(苏政办规〔2024〕5号)
各市、县(市、区)人民政府,省各委办厅局,省各直属单位:
《江苏省公共数据授权运营管理暂行办法》已经省人民政府同意,现印发给你们,请认真贯彻实施。
江苏省人民政府办公厅
2024年10月23日
(此件公开发布)
第一章 总 则
第一条 为加快推进公共数据资源开发利用,规范公共数据授权运营,培育数据要素市场,更好发挥数据要素作用,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《江苏省公共数据管理办法》等有关法律法规和规章,结合我省实际,制定本办法。
第二条 本办法适用于本省行政区域内公共数据授权运营及其相关管理活动。
第三条 本办法所称的公共数据授权运营,是指依法依规授权符合条件的经营主体,对公共数据进行加工处理,开发形成公共数据产品和服务,并通过市场化方式向社会提供的行为。
本办法所称的公共数据授权运营域,是指在电子政务外网严格划分、用于开展公共数据授权运营活动的唯一区域。
本办法所称的公共数据授权运营平台,是指基于公共数据授权运营域提供公共数据授权、加工处理、开发利用、监督监管等的管理服务平台。
本办法所称的公共数据产品和服务(以下简称数据产品),是指利用公共数据开发形成的数据接口、数据模型、数据报告等。
第四条 公共数据授权运营坚持“原始数据不出域、数据可用不可见”,维护国家数据安全,保护个人信息和商业秘密,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用,激发开发主体高效利用公共数据积极性,释放公共数据要素价值,丰富数据产品供给。
第五条 数据主管部门会同网信、发展改革、公安、财政、市场监管等部门建立健全工作机制,负责本行政区域内授权运营工作的统筹管理,协调解决数据供给、监督监管监测等授权运营工作中的重大问题。
第六条 数据主管部门负责向运营主体供给数据,指导、监督公共数据授权运营平台的建设和运营,指导编制数据资源目录,推动发布数据产品目录,建立公共数据资源授权运营情况披露机制,推动数据要素协同优化、复用增效、融合创新。
行业主管部门负责向数据主管部门供给本行业数据,督促本行业公共管理和服务机构落实数据提供、质量管理等工作,确保数据的真实性、准确性、完整性和时效性,指导运营主体编制本行业数据资源目录,推动跨领域典型场景应用创新。
第二章 授权程序
第七条 公共数据授权运营采用“两级主体、分级授权”的模式。两级主体是指运营主体和开发主体,分级授权是指省、设区的市人民政府授权本级数据主管部门试点确定本级运营主体。
本办法所称的运营主体,是指承担公共数据授权运营,包括授权运营平台建设、数据加工处理、开发利用管理、服务能力支撑、市场生态培育和安全保障等工作的经营主体。
本办法所称的开发主体,是指依托公共数据授权运营平台,依场景开发利用经协议授权的公共数据,形成数据产品并向社会提供的经营主体。
第八条 省数据主管部门牵头制定统一的公共数据授权运营实施方案。省市运营主体共同制定配套规范。运营主体按照申请条件和应用场景选择开发主体进行数据开发利用,并签订授权协议。运营主体、开发主体的授权期限不超过3年。
第九条 符合以下条件的,可申请成为开发主体:
(一)单位及其法定代表人无重大违法记录和重大不良信用记录,单位未发生过重大数据安全事件;
(二)经营情况稳定,具备开展公共数据开发利用工作的专业团队和服务能力;
(三)具备明确的数据安全负责人和管理部门、健全的数据安全管理制度和工作机制;
(四)符合公共数据授权运营的其他规定要求。
第十条 选择开发主体坚持市场化原则,公平公开竞争择优,不受地域、行业、所有制等限制,鼓励支持引导符合条件的经营主体广泛参与。
第十一条 授权协议应当明确授权运营相关方权利义务、资产权属、收益分配、授权范围、服务期限、服务费用、安全要求、禁止条款、信用承诺、退出机制和违约责任等。
第三章 主体责任
第十二条 运营主体作为公共数据授权运营的责任主体,承担以下责任:
(一)遵守公共数据授权运营实施方案和配套规范要求;建立健全公共数据授权运营安全管理制度,明确参与数据运营相关主体的网络安全、数据安全等安全责任、行为规范和管理要求;建立健全公共数据开发利用合规审查、安全巡查、风险评估、信息共享、监测预警、应急处置、投诉举报、信息披露等机制,确保数据接入、加工处理、开发利用、服务支撑等全过程安全可控;制定公共数据授权运营安全事件应急处置预案,发生安全事件时,应当立即采取处置措施,并向数据、网信等相关主管部门报告。
(二)落实国家数据分类分级保护制度要求,采用必要技术手段,确保“原始数据不出域、数据可用不可见”;建立合规监测机制,落实公共数据合规高效开发利用要求,确保开发利用行为符合法律法规、政策和协议规定,维护国家数据安全,保护个人信息和商业秘密。
(三)建设和管理公共数据授权运营平台,为开发主体数据开发利用提供安全可信的系统,加强全流程数据安全管理。对授权数据进行加工处理,建立并动态维护数据资源目录,跟踪反馈数据质量情况,保障数据服务质量。
(四)发布行业领域或特定场景公共数据授权运营公告,明确开发主体申请条件,对开发主体进行资质审核、签订授权协议、审核开发利用申请、监督数据处理活动、审核数据产品发布,管理数据产品目录,建立绩效评价体系并定期评估,保障运营工作高效顺畅开展。
(五)对开发主体提供相应的技术支持、业务咨询等服务,培育数据商和第三方专业服务机构,推动公共数据运营生态健康发展。
(六)承担数据主管部门授权运营的其他工作。
第十三条 开发主体作为数据开发利用的责任主体,承担以下责任:
(一)承担数据开发利用和数据产品经营的安全主体责任,建立健全全流程数据安全管理制度,落实数据安全管理要求和保护责任;制定公共数据开发利用安全事件应急处置预案,发生安全事件时,应当立即采取处置措施,并向运营主体报告。
(二)落实“原始数据不出域、数据可用不可见”要求,确保开发利用和数据产品符合法律法规和标准规范,维护国家数据安全,保护个人信息和商业秘密。
(三)根据协议约定开展数据开发利用活动,按最小必要原则,依应用场景申请使用数据资源,规范导入社会数据、发布数据产品、报告应用成效。
第四章 数据运营
第十四条 公共数据授权运营平台应当在授权运营域中建设运行,并依托政务云部署,确保公共数据申请、加工处理、开发利用不出域。
第十五条 省数据主管部门负责指导省级运营主体统筹建设公共数据授权运营平台。平台建设坚持以省为主、省市共建的原则,避免多头建设。
公共数据授权运营平台为授权运营活动提供安全可信的数据开发利用环境,包含运营管理、数据接入、目录管理、融合加工、算法建模、质量管理、接口生成等功能,具备身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等安全技术能力,保障数据全流程安全,支撑数据主管部门及有关部门对授权数据使用进行监管,并与公共数据平台对接授权数据。
第十六条 在数据主管部门和行业主管部门指导监督下,运营主体应当基于公共数据资源目录,结合应用场景登记形成授权运营数据资源目录,依据目录向数据主管部门申请数据。
第十七条 开发主体结合应用场景申请数据资源,运营主体确认后提供。在数据产品开发过程中,需要导入公共数据以外的社会数据,经运营主体确认后,可以依法将合规获取的数据导入进行融合开发。
第十八条 开发主体通过公共数据授权运营平台提交数据产品发布申请,运营主体评估审核后发布。评估重点包括但不限于以下内容:
(一)是否符合数据的申请用途和使用范围;
(二)是否注明使用的数据来源及其合法合规性;
(三)是否存在原始数据、敏感数据直接暴露的风险;
(四)是否存在个人信息和商业秘密泄露、滥用等风险;
(五)是否涉及数据出境;
(六)是否存在其他可能危害数据安全和运营合规的风险。
第十九条 数据产品交易应当严格遵循场内交易原则,开发主体应当将数据产品在依法设立的数据交易场所进行登记管理和交易,并接受价格主管部门对公共数据价格行为的监测。运营主体与开发主体的交易应当在依法设立的数据交易场所登记。
第二十条 严格执行国家和省公共数据价格管理政策。
运营主体参考成本定价,按授权协议约定向开发主体收取合理费用。数据产品由市场定价。
充分发挥数据要素报酬递增、低成本复用等特点,创新成本分摊、利润分配、知识产权共享等多元化收益分配机制。
第二十一条 运营主体汇集开发主体发布的数据产品形成目录,并动态更新。
第二十二条 运营主体定期向数据主管部门报告公共数据授权运营整体情况,包括开发主体数据开发利用情况、应用成效等。
第五章 监督管理
第二十三条 公共数据授权运营坚持“谁运营谁负责、谁使用谁负责”原则,落实数据安全责任和合规责任。
第二十四条 数据主管部门会同行业主管部门对运营主体加强监管,督促落实公共数据分类分级管理要求,推动公共数据规范运营。
第二十五条 网信部门会同数据主管部门、公安及行业主管部门等建立健全数据安全协同监管机制,明确公共数据授权运营各主体全过程的安全责任,加强对两级主体安全监督检查,包括安全管理组织机构、制度、技术及安全评估、应急预案、个人信息保护、数据出境安全等情况,推动公共数据授权运营安全有序规范开展。
第二十六条 对于违反本办法相关规定或在监督检查中发现有影响数据安全或者使用不合规的行为,数据等主管部门应及时依职权处置,并要求整改,拒不整改或者整改不到位的,终止授权协议。如发生违反法律法规情形,依法追究有关主体相应法律责任。
第二十七条 数据主管部门定期对运营主体的运营成效进行评价评估,运营主体为本省国有企业的,评价评估结果同步纳入本级国资监管的重大专项任务范畴。运营主体定期对开发主体的数据应用成效进行跟踪评估。
第二十八条 开发主体有下列情形之一的,运营主体有权终止协议,并按照相关规定或者协议约定,取消其相关权限、下架已发布的数据产品或销毁数据:
(一)授权协议期满;
(二)因自身原因申请提前终止合作协议;
(三)在数据开发利用过程违反协议约定;
(四)对于评估不合格的,经提醒或约谈后仍无改善的;
(五)发生数据安全事件,造成不良影响或者严重后果的;
(六)因国家法律法规或政策发生变化,导致公共数据授权运营资格、运营方式等发生调整或取消的;
(七)其他违反法律法规的情形。
第六章 附 则
第二十九条 本办法自2024年12月1日起施行,有效期至2026年11月30日。国家对公共数据授权运营管理另有规定的,从其规定。