本文来自云南省人民政府。
日前,云南省人民政府办公厅印发《云南省公共数据管理办法(试行)》(以下简称《办法》)。对云南省行政区域内公共数据的收集、归集、存储、加工、传输、共享、开放、开发等数据处理活动及数据安全管理作了详细说明,自明年3月1日起施行。
公共数据,是指本省各级行政机关和经法律、法规授权的具有管理公共事务职能的组织,以及供水、供电、供气等公共服务运营单位(以下统称公共机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。
建设统一的公共数据平台
公共数据平台和公共数据资源体系建设方面,《办法》规定,省公共数据主管部门统筹规划和建设全省统一的公共数据平台,为公共数据处理活动提供支撑。各州、市、县、区不再建设本级公共数据平台;已建设的,应对接全省统一的公共数据平台并纳入统一管理。公共数据主管部门应当依托公共数据平台建立统一的数据共享、开放通道,公共机构通过该通道共享、开放公共数据,并且全省公共数据实行统一的目录化管理,省公共数据主管部门制定统一的目录编制标准,组织编制省级和全省公共数据目录并统一发布。
科学收集共享公共数据
公共数据收集和归集方面,《办法》规定公共机构收集数据应当遵循合法、准确、及时的原则,按照法定权限、范围、程序和标准规范收集。可以通过共享获取数据的,公共机构不得重复收集。公共机构根据公共数据目录,按照应用需求将公共数据统一归集到公共数据平台基础数据库和主题数据库。州、市、县、区公共机构根据公共数据目录,按照应用需求将公共数据统一归集到本级主题数据库。自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整或者不一致的,可以向收集该数据的公共机构提出校核申请。
云南省公共数据管理办法(试行)
第一章 总则
第一条 为了加强公共数据管理,保障公共数据安全,促进公共数据共享、开放和应用,保护自然人、法人和非法人组织合法权益,深入推进数字云南建设,促进省域治理体系和治理能力现代化,根据有关法律、法规、规章和政策规定,结合本省实际,制定本办法。
第二条 本省行政区域内公共数据的收集、归集、存储、加工、传输、共享、开放、开发等数据处理活动及数据安全管理,适用本办法。
涉及国家秘密的公共数据及相关处理活动,或者法律、法规和党中央、国务院政策文件对公共数据管理另有规定的,按照有关规定执行。
第三条 本办法下列用语的含义:
(一)数据,是指任何以电子或者其他方式对信息的记录。
(二)公共数据,是指本省各级行政机关和经法律、法规授权的具有管理公共事务职能的组织,以及供水、供电、供气等公共服务运营单位(以下统称公共机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。公共服务运营单位实施公共服务以外的数据处理活动,不适用本办法。
根据我省应用需求,税务、海关等国家有关部门派驻云南的管理机构授权提供的数据,属于本办法所称公共数据。
(三)数据主体,是指相关数据所指向的自然人、法人和非法人组织。
(四)公共数据共享,是指公共机构因履行法定职责或者提供公共服务需要,依法使用其他公共机构的数据,或者向其他公共机构提供数据的行为。
(五)公共数据开放,是指公共机构向自然人、法人或者非法人组织依法提供公共数据的公共服务行为。
第四条 公共数据管理工作坚持中国共产党的领导,遵循集约建设、统一标准、分类分级、汇聚整合、共享开放、安全可控的原则。
第五条 县级以上政府应当将公共数据发展和管理工作纳入国民经济和社会发展规划以及数字政府建设等相关专项规划,建立健全工作协调机制和公共数据管理工作考核评价机制,保障公共数据发展和管理工作所需经费,并将公共数据发展和管理工作作为年度政府目标责任制考核的重要内容。
第六条 县级以上政府数据管理机构作为公共数据主管部门,负责下列工作:
(一)统筹本行政区域内公共数据资源管理工作。
(二)对公共机构提出公共数据管理任务和要求。
(三)编制、维护本级公共数据资源目录,建立公共数据资源清单管理机制。
(四)会同标准化行政主管部门制定公共数据有关标准和技术规范;上级数据主管部门已制定的,从其规定。
(五)对公共机构的公共数据管理工作进行监督评估,并向本级政府提出相应的督查督办建议。
第七条 公共机构应当履行本机构公共数据管理的主体责任,负责下列工作:
(一)明确公共数据管理的目标、责任、实施机构及人员。
(二)编制本机构公共数据资源目录,依法制定本机构公共数据收集清单和规范。
(三)本机构公共数据的校核、更新、汇聚。
(四)本机构公共数据的共享和开放。
(五)本机构公共数据的安全管理。
(六)法律、法规、规章规定的其他管理职责。
第二章 公共数据平台和公共数据资源体系
第八条 省公共数据主管部门统筹规划和建设全省统一的公共数据平台,为公共数据处理活动提供支撑。各州、市、县、区不再建设本级公共数据平台;已建设的,应对接全省统一的公共数据平台并纳入统一管理。
第九条 公共数据主管部门应当依托公共数据平台建立统一的数据共享、开放通道。公共机构应当通过统一的共享、开放通道共享、开放公共数据。
公共机构不得新建公共数据共享、开放通道;已建共享、开放通道的,应当并入统一的共享、开放通道。
第十条 省公共数据主管部门组织省直有关部门,依托公共数据平台建设全省一体化的公共数据资源体系,按照职责建立健全人口、法人、自然资源、经济、电子证照等基础数据库和医疗健康、政务服务、社会保障、生态环保、信用体系、应急管理、税收征管等主题数据库。
州、市、县、区公共数据主管部门应当组织同级有关部门按照职责建立健全本级主题数据库。
第十一条 省公共数据主管部门应当会同有关部门,根据国家有关公共数据分类分级要求,制定省公共数据分类分级规则。
州、市公共数据主管部门牵头,根据省公共数据分类分级规则,增补完善本行政区域内公共数据的分类分级规则。
行业主管部门根据省公共数据分类分级有关规定,加强对本部门公共数据的分类分级管理。
第十二条 全省公共数据实行统一的目录化管理,省公共数据主管部门制定统一的目录编制标准,组织编制省级和全省公共数据目录并统一发布。
州、市、县、区公共数据主管部门应当按照统一标准,组织编制本级公共数据目录,并报上一级公共数据主管部门审定。
公共机构应当按照统一标准,编制本部门(单位)公共数据目录,报同级公共数据主管部门审定;有修改意见的,应当在10个工作日内完成修改。
公共数据主管部门应当通过公共数据平台发布本级公共数据目录。
第十三条 公共数据目录应当包括公共数据的数据形式、共享内容、共享属性、共享条件、共享范围、开放属性、更新频率和公共数据的收集、核准、提供部门等内容。
法律、法规、规章依据或者法定职能发生变化的,公共机构应当在15个工作日内更新本机构公共数据目录,并报本级公共数据主管部门审定。公共数据主管部门应当在5个工作日内审定,并更新本级公共数据目录。
第十四条 使用财政性资金新建和升级改造信息系统的,项目单位应当向同级公共数据主管部门提交项目所涉及的公共数据目录;项目竣工验收前应当更新公共数据目录并向公共数据平台共享和归集相关公共数据。
通过政府购买服务方式形成或者运维的信息系统,按照前款规定提交和更新公共数据目录,并归集相关公共数据。
第十五条 省公共数据主管部门应当会同省标准化主管部门和其他有关部门,推进本省公共数据标准体系建设,制定公共数据处理和安全管理等标准,推动公共数据国家标准、行业标准和地方标准有效实施。
第十六条 公共数据主管部门、公共机构应当建立健全数据全流程质量管控体系,加强数据质量事前、事中和事后的监督检查,及时更新已变更、失效数据,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。
第十七条 公共机构应当加强公共数据电子文件管理,依法合理确定保存期限和归档范围,按照归档管理要求及时归档并向档案管理部门移交,法律、法规另有规定的除外。
第十八条 省和州、市公共机构按照“按需提供、安全可控”的原则,可采取数据回流、数据专区等方式,通过公共数据平台向下级公共机构提供数据。
需要回流的公共数据,下级公共机构提出申请,上级公共机构应当在5个工作日内予以答复。
第三章 公共数据收集和归集
第十九条 公共机构收集数据应当遵循合法、准确、及时的原则,按照法定权限、范围、程序和标准规范收集。可以通过共享获取数据的,公共机构不得重复收集。
第二十条 收集公共数据应当分别以下列号码或者代码作为必要标识:
(一)公民身份号码或者个人其他有效身份证件号码;
(二)法人统一社会信用代码;
(三)非法人组织统一社会信用代码或者其他识别代码。
公共机构收集数据时,不得强制要求个人采用多种方式重复验证或者特定方式验证。已经通过有效身份证件验明身份的,不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证。法律、行政法规另有规定的除外。
第二十一条 省公共机构应当根据公共数据目录,按照应用需求将公共数据统一归集到公共数据平台基础数据库和主题数据库。州、市、县、区公共机构应当根据公共数据目录,按照应用需求将公共数据统一归集到本级主题数据库。
第二十二条 自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整或者不一致的,可以向收集该数据的公共机构提出校核申请。公共机构应当自收到校核申请之日起5个工作日内校核完毕;情况复杂的,经公共机构负责人批准,可以延长至10个工作日。公共机构应当将校核处理结果及时告知当事人。
自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整或者不一致的,也可以向公共数据主管部门提出校核申请。公共数据主管部门应当自收到校核申请之日起2个工作日内转交相应公共机构,并督促公共机构在前款规定的期限内校核完毕。
公共数据主管部门、公共机构发现数据不准确、不完整或者不一致的,由公共数据主管部门通知数据收集、提供单位限期校核。数据收集、提供单位应当在期限内校核完毕。
第二十三条 公共机构根据法律、法规、规章规定,在发生紧急情况时,可以要求有关单位提供或者向数据主体紧急收集与突发事件应对、国防动员相关的数据。
突发事件应对结束后,公共机构应当对相关公共数据进行分类评估,采取封存、销毁等方式将涉及国家秘密、个人隐私、个人信息、商业秘密、保密商务信息的公共数据进行安全处理,并关停相关数据应用。法律、法规另有规定的,从其规定。
第二十四条 数据主体有权依法向公共机构申请查阅、复制本单位或者本人的数据;发现相关数据有错误或者认为个人隐私、个人信息、商业秘密、保密商务信息等合法权益受到侵害的,有权依法提出异议并请求及时采取更正、删除等必要措施。
第四章 公共数据共享
第二十五条 公共数据以共享为原则,不共享为例外。公共数据主管部门应当建立统一的公共数据共享申请、审批和反馈机制,负责组织实施公共数据共享。
第二十六条 公共数据按照共享属性分为无条件共享、有条件共享、不予共享数据。
可提供给所有公共机构共享使用的公共数据属于无条件共享数据。
可以按照一定条件提供给有关公共机构共享使用的公共数据属于有条件共享数据。
不宜提供给其他公共机构共享使用的公共数据属于不予共享数据。
第二十七条 公共机构应当根据实际情况定期更新公共数据的共享属性。列为有条件共享数据的,应当说明理由并明确共享条件;列为不予共享数据的,应当提供法律、行政法规或党中央、国务院政策依据。
公共数据主管部门对同级公共机构确定的公共数据共享属性有异议,经协商不能达成一致意见的,报本级政府决定。
同级公共机构之间对数据共享属性有异议的,应当相互协商;不能达成一致意见的,报同级公共数据主管部门协商;仍不能达成一致意见的,由公共数据主管部门报同级政府决定。
第二十八条 公共机构需要通过共享获取数据的,应当向数据提供单位提出申请,明确应用场景,通过公共数据平台以接口调用、批量数据使用等方式获取数据。
无法按照前款规定获取数据的,可以向公共数据主管部门提交数据需求清单,由公共数据主管部门与相关公共机构协商解决。
第二十九条 无条件共享的公共数据,由公共机构通过公共数据平台向数据提供单位获取,数据提供单位应当在2个工作日内予以共享。
有条件共享的公共数据,由公共机构通过公共数据平台向数据提供单位提出共享申请,数据提供单位应当在5个工作日内予以答复。同意共享的,数据提供单位应当在答复之日起5个工作日内完成数据共享;不予共享的,应当提供法律、行政法规或党中央、国务院政策依据。
对于不予共享的公共数据,以及不符合共享条件的有条件共享的公共数据,公共机构可以向数据提供单位提出核实、比对需求,数据提供单位应当通过适当方式及时予以配合。法律、法规、规章另有规定的除外。
公共机构通过线上共享公共数据确有困难的,可以通过线下方式实施数据共享。
第三十条 公共机构通过共享获取的公共数据,应当用于本机构依法履行职责的需要,不得用于或者变相用于其他目的。数据提供单位有权了解相关数据使用情况。
第五章 公共数据开放和开发
第三十一条 公共数据开放按照合法、规范、公平、便民的原则,在法律、法规、规章允许范围内向社会最大限度开放。
第三十二条 公共数据按照开放属性分为不予开放、有条件开放、无条件开放数据。法律、法规和党中央、国务院政策规定禁止开放的,开放后可能危及国家安全、公共安全或者损害公共利益的公共数据,或者涉及个人隐私、个人信息、商业秘密、保密商务信息的公共数据,以及数据获取协议约定不得开放的公共数据列入不予开放数据。对数据安全和处理能力要求较高,或者需要依法授权向特定自然人、法人或者非法人组织开放的公共数据,列入有条件开放数据。其他公共数据列入无条件开放数据。
不予开放数据经过依法脱密、脱敏处理或者相关权利人同意开放的,可以列入无条件开放数据或者有条件开放数据。
鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据推动按用途加大供给使用范围。
第三十三条 省公共数据主管部门组织科学编制省公共数据开放目录,并确定公共数据开放重点。
州、市公共数据主管部门应当依照省公共数据开放目录组织编制本州、市公共数据开放目录。
公共数据开放目录应当标注数据名称、数据开放主体、数据开放属性、数据格式、数据类型、数据更新频率等内容。
省和州、市公共数据开放目录发布到公共数据平台,实行年度动态调整。
第三十四条 公共机构应当按照省公共数据主管部门要求,将审核后开放的公共数据通过公共数据平台对社会开放。公共数据平台可以设立州、市、县、区公共数据开放专区,州、市、县、区依托专区开展本级公共数据开放活动。
第三十五条 自然人、法人或者非法人组织需要获取无条件开放公共数据的,可以通过公共数据平台获取。
自然人、法人或者非法人组织需要获取有条件开放公共数据的,可以通过公共数据平台向数据提供单位提出申请,数据提供单位审核后确定是否同意开放。经审核同意开放公共数据的,申请人应当通过公共数据平台与数据提供单位签署安全承诺书,签订开放利用协议。
第三十六条 自然人、法人或者非法人组织认为开放的公共数据侵犯其合法权益的,有权向公共机构提出撤回数据的要求。
公共机构收到撤回数据要求后,应当立即进行核实,必要时立即中止开放;经核实存在前款规定问题的,应当根据不同情形采取撤回数据或者处理后再开放等措施,并将有关处理结果及时告知当事人。当事人对处理结果有异议的,可以向公共数据主管部门申请复核。
公共机构在日常监督管理过程中发现开放的公共数据存在安全风险的,应当立即中止开放,并在消除安全风险后开放。
第三十七条 省公共数据主管部门积极推进公共数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制先行先试,保障各参与方的合法权益,推动用于公共治理、公益事业的公共数据有条件无偿使用;探索用于产业发展、行业发展的公共数据有条件有偿使用。
第三十八条 省和州、市人民政府可以依照法定权限和程序赋予具有条件的法人或者非法人组织对公共数据开展一级开发,形成标准化、可机器读取、可流通的公共数据要素。一级开发费用可通过政府购买服务或运营一级开发产品所形成的收益分成等方式解决。不予开放的公共数据不得授权开发运营。法律、法规和国家对公共数据开发运营另有规定的,从其规定。
第三十九条 鼓励有条件的法人或者非法人组织向公共数据主管部门申请,对一级开发形成的公共数据要素开展二级开发。公共数据主管部门应当对申请主体的开发目的、技术条件、处理能力、安全管理等进行评估,对符合条件的法人或者非法人组织,依照法定权限和程序赋予公共数据要素开发资格,并与申请主体签订数据安全管理、数据开发收益等方面的协议。法律、法规和国家对公共数据开发运营另有规定的,从其规定。
第四十条 自然人、法人或者非法人组织开发利用公共数据应当遵循合法、正当的原则,不得损害国家利益、社会公共利益和他人合法权益。
自然人、法人或者非法人组织利用依法获取的公共数据加工形成的数据产品、服务以及获得的合法权益受法律保护。
自然人、法人或者非法人组织利用公共数据形成数据产品、研究报告、学术论文等成果的,应当在成果中注明数据来源和获取日期。
第六章 公共数据安全
第四十一条 公共数据安全管理应当坚持统筹协调、分类分级、权责统一、预防为主、防治结合的原则,加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
第四十二条 县级以上公共数据、网信、公安、国家安全、保密、密码主管部门按照各自职责,做好公共数据安全的监督管理工作。
公共机构在各有关部门指导下,开展本单位、本系统、本领域公共数据安全保护工作。
第四十三条 公共数据安全实行谁收集谁负责、谁持有谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门和公共机构的主要负责人是本单位数据安全工作的第一责任人。
公共数据主管部门和公共机构应当强化和落实数据安全主体责任,建立数据安全常态化运行管理机制,具体履行下列职责:
(一)落实网络安全等级保护制度、商用密码使用和管理有关规定,建立健全本单位数据安全管理制度、技术规范和操作规程。
(二)健全公共数据共享和开放的保密审查等安全保障机制。
(三)设置或明确公共数据安全管理机构和数据安全管理岗位,实行管理岗位责任制,配备安全管理人员和专业技术人员。
(四)定期组织相关人员进行数据安全教育、技术培训。
(五)加强数据安全日常管理和检查,对复制、导出、脱敏数据等可能影响数据安全的行为进行监督。
(六)加强平台(系统)压力测试、风险监测和操作留痕,发现数据安全缺陷、漏洞等风险时立即采取补救措施。
(七)建立健全数据灾备机制。
(八)制定数据安全事件应急预案,并定期进行演练。
(九)法律、法规、规章规定的其他职责。
第四十四条 公共数据主管部门、公共机构在处理公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。
第四十五条 公共数据主管部门、公共机构依法委托第三方服务机构开展平台(系统)建设以及运行维护的,应当按照国家和省有关规定对服务提供方进行安全审查;经安全审查符合条件的,签订服务外包协议时应当同时签订服务安全保护及保密协议,约定违约责任,并监督服务提供方履行数据安全保护义务。
服务外包协议不生效、无效、被撤销或者终止的,公共数据主管部门、公共机构应当撤销账号或者重置密码,并监督服务提供方以数据覆写、物理销毁等不可逆方式删除相关数据。
第七章 相关责任
第四十六条 违反本办法规定的行为,法律、法规已有法律责任规定的,从其规定。
第四十七条 公共机构有下列情形之一的,由公共数据主管部门按照管理权限督促改正:
(一)未按照规定编制或者更新公共数据目录的;
(二)未及时向公共数据平台归集数据或者归集的数据不符合标准要求的;
(三)未按照规定共享或者开放公共数据的;
(四)违反规定重复收集数据的;
(五)未及时核查其他公共机构认为存在异议的公共数据的;
(六)未按照规定校核、封存、撤回公共数据或者关停数据应用的;
(七)违反规定将共享获取的公共数据用于其他目的的;
(八)擅自更改或者删除公共数据的;
(九)未依法履行公共数据安全管理职责的;
(十)违反本办法规定其他情形的。
公共机构应当在规定期限内完成整改,并反馈整改情况;未按照要求整改,情节严重的,由公共数据主管部门依规依纪依法移送有关部门处理。
第四十八条 自然人、法人或者非法人组织有下列情形之一的,公共机构、公共数据主管部门等有关机构应当按照法定权限和程序督促改正,并暂时关闭其获取相关公共数据的权限;未按照要求改正的,依法依规处理。
(一)损害国家利益、社会公共利益和他人合法权益的。
(二)未按照数据安全有关要求对开放获取的数据采取安全保障措施的。
(三)严重违反公共数据平台安全管理要求的。
(四)其他严重违反公共数据开放和利用要求情形的。
第八章 附则
第四十九条 本办法自2024年3月1日起施行。