浙江省公共數(shù)據(jù)授權(quán)運營管理辦法（試行）

浙江省公共數(shù)據(jù)授權(quán)運營管理辦法（試行）為規(guī)范公共數(shù)據(jù)授權(quán)運營管理，加快公共數(shù)據(jù)有序開發(fā)利用，培育數(shù)據(jù)要素市場，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》和《浙江省公共數(shù)據(jù)條例》等有關(guān)法律法規(guī)，制定本辦法。一、總則（一）總體要求。公共數(shù)據(jù)授權(quán)運營堅持中國共產(chǎn)黨的領(lǐng)導(dǎo)，遵循依法合規(guī)、安全可控、統(tǒng)籌規(guī)劃、穩(wěn)慎有序的原則，按照“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的要求，在保護個人信息、商業(yè)秘密、保密商務(wù)信息和確保公共安全的前提下，向社會提供數(shù)據(jù)產(chǎn)品和服務(wù)。支持具備條件的市、縣（市、區(qū)）優(yōu)先在與民生緊密相關(guān)、行業(yè)發(fā)展?jié)摿︼@著和產(chǎn)業(yè)戰(zhàn)略意義重大的領(lǐng)域，先行開展公共數(shù)據(jù)授權(quán)運營試點工作。禁止開放的公共數(shù)據(jù)不得授權(quán)運營。（二）適用范圍。本辦法適用于本省行政區(qū)域內(nèi)公共數(shù)據(jù)授權(quán)運營試點工作。（三）用語含義。所稱的公共數(shù)據(jù)授權(quán)運營，是指縣級以上政府按程序依法授權(quán)法人或者非法人組織（以下統(tǒng)稱授權(quán)運營單位），對授權(quán)的公共—２—數(shù)據(jù)進行加工處理，開發(fā)形成數(shù)據(jù)產(chǎn)品和服務(wù)，并向社會提供的行為。所稱的授權(quán)運營協(xié)議，是指縣級以上政府與授權(quán)運營單位就公共數(shù)據(jù)授權(quán)運營達成的書面協(xié)議，明確雙方權(quán)利義務(wù)、授權(quán)運營范圍、運營期限、合理收益的測算方法、數(shù)據(jù)安全要求、期限屆滿后資產(chǎn)處置、退出機制和違約責(zé)任等。所稱的授權(quán)運營域，是指由公共數(shù)據(jù)主管部門依托一體化智能化公共數(shù)據(jù)平臺（以下簡稱公共數(shù)據(jù)平臺）組織建設(shè)和運維的，為授權(quán)運營單位提供加工處理授權(quán)運營公共數(shù)據(jù)服務(wù)的特定安全域，具備安全脫敏、訪問控制、算法建模、監(jiān)管溯源、接口生成、封存銷毀等功能。所稱的數(shù)據(jù)產(chǎn)品和服務(wù)，是指利用公共數(shù)據(jù)加工形成的數(shù)據(jù)包、數(shù)據(jù)模型、數(shù)據(jù)接口、數(shù)據(jù)服務(wù)、數(shù)據(jù)報告、業(yè)務(wù)服務(wù)等。二、職責(zé)分工（一）建立省級公共數(shù)據(jù)授權(quán)運營管理工作協(xié)調(diào)機制（以下簡稱協(xié)調(diào)機制），由公共數(shù)據(jù)、網(wǎng)信、發(fā)展改革、經(jīng)信、公安、國家安全、司法行政、財政、市場監(jiān)管等省級單位組成。主要職責(zé)：負(fù)責(zé)本省行政區(qū)域內(nèi)授權(quán)運營工作的統(tǒng)籌管理、安全監(jiān)管和監(jiān)督評價，健全完善授權(quán)運營相關(guān)制度規(guī)范和工作機制；確定公共數(shù)據(jù)授權(quán)運營的試點地區(qū)和省級試點領(lǐng)域；審議給予、終止或撤銷省級授權(quán)運營等重大事項；統(tǒng)籌協(xié)調(diào)解決授權(quán)運營工作中的重大問題?！场圏c市、縣（市、區(qū)）政府建立本級協(xié)調(diào)機制，負(fù)責(zé)本行政區(qū)域內(nèi)授權(quán)運營工作的統(tǒng)籌管理、安全監(jiān)管和監(jiān)督評價，審議給予、終止或撤銷本級授權(quán)運營等重大事項，統(tǒng)籌協(xié)調(diào)解決本級授權(quán)運營工作中的重大問題。（二）公共數(shù)據(jù)主管部門負(fù)責(zé)落實協(xié)調(diào)機制確定的工作。省和試點的市、縣（市、區(qū)）政府設(shè)置公共數(shù)據(jù)授權(quán)運營合同專用章，由公共數(shù)據(jù)主管部門管理使用。（三）公共管理和服務(wù)機構(gòu)負(fù)責(zé)做好本領(lǐng)域公共數(shù)據(jù)的治理、申請審核及安全監(jiān)管等授權(quán)運營相關(guān)工作。發(fā)展改革、經(jīng)信、財政、市場監(jiān)管等單位按照各自職責(zé)，做好數(shù)據(jù)產(chǎn)品和服務(wù)流通交易的監(jiān)督管理工作。網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位按照各自職責(zé)，做好授權(quán)運營的安全監(jiān)管工作。（四）省、試點市設(shè)本級公共數(shù)據(jù)授權(quán)運營專家組，提供業(yè)務(wù)和技術(shù)咨詢。試點縣（市、區(qū)）可根據(jù)需要設(shè)專家組。三、授權(quán)運營單位安全條件（一）基本安全要求。經(jīng)營狀況良好，具備授權(quán)運營領(lǐng)域所需的專業(yè)資質(zhì)、知識人才積累和生產(chǎn)服務(wù)能力，并符合相應(yīng)的信用條件。（二）技術(shù)安全要求。１．落實數(shù)據(jù)安全負(fù)責(zé)人和管理部門，建立公共數(shù)據(jù)授權(quán)運營—４—內(nèi)部管理和安全保障制度。２．具有符合網(wǎng)絡(luò)安全等級保護三級標(biāo)準(zhǔn)和商用密碼安全性評估要求的系統(tǒng)開發(fā)和運維實踐經(jīng)驗。３．具備成熟的數(shù)據(jù)管理能力和數(shù)據(jù)安全保障能力。近年未發(fā)生網(wǎng)絡(luò)安全或數(shù)據(jù)安全事件。（三）應(yīng)用場景安全要求。１．授權(quán)運營的應(yīng)用場景具有重大經(jīng)濟價值和社會價值，并設(shè)置數(shù)據(jù)安全保障措施。２．應(yīng)用場景具有較強的可實施性，在授權(quán)運營期限內(nèi)有明確的目標(biāo)和計劃，能夠取得顯著成效。３．按照應(yīng)用場景申請使用公共數(shù)據(jù)，堅持最小必要的原則。（四）重點領(lǐng)域具體安全要求。由公共數(shù)據(jù)主管部門會同相關(guān)領(lǐng)域主管部門研究確定。四、授權(quán)方式（一）公共數(shù)據(jù)主管部門發(fā)布重點領(lǐng)域開展授權(quán)運營的通告，明確相應(yīng)的條件。授權(quán)運營申請單位在規(guī)定時間內(nèi)向公共數(shù)據(jù)主管部門提出需求，并提交授權(quán)運營申請表、最近１年的第三方審計報告和財務(wù)會計報告、數(shù)據(jù)安全承諾書、安全風(fēng)險自評報告等材料。協(xié)調(diào)機制有關(guān)單位可委托專家組論證授權(quán)運營中的業(yè)務(wù)和技術(shù)問題?！怠獏f(xié)調(diào)機制有關(guān)單位應(yīng)核實授權(quán)運營申請單位是否符合安全條件、信用條件等要求，報本級政府確定后向社會公開。（二）試點市、縣（市、區(qū)）政府堅持總量控制、因地制宜、公平競爭的原則，結(jié)合具體應(yīng)用場景確定授權(quán)運營領(lǐng)域與授權(quán)運營單位，并報省政府備案。（三）省市兩級公共數(shù)據(jù)主管部門依托本級公共數(shù)據(jù)平臺建設(shè)授權(quán)運營域；縣（市、區(qū)）依托市級授權(quán)運營域開展授權(quán)運營工作，確有必要的，可單獨建設(shè)授權(quán)運營域。省公共數(shù)據(jù)主管部門負(fù)責(zé)制定全省授權(quán)運營域建設(shè)標(biāo)準(zhǔn)，并組織驗收。授權(quán)運營域應(yīng)滿足以下條件：遵循已有的公共數(shù)據(jù)平臺標(biāo)準(zhǔn)規(guī)范體系，復(fù)用統(tǒng)一用戶認(rèn)證組件、用戶授權(quán)服務(wù)等公共數(shù)據(jù)平臺能力；實現(xiàn)網(wǎng)絡(luò)隔離、租戶隔離、開發(fā)與生產(chǎn)環(huán)境隔離，具備數(shù)據(jù)脫敏處理、數(shù)據(jù)產(chǎn)品和服務(wù)出域?qū)徍说裙δ?，確保全流程操作可追蹤，數(shù)據(jù)可溯源；滿足政府監(jiān)管需求，支持集成外部數(shù)據(jù)，具備分布式隱私計算能力；滿足授權(quán)運營單位的基本數(shù)據(jù)加工需求。（四）授權(quán)運營期限由雙方協(xié)商確定，一般不超過３年。授權(quán)運營期限屆滿后，需要繼續(xù)開展授權(quán)運營的，授權(quán)運營單位應(yīng)按程序重新申請公共數(shù)據(jù)授權(quán)運營。（五）授權(quán)運營協(xié)議終止或撤銷的，公共數(shù)據(jù)主管部門應(yīng)及時關(guān)閉授權(quán)運營單位的授權(quán)運營域使用權(quán)限，及時刪除授權(quán)運營域內(nèi)留存的相關(guān)數(shù)據(jù)，并按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于６個月。—６—五、授權(quán)運營單位權(quán)利與行為規(guī)范（一）授權(quán)運營單位在數(shù)據(jù)加工處理或提供服務(wù)過程中發(fā)現(xiàn)公共數(shù)據(jù)質(zhì)量問題的，可向公共數(shù)據(jù)主管部門提出數(shù)據(jù)治理需求。需求合理的，公共數(shù)據(jù)主管部門應(yīng)督促數(shù)據(jù)提供單位在規(guī)定期限內(nèi)完成數(shù)據(jù)治理。（二）授權(quán)運營單位依法合規(guī)開展公共數(shù)據(jù)運營，不得泄露、竊取、篡改、毀損、丟失、不當(dāng)利用公共數(shù)據(jù)，不得將授權(quán)運營的公共數(shù)據(jù)提供給第三方。相關(guān)管理人員、技術(shù)人員應(yīng)通過省公共數(shù)據(jù)主管部門組織的授權(quán)運營崗前培訓(xùn)。定期報告運營情況，接受公共數(shù)據(jù)主管部門對授權(quán)運營涉及的業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)使用情況、安全保障能力等方面的監(jiān)督檢查。嚴(yán)格執(zhí)行數(shù)據(jù)產(chǎn)品和服務(wù)定價、合理收益有關(guān)規(guī)定。完善公共數(shù)據(jù)安全制度，建立健全高效的技術(shù)防護和運行管理體系，確保公共數(shù)據(jù)安全，切實保護個人信息。授權(quán)運營單位在開展公共數(shù)據(jù)運營過程中，因數(shù)據(jù)匯聚、關(guān)聯(lián)分析等原因發(fā)現(xiàn)數(shù)據(jù)間隱含關(guān)系與規(guī)律，并危害國家安全、公共利益，或侵犯個人信息、商業(yè)秘密、保密商務(wù)信息的，應(yīng)立即停止相應(yīng)的數(shù)據(jù)處理活動，及時向公共數(shù)據(jù)主管部門報告數(shù)據(jù)風(fēng)險情況。（三）授權(quán)運營單位通過一體化數(shù)字資源系統(tǒng)提交公共數(shù)據(jù)需求清單，涉及省回流市、縣（市、區(qū)）數(shù)據(jù)的，應(yīng)經(jīng)省公共數(shù)據(jù)主管部門同意?！贰婕皞€人信息、商業(yè)秘密、保密商務(wù)信息的公共數(shù)據(jù)，應(yīng)經(jīng)過脫敏、脫密處理，或經(jīng)相關(guān)數(shù)據(jù)所指向的特定自然人、法人、非法人組織依法授權(quán)同意后獲取。相關(guān)數(shù)據(jù)不得以“一攬子授權(quán)”、強制同意等方式獲取。（四）授權(quán)運營單位應(yīng)在授權(quán)運營域內(nèi)對授權(quán)運營的公共數(shù)據(jù)進行加工處理，形成數(shù)據(jù)產(chǎn)品和服務(wù)。加工處理公共數(shù)據(jù)應(yīng)符合以下要求：１．授權(quán)運營單位所有參與數(shù)據(jù)加工處理的人員須經(jīng)實名認(rèn)證、備案與審查，簽訂保密協(xié)議，操作行為應(yīng)做到有記錄、可審查。保密協(xié)議應(yīng)明確保密期限和違約責(zé)任。２．原始數(shù)據(jù)對數(shù)據(jù)加工處理人員不可見。授權(quán)運營單位使用經(jīng)抽樣、脫敏后的公共數(shù)據(jù)進行數(shù)據(jù)產(chǎn)品和服務(wù)的模型訓(xùn)練與驗證。３．經(jīng)公共數(shù)據(jù)主管部門審核批準(zhǔn)后，授權(quán)運營單位可將依法合規(guī)獲取的社會數(shù)據(jù)導(dǎo)入授權(quán)運營域，與授權(quán)運營的公共數(shù)據(jù)進行融合計算。（五）授權(quán)運營單位加工形成的數(shù)據(jù)產(chǎn)品和服務(wù)應(yīng)接受公共數(shù)據(jù)主管部門審核。原始數(shù)據(jù)包不得導(dǎo)出授權(quán)運營域。通過可逆模型或算法還原出原始數(shù)據(jù)包的數(shù)據(jù)產(chǎn)品和服務(wù)，不得導(dǎo)出授權(quán)運營域。經(jīng)公共數(shù)據(jù)主管部門審核批準(zhǔn)后導(dǎo)出授權(quán)運營域的數(shù)據(jù)產(chǎn)品—８—和服務(wù)，不得用于或變相用于未經(jīng)審批的應(yīng)用場景。數(shù)據(jù)產(chǎn)品和服務(wù)應(yīng)按照國家和省有關(guān)數(shù)據(jù)要素市場規(guī)則流通交易。（六）授權(quán)運營單位應(yīng)堅持依法合規(guī)、普惠公平、收益合理的原則，確定數(shù)據(jù)產(chǎn)品和服務(wù)的價格。授權(quán)運營單位在運營期限內(nèi)，應(yīng)向公共數(shù)據(jù)主管部門提交公共數(shù)據(jù)授權(quán)運營年度運營報告。報告內(nèi)容包括：本單位與授權(quán)運營相關(guān)的數(shù)據(jù)產(chǎn)品和服務(wù)存儲、加工處理、分析利用、安全管理及市場運營情況等。六、數(shù)據(jù)安全與監(jiān)督管理（一）公共數(shù)據(jù)授權(quán)運營堅持統(tǒng)籌發(fā)展和安全的原則，按照“公共數(shù)據(jù)分類分級”要求，加強公共數(shù)據(jù)全生命周期安全和合法利用管理，確保數(shù)據(jù)來源可溯、去向可查，行為留痕、責(zé)任可究。（二）公共數(shù)據(jù)授權(quán)運營安全堅持誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)的原則。授權(quán)運營單位主要負(fù)責(zé)人是運營公共數(shù)據(jù)安全的第一責(zé)任人。（三）公共數(shù)據(jù)主管部門應(yīng)加強公共數(shù)據(jù)安全管理。１．建立健全授權(quán)運營安全防護技術(shù)標(biāo)準(zhǔn)和規(guī)范，落實安全審查、風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置等管理機制，開展公共數(shù)據(jù)安全培訓(xùn)。２．實施數(shù)據(jù)產(chǎn)品和服務(wù)的安全合規(guī)管理，對授權(quán)運營域的操—９—作人員進行認(rèn)證、授權(quán)和訪問控制，記錄數(shù)據(jù)來源、產(chǎn)品加工和數(shù)據(jù)調(diào)用等全流程日志信息。３．實施公共數(shù)據(jù)授權(quán)運營安全的監(jiān)督檢查。４．監(jiān)督授權(quán)運營單位落實公共數(shù)據(jù)開發(fā)利用與安全管理責(zé)任。（四）公共數(shù)據(jù)主管部門會同網(wǎng)信、密碼管理、保密行政管理、公安、國家安全等單位，按照“一授權(quán)一預(yù)案”要求，結(jié)合公共數(shù)據(jù)授權(quán)運營的應(yīng)用場景制定應(yīng)急預(yù)案，并組織應(yīng)急演練。未制定應(yīng)急預(yù)案的，不得開展授權(quán)運營工作。發(fā)生數(shù)據(jù)安全事件時，公共數(shù)據(jù)主管部門應(yīng)按照應(yīng)急預(yù)案啟動應(yīng)急響應(yīng)，采取相應(yīng)的應(yīng)急處置措施，防止危害擴大，消除安全隱患。（五）市場監(jiān)管部門協(xié)同發(fā)展改革、經(jīng)信、財政等單位完善數(shù)據(jù)產(chǎn)品和服務(wù)的市場化運營管理制度。對違反反壟斷、反不正當(dāng)競爭、消費者權(quán)益保護等法律法規(guī)規(guī)定的，由有關(guān)單位按照職責(zé)依法處置，相關(guān)不良信息依法記入其信用檔案。（六）知識產(chǎn)權(quán)主管部門會同發(fā)展改革、經(jīng)信、司法行政等單位建立數(shù)據(jù)知識產(chǎn)權(quán)保護制度，推進數(shù)據(jù)知識產(chǎn)權(quán)保護和運用。（七）公共數(shù)據(jù)主管部門會同有關(guān)單位或委托第三方機構(gòu)，對本級授權(quán)運營單位開展授權(quán)運營情況年度評估，對授權(quán)運營單位實行動態(tài)管理，評估結(jié)果作為再次申請授權(quán)運營的重要依據(jù)?！保啊ò耍┦跈?quán)運營單位違反授