方面具有较高水平的技术团队和研发运营能力;
(三)单位信誉良好,在全国信用信息公共服务平台查询中无不良记录;企业法人、高管或者法定代表人、负责人不存在重大行政处罚、严重失信等记录,没有违法犯罪记录;
(四)参与运营人员符合《中华人民共和国数据安全法》等法律法规和国家政策要求。
第九条 授权内容
数据资源主管部门依法依规授予运营主体公共数据加工使用权、数据产品经营权,不涉及公共数据所有权、持有权的转移。
运营主体在保护国家安全、公共利益、数据安全和数据来源者合法权益的前提下,依照有关法律法规和政策规定,进行数据产品登记,持有、加工、许可使用或经营公共数据产品。
第十条 授权方式
数据资源主管部门应当与运营主体签署授权运营协议,明确数据的用途、使用范围、服务方式、运营期限、数据安全要求、禁止条款、信用承诺、违约责任、争议解决方式等内容。
第十一条 运营期限
运营期限由数据资源主管部门和运营主体双方协商确定,一般不超过3年。
授权运营协议在运营期限届满时终止。运营主体不遵守授权运营协议或者规定的,数据资源主管部门依法依规或者按照约定暂停执行或者提前终止授权运营协议。
授权运营协议在运营期限届满时,运营主体无违法违规记录的,可以申请延长运营期限。
第三章 运营规则
第十二条 合法要求
运营主体应当按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《安徽省大数据发展条例》等法律法规规定,开展数据运营活动。
第十三条 合规要求
运营主体必须在授权范围内开展数据运营服务,在数据运营服务过程中可以引入技术服务开展合作,不得二次授权或转授权。
第十四条 公平要求
运营主体应当按照非歧视、非垄断原则,公平对待各使用单位、各应用场景,不得与其他经营主体签订排他性协议,或滥用市场支配地位实施垄断和不正当竞争行为。
第十五条 从业要求
运营主体应当对参与运营人员进行从业审查和数据安全教育培训,并签订《保密协议》,《保密协议》应当报授权的数据资源主管部门备案。
第十六条 服务方式
运营主体在公共数据运营平台上,通过隐私计算、联邦学习、数据模型等安全、合规、可信的方式加工处理公共数据,提供公共数据产品,实现“原始数据不出域、数据可用不可见”。
第十七条 收益规定
运营主体根据授予的公共数据加工使用权、数据产品经营权,按照提供的公共数据产品的价值贡献获取合理收益。
第十八条 披露规定
运营主体应当向社会公示公共数据产品和服务能力清单,并定期披露公共数据运营情况。
第四章 运营流程
第十九条 整体流程
运营主体应当按照方案编制-方案评审-产品审查-推广应用的运营流程,不断开发满足各类场景创新的数据产品,并建立场景创新案例库,同类场景不再进行方案评审。
第二十条 方案编制
运营方案应当明确应用场景、公共数据需求、数据产品和服务设计、数据加工处理方法、运营团队、安全保障和效益分析等内容。
运营方案中涉及重要数据处理活动的,应当按照规定开展数据安全风险评估,并向有关主管部门报送风险评估报告。
运营方案中涉及个人信息处理的,应当按照个人信息保护法规定办理。
第二十一条 方案评审
数据资源主管部门组织专家委员会对运营方案的合法性、合规性、可行性、运营模式、经营条件、专业素质、技术力量和安全风险等进行全面评审论证。
第二十二条 产品审查
运营方案通过后,运营主体在公共数据运营平台上加工处理数据形成数据产品,在推广应用前应当提交数据产品的数据安全自查报告,并由数据资源主管部门会同有关部门进行数据安全审查。审查发现存在数据安全风险的,完成整改后方可推广应用。
数据安全审查重点评估以下风险因素:
(一)是否超出数据的用途和使用范围;
(二)原始数据、敏感数据、隐私数据直接暴露的风险;
(三)数据模型、算法受到隐私攻击,造成敏感数据、隐私数据间接暴露的风险;
(四)其他可能危害数据安全的风险。
第二十三条 推广应用
数据产品审查通过后,运营主体应当与使用单位签订数据产品使用协议,明确数据产品的交付方式、计价方式、使用场景、使用条件和使用期限,明确数据安全责任和违约责任。使用协议应当通过公共数据运营平台报数据资源主管部门备案。
运营主体、使用单位要及时发现、反馈推广应用过程中的新场景新需求,通过公共数据运营的需求牵引,促进公共数据质量提高和开发利用能力提升。
鼓励运营主体将依法获取或引入的社会数据接入公共数据运营平台,丰富运营平台数据资源,促进公共数据与社会数据融合开发利用。在数据接入前,应经数据资源主管部门审核同意。
第五章 安全保障
第二十四条 安全要求
运营主体在公共数据运营过程中应当遵循以下安全要求:
(一)遵循法律法规,符合国家及行业标准规范,履行数据安全保护义务,建立健全数据安全管理长效机制和防护措施,严防公共数据泄露、篡改、损毁与不当使用。
(二)对于公共数据中包含的国家安全、公共利益、个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供。
(三)规范数据使用行为,对数据进行分类分级管理,严控数据获取和应用范围,确保数据专事专用、最小必要,禁止过度获取、误用、滥用数据。
(四)在保障原始数据可用不可见的前提下,通过隐私计算等技术规范开展公共数据运营,不得在运营过程中提供、交易原始数据,确保在安全、合规、可信的环境中开展数据处理活动。
(五)数据安全管理措施应覆盖数据采集、传输、存储、加工、使用、销毁等全生命周期,实现全生命周期的溯源管理、日志记录和风险监测。
(六)涉及到数据跨境的按照国家有关规定办理。
第二十五条 安全责任
运营平台服务保障机构负责运营平台的数据安全管理,建立健全全流程数据安全管理制度,督促运营主体合法合规开展公共数据运营。
运营主体负责加工处理公共数据、数据产品的数据安全,在运营过程中定期开展数据安全应急演练和数据安全风险评估,发现风险及时整改。
使用单位应当遵循合法、正当的原则,在使用协议约定范围内使用数据产品和服务,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第二十六条 技术保障
运营平台服务保障机构、运营主体应当加强大数据挖掘分析、智能计算、数据安全与隐私保护等核心技术攻关,应用新技术、新方法提升公共数据运营效率和安全保障水平。
第六章 监督管理
第二十七条 监督评估
数据资源主管部门应当对公共数据运营加强监督检查,定期对运营全过程安全性、规范性、成效等开展评估,确保数据运营依法合规。在监督检查和评估中发现运营主体或者使用单位有影响数据安全或者使用不规范的行为,数据资源主管部门有权暂停提供数据服务并要求有关单位进行整改,拒不整改或者达不到整改要求的,数据资源主管部门取消运营资格。如果有其他违法违规情形的,依法追究责任。
运营主体应当每年初向数据资源主管部门提交上一年度的运营情况报告,包括运营数据需求、数据使用情况、产生效益、数据安全等资料。
第二十八条 责任追究
有关单位和人员在公共数据运营过程中,违反法律法规或者国家规定的,严格追究责任。
政务部门及其工作人员在公共数据授权运营工作中泄露、出售或者非法向他人提供履行职责过程中知悉的商业秘密、个人信息和隐私,或者在履行职责中玩忽职守、滥用职权、徇私舞弊,依法追究责任。
运营主体、使用单位要加强从业人员教育管理,发现有违规行为的,取消数据运营从业资格;有违法行为的,依法追究责任。
公共数据运营过程中出现偏差失误或者未能实现预期目标,但是符合国家确定的改革方向,决策程序符合法律、法规规定,非因滥用职权、玩忽职守、以权谋私或者由于难以预见、难以避免的因素以及不可抗力、不可控因素导致损失的,不承担法律责任,有权机关对有关单位和个人不作负面评价。
第七章 附则
第二十九条 共享开放
公共数据的采集、归集、提供、共享、应用及其相关管理工作,由政务部门按照《安徽省政务数据资源管理办法》等规定负责。
公共数据应当向社会开放的,按照有关政策法规积极有序开放。
第三十条 兜底条款
法律法规、国家政策和安徽省人民政府对公共数据授权运营另有规定的,从其规定。
第三十一条 解释单位
本办法由安徽省数据资源管理局负责解释。
第三十二条 施行日期
本办法自印发之日起施行。
来源:安徽省数据资源管理局