为建立健全数据要素市场规则,规范培育数据交易市场主体,推动数据安全有序流动。根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《江苏省公共数据管理办法》等规定,市大数据管理局起草了《泰州市公共数据授权运营管理办法(试行)》,现将《泰州市公共数据授权运营管理办法(试行)(公开征求意见稿)》全文在网上公布,广泛征求社会大众意见建议,公开征求意见时间:2023年11月24日—12月4日,意见建议通过邮寄信件、传真或者发送电子邮件的方式提交。

  通信地址:泰州市司法局行政法规处

  邮政编码:225300

  传    真:0523-86839191

  电子邮箱:tzzqyj@126.com

  附件1:《泰州市公共数据授权运营管理办法(试行)(公开征求意见稿)》

  附件2:《泰州市公共数据授权运营管理办法(试行)(公开征求意见稿)》解读

  发布时间: 2023-11-24截止时间: 2023-12-04

  泰州市公共数据授权运营管理办法(试行)

  (公开征求意见稿)

  第一章  总  则

  第一条 【目的依据】

  为规范全市公共数据授权运营行为,加快公共数据有序开发利用,培育数据要素市场,根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《江苏省公共数据管理办法》等规定,结合本市实际,制定本办法。

  第二条 【适用范围】

  本市行政区域内与公共数据授权运营相关的授权、加工、经营、安全监管等数据活动,适用本办法。

  第三条 【基本原则】

  公共数据授权运营应当坚持发展与安全并重,遵循政府统筹、需求导向、融合创新、共享红利、依法合规、安全可控的原则。

  第四条 【术语定义】

  本管理办法下列用语的含义:

  公共数据,是指本市各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位(以下统称公共管理和服务机构)为履行法定职责、提供公共服务收集、产生的,以电子或者其他方式对具有公共使用价值的信息的记录。

  公共数据授权运营,是指市人民政府委托市大数据主管部门按程序依法授权法人或者非法人组织(以下简称授权运营单位),依托公共数据授权运营域,对授权的公共数据进行加工处理,开发形成数据产品或服务,并向社会提供的行为。

  公共数据授权运营域(以下简称运营域),是指市大数据主管部门为授权运营单位提供加工处理公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁、全程审计等功能。

  授权运营协议(以下简称运营协议),是指市人民政府委托市大数据主管部门与授权运营单位就公共数据授权运营达成的书面协议,主要内容包括:相关主体的权利和义务、授权运营范围、运营期限、收益分配、数据安全要求、期限届满后资产处置、退出机制等。

  公共数据产品或服务(以下简称公共数据产品),是指利用公共数据参与加工形成的产品或服务,主要形态有数据包、数据接口、数据模型、数据核验、数据报告、业务服务等。

  第五条 【工作机制】

  建立健全市级公共数据授权运营工作协调小组(以下简称协调小组),协调小组组长由市政府分管领导担任,成员由市委网信办、市委国安办、市发展改革委、市工信局、市公安局、市财政局、市市场监管局、市大数据管理局等部门组成,对全市公共数据授权运营进行统筹管理。

  协调小组工作职责主要包括:

  1.建立健全公共数据授权运营相关制度规范和工作机制;

  2.讨论给予授权、终止或撤销授权等重大事项,并报市人民政府同意;

  3.监督指导公共数据授权运营年度评估工作;

  4.统筹协调解决公共数据授权运营工作中遇到的重大问题;

  5.建设授权运营工作专家库,适时成立专家组,负责对公共数据授权运营单位资质等进行综合评审,研究论证公共数据授权运营中的专业技术问题等,为协调小组的组织、运行和决策提供咨询意见和决策支撑。

  协调小组办公室设在市大数据主管部门,负责统筹确定协调小组会议议题、组织落实会议决议以及日常事务等。

  第六条 【职责分工】

  相关部门在各自职责范围内积极配合协调小组的公共数据授权运营指导与监督工作。

  市大数据主管部门负责全市公共数据授权运营的统筹管理和监督评价,指导、协调、督促其他有关部门按照各自职责做好公共数据授权运营相关工作。

  各市(区)大数据主管部门负责加强本区域公共数据的治理,使用全市统一的运营域,参照市级公共数据授权运营管理办法进行授权,协调、指导、监督本级公共数据授权运营工作。

  公共管理和服务机构及主管部门负责做好本领域公共数据的治理、申请审核和安全监管等授权运营相关工作。根据相关法律、法规和规范性文件,提供可授权运营的公共数据资源,监督本领域公共数据运营工作。

  市发展改革委、市工信局、市财政局、市市场监管局等部门按照各自职责,做好公共数据授权运营的市场化监督管理工作。

  市委网信办、市委国安办、市公安局等部门按照各自职责,做好公共数据授权运营的安全监督管理工作。

  第七条 【授权主体】

  市人民政府是公共数据授权主体,委托市大数据主管部门负责全市公共数据授权运营的具体实施工作和对授权运营单位实施日常监督管理。

  第八条 【授权方式】

  坚持“无场景不授权”,授权运营单位应当按照应用场景申请授权运营公共数据,应用场景应当满足以下条件:

  1.应用场景明确,且具有重大经济价值或社会价值。

  2.申请使用公共数据应当符合最小必要的原则。

  3.应用场景具有较强的可实施性,在授权运营期限内有明确目标和计划,能够取得显著成效。

  4.短期无法取得成效,但对当地社会经济效益有长期效益,也可酌情纳入。

  第九条 【授权范围】

  市大数据主管部门应当综合考虑与民生紧密相关、行业增值潜力显著、产业战略意义重大等因素,按照授权运营协议约定内容向授权运营单位授权公共数据。授权运营单位应当在运营域内对授权的公共数据进行加工处理,形成公共数据产品,经合法合规评估后向用户提供。

  涉及国家秘密的、影响公共安全的和有关法律法规明确规定不能对社会开放的公共数据,不得开展授权运营。对承载个人信息的公共数据,应当充分尊重个人授权意愿,依法依规采集、持有、托管和使用。

  第十条 【收益分配】

  推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。在运营协议中明确公共数据授权运营相关主体合理的收益分配。

  第二章  授权程序

  第十一条 【发布公告】

  市大数据主管部门协同相关行业主管部门制定并发布相关领域开展公共数据授权运营的公告,明确授权运营申报条件等。

  第十二条 【准入条件】

  授权运营单位应当满足以下准入条件:

  1.经营状况良好,具备授权运营领域所需的专业资质、知识人才积累和生产服务能力,并符合相应的信用条件。

  2.具有符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验。

  3.企业及其法定代表人未被列入失信被执行人名单、重大税收违法案件当事人名单。

  4.具有公共数据授权运营内部管理和安全保障制度,明确数据安全管理部门和负责人。

  5.近3年未发生网络安全或数据安全事件。

  授权运营单位应当在规定时间内向市大数据主管部门提交申请,包括提交授权运营申请表、最近一年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等相关材料。

  第十三条 【材料预审】

  市大数据主管部门对授权运营单位的材料进行初步审查,申请单位提交材料不齐全或者不符合形式要求的,应当在规定时间内补交相关材料。

  第十四条 【专家审查】

  市大数据主管部门组织召开专家论证会,授权运营单位详细介绍技术实力、资源优势等,专家组对授权运营单位的资质实力进行综合评审,对授权运营应用场景的安全性和合规性等进行集体研讨,出具论证评审意见。

  第十五条 【审定及公开】

  市大数据主管部门根据专家组评审结果,召开会议确定授权运营单位,报市人民政府备案。市大数据主管部门应当及时向社会公开公共数据授权运营单位等相关信息,对异议及时答复和处理。

  第十六条 【签订协议】

  由市人民政府委托市大数据主管部门与授权运营单位签订运营协议,授权运营期限由双方协商确定,一般不超过3年。

  第十七条 【授权终止】

  授权运营单位应当在期限届满6个月前,向市大数据主管部门重新申请公共数据授权运营。在授权运营期间,授权运营单位可以向市大数据主管部门提出公共数据授权运营提前注销申请。运营协议终止或撤销的,市大数据主管部门应当及时撤销授权运营单位的运营域使用权限。

  第三章  授权运营行为规范

  第十八条 【岗前培训】

  授权运营单位签订运营协议后,授权运营单位应当按要求组织授权运营管理、技术人员开展岗前培训,培训合格报市大数据主管部门备案后方可开通运营域相关权限。

  第十九条 【数据获取】

  授权运营单位应当依托运营域提出公共数据需求申请,市大数据主管部门应当及时将数据需求清单发送数源部门评估审核,并将审核通过的相应公共数据资源纳入运营域统一管理,并向授权运营单位开放相应权限。

  授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的,可以向市大数据主管部门提出数据治理需求。数据治理需求合理的,市大数据主管部门应当督促数源部门在规定期限内完成数据治理。

  第二十条 【数据加工】

  授权运营单位应当在运营域内对所申请的公共数据资源进行加工处理,形成可面向市场提供的数据产品。授权运营单位应当确保原始数据不出运营域;通过可逆模型或算法还原出原始数据的也不得出运营域。

  鼓励授权运营单位在遵循“原始数据不出域”的原则下,委托或协同企业、科研院所、社会组织等第三方主体积极拓展应用场景,挖掘公共数据需求,与授权运营单位合作开展公共数据加工利用,并接受市大数据主管部门的运营监督和安全管理。

  授权运营单位可以向市大数据主管部门提出定制化服务需求,并承担相应加工处理成本和服务费用。

  鼓励市(区)和市级有关部门(单位)发掘数据加工利用需求,与授权运营单位合作,利用公共数据进行应用示范,带动各类数据资源的增值加工利用。

  第二十一条 【数据供给激励】

  市大数据主管部门应当从数据提供数量、数据质量、数据应用等维度对数源部门的数据贡献情况进行评估,评估情况作为部门信息化项目申报、试点示范申请、优秀案例评选等的重要参考。

  第二十二条 【运营报告】

  授权运营单位在运营期限内,应当向市大数据主管部门提交公共数据授权运营年度运营报告,报告应当包括本单位数据资源的授权存储、加工处理、分析挖掘、融合利用情况,公共数据产品销售情况、成本及净利润情况等内容。

  第四章  数据安全与监督管理

  第二十三条 【主体责任】

  授权运营单位应当严格遵守数据安全、个人信息保护、反垄断、反不正当竞争、消费者权益保护等有关法律法规规定,严格执行公共数据使用定价及合理收益有关要求。

  按照“谁运营谁负责、谁使用谁负责”的原则,授权运营单位应当严格落实数据安全的主体责任,做好自有上传数据的合规性、合法性自查,根据市大数据主管部门要求签订数据安全承诺书,严格履行数据安全保护义务与保密义务,切实做好数据安全和个人信息保护工作。

  第二十四条 【安全监管】

  市大数据主管部门应当牵头组织对授权运营单位的授权运营相关业务和信息系统、数据使用情况、安全保障能力等进行监督检查。授权运营单位应当积极配合,并根据监管工作需要提供相关材料。

  第二十五条 【运营单位安全管理】

  授权运营单位应当根据公共数据分类分级管理要求,建立健全公共数据安全管理制度,对本单位公共数据授权运营相关的岗位人员、系统平台、技术应用、对外合作等开展全面的安全管理。

  授权运营单位应当充分利用各种技术手段,建立健全高效的安全技术防护和运行体系,加强对公共数据的全过程全周期安全防护和监测预警,确保公共数据安全,切实保护商业秘密和个人隐私。

  第二十六条 【问题上报】

  在数据授权运营过程中,授权运营单位如发现存在数据安全隐患或其他不安全因素,应当第一时间向市大数据主管部门上报,并密切配合市大数据主管部门做好数据安全事件的处置及调查工作,积极采取措施消除安全隐患。

  授权运营单位一旦发现可能或已经发生数据泄露等数据安全事件的,应当立即通知市大数据主管部门,调查事件发生原因,积极采取补救措施,并承担相应责任。

  第二十七条 【安全评估】

  市大数据主管部门应当定期委托第三方机构,根据法律、法规等有关规定,对授权运营单位开展数据安全检测评估。根据评估意见,发现授权运营单位存在较大安全风险的,依法依规对授权运营单位进行约谈,并要求其采取相应的安全措施进行整改,消除隐患。根据安全评估结果,市大数据主管部门有权终止运营域使用权限。

  第二十八条 【运营评估】

  市大数据主管部门应当会同相关部门对授权运营单位开展年度评估,实施动态管理,年度评估可以委托第三方机构开展,评估结果作为再次申请授权依据。授权运营单位应当配合有关部门做好安全保障、绩效评价等评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。

  第二十九条 【限期整改】

  授权运营单位违反运营协议,有下列情形之一的,应当按照协议约定要求制定整改方案,在规定期限内完成整改,报市大数据主管部门进行整改情况评估。整改期间,市大数据主管部门暂时关闭其运营域使用权限。

  (一)未履行公共数据安全管理义务的;

  (二)违规使用公共数据并造成损失的;

  (三)授权运营活动存在较大安全风险的;

  (四)未严格执行运营需求审批确定的数据使用范围和内容,超授权范围加工使用数据;

  (五)违反运营协议及相关法律法规规定的其他情形。

  授权运营单位在规定期限内未按照要求完成整改,情节严重或存在数据安全风险的,市大数据主管部门有权暂时停止其运营域使用权限。

  第三十条 【法律责任】

  授权运营单位及相关工作人员应当遵守国家法律法规的规定,授权运营单位工作人员侵犯商业秘密、个人隐私等他人合法权益或造成财产损失的,应当由授权运营单位直接承担法律责任。

  第五章  附  则

  第三十一条 【办法解释】

  本办法由泰州市大数据管理局负责解释。国家和省对公共数据授权运营管理有新规定的,从其规定。

  第三十二条 【施行日期】

  本办法自2023年 月 日起试行,有效期至    年 月 日。