各市、縣(市、區)人民政府,省政府直屬各單位:

  《浙江省公共數據授權運營管理辦法(試行)》已經省政府同意,現印發給你們,請結合實際認真貫徹落實。

  浙江省人民政府辦公廳

  2023年8月1日

 ?。ù思_發布)

  浙江省公共數據授權運營管理辦法(試行)

  為規范公共數據授權運營管理,加快公共數據有序開發利用,培育數據要素市場,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》和《浙江省公共數據條例》等有關法律法規,制定本辦法。

  一、總則

 ?。ㄒ唬┛傮w要求。公共數據授權運營堅持中國共產黨的領導,遵循依法合規、安全可控、統籌規劃、穩慎有序的原則,按照“原始數據不出域、數據可用不可見”的要求,在保護個人信息、商業秘密、保密商務信息和確保公共安全的前提下,向社會提供數據產品和服務。支持具備條件的市、縣(市、區)優先在與民生緊密相關、行業發展潛力顯著和產業戰略意義重大的領域,先行開展公共數據授權運營試點工作。禁止開放的公共數據不得授權運營。

 ?。ǘ┻m用范圍。本辦法適用于本省行政區域內公共數據授權運營試點工作。

 ?。ㄈ┯谜Z含義。

  所稱的公共數據授權運營,是指縣級以上政府按程序依法授權法人或者非法人組織(以下統稱授權運營單位),對授權的公共數據進行加工處理,開發形成數據產品和服務,并向社會提供的行為。

  所稱的授權運營協議,是指縣級以上政府與授權運營單位就公共數據授權運營達成的書面協議,明確雙方權利義務、授權運營范圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿后資產處置、退出機制和違約責任等。

  所稱的授權運營域,是指由公共數據主管部門依托一體化智能化公共數據平臺(以下簡稱公共數據平臺)組織建設和運維的,為授權運營單位提供加工處理授權運營公共數據服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監管溯源、接口生成、封存銷毀等功能。

  所稱的數據產品和服務,是指利用公共數據加工形成的數據包、數據模型、數據接口、數據服務、數據報告、業務服務等。

  二、職責分工

 ?。ㄒ唬┙⑹〖壒矓祿跈噙\營管理工作協調機制(以下簡稱協調機制),由公共數據、網信、發展改革、經信、公安、國家安全、司法行政、財政、市場監管等省級單位組成。主要職責:負責本省行政區域內授權運營工作的統籌管理、安全監管和監督評價,健全完善授權運營相關制度規范和工作機制;確定公共數據授權運營的試點地區和省級試點領域;審議給予、終止或撤銷省級授權運營等重大事項;統籌協調解決授權運營工作中的重大問題。

  試點市、縣(市、區)政府建立本級協調機制,負責本行政區域內授權運營工作的統籌管理、安全監管和監督評價,審議給予、終止或撤銷本級授權運營等重大事項,統籌協調解決本級授權運營工作中的重大問題。

 ?。ǘ┕矓祿鞴懿块T負責落實協調機制確定的工作。省和試點的市、縣(市、區)政府設置公共數據授權運營合同專用章,由公共數據主管部門管理使用。

 ?。ㄈ┕补芾砗头諜C構負責做好本領域公共數據的治理、申請審核及安全監管等授權運營相關工作。

  發展改革、經信、財政、市場監管等單位按照各自職責,做好數據產品和服務流通交易的監督管理工作。

  網信、密碼管理、保密行政管理、公安、國家安全等單位按照各自職責,做好授權運營的安全監管工作。

 ?。ㄋ模┦?、試點市設本級公共數據授權運營專家組,提供業務和技術咨詢。試點縣(市、區)可根據需要設專家組。

  三、授權運營單位安全條件

 ?。ㄒ唬┗景踩?。經營狀況良好,具備授權運營領域所需的專業資質、知識人才積累和生產服務能力,并符合相應的信用條件。

 ?。ǘ┘夹g安全要求。

  1.落實數據安全負責人和管理部門,建立公共數據授權運營內部管理和安全保障制度。

  2.具有符合網絡安全等級保護三級標準和商用密碼安全性評估要求的系統開發和運維實踐經驗。

  3.具備成熟的數據管理能力和數據安全保障能力。

  4.近3年未發生網絡安全或數據安全事件。

 ?。ㄈ脠鼍鞍踩?。

  1.授權運營的應用場景具有重大經濟價值和社會價值,并設置數據安全保障措施。

  2.應用場景具有較強的可實施性,在授權運營期限內有明確的目標和計劃,能夠取得顯著成效。

  3.按照應用場景申請使用公共數據,堅持最小必要的原則。

 ?。ㄋ模┲攸c領域具體安全要求。由公共數據主管部門會同相關領域主管部門研究確定。

  四、授權方式

 ?。ㄒ唬┕矓祿鞴懿块T發布重點領域開展授權運營的通告,明確相應的條件。授權運營申請單位在規定時間內向公共數據主管部門提出需求,并提交授權運營申請表、最近1年的第三方審計報告和財務會計報告、數據安全承諾書、安全風險自評報告等材料。

  協調機制有關單位可委托專家組論證授權運營中的業務和技術問題。

  協調機制有關單位應核實授權運營申請單位是否符合安全條件、信用條件等要求,報本級政府確定后向社會公開。

 ?。ǘ┰圏c市、縣(市、區)政府堅持總量控制、因地制宜、公平競爭的原則,結合具體應用場景確定授權運營領域與授權運營單位,并報省政府備案。

 ?。ㄈ┦∈袃杉壒矓祿鞴懿块T依托本級公共數據平臺建設授權運營域;縣(市、區)依托市級授權運營域開展授權運營工作,確有必要的,可單獨建設授權運營域。省公共數據主管部門負責制定全省授權運營域建設標準,并組織驗收。

  授權運營域應滿足以下條件:遵循已有的公共數據平臺標準規范體系,復用統一用戶認證組件、用戶授權服務等公共數據平臺能力;實現網絡隔離、租戶隔離、開發與生產環境隔離,具備數據脫敏處理、數據產品和服務出域審核等功能,確保全流程操作可追蹤,數據可溯源;滿足政府監管需求,支持集成外部數據,具備分布式隱私計算能力;滿足授權運營單位的基本數據加工需求。

 ?。ㄋ模┦跈噙\營期限由雙方協商確定,一般不超過3年。授權運營期限屆滿后,需要繼續開展授權運營的,授權運營單位應按程序重新申請公共數據授權運營。

 ?。ㄎ澹┦跈噙\營協議終止或撤銷的,公共數據主管部門應及時關閉授權運營單位的授權運營域使用權限,及時刪除授權運營域內留存的相關數據,并按照規定留存相關網絡日志不少于6個月。

  五、授權運營單位權利與行為規范

 ?。ㄒ唬┦跈噙\營單位在數據加工處理或提供服務過程中發現公共數據質量問題的,可向公共數據主管部門提出數據治理需求。需求合理的,公共數據主管部門應督促數據提供單位在規定期限內完成數據治理。

 ?。ǘ┦跈噙\營單位依法合規開展公共數據運營,不得泄露、竊取、篡改、毀損、丟失、不當利用公共數據,不得將授權運營的公共數據提供給第三方。相關管理人員、技術人員應通過省公共數據主管部門組織的授權運營崗前培訓。定期報告運營情況,接受公共數據主管部門對授權運營涉及的業務和信息系統、數據使用情況、安全保障能力等方面的監督檢查。嚴格執行數據產品和服務定價、合理收益有關規定。完善公共數據安全制度,建立健全高效的技術防護和運行管理體系,確保公共數據安全,切實保護個人信息。

  授權運營單位在開展公共數據運營過程中,因數據匯聚、關聯分析等原因發現數據間隱含關系與規律,并危害國家安全、公共利益,或侵犯個人信息、商業秘密、保密商務信息的,應立即停止相應的數據處理活動,及時向公共數據主管部門報告數據風險情況。

 ?。ㄈ┦跈噙\營單位通過一體化數字資源系統提交公共數據需求清單,涉及省回流市、縣(市、區)數據的,應經省公共數據主管部門同意。

  涉及個人信息、商業秘密、保密商務信息的公共數據,應經過脫敏、脫密處理,或經相關數據所指向的特定自然人、法人、非法人組織依法授權同意后獲取。相關數據不得以“一攬子授權”、強制同意等方式獲取。

 ?。ㄋ模┦跈噙\營單位應在授權運營域內對授權運營的公共數據進行加工處理,形成數據產品和服務。加工處理公共數據應符合以下要求:

  1.授權運營單位所有參與數據加工處理的人員須經實名認證、備案與審查,簽訂保密協議,操作行為應做到有記錄、可審查。保密協議應明確保密期限和違約責任。

  2.原始數據對數據加工處理人員不可見。授權運營單位使用經抽樣、脫敏后的公共數據進行數據產品和服務的模型訓練與驗證。

  3.經公共數據主管部門審核批準后,授權運營單位可將依法合規獲取的社會數據導入授權運營域,與授權運營的公共數據進行融合計算。

 ?。ㄎ澹┦跈噙\營單位加工形成的數據產品和服務應接受公共數據主管部門審核。原始數據包不得導出授權運營域。通過可逆模型或算法還原出原始數據包的數據產品和服務,不得導出授權運營域。

  經公共數據主管部門審核批準后導出授權運營域的數據產品和服務,不得用于或變相用于未經審批的應用場景。

  數據產品和服務應按照國家和省有關數據要素市場規則流通交易。

 ?。┦跈噙\營單位應堅持依法合規、普惠公平、收益合理的原則,確定數據產品和服務的價格。

  授權運營單位在運營期限內,應向公共數據主管部門提交公共數據授權運營年度運營報告。報告內容包括:本單位與授權運營相關的數據產品和服務存儲、加工處理、分析利用、安全管理及市場運營情況等。

  六、數據安全與監督管理

 ?。ㄒ唬┕矓祿跈噙\營堅持統籌發展和安全的原則,按照“公共數據分類分級”要求,加強公共數據全生命周期安全和合法利用管理,確保數據來源可溯、去向可查,行為留痕、責任可究。

 ?。ǘ┕矓祿跈噙\營安全堅持誰運營誰負責、誰使用誰負責的原則。授權運營單位主要負責人是運營公共數據安全的第一責任人。

 ?。ㄈ┕矓祿鞴懿块T應加強公共數據安全管理。

  1.建立健全授權運營安全防護技術標準和規范,落實安全審查、風險評估、監測預警、應急處置等管理機制,開展公共數據安全培訓。

  2.實施數據產品和服務的安全合規管理,對授權運營域的操作人員進行認證、授權和訪問控制,記錄數據來源、產品加工和數據調用等全流程日志信息。

  3.實施公共數據授權運營安全的監督檢查。

  4.監督授權運營單位落實公共數據開發利用與安全管理責任。

 ?。ㄋ模┕矓祿鞴懿块T會同網信、密碼管理、保密行政管理、公安、國家安全等單位,按照“一授權一預案”要求,結合公共數據授權運營的應用場景制定應急預案,并組織應急演練。未制定應急預案的,不得開展授權運營工作。

  發生數據安全事件時,公共數據主管部門應按照應急預案啟動應急響應,采取相應的應急處置措施,防止危害擴大,消除安全隱患。

 ?。ㄎ澹┦袌霰O管部門協同發展改革、經信、財政等單位完善數據產品和服務的市場化運營管理制度。對違反反壟斷、反不正當競爭、消費者權益保護等法律法規規定的,由有關單位按照職責依法處置,相關不良信息依法記入其信用檔案。

 ?。┲R產權主管部門會同發展改革、經信、司法行政等單位建立數據知識產權保護制度,推進數據知識產權保護和運用。

 ?。ㄆ撸┕矓祿鞴懿块T會同有關單位或委托第三方機構,對本級授權運營單位開展授權運營情況年度評估,對授權運營單位實行動態管理,評估結果作為再次申請授權運營的重要依據。

 ?。ò耍┦跈噙\營單位違反授權運營協議的,公共數據主管部門應按照協議約定要求其改正,并暫時關閉其授權運營域使用權限。授權運營單位應在約定期限內改正,并反饋改正情況;未按照要求改正的,終止其相關公共數據的授權。

  授權運營單位違反授權運營協議,屬于違反網絡安全、數據安全、個人信息保護有關法律法規規定的,由網信、公安等單位按照職責依法予以查處,相關不良信息依法記入其信用檔案。

  七、附則

  本辦法自2023年9月1日起施行。國家和省對公共數據授權運營管理有新規定的,從其規定。