滨州市人民政府办公室关于印发滨州市公共数据授权运营管理暂行办法的通知

各县(市、区)人民政府,各市属开发区管委会,市政府各部门、各直属事业单位,市属各大企业,各高等院校,中央、省驻滨各单位:

　　《滨州市公共数据授权运营管理暂行办法》已经市政府同意,现印发给你们,请结合实际认真贯彻落实。

　　滨州市人民政府办公室

　　2024年9月9日

　　(此件公开发布)

　　滨州市公共数据授权运营管理暂行办法

　　第一章总则

　　第一条为规范全市公共数据授权运营行为,加快公共数据有序开发利用,培育数据要素市场,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规和《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《山东省数字政府网络安全管理办法(试行)》《滨州市公共数据管理办法》等,结合我市实际,制定本办法。

　　第二条我市行政区域内与公共数据授权运营相关的数据授权、加工处理、安全监管等数据活动,适用本办法。

　　第三条本办法所称公共数据,是指各级行政机关、法律法规授权的具有管理公共事务职能的组织、人民团体以及其他具有公共服务职能的企业事业单位等(以下统称数据提供单位),在依法履行公共管理和服务职责过程中收集和产生的各类数据。

　　本办法所称公共数据授权运营,是指县级以上人民政府委托本级人民政府公共数据主管部门,按程序依法授权满足条件的公共数据授权运营单位,开展公共数据资源加工使用、产品经营和技术服务,并面向市场公平提供公共数据产品和服务的活动。

　　本办法所称公共数据授权运营单位(以下简称授权运营单位),是指按照规范程序获得授权,推动公共数据价值流通,开展公共数据加工处理和产品开发活动的法人或非法人组织。

　　本办法所称授权运营域(以下简称运营域),是指依托全市统一的公共数据授权运营体系,为授权运营单位提供加工处理公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁、全程审计等功能。

　　本办法所称公共数据产品或服务(以下简称公共数据产品),是指利用公共数据加工形成的产品或服务,主要形态有数据包、数据接口、数据模型、数据服务、数据报告、业务服务等。

　　第四条公共数据授权运营应当遵循依法合规、统筹规划、稳慎有序、安全可控的原则,应当在保护国家秘密、个人信息、商业秘密和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,向社会提供模型、核验等多种形式的产品和服务。

　　第五条组建授权运营工作专家组,为公共数据授权运营提供综合评估、咨询意见等服务。

　　第六条公共数据授权运营工作相关部门职责如下:

　　市级公共数据主管部门负责健全完善公共数据授权运营相关政策、管理制度和标准规范,承担市级公共数据授权运营管理工作,指导、监督全市公共数据授权运营管理工作。

　　各县(市、区)公共数据主管部门负责加强本区域公共数据的治理,使用全市统一的运营域,参照市级的公共数据授权运营办法进行授权,协调、指导、监督本级公共数据运营工作。

　　数据提供单位及主管部门负责做好本领域公共数据的治理、审核和安全监管等授权运营相关工作。根据相关法律法规和规范性文件,提供可授权的公共数据资源,监督本领域公共数据授权运营工作。

　　发展改革、财政、市场监管等部门负责按照各自职责,做好公共数据资源授权运营的相关业务监管工作。

　　网信、公安等部门按照各自职责,做好公共数据资源授权运营的安全监管工作。

　　第七条市、县政府是公共数据授权主体,委托公共数据主管部门负责公共数据授权运营的具体实施工作和对授权运营单位实施日常监督管理。数据提供单位未经批准不得与任何第三方签订公共数据授权协议,不得以合作开发、委托开发等方式交由第三方承建相关信息系统,而使其直接获取数据运营权。

　　第八条授权运营单位应当按照应用场景申请授权运营公共数据,并提供申请授权运营的业务场景清单和数据需求清单。应当满足下列申请要求:(一)应用场景明确,且具有重大经济价值或社会价值,申请使用公共数据应当符合最小必要的原则;(二)应用场景具有较强的可实施性,在授权期限内有明确目标和计划,能够取得显著成效;(三)短期无法取得成效,但是具有经济和社会效益的应用场景,也可酌情纳入。

　　第九条优先面向医疗健康、普惠金融、工业制造、市域治理等重点领域,按照授权协议约定的数据清单,向授权运营单位授权公共数据。授权运营单位应在运营域内对授权的公共数据进行加工处理,形成公共数据产品,经合法合规审核后向用户提供,公共数据产品仅能用于授权协议约定的应用场景。

　　第十条推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。

　　第二章授权程序

　　第十一条公共数据主管部门通过滨州市人民政府门户网站等官网途径发布开展公共数据授权运营申报的通知,明确申报条件。

　　授权运营单位应当符合以下条件:(一)经营状况良好,单位及其法定代表人无违法记录,未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单;(二)熟悉并理解国家和省市公共数据管理、授权运营和开发利用等法律法规、政策文件及相关规定;(三)熟悉公共数据应用场景建设,具备公共数据加工处理及产品打造经验,具备及时响应业务及监管需求的技术基础;(四)建立公共数据授权加工内部管理、安全保障、应急响应及保密制度、体系,明确数据安全负责人。(五)法律法规要求的其他条件。

　　第十二条公共数据授权运营申请单位应当在规定时间内,向公共数据主管部门提交公共数据授权运营申请。

　　第十三条公共数据主管部门会同相关行业主管部门,组织专家对公共数据授权运营申请单位进行综合评审,评审结果报同级人民政府审定。

　　第十四条公共数据主管部门向社会公示评审结果,并对异议及时答复和处理。

　　第十五条公示无异议后,公共数据主管部门与授权运营单位签订公共数据授权协议,并在协议中明确数据授权范围、期限、方式及违约责任等。

　　第十六条授权运营单位应在授权运营期限届满前6个月内,向公共数据主管部门重新申请公共数据授权运营。在授权运营期间,授权运营单位可以向公共数据主管部门提出公共数据授权运营提前注销申请。授权协议终止或撤销的,公共数据主管部门应当及时撤销授权运营单位的运营域使用权限,及时删除运营域内留存的相关数据,并按照规定留存相关网络日志不少于6个月。

　　第三章授权运营

　　第十七条按照“一场景一清单一审核”的原则,授权运营单位应当依托运营域提出公共数据需求申请,公共数据主管部门和数据提供单位根据场景审核数据需求清单,审核通过的公共数据资源纳入运营域统一管理,并向授权运营单位开放相应权限。

　　授权运营单位在数据加工处理或提供服务过程中发现公共数据存在质量问题的,可以向公共数据主管部门提出数据治理需求。数据治理需求合理的,公共数据主管部门应当督促数据提供单位在规定期限内完成数据治理。

　　授权运营单位可以根据数据加工处理的基础性需要,向公共数据主管部门提出定制化服务需求,授权运营单位应承担相应加工处理成本和服务费用。

　　第十八条授权运营单位应当遵循“原始数据不出域、数据可用不可见”的原则,在运营域内按照协议对所申请的公共数据资源进行加工处理,形成可面向市场提供的数据产品。

　　授权运营单位所有操作行为应当做到有记录、可审查,原始数据对数据加工人员不可见。授权运营单位应当使用经抽样、脱敏后的公共数据,进行数据产品的模型训练与验证。

　　第十九条授权运营单位不得在授权范围外开展数据运营,不得将相关公共数据产品和服务用于或变相用于未经审批的应用场景,不得在未经公共数据主管部门审查通过的情况下,导入其他数据或与第三方开展技术服务合作。

　　第二十条授权运营单位不得直接或间接参与授权范围内的公共数据产品和服务再开发。授权运营单位可组织其他经营主体对公共数据产品和服务再开发,并提交相应的安全自查报告及使用说明,由公共数据主管部门会同行业主管部门进行产品审查。审查发现存在违法违规部分或其他数据安全风险的,授权运营单位应当组织相关经营主体完成整改,并提交公共数据主管部门备案。

　　第二十一条授权运营单位在运营期限内,应当向公共数据主管部门提交公共数据授权运营年度运营报告,报告应当包括本单位数据资源的授权存储、加工处理、分析挖掘、融合利用情况等内容。

　　第四章授权运营域

　　第二十二条公共数据主管部门统筹建设运营域,为授权运营单位提供授权运营管理、数据产品和服务出域审核、全流程安全监控等功能服务,确保公共数据授权运营全流程操作可审计,数据可溯源。

　　各县(市、区)可以依托市级运营域开展授权运营相关工作。

　　各授权运营单位和数据提供单位不得新建公共数据运营通道;已建运营通道的,应当纳入运营域统筹管理,统一对外提供服务。

　　第二十三条授权运营单位应当承担运营域资源消耗的必要成本,有偿使用运营域的开发席位、开发环境、开发工具、云计算等相关资源和增值服务。

　　第二十四条运营域应当支持授权运营单位面向不同场景需求,采用多方安全计算、联邦计算、可信执行环境等多种技术路线,进行公共数据加工开发,实现“原始数据不出域、数据可用不可见”。

　　第五章数据授权与监督管理

　　第二十五条授权运营单位应当严格遵守数据安全、个人信息保护、反垄断、反不正当竞争、消费者权益保护等有关法律法规规定,严格执行公共数据使用的有关要求。按照“谁运营谁负责、谁使用谁负责”的原则,授权运营单位应当严格落实数据安全的主体责任,做好自有上传数据的合规性、合法性自查。根据公共数据主管部门要求签订数据安全承诺书,严格履行数据安全保护义务与保密义务,切实做好数据安全和个人信息保护工作。

　　第二十六条公共数据主管部门应当牵头组织对授权运营单位的授权运营相关业务、信息系统、数据使用情况、安全保障能力等进行监督检查。授权运营单位应积极配合,并根据监管工作需要提供相关材料。

　　第二十七条授权运营单位应当根据公共数据分类分级管理要求,建立健全公共数据安全管理制度,对本单位公共数据授权运营相关岗位人员、系统平台、技术应用、对外合作等实施全面的安全管理。

　　授权运营单位应当充分利用各种技术手段,建立健全高效的安全技术防护和运行体系,加强对公共数据的全过程全周期安全防护和监测预警,确保公共数据安全,切实保护个人信息。

　　第二十八条在公共数据授权运营过程中,授权运营单位如发现存在数据安全隐患或其他不安全因素,应第一时间向公共数据主管部门上报,积极采取措施消除安全隐患,并密切配合公共数据主管部门做好数据安全事件的调查及处置工作。授权运营单位一旦发现可能或已经发生数据泄露等数据安全事件的,应当立即通知公共数据主管部门,并调查事件发生原因,积极采取补救措施。

　　第二十九条公共数据主管部门应当会同相关行业主管部门对授权运营单位开展年度评估,实施动态管理。授权运营单位应当配合有关部门做好安全保障、绩效评价等评估工作,如实提供有关资料,不得拒绝、隐匿、瞒报。

　　第三十条授权运营单位违反授权协议,有下列情形之一的,应当按照协议约定制定整改方案,在30日内完成整改,报公共数据主管部门进行整改情况评估。整改期间,公共数据主管部门可暂时关闭其运营域使用权限。(一)未履行公共数据安全管理义务的;(二)违规使用公共数据并造成损失的;(三)授权运营活动存在较大安全风险的;(四)超授权范围加工使用公共数据的;(五)其他违反授权协议或法律法规规定情形的。

　　授权运营单位在规定期限内未按照要求完成整改,情节严重或存在数据安全风险的,公共数据主管部门有权解除授权协议。

　　第三十一条授权运营单位及其相关人员存在违法行为的,应依法承担相关法律责任。

　　第六章附则

　　第三十二条本办法由滨州市大数据局负责解释。

　　第三十三条本办法自印发之日起施行,有效期三年。期间,国家和省对公共数据授权运营管理有新规定的,从其规定。