【智慧城市網(wǎng) 政策法規(guī)】《浙江省公共數(shù)據(jù)授權運營管理辦法(試行)》即將于9月1日開始實施。
浙江省公共數(shù)據(jù)授權運營管理辦法(試行)
為規(guī)范公共數(shù)據(jù)授權運營管理,加快公共數(shù)據(jù)有序開發(fā)利用, 培育數(shù)據(jù)要素市場,根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》和《浙江省公共數(shù)據(jù)條例》等有關法律法規(guī),制定本辦法。
一、總則
(一)總體要求。公共數(shù)據(jù)授權運營堅持中國共產黨的領導, 遵循依法合規(guī)、安全可控、統(tǒng)籌規(guī)劃、穩(wěn)慎有序的原則,按照“原始 數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求,在保護個人信息、商業(yè)秘密、保密商務信息和確保公共安全的前提下,向社會提供數(shù)據(jù)產品和服務。支持具備條件的市、縣(市、區(qū))優(yōu)先在與民生緊密相關、 行業(yè)發(fā)展?jié)摿︼@著和產業(yè)戰(zhàn)略意義重大的領域,先行開展公共數(shù)據(jù)授權運營試點工作。禁止開放的公共數(shù)據(jù)不得授權運營。
(二)適用范圍。本辦法適用于本省行政區(qū)域內公共數(shù)據(jù)授權運營試點工作。
(三)用語含義。所稱的公共數(shù)據(jù)授權運營,是指縣級以上政府按程序依法授權法人或者非法人組織(以下統(tǒng)稱授權運營單位),對授權的公共數(shù)據(jù)進行加工處理,開發(fā)形成數(shù)據(jù)產品和服務,并向社會提供的行為。
所稱的授權運營協(xié)議,是指縣級以上政府與授權運營單位就公共數(shù)據(jù)授權運營達成的書面協(xié)議,明確雙方權利義務、授權運營 范圍、運營期限、合理收益的測算方法、數(shù)據(jù)安全要求、期限屆滿后資產處置、退出機制和違約責任等。
所稱的授權運營域,是指由公共數(shù)據(jù)主管部門依托一體化智能化公共數(shù)據(jù)平臺(以下簡稱公共數(shù)據(jù)平臺)組織建設和運維的, 為授權運營單位提供加工處理授權運營公共數(shù)據(jù)服務的特定安全域,具備安全脫敏、訪問控制、算法建模、監(jiān)管溯源、接口生成、封存銷毀等功能。
所稱的數(shù)據(jù)產品和服務,是指利用公共數(shù)據(jù)加工形成的數(shù)據(jù)包、數(shù)據(jù)模型、數(shù)據(jù)接口、數(shù)據(jù)服務、數(shù)據(jù)報告、業(yè)務服務等。
二、職責分工
(一)建立省級公共數(shù)據(jù)授權運營管理工作協(xié)調機制(以下簡稱協(xié)調機制),由公共數(shù)據(jù)、網(wǎng)信、發(fā)展改革、經(jīng)信、公安、國家安全、司法行政、財政、市場監(jiān)管等省級單位組成。主要職責:負責本省行政區(qū)域內授權運營工作的統(tǒng)籌管理、安全監(jiān)管和監(jiān)督評價,健全完善授權運營相關制度規(guī)范和工作機制;確定公共數(shù)據(jù)授權運營的試點地區(qū)和省級試點領域;審議給予、終止或撤銷省級授權運營等重大事項;統(tǒng)籌協(xié)調解決授權運營工作中的重大問題。
試點市、縣(市、區(qū))政府建立本級協(xié)調機制,負責本行政區(qū)域內授權運營工作的統(tǒng)籌管理、安全監(jiān)管和監(jiān)督評價,審議給予、終止或撤銷本級授權運營等重大事項,統(tǒng)籌協(xié)調解決本級授權運營工作中的重大問題。
(二)公共數(shù)據(jù)主管部門負責落實協(xié)調機制確定的工作。省和試點的市、縣(市、區(qū))政府設置公共數(shù)據(jù)授權運營合同專用章,由公共數(shù)據(jù)主管部門管理使用。
(三)公共管理和服務機構負責做好本領域公共數(shù)據(jù)的治理、申請審核及安全監(jiān)管等授權運營相關工作。
發(fā)展改革、經(jīng)信、財政、市場監(jiān)管等單位按照各自職責,做好數(shù)據(jù)產品和服務流通交易的監(jiān)督管理工作。
網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位按照各自職責,做好授權運營的安全監(jiān)管工作。
(四)省、試點市設本級公共數(shù)據(jù)授權運營專家組,提供業(yè)務和技術咨詢。試點縣(市、區(qū))可根據(jù)需要設專家組。
三、授權運營單位安全條件
(一)基本安全要求。經(jīng)營狀況良好,具備授權運營領域所需的專業(yè)資質、知識人才積累和生產服務能力,并符合相應的信用條件。
(二)技術安全要求。
1. 落實數(shù)據(jù)安全負責人和管理部門,建立公共數(shù)據(jù)授權運營內部管理和安全保障制度。
2. 具有符合網(wǎng)絡安全等級保護三級標準和商用密碼安全性評估要求的系統(tǒng)開發(fā)和運維實踐經(jīng)驗。
3. 具備成熟的數(shù)據(jù)管理能力和數(shù)據(jù)安全保障能力。
4. 近3年未發(fā)生網(wǎng)絡安全或數(shù)據(jù)安全事件。
(三)應用場景安全要求。
1. 授權運營的應用場景具有重大經(jīng)濟價值和社會價值,并設置數(shù)據(jù)安全保障措施。
2. 應用場景具有較強的可實施性,在授權運營期限內有明確的目標和計劃,能夠取得顯著成效。
3. 按照應用場景申請使用公共數(shù)據(jù),堅持最小必要的原則。
(四)重點領域具體安全要求。由公共數(shù)據(jù)主管部門會同相關領域主管部門研究確定。
四、授權方式
(一)公共數(shù)據(jù)主管部門發(fā)布重點領域開展授權運營的通告, 明確相應的條件。授權運營申請單位在規(guī)定時間內向公共數(shù)據(jù)主管部門提出需求,并提交授權運營申請表、最近1年的第三方審計報告和財務會計報告、數(shù)據(jù)安全承諾書、安全風險自評報告等材料。
協(xié)調機制有關單位可委托專家組論證授權運營中的業(yè)務和技術問題。
協(xié)調機制有關單位應核實授權運營申請單位是否符合安全條件、信用條件等要求,報本級政府確定后向社會公開。
(二)試點市、縣(市、區(qū))政府堅持總量控制、因地制宜、公平競爭的原則,結合具體應用場景確定授權運營領域與授權運營單位,并報省政府備案。
(三)省市兩級公共數(shù)據(jù)主管部門依托本級公共數(shù)據(jù)平臺建設授權運營域;縣(市、區(qū))依托市級授權運營域開展授權運營工作,確有必要的,可單獨建設授權運營域。省公共數(shù)據(jù)主管部門負責制定全省授權運營域建設標準,并組織驗收。
授權運營域應滿足以下條件:遵循已有的公共數(shù)據(jù)平臺標準規(guī)范體系,復用統(tǒng)一用戶認證組件、用戶授權服務等公共數(shù)據(jù)平臺能力;實現(xiàn)網(wǎng)絡隔離、租戶隔離、開發(fā)與生產環(huán)境隔離,具備數(shù)據(jù)脫敏處理、數(shù)據(jù)產品和服務出域審核等功能,確保全流程操作可追 蹤,數(shù)據(jù)可溯源;滿足政府監(jiān)管需求,支持集成外部數(shù)據(jù),具備分布式隱私計算能力;滿足授權運營單位的基本數(shù)據(jù)加工需求。
(四)授權運營期限由雙方協(xié)商確定,一般不超過3年。授權運營期限屆滿后,需要繼續(xù)開展授權運營的,授權運營單位應按程序重新申請公共數(shù)據(jù)授權運營。
(五)授權運營協(xié)議終止或撤銷的,公共數(shù)據(jù)主管部門應及時關閉授權運營單位的授權運營域使用權限,及時刪除授權運營域內留存的相關數(shù)據(jù),并按照規(guī)定留存相關網(wǎng)絡日志不少于6個月。
五、授權運營單位權利與行為規(guī)范
(一)授權運營單位在數(shù)據(jù)加工處理或提供服務過程中發(fā)現(xiàn)公共數(shù)據(jù)質量問題的,可向公共數(shù)據(jù)主管部門提出數(shù)據(jù)治理需求。需求合理的,公共數(shù)據(jù)主管部門應督促數(shù)據(jù)提供單位在規(guī)定期限內完成數(shù)據(jù)治理。
(二)授權運營單位依法合規(guī)開展公共數(shù)據(jù)運營,不得泄露、竊取、篡改、毀損、丟失、不當利用公共數(shù)據(jù),不得將授權運營的公共數(shù)據(jù)提供給第三方。相關管理人員、技術人員應通過省公共數(shù)據(jù)主管部門組織的授權運營崗前培訓。定期報告運營情況,接受公共數(shù)據(jù)主管部門對授權運營涉及的業(yè)務和信息系統(tǒng)、數(shù)據(jù)使用 情況、安全保障能力等方面的監(jiān)督檢查。嚴格執(zhí)行數(shù)據(jù)產品和服務定價、合理收益有關規(guī)定。完善公共數(shù)據(jù)安全制度,建立健全高效的技術防護和運行管理體系,確保公共數(shù)據(jù)安全,切實保護個人信息。
授權運營單位在開展公共數(shù)據(jù)運營過程中,因數(shù)據(jù)匯聚、關聯(lián)分析等原因發(fā)現(xiàn)數(shù)據(jù)間隱含關系與規(guī)律,并危害國家安全、公共利益,或侵犯個人信息、商業(yè)秘密、保密商務信息的,應立即停止相應的數(shù)據(jù)處理活動,及時向公共數(shù)據(jù)主管部門報告數(shù)據(jù)風險情況。
(三)授權運營單位通過一體化數(shù)字資源系統(tǒng)提交公共數(shù)據(jù)需求清單,涉及省回流市、縣(市、區(qū))數(shù)據(jù)的,應經(jīng)省公共數(shù)據(jù)主管部門同意。
涉及個人信息、商業(yè)秘密、保密商務信息的公共數(shù)據(jù),應經(jīng)過脫敏、脫密處理,或經(jīng)相關數(shù)據(jù)所指向的特定自然人、法人、非法人組織依法授權同意后獲取。相關數(shù)據(jù)不得以“一攬子授權”、強制同意等方式獲取。
(四)授權運營單位應在授權運營域內對授權運營的公共數(shù)據(jù)進行加工處理,形成數(shù)據(jù)產品和服務。加工處理公共數(shù)據(jù)應符合以下要求:
1. 授權運營單位所有參與數(shù)據(jù)加工處理的人員須經(jīng)實名認證、備案與審查,簽訂保密協(xié)議,操作行為應做到有記錄、可審查。保密協(xié)議應明確保密期限和違約責任。
2. 原始數(shù)據(jù)對數(shù)據(jù)加工處理人員不可見。授權運營單位使用經(jīng)抽樣、脫敏后的公共數(shù)據(jù)進行數(shù)據(jù)產品和服務的模型訓練與驗證。
3. 經(jīng)公共數(shù)據(jù)主管部門審核批準后,授權運營單位可將依法合規(guī)獲取的社會數(shù)據(jù)導入授權運營域,與授權運營的公共數(shù)據(jù)進行融合計算。
(五)授權運營單位加工形成的數(shù)據(jù)產品和服務應接受公共數(shù)據(jù)主管部門審核。原始數(shù)據(jù)包不得導出授權運營域。通過可逆模型或算法還原出原始數(shù)據(jù)包的數(shù)據(jù)產品和服務,不得導出授權運營域。
經(jīng)公共數(shù)據(jù)主管部門審核批準后導出授權運營域的數(shù)據(jù)產品和服務,不得用于或變相用于未經(jīng)審批的應用場景。數(shù)據(jù)產品和服務應按照國家和省有關數(shù)據(jù)要素市場規(guī)則流通交易。
(六)授權運營單位應堅持依法合規(guī)、普惠公平、收益合理的原則,確定數(shù)據(jù)產品和服務的價格。授權運營單位在運營期限內,應向公共數(shù)據(jù)主管部門提交公共數(shù)據(jù)授權運營年度運營報告。報告內容包括:本單位與授權運營相關的數(shù)據(jù)產品和服務存儲、加工處理、分析利用、安全管理及市場運營情況等。
六、數(shù)據(jù)安全與監(jiān)督管理
(一)公共數(shù)據(jù)授權運營堅持統(tǒng)籌發(fā)展和安全的原則,按照 “公共數(shù)據(jù)分類分級”要求,加強公共數(shù)據(jù)全生命周期安全和合法 利用管理,確保數(shù)據(jù)來源可溯、去向可查,行為留痕、責任可究。
(二)公共數(shù)據(jù)授權運營安全堅持誰運營誰負責、誰使用誰負責的原則。授權運營單位主要負責人是運營公共數(shù)據(jù)安全的第一責任人。
(三)公共數(shù)據(jù)主管部門應加強公共數(shù)據(jù)安全管理。
1. 建立健全授權運營安全防護技術標準和規(guī)范,落實安全審查、風險評估、監(jiān)測預警、應急處置等管理機制,開展公共數(shù)據(jù)安全培訓。
2. 實施數(shù)據(jù)產品和服務的安全合規(guī)管理,對授權運營域的操作人員進行認證、授權和訪問控制,記錄數(shù)據(jù)來源、產品加工和數(shù)據(jù)調用等全流程日志信息。
3. 實施公共數(shù)據(jù)授權運營安全的監(jiān)督檢查。
4. 監(jiān)督授權運營單位落實公共數(shù)據(jù)開發(fā)利用與安全管理責任。
(四)公共數(shù)據(jù)主管部門會同網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位,按照“一授權一預案”要求,結合公共數(shù)據(jù)授權運營的應用場景制定應急預案,并組織應急演練。未制定應急預案的,不得開展授權運營工作。
發(fā)生數(shù)據(jù)安全事件時,公共數(shù)據(jù)主管部門應按照應急預案啟動應急響應,采取相應的應急處置措施,防止危害擴大,消除安全隱患。
(五)市場監(jiān)管部門協(xié)同發(fā)展改革、經(jīng)信、財政等單位完善數(shù)據(jù)產品和服務的市場化運營管理制度。對違反反壟斷、反不正當競爭、消費者權益保護等法律法規(guī)規(guī)定的,由有關單位按照職責依法處置,相關不良信息依法記入其信用檔案。
(六)知識產權主管部門會同發(fā)展改革、經(jīng)信、司法行政等單位建立數(shù)據(jù)知識產權保護制度,推進數(shù)據(jù)知識產權保護和運用。
(七)公共數(shù)據(jù)主管部門會同有關單位或委托第三方機構,對本級授權運營單位開展授權運營情況年度評估,對授權運營單位實行動態(tài)管理,評估結果作為再次申請授權運營的重要依據(jù)。
(八)授權運營單位違反授權運營協(xié)議的,公共數(shù)據(jù)主管部門應按照協(xié)議約定要求其改正,并暫時關閉其授權運營域使用權限。授權運營單位應在約定期限內改正,并反饋改正情況;未按照要求改正的,終止其相關公共數(shù)據(jù)的授權。
授權運營單位違反授權運營協(xié)議,屬于違反網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護有關法律法規(guī)規(guī)定的,由網(wǎng)信、公安等單位按照職責依法予以查處,相關不良信息依法記入其信用檔案。
七、附則
本辦法自2023年9月1日起施行。國家和省對公共數(shù)據(jù)授權運營管理有新規(guī)定的,從其規(guī)定。
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號
移動版
