本文来自微信公众号“安全学习那些事儿”。
2024年7月5日,贵州省大数据发展管理局牵头起草了《贵州省公共数据授权运营管理办法(试行)》(征求意见稿)。向社会公开征求意见。全文如下:
贵州省公共数据授权运营管理办法(试行)(征求意见稿)
第一章 总则
第一条【目的依据】根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《中华人民共和国个人信息保护法》《贵州省政府数据共享开放条例》《贵州省数据流通交易促进条例》《贵州省政务数据资源管理办法》等法律法规,为规范公共数据授权运营,有效挖掘数据资源价值,促进数字经济发展,制定本办法。
第二条【适用范围】本省行政区域内有关公共数据的授权运营及其监督管理等,适用本办法。
第三条【总体原则】公共数据授权运营遵循依法依规、统分结合、安全可控、稳妥有序的原则,按照“原始数据不出域、数据可用不可见”“谁授权谁负责、谁运营谁负责、谁使用谁负责”的要求,在保护个人信息、商业秘密和确保公共安全的前提下,推动公共数据有序流动与应用。
第四条【职责分工】
省人民政府数据主管部门负责健全完善公共数据授权运营相关政策、管理制度和标准规范,承担省级公共数据授权运营管理,指导、监督市、县两级公共数据授权运营工作。
各级政府部门负责做好本部门、本行业、本领域公共数据目录编制、资源归集、质量管理及授权运营相关管理工作。
发改、财政、市场监管、税务等部门按照各自职责,做好数据产品和服务流通交易的监管工作。
网信、公安、国家安全、保密、密码管理等部门按照各自职责,做好公共数据授权运营的安全监管工作。
贵州省信息中心负责协调调度全省公共数据资源,建设管理公共数据平台,明确公共数据平台运营机构。
市、县两级人民政府数据主管部门负责统筹本行政区域内公共数据授权运营工作。
第二章 公共数据授权
第五条【授权模式】公共数据采取分级授权模式,授权运营主体由各级人民政府数据主管部门统一授权,开发利用主体由各级政府部门授权。
第六条【授权运营主体申请条件】符合以下条件的组织,可申请成为授权运营主体。
(一)经营状况良好,具备公共数据授权运营生产服务能力;
(二)具备DCMM三级及以上、DSMM三级及以上等相关行业资质;
(三)获得同级人民政府数据主管部门数据要素型企业认定;
(四)符合公共数据授权运营的其他规定要求。
因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚;被列入失信被执行人、重大税收违法案件当事人名单和严重违法失信行为记录名单的,不得申请成为授权运营主体。
第七条【授权运营主体授权程序】
(一)资质申请。县级以上人民政府数据主管部门在公共数据平台发布公共数据授权运营主体征集通告,授权运营申请主体在规定时间报送申请材料。
(二)资质审核。同级人民政府数据主管部门对申请主体提交的材料进行审核。
(三)主体公示。审核通过的,由同级人民政府数据主管部门在公共数据平台进行公示,公示期不低于5个工作日。
(四)协议签订。同级人民政府数据主管部门与授权运营主体签订公共数据授权运营协议。
各级政府部门可推荐本行业、本领域的公共数据授权运营主体,经同级人民政府数据主管部门审核公示,由同级人民政府数据主管部门授权。
授权运营期限一般不超过3年。授权期限届满后,授权运营主体应按程序重新认定。授权运营协议终止或被撤销的,同级人民政府数据主管部门及时关闭授权运营主体的运营权限,及时删除授权运营留存的相关数据,并按照规定留存相关网络日志,网络日志留存时长不少于6个月,保存时间不少于5年。
第八条【开发利用主体申请条件】符合以下条件的法人组织,可申请成为开发利用主体。
(一)具备申请领域公共数据开发利用能力;
(二)具备成熟的数据管理能力和数据安全保障能力;
(三)符合公共数据授权运营的其他规定要求。
因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚,不得申请开发利用主体。
第九条【开发利用主体授权程序】
(一)资质申请。各级政府部门在公共数据平台发布公共数据开发利用主体征集通告,开发利用申请主体在规定时间报送申请材料。
(二)资质审核。同级政府部门对申请主体提交的材料进行审核。
(三)主体公示。审核通过的,由同级政府部门在公共数据平台进行公示,公示期不低于5个工作日。
(四)协议签订。同级政府部门与开发利用主体签订公共数据开发利用协议。
第三章 公共数据运营
第十条【规范编制】省人民政府数据主管部门会同有关部门制定公共数据资源目录编制规范。
第十一条【编目发布】各级政府部门、企事业单位按照规范通过公共数据平台编制公共数据目录,经同级人民政府数据主管部门审核后,在公共数据平台、数据流通交易平台发布。
第十二条【数据归集】各级政府部门根据发布的公共数据资源目录,向公共数据平台归集公共数据。教育、医疗等事业单位应当按照公共数据资源目录通过行业主管部门向同级数据主管部门归集数据。
第十三条【数据授权】数据主管部门根据公共数据授权运营协议,通过公共数据平台授权运营域向授权运营主体提供公共数据资源。授权运营主体根据已授权的公共数据资源,发布可供开发利用主体使用的开发数据目录并提供样例数据,向同级数据主管部门备案。
第十三条【场景审核】开发利用主体结合公共数据资源目录和开发数据目录,提出开发利用场景需求,由该开发利用主体授权部门进行审核,并报同级人民政府数据主管部门备案。
第十四条【数据申请】场景需求审核通过后,开发利用主体向公共数据平台运营机构申请公共数据平台的授权运营域空间,并向授权运营主体提交公共数据申请。
已授权运营的公共数据无法满足场景需求的,开发利用主体可通过公共数据平台提出数据需求清单,由省信息中心及市、县两级对应机构协调同级政府部门编制公共数据目录并归集数据,经授权运营主体加工后发布开发数据目录,供开发利用主体申请。
第十五条【数据供给】授权运营主体与开发利用主体签订公共数据开发利用协议,通过公共数据平台备案后,向开发利用主体授权运营域空间提供数据资源。
确需利用原始数据开发利用的,按照“一场景一审核”原则,经数据提供部门审核同意后,由授权运营主体向开发利用主体授权运营域空间提供数据资源,开发利用主体依法依规依场景应用。
第十六条【产品开发】开发利用主体在公共数据平台的授权运营域完成数据模型搭建、数据产品开发等工作。
第十七条【产品审查】开发利用主体形成的产品或服务,由该开发利用主体授权部门进行出域审查,并提交同级人民政府数据主管部门备案。
第十八条【产品交易】公共数据产品或服务通过贵阳大数据交易所进行登记和挂牌交易。
第十九条【收益分配】省人民政府数据主管部门探索建立公共数据授权运营收益分配规则,按照“谁贡献、谁受益”的原则,各级政府部门、授权运营主体、开发利用主体、公共数据平台运营机构合理获取收益。属于各级政府部门取得的授权收入,依据非税收入的有关规定缴入同级财政。
第二十条【运营评估】各级数据主管部门定期组织对同级授权运营主体开展运营绩效评估。授权运营主体应配合做好评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。评估结果不合格的,取消授权运营主体资格。
各级政府部门定期对开发利用主体开展数据应用绩效评估。开发利用主体应配合做好评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。评估结果不合格的,取消开发利用主体资格。
第四章 行为规范
第二十一条【数据质量反馈】
授权运营主体、开发利用主体可向同级政府部门反馈公共数据质量问题,政府部门自收到问题意见起,10个工作日内予以核实、更新。
第二十二条【授权加工主体规范】授权运营主体接受同级人民政府数据主管部门的监督检查,不得进行公共数据产品开发及交易工作。开发利用主体接受同级政府部门的监督检查,应严格按照公共数据开发利用协议合规使用数据,不得非法篡改、获取公共数据资源,不得将获取的公共数据资源转让、挪作他用。
第二十三条【个人信息处置】涉及对个人信息、商业秘密、保密商务信息的公共数据进行应用,应经过脱敏、脱密处理,或经相关数据指向的特定自然人、法人、非法人组织依法授权同意后,按场景使用。相关授权记录应按有关法律法规要求留存。用于供模型训练与验证的数据产品和服务,该模型需经过安全符合性评估。
第二十四条【原始数据规范】原始公共数据不得导出公共数据平台。可通过可逆模型或算法还原出原始数据包的数据产品和服务,不得导出公共数据平台。
第二十五条【非公共数据管理】符合有关法律法规要求的网络安全等级保护标准和商用密码安全性评估要求的非公共数据承载系统,可以接入公共数据平台。
第二十六条【退出机制】
授权运营主体、开发利用主体违反授权协议的,授权部门按照协议约定要求其整改,并暂时关闭其公共数据平台使用权限;授权运营主体、开发利用主体应当在约定期限内完成整改,并反馈整改情况;未按照要求整改的,终止其授权。
第五章 安全监管
第二十七条【安全责任】
省人民政府数据主管部门负责制定完善公共数据授权运营安全管理制度,会同网信、公安、国家安全、保密、密码管理等部门对公共数据授权运营、加工处理、应用等情况进行监督检查。
各级政府部门负责本行业、本领域公共数据授权运营的安全监管工作。
网信、公安、国家安全、保密、密码管理等部门按照各自职责,做好公共数据授权运营的安全监管、联合排查,协同处置有关安全风险事件。
省信息中心负责公共数据平台安全管理。
市、县两级人民政府数据主管部门负责制定完善本行政区域公共数据授权运营安全防护制度,对本行政区域公共数据运营、加工处理、应用等工作的监督检查。
授权运营主体负责数据加工等过程安全。
开发利用主体负责数据产品和服务流通安全。
第二十八条【责任追究】授权运营主体、开发利用主体违反网络安全、数据安全、个人信息保护有关法律法规的,由网信、公安、国家安全、保密、密码管理等部门按照职责依法予以查处,相关不良信息依法记入其信用档案。
未经同级人民政府数据主管部门审核确认,政府部门私自开展公共数据授权运营相关工作,由网信、公安、国家安全、保密、密码管理等部门按照职责依法予以查处。
第六章 附则
第二十九条【定义用语】
本办法所称的公共数据,是指本省国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位,在依法履行职责或者提供公共服务过程中收集、产生的数据。国家有关部门派驻贵州管理机构持有的涉及贵州数据,也属本办法所称公共数据。
本办法所称公共数据授权运营,是指授权运营主体对数据加工处理后,提供给开发利用主体形成公共数据产品或服务,并向社会提供的行为。
本办法所称的公共数据平台,是指全省统一的公共数据授权运营总枢纽和服务总门户,提供授权运营域、分级管理、数据加工处理等服务。
本办法所称授权运营主体,是指依照本办法,获取公共数据持有、加工使用权益的法人组织。
本办法所称开发利用主体,是指依照本办法,是指获取加工使用、产品经营权益的法人组织。
第三十条【参考范围】公共事业单位数据授权运营参照本办法执行。提供公共服务的供水、供电、燃气、通信、民航、铁路、道路客运等公共企业的数据授权运营行为及其相关管理活动,可参照本办法执行。涉及国家秘密数据,按照有关保密法律法规管理。
第三十一条【实施日期】本办法于发布之日起实施。由省人民政府数据主管部门负责相关条款解释。本办法发布之日,《贵州省政务数据授权使用服务指南》废止。
