为贯彻落实国家、省《关于构建数据基础制度更好发挥数据要素作用的意见》文件要求,加快推进我市数据基础制度建设,形成数据要素治理新格局,南京市数据局会同相关部门研究起草了《南京市公共数据授权运营管理暂行办法 》、《南京市数据资产登记暂行办法》。
为提高文件的科学性、民主性,现将征求意见稿予以公布。如有意见建议,请于3月29日前反馈至南京市数据局。
通信地址:南京市建邺区江东中路265号,南京市政务服务中心2146室
邮编:210008
电子邮箱:njsjjde@njnet.gov.cn
附件:1.南京市公共数据授权运营管理暂行办法(征求意见稿)
2.南京市数据资产登记暂行办法(征求意见稿)
南京市数据局
2024年3月21日
附件1
南京市公共数据授权运营管理暂行办法
(征求意见稿)
第一章 总则
第一条为贯彻落实中央、省数据要素相关文件精神,规范公共数据授权运营管理,加快推进公共数据有序开发利用,培育数据要素市场,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《江苏省公共数据管理办法》等有关法律法规和规章,结合本市实际,制定本办法。
第二条本办法适用于本市行政区域内公共数据授权运营试点工作。国家秘密和工作秘密信息不适用本办法,按照《中华人民共和国保守国家秘密法》等法律、行政法规的规定执行。
第三条 本办法下列用语的含义:
公共数据是指本市各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位为履行法定职责、提供公共服务收集、产生的,以电子或者其他方式对具有公共使用价值的信息的记录。
公共数据授权运营,是指依法依规获得授权的法人或者非法人组织(以下简称授权运营单位),对授权的公共数据进行运营管理,形成公共数据产品或服务并向社会提供的行为。
被授权运营单位,是指按照法定程序获取授权,开展公共数据加工处理和产品开发活动的法人或非法人组织。
运营管理平台,是指用于支撑开展公共数据授权运营活动的平台。
第四条本市建设公共数据专区,按照综合领域以及行业领域划分,分类推进授权运营工作。
(一)综合领域专区:面向跨领域、跨区域的综合应用场景而建设的综合数据区域,可向各行业领域、各区及其他公共数据专区提供数据支撑服务。
(二)行业领域专区:聚焦本市金融、医疗、交通、信用、文旅体育等重大领域应用场景建设的专题数据区域,以赋能相关领域产业发展为目标。优先支持行业增值潜力显著和产业战略意义重大的领域开展公共数据专区授权运营。
第二章 职责分工
第五条公共数据授权运营工作包括专区建设运营、数据管理、运行维护、监督管理及安全保障等。公共数据专区采取政府授权运营模式,选择具有技术能力和资源优势的企事业单位等主体开展运营管理。
第六条 公共数据授权运营工作相关部门职责如下:
市数据主管部门负责公共数据授权运营的统筹协调,制定公共数据专区授权运营规则,指导、管理综合领域公共数据专区的建设和运营。
相关行业主管部门作为行业领域专区监管部门,根据职责落实监管责任,指导、管理行业领域专区的建设和运营。
发展改革、工信、财政、市场监管、司法等单位按照各自职责,做好数据产品和服务流通交易的监督管理和流程合规工作。
网信、密码、保密、公安、国家安全等单位按照各自职责,做好授权运营的安全监管工作。
市城市数字治理中心按照数据主管部门的要求,依托市政务云建设并运维公共数据专区,提供数据加工环境和共性技术支撑。
第七条被授权运营单位作为专区运营主体,负责公共数据专区的数据产品开发、运营和安全保障等工作,须投入必要的资金、技术并积极引入相关社会数据。被授权运营单位应积极吸纳多元合作方、拓展应用场景,构建具有专区特色的产业生态体系。
第三章申请和退出流程
第八条 市数据主管部门会同专区监管部门发布重大领域、重点区域或特定场景开展公共数据专区授权运营的通知,明确申报条件和运营要求。
第九条 授权运营申请单位应在规定时间内向市数据主管部门提出申请,并提交授权运营申请表、最近1年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等材料。
被授权运营单位应符合以下基本条件:
(一)满足运营安全要求,包括经营状况良好,具备授权运营领域所需的专业资质、知识人才积累和生产服务能力,符合相应的信用条件等。
(二)满足技术安全要求,包括落实数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度;具有符合网络安全等级保护三级标准和商用密码应用安全性评估要求的系统开发和运维实践经验;具备成熟的数据管理能力和数据安全保障能力;近3年未发生网络安全或数据安全事件等。
除以上要求外,其余各项具体条件及技术要求,由市数据主管部门会同相关单位研究确定。
第十条 市数据主管部门会同专区监管部门建立专家评审机制,组织开展被授权运营单位综合评审,评审结果报市政府同意后向社会公开。市数据主管部门与被授权运营单位签订授权运营协议。
第十一条 授权运营协议应包括以下内容:授权主体和对象、授权内容、授权流程、授权应用范围、授权期限、责任机制、监督机制、终止和撤销机制等。
第十二条 授权运营协议的有效期一般不超过3年。被授权运营单位违反授权运营协议的,由市数据主管部门会同专区监管部门按照协议约定,暂停或终止公共数据专区授权运营协议。
第四章授权运营要求
第十三条 市数据主管部门负责会同行业领域专区监管部门按照《江苏省公共数据分类分级规范》以及各领域、各行业相关标准规范要求,开展公共数据向公共数据专区的开放应用。针对三级及以上数据,原则上脱敏后提供,或采用数据可用不可见等必要技术手段实现有条件开放。
第十四条 被授权运营单位可结合应用场景按需提出公共数据共享申请。被授权运营单位提出申请后,由专区监管部门进行评估确认,经数据来源部门审核同意后依托市共享交换平台授权共享到数据开发与运营管理平台。
第十五条公共数据遵照“原始数据不出域,数据可用不可见”的总体要求,在维护国家数据安全、保护个人信息的前提下开展授权运营。对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围。规范对个人信息的处理活动,不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。
第十六条用于产业发展、行业发展的公共数据,依据相关法律和规定,有条件有偿使用。探索将公共数据授权运营纳入政府国有资源(资产)有偿使用范围,研究确定公共数据使用定价方式。收入按非税收入管理规定上缴财政。
第十七条市数据主管部门统筹制定公共数据专区运营绩效考核评估指标体系,定期组织专区监管部门、数据提供部门等开展专区应用绩效考核评估。对于考核评估结果优秀的被授权运营单位,优先试点创新举措,并在数据申请应用、产业政策引导等方面倾斜。对于评估结果较差的被授权运营单位,由数据主管部门会同专区监管部门进行提醒或约谈,连续两次评估结果较差的,按照协议约定终止专区授权运营协议。
第十八条被授权运营单位应将专区运营成果向市数据主管部门以及相关行业主管部门进行反馈,并定期反馈公共数据应用绩效。鼓励被授权运营单位将其自有数据提供本市相关政务部门共享使用。
第十九条 专区实行数据产品及服务管理制度。被授权运营单位围绕其形成的可面向市场提供的数据产品及服务,应及时按照授权运营协议的约定将相关定价及依据、应用场景、使用范围及方式等向专区监管部门报告。
第二十条市数据主管部门会同相关部门、被授权运营单位共同建立数据质量评估和数据质量逐级倒查反馈机制,以提升数据的准确定、规范性、一致性、完整性、时效性和可访问性。对于错误和遗漏等数据质量问题,数据提供部门在职责范围内,须及时处理并予以反馈。各部门数据共享提供及质量情况纳入本市数字政府建设工作考核,鼓励各部门提供高质量数据。
第五章安全和监督
第二十一条 市数据主管部门联合网信、公安等监管部门加强各专区数据安全的监督检查,将专区检查纳入全市安全检查计划,每年开展监督检查。专区监管部门和被授权运营单位应当配合检查,及时整改检查中发现的问题,防范数据安全风险。
第二十二条市城市数字治理中心承担数据开发与运营管理平台的安全主体责任。平台应当按照国家法律法规和网络安全等级保护三级及以上标准建设、管理和运维。建立并严格落实网络安全和公共数据安全管理制度,明确主体安全责任、行为规范和管理要求。采取技术措施和其他必要措施,保障数据安全、网络安全和平台稳定运行。
第二十三条 市城市数字治理中心应建立公共数据专区技术监管体系,充分利用可信空间等技术手段,在确保数据安全可控的前提下,开展数据授权使用,当监测发现安全风险、专区授权运营协议暂停或终止时,可通过技术策略终止公共数据授权使用行为。
第二十四条 被授权运营单位是公共数据专区的管理责任主体,承担专区数据安全主体责任。被授权运营单位应在专区监管部门的监督指导下,健全安全管理制度,建立职能清晰的运营团队,明确数据安全责任人,严格管理公共数据专区运营工作,落实数据汇聚、存储、开发利用等各环节的数据安全管理责任。建立数据泄露溯源、数据篡改及违规使用的监测预警机制,确保数据的安全合规使用。如被授权运营单位发生违反法律法规情形,应承担相应法律责任。
第二十五条 公共数据使用应遵循场景驱动、集约利用原则,按需申请共享数据并在授权范围内使用,不得将数据用于或变相用于其他目的,不得以任何形式对外提供原始数据。被授权运营单位应当明确数据管理策略,建立数据管理制度和操作规程,明确数据的归集、传输、存储、使用、销毁等各环节的管控要求。
第六章附则
第二十六条 本办法自发布之日起30日后施行,有效期为2年。由市数据主管部门负责解释。国家、省和本市对公共数据专区授权运营有新规定的,从其规定。
附件2
南京市数据资产登记暂行办法
(征求意见稿)
第一章 总则
第一条为规范数据资产登记行为,保护数据要素市场参与主体的合法权益,促进数据的高效流动和开发利用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《江苏省公共数据管理办法》等有关法律法规和规章,结合南京市实际,制定本办法。
第二条本办法中下列用语的含义:
数据资产,是指以数据为载体和表现形式,能进行计量的,并能为组织带来直接或者间接经济利益的数据资源。
数据资产登记,是指经数据资产相关权利人申请,数据资产登记机构依法将数据资产相关信息及权利在数据资产登记系统上予以记载和公示,并核发登记证书的行为。
数据权利,是指数据资源持有权、数据加工使用权、数据产品经营权。
登记机构,是指负责提供数据资产登记服务的机构。
第三方服务机构,是指对数据资产和数据权利的真实性和合法合规性进行实质性审查,并出具相应审查报告的机构。
第三条在本市行政区域产生的数据资产的首次登记、许可登记、转移登记、变更登记、注销登记、撤销登记和异议登记,适用本办法。
第四条市数据局负责统筹协调全市数据资产登记工作,主要履行以下职责:
(一)建立健全全市数据资产登记制度,规范数据资产登记行为;
(二)推动建设数据资产登记平台,指导登记机构制订相关技术标准,积极推动跨地域登记规则互认;
(三)会同相关部门建立协同配合的数据资产登记监管工作机制,指导数据资产登记活动依法有序开展。
市委网信办、市公安局、市国家安全局、市财政局、市国资委在各自职责范围内承担数据资产登记监管职责。
第二章 登记内容和条件
第五条数据资产登记信息包括数据资产基本信息、数据权利信息。数据资产基本信息包括名称、登记主体信息、数据结构、数据字典、数据规模、数据周期、生产频率、存储方式、覆盖区域、所属行业、应用场景、数据质量和数据价值等。数据权利信息包括权利主体、权利路径、权利类型、权利范围、权利期限和权利限制等。
第六条申请进行登记的数据资产和相关权利应具备以下条件:
(一)符合相关法律法规、标准规范的要求;
(二)权利来源清晰,权利链条可追溯,不存在权利争议、侵权或违法违规行为;
(三)无数据质量瑕疵;
(四)不属于国家保密法律、法规所规定的国家秘密、工作秘密信息。
第三章 登记申请人及登记主体
第七条登记申请人是指向登记机构发起登记行为的自然人、法人或非法人组织。登记申请人应确保登记申请材料及登记内容的真实性和完整性,确保所登记的数据资产来源合法、内容合规、授权明晰。
第八条登记主体是指在登记机构完成登记,取得相关登记证明的自然人、法人或非法人组织。
登记主体具有以下权利:
(一)对合法取得的数据资产享有相应的数据资源持有、数据加工使用和数据产品经营的权利;
数据资源持有是指在相关法律法规或合同约定下,相关主体可对数据资源进行管理、使用、收益等行为。
数据加工使用是指在相关法律法规或合同约定下,相关主体以各种方式、技术手段对数据进行采集、使用、分析或加工等行为。
数据产品经营是指在相关法律法规或合同约定下,相关主体可对数据产品进行占有、使用、收益或处分等行为。
(二)依法依规获取的数据资产登记证书,可作为数据交易、融资质押、数据资产入表、会计核算、争议解决的依据。
第四章 登记机构
第九条登记机构具体承担全市数据资产登记工作,提供登记服务。履行下列职责:
(一)制定并执行数据登记服务、登记审查、争议解决等业务规则,推动我市登记规则与其他城市登记规则互认和交易规则衔接;
(二)数据资产的登记申请受理、审查、公示和发证;
(三)依法提供与数据资产登记业务有关的查询、信息咨询和培训服务;
(四)运营和维护数据资产登记平台,建立登记信息内部控制制度,采取必要措施保障系统安全、稳定运行;
(五)配合相关行政管理部门对第三方服务机构违法违规行为进行处罚;
(六)经批准的其他业务。
第十条登记机构应当运用区块链等技术,对登记信息进行上链保存,并妥善保存登记的原始凭证及有关文件和资料。其保存期限不得少于三十年。法律法规另有规定的,从其规定。
第十一条登记机构应当公开业务规则,登记机构制定或者变更业务规则应当征求相关市场主体的意见并向主管部门报备。
第十二条登记机构及其工作人员依法对登记业务有关的数据、文件和资料负有保密义务。但有下列情形之一的,登记机构应当办理:
(一)登记主体查询其自身有关数据和资料;
(二)数据交易场所履行准入审查职责需要登记机构提供相关数据和资料;
(三)人民法院、人民检察院、国家安全机关、公安机关和监管部门等依照法定的条件和程序进行查询和取证;
(四)其他法律、法规规定应当办理的情形。
第五章 登记行为
第十三条数据资产登记类型包括首次登记、许可登记、转移登记、变更登记、注销登记、撤销登记和异议登记。办理许可登记、转移登记、变更登记、注销登记、撤销登记和异议登记前,需办理首次登记。
第十四条首次登记是指数据资产的第一次登记,是对数据资产相关权利归属及相关情况的记录。首次登记程序为申请、受理、审查、公示和发证。首次登记由第三方服务机构进行实质性审查,登记机构进行形式审查。登记申请人办理登记前,应当与其他利害关系人就登记内容达成一致。
申请首次登记的登记申请人应当提交下列材料:
(一)首次登记申请表;
(二)数据资产基本信息表;
(三)数据资产来源和相关权利来源佐证材料;
(四)与他人无权属争议的书面承诺;
(五)第三方服务机构出具的包含数据资产来源和相关权利来源真实性、合法合规性情况的实质性审核材料;
(六)登记申请人身份证明相关材料;
(七)相关法律、法规、规章以及登记机构登记实施细则等相关文件规定的其他材料。
第十五条登记机构收到登记申请后,应当在10个工作日内完成申请材料审查。申请材料齐全、符合规定要求的,应当在登记系统进行公示,公示期内利害关系人可以提出异议;申请材料不齐全或者不符合规定要求的,应当于3个工作日内一次性通知申请人补正。申请人应当在收到补正通知之日起10个工作日内补正,无正当理由逾期不补正的,视为撤回登记申请。
公示内容应当包括申请人、数据资产基本信息、申请登记的数据权利等。公示期为10个工作日,自发布公示内容之日起计算。公示期间,任何单位和个人对公示内容有异议的,应当向登记机构提交书面异议申请并提供必要的证明材料。异议申请不符合要求的,应当在登记部门指定期限内补正,无正当理由逾期不补正或补正不符合要求的,视为撤回异议申请。
登记机构收到异议申请后,应当在3个工作日内将异议申请及相关材料转送登记申请人;登记申请人应当在收到异议申请10个工作日内向登记部门提交异议答辩材料和必要的证据。登记部门根据双方提交的证据材料形成异议处理结果,并将处理结果反馈申请人和异议人。异议期间暂缓登记。
公示期限届满无异议或异议不成立的,登记部门对登记申请予以核准,颁发数据资产登记证书。
第十六条 市场主体通过合法交易等方式获得已登记数据资产加工使用等权利许可的,权利获得主体可以向登记机构申请许可登记。
许可登记程序为申请、受理、审查和发证。
申请许可登记的登记申请人应当提交下列材料:
(一)许可登记申请书;
(二)许可信息表,包括许可权利人、被许可权利人、许可权益、许可方式、保密要求、使用限制、使用期限等;
(三)数据资产流通记录等许可佐证材料;
(四)第三方服务机构出具的许可真实性和合法性的实质性审核材料;
(五)登记申请人身份证明相关材料。
第十七条数据资产的权利主体发生变更的,新权利主体可以向登记机构申请转移登记。
转移登记程序为申请、受理、审查和发证。申请转移登记的登记申请人应当提交下列材料:
(一)转移登记申请书;
(二)新权利主体身份佐证材料;
(三)数据资产权利主体转移的佐证材料;
(四)第三方服务机构出具的转移真实性和合法性的实质性审核材料。
第十八条原登记内容发生变化或需变更原登记内容的,登记主体应及时向登记机构申请变更登记。
变更登记程序为申请、受理、审查和发证。
申请变更登记的登记申请人应当提交下列材料:
(一)变更登记申请书;
(二)变更内容的佐证材料;
(三)登记机构要求提供的其他材料。
第十九条登记主体可向登记机构申请数据资产的注销登记。因人民法院、仲裁委员会的生效法律文书等情形导致原权利主体的数据资产相关权利灭失的,由新权利主体进行注销或转移登记;如无新权利主体,可由登记机构对相关数据资产进行注销。
注销登记程序为申请、受理、审查和销证。
申请注销登记的登记申请人应当提交下列材料:
(一)注销登记申请书;
(二)权利变更或灭失的佐证材料;
(三)登记机构要求提供的其他材料。
第二十条有下列情形之一的,登记机构可以决定撤销全部或部分登记的结果:
(一)登记主体在申请登记时隐瞒真实情况或以伪造有关材料等欺骗手段获准登记的;
(二)法律、法规、规章规定的其他情形。
第二十一条利害关系人认为登记内容错误,且登记主体拒绝办理变更登记或注销登记的,利害关系人可向登记机构申请异议登记,并提交相应证明材料。登记机构受理异议登记申请的,应当将异议事项记载于登记凭证,并向登记申请人出具异议登记证明。
异议登记申请人应当在异议登记受理之日起15日内,提交人民法院受理通知书、仲裁委员会受理通知书等提起诉讼、申请仲裁的材料。逾期不提交的,异议登记失效。异议登记失效后,申请人就同一事项以同一理由再次申请异议登记的,登记机构不予受理。登记机构根据人民法院判决、裁定或仲裁机构裁决等法律文书对数据资产进行相应处置。
异议登记期间,登记凭证上记载的权利人以及第三人因处分权利申请登记的,登记机构应当书面告知申请人该权利已经存在异议登记的有关事项。申请人申请继续办理的,应当予以办理,但申请人应当提供知悉异议登记存在并自担风险的书面承诺。
第二十二条 有下列情形之一的,登记机构不予办理登记:
(一)关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据的或者涉及国家秘密、商业秘密、个人隐私的数据的;
(二)登记数据内容可能违反公序良俗、违背社会主义核心价值或者有其他不良影响的;
(三)数据获取方式违反法律、法规规定或应获得数据来源方授权而未获得授权的;
(四)存在尚未解决的权属争议的;
(五)存在登记异议且异议理由成立的;
(六)法律、法规、规章规定的其他情形。
第六章 监督与管理
第二十三条市数据局会同市委网信办、市发改委、市公安局、市财政局、市市场监管局以及各行业主管部门(统称“监管部门”),建立跨部门的协同监管机制,承担以下职责:
(一)制定监管制度,建立协同监管工作机制;
(二)落实“双随机、一公开”监管要求,制定监督检查方案并组织实施;
(三)协调、督促相关部门对检查发现或投诉举报的问题依照法律法规进行处理处罚;
(四)其他数据资产登记监管事项。
第二十四条监管部门依法依规对登记机构履行数据安全责任、落实安全管理制度和保护技术措施等情况进行监督,对登记机构不定期开展检查,查阅、复制有关文件和资料,对登记机构有关人员进行约见、谈话和询问。
登记机构应当积极配合监督检查,并如实反映情况,提供工作底稿及相关资料。
第二十五条登记机构应当建立数据资产登记监控制度,发现有违反市场监督管理、网络安全、数据安全等方面相关的法律、法规、规章,损害国家利益和社会公共利益,侵犯个人隐私和商业秘密的行为,应当依法采取必要的处置措施,保存有关记录,并向监管部门报告。
第二十六条登记机构应当建立保护数据传输、存储和使用安全的基础设施,加强防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力建设,制定数据安全事件应急预案,对重要系统和数据库进行容灾备份,定期开展数据安全等级保护测试和渗透测试,关键设备应采用自主可控的产品和服务。
第二十七条登记机构和第三方服务机构应当实施保密措施,确保数据资产登记相关材料不被泄露或用于不正当活动。
第二十八条 登记机构应当制定数据分级分类登记管理实施细则,根据数据的不同级别和类别采取不同的登记管理措施。
第七章 法律责任
第二十九条登记申请人应当按照登记平台提示项目如实登记,并对登记内容的真实性、完整性和合法性负责。办理登记时,存在提供虚假材料等行为给他人造成损害的,登记申请人应当承担相应的法律责任。因登记申请人填写错误等情形导致不能正确登记的,其后果由登记申请人自行承担。
第三十条登记机构及其工作人员因登记错误给他人造成损害,应当承担相应的法律责任。登记机构工作人员进行虚假登记,损毁、伪造数据资产登记证明,擅自修改登记事项,泄露数据资产登记信息,利用数据资产登记信息进行不正当活动,或者有其他滥用职权、玩忽职守行为的,由相关部门根据职责分工依法给予查处;给他人造成损害的,依法承担赔偿责任;构成犯罪的,依法追究刑事责任。
第三十一条第三方服务机构出具评估报告或其它审查报告时,应当保证报告的客观性、真实性、准确性和完整性,因虚假记载、误导性陈述、信息泄露或其它他违反法律法规、行业规则的情形给他人造成损害的,依法承担赔偿责任;构成犯罪的,依法追究刑事责任。
第八章 附则
第三十二条登记机构可以依照本办法制定数据资产登记和管理的具体实施细则。
第三十三条本办法自公布之日起30日后施行,有效期自施行之日起两年。本办法由市数据局负责解释。