分享到:
| 索引号: | 330521/2024-02505 | 发文时间: | 2024-04-17 |
| 公开方式: | 主动公开 | 公开时限: | 长期公开 |
| 文件编号: | 发布机构: | 县数据局 | |
| 单位地址: | 联系电话: |
第一章 总则
第一条 目的与依据 为推进和规范本县公共数据授权运营工作,根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》《浙江省公共数据授权运营管理办法(试行)》等有关法律、法规、规章,结合本县实际,制定本细则。
第二条 适用范围 本县行政区内与公共数据授权运营相关的授权、加工、经营、使用、安全监管等数据活动,适用本细则。
第三条 基本原则 本县的公共数据授权运营工作,应当遵循“场景导向、依法合规、统筹规划、稳慎有序、安全可控”的原则,按照“原始数据不出域、数据可用不可见”的要求,在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下,向社会提供数据产品和服务。
第四条 主要定义 本细则下列用语的含义:
(一)公共数据,是指本县国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。
(二)公共数据授权运营,是指本县人民政府按程序依法授权法人或者非法人组织(以下统称授权运营单位),对授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的行为。禁止开放的公共数据不得授权运营。
(三)授权运营协议,是指本县人民政府与授权运营单位就公共数据授权运营达成的书面协议,主要内容包括:双方的权利和义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。
(四)授权运营域,是指由公共数据主管部门依托一体化智能化公共数据平台(以下简称公共数据平台)组织建设和运维的,为授权运营单位提供加工处理授权运营公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁等功能。
(五)数据产品和服务,是指利用公共数据加工形成的产品,主要形态有数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。
第五条 保障措施 本县人民政府将公共数据授权运营工作纳入国民经济和社会发展规划以及数字政府建设、数字经济发展等相关专项规划,建立健全工作协调机制,完善政策措施,保障公共数据授权运营工作所需经费。
第二章 工作体系
第六条 工作体系 建立由公共数据提供单位、公共数据主管单位、授权运营单位、公共数据使用主体、公共数据监管单位,以及两类议事协调机构(公共数据授权运营工作协调小组与专家组)组成的公共数据授权运营工作体系和联络沟通机制。
第七条 公共数据提供单位职责 公共数据提供单位是指本县的公共管理和服务机构,是本县公共数据授权运营的供给主体,其主要职责包括:
(一)负责本领域公共数据的归集与治理,保障数据的完整性、准确性和及时性。
(二)负责本领域公共数据的申请审核。
(三)负责本领域数据安全监管。
(四)负责公共数据授权运营工作协调小组交办的其他事项。
第八条 公共数据主管单位职责 县大数据局是本县公共数据授权运营的主管单位,具体职责包括:
(一)负责本县公共数据授权运营的统筹管理和监督评价,指导、协调、督促其他有关部门按照各自职责做好公共数据授权运营相关工作。
(二)负责组织建设和运维本县授权运营域。
(三)负责组织开展公共数据授权运营场景目录的编制。
(四)负责组织开展授权运营单位绩效评价。
(五)负责设置管理公共数据授权运营工作专用章。
(六)负责公共数据授权运营工作协调小组交办的其他事项。
第九条 授权运营单位职责 授权运营单位是本县公共数据授权运营的运营主体,是由本县人民政府按程序依法授权,对授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的法人或者非法人组织,其具体职责包括:
(一)负责按照授权运营协议中应用场景对公共数据进行加工处理,形成数据产品和服务,并与公共数据使用主体签订公共数据授权使用协议,依法合规开展公共数据授权运营。
(二)负责制定本单位公共数据有关的安全制度规范,建立健全高效的技术防护和运行管理体系,确保公共数据安全,切实保护个人信息。
(三)负责根据县大数据局要求进行公共数据授权运营相关工作的整改与提升。
(四)负责公共数据授权运营工作协调小组交办的其他事项。
第十条 公共数据使用主体职责 公共数据使用主体是本县数据产品和服务的使用主体,包括企业、科研机构、以及个人等符合条件的自然人、法人和非法人组织,具体职责包括:
(一)负责根据公共数据授权使用协议,对获得的数据产品和服务开展科技研究、咨询服务等活动。
(二)负责数据产品和服务在使用过程中的安全保障工作。
(三)负责根据授权运营单位要求进行公共数据授权运营相关工作的整改与提升。
第十一条 公共数据监管单位职责 公共数据监管单位是本县公共数据授权运营的监管主体,具体职责包括:
(一)数据产品和服务流通交易的监督管理工作:
1. 县发改局负责统筹数据要素市场化配置工作;
2. 县经信局负责统筹数据服务商引育工作;
3. 县财政局负责统筹制定数据资产评估规则体系;
4. 县市场监管局负责完善数据产品和服务的市场化运营管理制度,制定数据知识产权保护制度。
(二)公共数据授权运营的安全监督管理工作:
1. 县委网信办负责统筹协调公共数据授权运营安全和相关监管工作,建立健全公共数据授权运营安全制度规范体系、技术防护体系和运行管理体系;
2. 县公安局负责依法预防、制止和侦查公共数据授权运营过程中的违法犯罪活动;
3. 县大数据局负责对本县公共数据提供单位和授权运营单位履行监管责任;
4. 授权运营单位负责对公共数据使用主体履行监管责任。
第十二条 公共数据授权运营工作协调小组职责 公共数据授权运营工作协调小组(以下简称协调小组)是本县公共数据授权运营的协调机构,由县发改局、县经信局、县财政局、县市场监管局、县委网信办、县公安局、县大数据局等部门组成,协调小组办公室设在县大数据局,负责统筹确定协调小组会议议题、组织落实会议决议以及日常事务等。具体职责包括:
(一)负责本县行政区域内公共数据授权运营工作的统筹管理、安全监管和监督评价,建立健全公共数据授权运营相关制度规范和工作机制。
(二)负责组建公共数据授权运营工作专家组。负责审议给予、终止或撤销本县授权运营等重大事项,监督指导公共数据授权运营年度评估工作。
(三)负责监督指导公共数据使用定价等相关工作。
(四)负责统筹协调解决本县公共数据授权运营工作中遇到的重大问题。
第十三条 公共数据授权运营工作专家组职责 公共数据授权运营工作专家组(以下简称专家组)是本县公共数据授权运营的咨询机构,由高校、科研机构、企业、相关部门的专家组成,具体职责包括:
(一)负责组织开展数据权益保护、数据授权运营、数据流通利用、数据安全管理等方面的研究、评估,为公共数据运营相关政策制定、项目评审、安全评估、标准研制等提供专业意见。
(二)负责对授权运营单位进行评审,对公共数据授权申请表进行评估,为公共数据的应用场景落地提供建议。
(三)负责协调解决公共数据授权运营过程中的争议问题。
第三章 授权机制
第十四条 授权运营流程 公共数据授权运营流程包括信息发布、申请提交、资格审查、社会公开、授权备案、协议签订、培训考核、加工处理、产品开发、市场运营等10个主要环节,具体包括:
(一)信息发布
县大数据局发布重点领域开展公共数据授权运营的公告,明确申报条件。
(二)申请提交
授权运营申请单位按照申报条件,依托全省一体化数字资源系统,在规定时间内向县大数据局提出需求,并提交授权运营申请表、最近1年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等材料。
(三)资格审查
1. 资格预审:县大数据局会同公共数据提供单位对授权运营申请单位的材料进行初步审查,授权运营申请单位提交材料不齐全或者不符合形式要求的,应在规定时间内补交相关材料;县大数据局组织召开专家论证会,授权运营申请单位详细介绍技术实力、资源优势等,专家组对授权运营申请单位的资质实力进行综合评审,对授权运营应用场景的安全性和合规性等进行集体研讨,评审结果报协调小组审定。
2. 资格终审:协调小组根据专家组评审结果,核实授权运营申请单位是否符合安全条件、信用条件等要求,召开会议决议授权运营申请单位是否通过审核,会后将拟授权运营单位名单上报本县人民政府,经过本县人民政府的审批决策流程,最终确定授权运营单位名单并在本县人民政府备案。
(四)社会公开
县大数据局及时向社会公开授权运营单位等相关信息,对异议及时答复和处理。
(五)授权备案
本县人民政府及时将授权运营领域及单位等,报省人民政府备案。
(六)协议签订
本县人民政府委托县大数据局与授权运营单位签订授权运营协议,对本县公共数据进行授权。
(七)培训考核
授权运营单位相关管理、技术、运营人员应当参加县大数据局组织的授权运营岗前培训,通过考核后方可开通授权运营域相关权限。
(八)加工处理
授权运营单位按照授权运营协议,在本县授权运营域上进行加工处理。
(九)产品开发
授权运营单位依托本县授权运营域,对加工处理后的公共数据进行产品开发。
(十)市场运营
授权运营单位对数据产品和服务进行市场化运营,向公共数据使用主体提供数据产品和服务。
第十五条 公共数据提供单位工作要求
公共数据提供单位应当遵守如下规定:
(一)对于授权运营单位提出的数据开发需求申请,公共数据提供单位应当在规定时间内进行审批。若授权运营单位对公共数据提供单位的审批有异议,经协商不能达成一致意见的,报协调小组审议。
(二)对于授权运营单位反馈的数据质量问题,公共数据提供单位应当及时进行数据质量修复。
(三)对于授权运营单位已提出数据开放需求,但暂未进行归集的,公共数据提供单位应当在规定时间内,遵循合法、正当、必要的原则,按照法定权限、范围、程序和标准规范归集数据。
(四)通过授权运营域进行统一授权,避免通过点对点直接授权。
(五)制定并落实与公共数据分级分类相适应的安全管理制度,确保数据安全。
第十六条 授权运营单位要求
(一)授权运营单位应当满足如下基本要求:
1. 建立党的基层组织,研究决定公共数据授权运营相关事项,落实党管数据的制度建设要求;
2. 经营状况良好,具备授权运营领域所需的专业资质、知识人才积累和生产服务能力,并符合相应的信用条件;
3. 企业及其法定代表人无重大违法记录;
4. 企业及其法定代表人未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单;
5. 特殊行业领域有更高要求的,从其规定。
(二)授权运营单位应当具备如下技术与安全要求:
1. 落实数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度;
2. 具有符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验;
3. 具备成熟的数据管理能力和数据安全保障能力;
4. 公共数据安全体系评估结果无中高风险项;
5. 近3年未发生网络安全或数据安全事件。
(三)授权运营单位应当按照应用场景向县大数据局申请公共数据,对应用场景和公共数据进行备案,并满足:
1. 应用场景明确,且具有重大经济价值或社会价值,并设置数据安全保障措施;
2. 按照应用场景申请使用公共数据,坚持最小必要的原则;
3. 应用场景具有较强的可实施性,在授权运营期限内有明确目标和计划,能够取得显著成效;
4. 应当在授权运营域内提出受限开放的公共数据需求申请,经县大数据局会同公共数据提供单位通过全省一体化数字资源系统审核同意后获取。涉及省回流数据的,应当经省大数据局、公共数据提供单位审核同意后获取;
5. 涉及个人信息、商业秘密、保密商务信息的公共数据,应经过脱敏、脱密处理,或经相关数据所指向的特定自然人、法人、非法人组织依法授权同意后获取。相关数据不得以“一揽子授权”、强制同意等方式获取。
(四)授权运营单位应当在授权运营域内对授权运营的公共数据进行加工处理,形成数据产品和服务。加工处理公共数据过程中应当满足:
1. 所有参与数据加工处理的人员须经实名认证、备案与审查,签订保密协议,操作行为应当做到有记录、可审查,保密协议应明确保密期限和违约责任;
2. 原始数据对公共数据使用主体不可见。授权运营单位使用经抽样、脱敏后的公共数据进行数据产品和服务的模型训练与验证;
3. 经县大数据局审核批准后,按照授权运营协议约定,可将依法合规获取的社会数据导入授权运营域,与授权运营的公共数据进行融合计算;
4. 在数据加工处理或提供服务过程中发现公共数据质量问题的,可向县大数据局提出数据治理需求。
(五)授权运营单位在运营过程中应当满足:
1. 加工形成的数据产品和服务,应当按照国家和省市有关数据要素市场规则流通交易,不得用于或变相用于未经备案的应用场景;
2. 对数据产品和服务的定价应当遵循依法合规、普惠公平、收益合理的原则;
3. 承担其在授权运营域内进行数据加工处理所产生的成本,包括授权运营域公共数据基础设施的资源消耗,以及数据脱敏、模型发布、结果导出服务等成本;
4. 在运营期限内,应当向县大数据局提交公共数据授权运营年度运营报告,报告内容包括:本单位与授权运营相关的数据产品和服务存储、加工处理、分析利用、安全管理及市场运营情况等;
5. 签订的授权运营协议有效期为3年。授权运营单位应当在期限届满6个月前,向县大数据局重新申请公共数据授权运营并签订授权运营协议。协议期间,授权运营单位可以申请提前终止协议;
6. 因数据汇聚、关联分析等原因发现数据间隐含关系与规律,并危害国家安全、公共利益,或侵犯个人信息、商业秘密、保密商务信息的,应立即停止相应的数据处理活动,及时向县大数据局报告数据风险情况;
7. 如发现存在数据安全隐患或其它不安全因素,应第一时间向县大数据局上报,并密切配合县大数据局做好数据安全事件的处置及调查工作,积极采取措施消除安全隐患。
一旦发现可能或已经发生数据泄露等数据安全事件的,应立即通知县大数据局,调查事件发生原因,积极采取补救措施,并承担相应责任。
(六)重点领域具体安全要求。由县大数据局会同相关领域主管部门研究确定。
第十七条 公共数据使用主体要求
(一)公共数据使用主体应当满足:
1. 无重大违法记录;
2. 未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单;
3. 资信情况良好,具备该领域所需的专业知识和生产服务能力。
(二)公共数据使用主体在使用数据产品和服务过程中应当满足:
1. 按照授权运营管理制度的要求与数据产品和服务使用协议的约定,采取必要的安全保障措施,并接受有关部门的监督检查;
2. 遵循合法、正当的原则使用数据产品和服务,不得损害国家利益、社会公共利益和第三方合法权益;
3. 应当按数据产品和服务使用协议要求说明用途,不得直接或间接提供给第三方,也不得用于或变相用于其他目的;
4. 在利用公共数据形成数据产品和服务、研究报告、学术论文等成果时,应当在成果中注明数据来源;
5. 在使用数据产品和服务时,发现数据质量不符合自身要求,或者有其他类型的公共数据资源需求,应当及时反馈授权运营单位,由其与县大数据局协商进行处理。
第十八条 公共数据主管单位要求
(一)县大数据局在依托公共数据平台进行公共数据授权运营工作时应当满足:
1. 指导授权运营单位依托授权运营域开展公共数据授权运营工作;
2. 收集公共数据授权运营相关需求,推动授权运营域迭代升级。
(二)县大数据局在协调公共数据需求时应当满足:
1. 对来自授权运营单位新增的数据资源需求,需与公共数据提供单位进行协商处理,决定是否可以进行授权运营;
2. 对数据质量问题的反馈,属于公共数据提供单位责任的由公共数据提供单位在规定期限内完成数据治理工作,属于数据授权运营平台责任的由数据授权运营平台在其负责的授权运营域内开展数据质量修复和提高工作;
3. 从数据提供数量、数据质量、数据应用等维度对公共数据提供单位的数据贡献情况进行评估,评估情况作为部门信息化项目审核与验收、试点示范申请、优秀案例评选等的重要参考。
(三)县大数据局在审核数据产品和服务时应当满足:
1. 审核授权运营单位加工形成的数据产品和服务。原始数据包不得导出授权运营域;通过可逆模型或算法还原出原始数据包的数据产品和服务,不得导出授权运营域;
2. 经县大数据局审核批准后导出授权运营域的数据产品和服务,不得用于或变相用于未经审批的应用场景。
(四)县大数据局在对公共数据授权运营过程进行监管和评价时应当满足:
1. 制定公共数据授权运营综合评价指标,会同有关单位或委托第三方机构,对本县授权运营单位开展授权运营情况年度评估,对授权运营单位实行动态管理,评估结果作为再次申请授权运营的重要依据。运营评估根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,不合格单位纳入30日限期整改范围,连续三次不合格取消授权资格;
2. 授权运营协议终止或撤销的,县大数据局应当及时撤销授权运营单位的授权运营域使用权限,及时删除授权运营域内留存的相关数据,并按照规定留存相关网络日志不少于6个月。
(五)县大数据局在对公共数据授权运营过程进行安全管理时,应当满足:
1. 建立健全授权运营安全防护技术标准和规范,落实安全审查、风险评估、监测预警、应急处置等管理机制,定期开展公共数据安全培训;
2. 会同网信、密码管理、保密行政管理、公安、国家安全等单位,按照“一授权一预案”要求,结合公共数据授权运营的应用场景制定安全应急处置预案,并不定期组织应急演练,每年不少于1次。未制定应急预案的,不得开展公共数据授权运营工作;发生数据安全事件时,应当按照应急预案启动应急响应,采取相应的应急处置措施,防止危害扩大,消除安全隐患;
3. 实施数据产品和服务的安全合规管理,对授权运营域的操作人员进行认证、授权和访问控制,记录数据来源、产品加工和数据调用等全流程日志信息;
4. 实施公共数据授权运营安全审计,对授权运营行为进行审计追踪;
5. 实施公共数据授权运营安全的监督检查;
6. 监督授权运营单位落实公共数据开发利用与安全管理责任;
7. 加强授权运营域的安全管理,健全安全防护体系,完善安全防护措施,保障授权运营域安全可靠运行;
8. 定期委托第三方机构,根据法律、法规等有关规定,对授权运营单位开展数据安全检测评估。根据评估意见,发现授权运营单位存在较大安全风险的,可依法依规对授权运营单位进行约谈,并要求其采取相应的安全措施进行整改,消除隐患。安全评估根据评估结果将授权运营单位分为“优秀”“合格”“不合格”三类,不合格单位纳入30日限期整改范围,连续三次不合格取消授权资格。
第四章 法律责任
第十九条 总体原则 公共数据授权运营坚持统筹发展和安全的原则,按照“公共数据分类分级”要求,加强公共数据全生命周期安全和合法利用管理,确保数据来源可溯、去向可查、行为留痕、责任可究。
公共数据授权运营安全坚持“谁运营谁负责、谁使用谁负责”的原则。授权运营单位主要负责人是运营公共数据安全的第一责任人。
违反本细则规定的行为,有关法律、法规、规章已有法律责任规定的,从其规定。
第二十条 公共数据提供单位处分情形 公共数据提供单位有下列行为之一,由县大数据局责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)未按照规定开放和更新本单位公共数据。
(二)未按照规定对开放授权运营数据进行脱敏、脱密等处理。
(三)未按照规定对拟开放数据进行评估、审查。
(四)不符合统一标准、新建独立授权运营渠道或者未按照规定将已有开放授权渠道纳入公共数据管理平台。
(五)未按照规定处理自然人、法人和非法人组织的异议或者告知。
(六)未按照规定记录受限开发类公共数据的授权运营全过程。
(七)未按照规定履行个人信息保护职责。
(八)未按照规定履行数据开放授权职责的其他行为。
第二十一条 授权运营单位法律责任 授权运营单位有下列行为之一的,由县大数据局责令改正,并暂时关闭其授权运营域使用权限;授权运营单位应在约定期限内改正,并反馈改正情况;情节严重的,由县大数据局终止其公共数据授权运营资格,由有权机关依法追究法律责任:
(一)未履行个人信息保护义务。
(二)侵犯商业秘密,个人隐私等他人合法权益。
(三)使用未经过评估的模型或算法加工公共数据,或者未经允许将社会数据导入授权运营域进行融合计算。
(四)泄露、窃取、篡改、毁损、丢失、不当利用公共数据,或将授权运营的公共数据提供给第三方。
(五)未按照规定记录和监管授权运营数据利用全过程行为。
(六)未按照规定将自然人、法人和非法人组织等公共数据使用主体的异议告知。
(七)未按照授权运营协议和数据利用协议落实数据安全保障措施,发生危害公共数据安全事件。
(八)未定期向县大数据局报告运营情况,未接受县大数据局对授权运营涉及的业务和信息系统、数据使用情况、安全保障能力等方面的监督检查,违反数据产品和服务定价与合理收益的有关规定。
(九)违反授权运营协议,属于违反网络安全、数据安全、个人信息保护有关法律法规规定的,由网信、公安等单位按照职责依法予以查处,相关不良信息依法记入其信用档案。
(十)违反反垄断、反不正当竞争、消费者权益保护等法律法规规定的,由有关单位按照职责依法处置,相关不良信息依法记入其信用档案。
(十一)未按照规定履行授权运营域管理职责、授权运营协议的其他行为。
第二十二条 公共数据使用主体责任处分情形 公共数据使用主体在数据产品和服务使用过程中有下列行为之一,有关部门依法追究相应法律责任:
(一)未履行数据利用协议规定的义务。
(二)侵犯商业秘密、个人隐私等他人合法权益。
(三)利用公共数据获取非法收益。
(四)未按照规定采取安全保障措施,造成危害信息安全事件。
(五)违反本细则规定,依法应当追究法律责任的其他行为。
第五章 附则
第二十三条 例外情况 涉及国家秘密与安全的公共数据,依照相关法律、法规执行。国家和省市对公共数据授权运营管理有新规定的,从其规定。
第二十四条 实施日期 本细则自印发之日起施行。