各区(县、市)人民政府,市直及部省属驻甬各单位:
《宁波市公共数据授权运营管理实施细则(试行)》已经市政府同意,现印发给你们,请结合实际认真贯彻落实。
宁波市人民政府办公厅
2023年11月16日
(此件公开发布)
宁波市公共数据授权运营管理实施细则
(试行)
第一章 总 则
第一条 为加快公共数据开发利用,规范公共数据授权运营管理,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》《浙江省公共数据授权运营管理办法(试行)》等有关法律法规规章及规定,结合我市实际,制定本实施细则。
第二条 本市行政区域内与公共数据授权运营相关的准入、退出、评审、安全监管、评估等活动,适用本实施细则。
第三条 公共数据授权运营应遵循依法依规、统筹规划、稳慎有序、安全可控、融合发展的原则。
第四条 优先支持在民生紧密相关、社会迫切需要、行业增值潜力显著和产业战略意义重大的领域开展公共数据授权运营。禁止开放的公共数据不得授权运营。
第五条 市大数据高质量发展领导小组(以下简称市领导小组)负责建立市级公共数据授权运营管理协调工作机制(以下简称市级协调机制),由市大数据局、市委网信办、市委机要保密局、市发改委、市经信局、市公安局、市国家安全局、市司法局、市财政局、市市场监管局及授权领域对应的相关行业主管部门组成。市领导小组办公室承担市级协调机制的日常工作。市级协调机制负责全市公共数据授权运营工作的统筹管理、安全监管和监督评价,协调解决工作中的重大问题,审议给予、终止或撤销市级公共数据授权运营等重大事项。
各区(县、市)政府建立相应的县级协调机制,负责本行政区域内公共数据授权运营工作的统筹管理、安全监管和监督评价,协调解决县级公共数据授权运营工作中的重大问题,审议给予、终止或撤销县级公共数据授权运营等重大事项。
第六条 公共数据主管部门负责公共数据授权运营信息发布、申请受理、授权评审、协议签订、安全监督、运营评估、培训等相关工作的组织实施及监督管理。市、区(县、市)政府设置公共数据授权运营合同专用章,由公共数据主管部门依规管理使用。
全市收集产生公共数据的国家机关、法律法规规章授权的具有管理公共事务职能的组织及供水、供电、供气、公共交通等公共服务运营单位(以下简称公共管理和服务机构),负责做好本领域公共数据资源供给和分级分类治理、申请审核、安全监管等工作,推进本领域的公共数据授权运营应用场景建设和市场化应用工作。
发展改革、经信、财政、市场监管等部门按照各自职责,做好数据产品和服务流通交易的监督管理工作。
网信、密码管理、保密行政管理、公安、国家安全等部门按照各自职责,做好公共数据授权运营的安全监管工作。
第二章 平台(域)建设
第七条 公共管理和服务机构应根据公共数据授权运营应用场景建设需求,将公共数据资源统一编目并归集到市一体化智能化公共数据平台。公共数据主管部门应加强数据资源质量管理和专题库建设。
第八条 市大数据局负责组织建设市公共数据授权运营平台(域)及相关实验室,为全市公共数据授权运营提供统一通道。各公共管理和服务机构未经批准不得新建公共数据授权运营通道,不得以公共数据授权运营名义与任何第三方签订公共数据授权运营协议,使其直接获得公共数据加工使用权及公共数据产品经营权。各区(县、市)原则上不再单独建设县级公共数据授权运营平台(域),应依托市公共数据授权运营平台(域)开展县级公共数据授权运营相关工作。
第九条 市公共数据授权运营平台(域)应采用集中计算、多方安全计算、联邦学习、可信执行环境等多种技术,为公共数据授权运营单位的数据加工处理提供安全接入条件。公共数据授权运营单位使用市公共数据授权运营平台(域)的计算资源进行数据加工处理,应承担相应成本。
第三章 授权方式
第十条 申请公共数据授权运营的单位(以下简称申请单位),应符合《浙江省公共数据条例》《浙江省公共数据授权运营管理办法(试行)》中公共数据授权运营单位安全条件等相关要求。
第十一条 公共数据主管部门应在市公共数据授权运营平台(域)或政府网站发布公共数据授权运营公告,明确相应的申请条件和优先支持领域。
第十二条 申请公共数据授权运营的单位应围绕拟申请使用的公共数据和拟开发的数据产品、服务,在规定期限内向市公共数据主管部门提出测试验证申请,并按照要求提交相关的公共数据清单、开发方式及市场化应用方案。市大数据局组织市公共数据授权运营平台(域)运营单位提供最长不超过6个月的免费数据实验室服务,并在测试验证结束后,向申请单位出具数据测试验证技术评估报告。
第十三条 申请单位完成测试验证后,向公共数据主管部门提出正式授权申请,并提交以下材料:
(一)公共数据授权运营申请表;
(二)最近1年的第三方审计报告和财务会计报告(成立不满1年的,提供截至最近1月的第三方审计报告和财务会计报告);
(三)数据安全承诺书;
(四)安全风险自评报告;
(五)数据测试验证技术评估报告。
第十四条 公共数据主管部门组织有关专家和行业主管部门等相关主体,对申请单位提供的申请材料及相关技术验证结果进行综合论证评审,并出具论证评审意见。评审内容主要包括:
(一)申请单位主体情况;
(二)数据产品市场化应用可行性及合规性情况;
(三)数据安全及个人信息保护措施情况;
(四)相关应急预案制定情况。
第十五条 市领导小组办公室组织市级协调机制成员单位,召开公共数据授权运营专题审议会议,对市级拟授权单位和应用场景的论证评审情况进行审议,以纪要形式明确议定事项,并报市领导小组批准后,组织开展公共数据授权运营协议签订及相关实施工作。
各区(县、市)公共数据授权运营审议决策工作由当地协调机制负责。
公共数据授权运营领域及授权运营单位最终确定后,应及时向社会公开,并报省政府备案。
第十六条 公共数据授权运营协议可采用示范文本。公共数据授权运营期限一般不超过3年。期限届满后,需要继续开展授权运营的,原公共数据授权运营单位应按照程序重新申请。
第十七条 公共数据授权运营协议终止或撤销的,公共数据主管部门应及时关闭原授权运营单位的市公共数据授权运营平台(域)使用权限,及时删除留存的相关数据,并按照规定留存相关网络日志,留存时间不少于6个月。
公共数据授权运营单位违反授权运营协议的,公共数据主管部门应按照协议约定要求其限期改正,并暂时关闭其市公共数据授权运营平台(域)的使用权限。相关单位应在规定期限内改正,并向公共数据主管部门反馈改正情况;未按照要求改正的,市县两级协调机制可终止其相关公共数据授权运营。
第四章 权利与行为规范
第十八条 公共数据授权运营单位签订授权运营协议后,其相关管理、技术、运营人员应完成岗前培训,并满足实名认证、备案与审查、保密协议签订等管理要求。
第十九条 公共数据授权运营单位应在安全可控的环境下,对相关公共数据进行加工处理,形成可向市场提供的数据产品和服务。数据产品和服务一般包括数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。原始数据包不得导出市公共数据授权运营平台(域)。
公共数据主管部门应组织有关专家,对相关数据产品和服务进行合规安全审核,审核通过后方可在市公共数据授权运营平台(域)发布上架,投入市场化应用。支持公共数据授权运营单位利用自有合规数据源开发数据产品和服务,鼓励在市公共数据授权运营平台(域)发布上架,并择优推荐到相关合作数据交易平台进行登记交易。
第二十条 公共数据授权运营单位在数据加工处理或提供服务过程中发现公共数据存在质量问题的,可向公共数据主管部门提出数据资源质量治理需求。需求合理的,公共数据主管部门应督促数据提供单位在公共数据授权运营单位的配合下,于规定期限内完成数据资源质量治理,治理工作质量作为该数据提供单位的相关工作考核依据。
第二十一条 公共数据授权运营单位不得将相关数据产品和服务用于或变相用于未经审批的应用场景。应用场景中涉及指向特定自然人、法人、非法人组织数据的,应得到其授权同意后,公共数据授权运营单位方可获取相应数据并进行业务操作。
第二十二条 公共数据授权运营单位按照授权运营协议规定,利用公共数据加工开发形成的数据产品和服务,可依规向知识产权管理部门进行数据知识产权登记。
第二十三条 公共数据授权运营单位应按照协议约定获取相关公共数据加工使用权,开发相应的数据产品和服务,并依法依规开展市场化经营。公共数据授权运营单位应无偿协助数据提供单位开展数据资源质量治理。
第五章 数据安全与监督管理
第二十四条 公共数据授权运营安全坚持“谁运营谁负责、谁使用谁负责”的原则。公共数据授权运营单位的主要负责人是运营公共数据安全的第一责任人。
公共数据授权运营单位应按照“公共数据分类分级”的要求,加强公共数据全生命周期安全和合法利用管理,确保数据来源可溯、去向可查,行为留痕、责任可究。
公共数据授权运营单位及相关人员违反相关法律法规规定的,由有关单位按照职责依法依规处置。
第二十五条 公共数据授权运营单位应按照“一场景一授权,一授权一预案”的要求,围绕公共数据加工开发、产品和服务应用等重点环节,制定应急预案,并组织开展应急演练。
第二十六条 公共数据主管部门应牵头组织网信、密码管理、保密行政管理、公安、国家安全等部门,对公共数据授权运营单位的相关业务和信息系统建设、数据使用、安全保障能力建设等情况进行监督检查。
第二十七条 公共数据授权运营单位在运营期限内,应向公共数据主管部门提交公共数据授权运营年度运营报告。公共数据主管部门会同有关单位或委托第三方机构,对该单位执行协议情 况进行年度评估,评估结果作为该单位再次申请公共数据授权运营的重要依据。
第六章 附 则
第二十八条 本细则自印发之日起施行。国家和省、市对公共数据授权运营管理有新规定的,从其规定。