南京市公共数据授权运营管理暂行办法(征求意见稿)
第一章 总则
第一条 为贯彻落实中央、省数据要素相关文件精神,规范公共数据授权运营管理,加快推进公共数据有序开发利用,培育数据要素市场,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《江苏省公共数据管理办法》等有关法律法规和规章,结合本市实际,制定本办法。
第二条 本办法适用于本市行政区域内公共数据授权运营试点工作。国家秘密和工作秘密信息不适用本办法,按照《中华人民共和国保守国家秘密法》等法律、行政法规的规定执行。
第三条 本办法下列用语的含义:
公共数据是指本市各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位为履行法定职责、提供公共服务收集、产生的,以电子或者其他方式对具有公共使用价值的信息的记录。
公共数据授权运营,是指依法依规获得授权的法人或者非法人组织(以下简称授权运营单位),对授权的公共数据进行运营管理,形成公共数据产品或服务并向社会提供的行为。
被授权运营单位,是指按照法定程序获取授权,开展公共数据加工处理和产品开发活动的法人或非法人组织。
运营管理平台,是指用于支撑开展公共数据授权运营活动的平台。
第四条 本市建设公共数据专区,按照综合领域以及行业领域划分,分类推进授权运营工作。
(一)综合领域专区:面向跨领域、跨区域的综合应用场景而建设的综合数据区域,可向各行业领域、各区及其他公共数据专区提供数据支撑服务。
(二)行业领域专区:聚焦本市金融、医疗、交通、信用、文旅体育等重大领域应用场景建设的专题数据区域,以赋能相关领域产业发展为目标。优先支持行业增值潜力显著和产业战略意义重大的领域开展公共数据专区授权运营。
第二章 职责分工
第五条 公共数据授权运营工作包括专区建设运营、数据管理、运行维护、监督管理及安全保障等。公共数据专区采取政府授权运营模式,选择具有技术能力和资源优势的企事业单位等主体开展运营管理。
第六条 公共数据授权运营工作相关部门职责如下:
市数据主管部门负责公共数据授权运营的统筹协调,制定公共数据专区授权运营规则,指导、管理综合领域公共数据专区的建设和运营。
相关行业主管部门作为行业领域专区监管部门,根据职责落实监管责任,指导、管理行业领域专区的建设和运营。
发展改革、工信、财政、市场监管、司法等单位按照各自职责,做好数据产品和服务流通交易的监督管理和流程合规工作。
网信、密码、保密、公安、国家安全等单位按照各自职责,做好授权运营的安全监管工作。
市城市数字治理中心按照数据主管部门的要求,依托市政务云建设并运维公共数据专区,提供数据加工环境和共性技术支撑。
第七条 被授权运营单位作为专区运营主体,负责公共数据专区的数据产品开发、运营和安全保障等工作,须投入必要的资金、技术并积极引入相关社会数据。被授权运营单位应积极吸纳多元合作方、拓展应用场景,构建具有专区特色的产业生态体系。
第三章 申请和退出流程
第八条 市数据主管部门会同专区监管部门发布重大领域、重点区域或特定场景开展公共数据专区授权运营的通知,明确申报条件和运营要求。
第九条 授权运营申请单位应在规定时间内向市数据主管部门提出申请,并提交授权运营申请表、最近1年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等材料。
被授权运营单位应符合以下基本条件:
(一)满足运营安全要求,包括经营状况良好,具备授权运营领域所需的专业资质、知识人才积累和生产服务能力,符合相应的信用条件等。
(二)满足技术安全要求,包括落实数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度;具有符合网络安全等级保护三级标准和商用密码应用安全性评估要求的系统开发和运维实践经验;具备成熟的数据管理能力和数据安全保障能力;近3年未发生网络安全或数据安全事件等。
除以上要求外,其余各项具体条件及技术要求,由市数据主管部门会同相关单位研究确定。
第十条 市数据主管部门会同专区监管部门建立专家评审机制,组织开展被授权运营单位综合评审,评审结果报市政府同意后向社会公开。市数据主管部门与被授权运营单位签订授权运营协议。
第十一条 授权运营协议应包括以下内容:授权主体和对象、授权内容、授权流程、授权应用范围、授权期限、责任机制、监督机制、终止和撤销机制等。
第十二条 授权运营协议的有效期一般不超过3年。被授权运营单位违反授权运营协议的,由市数据主管部门会同专区监管部门按照协议约定,暂停或终止公共数据专区授权运营协议。
第四章 授权运营要求
第十三条 市数据主管部门负责会同行业领域专区监管部门按照《江苏省公共数据分类分级规范》以及各领域、各行业相关标准规范要求,开展公共数据向公共数据专区的开放应用。针对三级及以上数据,原则上脱敏后提供,或采用数据可用不可见等必要技术手段实现有条件开放。
第十四条 被授权运营单位可结合应用场景按需提出公共数据共享申请。被授权运营单位提出申请后,由专区监管部门进行评估确认,经数据来源部门审核同意后依托市共享交换平台授权共享到数据开发与运营管理平台。
第十五条 公共数据遵照“原始数据不出域,数据可用不可见”的总体要求,在维护国家数据安全、保护个人信息的前提下开展授权运营。对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围。规范对个人信息的处理活动,不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。
第十六条 用于产业发展、行业发展的公共数据,依据相关法律和规定,有条件有偿使用。探索将公共数据授权运营纳入政府国有资源(资产)有偿使用范围,研究确定公共数据使用定价方式。收入按非税收入管理规定上缴财政。
第十七条 市数据主管部门统筹制定公共数据专区运营绩效考核评估指标体系,定期组织专区监管部门、数据提供部门等开展专区应用绩效考核评估。对于考核评估结果优秀的被授权运营单位,优先试点创新举措,并在数据申请应用、产业政策引导等方面倾斜。对于评估结果较差的被授权运营单位,由数据主管部门会同专区监管部门进行提醒或约谈,连续两次评估结果较差的,按照协议约定终止专区授权运营协议。
第十八条 被授权运营单位应将专区运营成果向市数据主管部门以及相关行业主管部门进行反馈,并定期反馈公共数据应用绩效。鼓励被授权运营单位将其自有数据提供本市相关政务部门共享使用。
第十九条 专区实行数据产品及服务管理制度。被授权运营单位围绕其形成的可面向市场提供的数据产品及服务,应及时按照授权运营协议的约定将相关定价及依据、应用场景、使用范围及方式等向专区监管部门报告。
第二十条 市数据主管部门会同相关部门、被授权运营单位共同建立数据质量评估和数据质量逐级倒查反馈机制,以提升数据的准确定、规范性、一致性、完整性、时效性和可访问性。对于错误和遗漏等数据质量问题,数据提供部门在职责范围内,须及时处理并予以反馈。各部门数据共享提供及质量情况纳入本市数字政府建设工作考核,鼓励各部门提供高质量数据。
第五章 安全和监督
第二十一条 市数据主管部门联合网信、公安等监管部门加强各专区数据安全的监督检查,将专区检查纳入全市安全检查计划,每年开展监督检查。专区监管部门和被授权运营单位应当配合检查,及时整改检查中发现的问题,防范数据安全风险。
第二十二条 市城市数字治理中心承担数据开发与运营管理平台的安全主体责任。平台应当按照国家法律法规和网络安全等级保护三级及以上标准建设、管理和运维。建立并严格落实网络安全和公共数据安全管理制度,明确主体安全责任、行为规范和管理要求。采取技术措施和其他必要措施,保障数据安全、网络安全和平台稳定运行。
第二十三条 市城市数字治理中心应建立公共数据专区技术监管体系,充分利用可信空间等技术手段,在确保数据安全可控的前提下,开展数据授权使用,当监测发现安全风险、专区授权运营协议暂停或终止时,可通过技术策略终止公共数据授权使用行为。
第二十四条 被授权运营单位是公共数据专区的管理责任主体,承担专区数据安全主体责任。被授权运营单位应在专区监管部门的监督指导下,健全安全管理制度,建立职能清晰的运营团队,明确数据安全责任人,严格管理公共数据专区运营工作,落实数据汇聚、存储、开发利用等各环节的数据安全管理责任。建立数据泄露溯源、数据篡改及违规使用的监测预警机制,确保数据的安全合规使用。如被授权运营单位发生违反法律法规情形,应承担相应法律责任。
第二十五条 公共数据使用应遵循场景驱动、集约利用原则,按需申请共享数据并在授权范围内使用,不得将数据用于或变相用于其他目的,不得以任何形式对外提供原始数据。被授权运营单位应当明确数据管理策略,建立数据管理制度和操作规程,明确数据的归集、传输、存储、使用、销毁等各环节的管控要求。
第六章 附则
第二十六条 本办法自发布之日起30日后施行,有效期为2年。由市数据主管部门负责解释。国家、省和本市对公共数据专区授权运营有新规定的,从其规定。