媒体解读

发布会解读

各县（市、区）人民政府，市政府各部门、直属各单位：

《衢州市公共数据授权运营管理实施细则（试行）》已经市政府同意，现印发给你们，请结合实际认真贯彻执行。

衢州市人民政府办公室

2024年6月17日

（此件公开发布）

衢州市公共数据授权运营管理实施细则（试行）

一、总则

（一）目的依据。为规范公共数据授权运营管理，加快公共数据有序开发利用，培育数据要素市场，赋能四省边际数字变革桥头堡建设，推动数字经济高质量发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《浙江省公共数据条例》《浙江省公共数据授权运营管理办法（试行）》等有关法律法规和文件规定，结合本市实际，制定本实施细则。

（二）适用范围。本市行政区域内与公共数据授权运营相关的授权、加工、经营、安全监管等数据活动，适用本实施细则。

（三）基本原则。

公共数据授权运营坚持中国共产党的领导，遵循依法合规、安全可控、统筹规划、稳慎有序的原则，按照“原始数据不出域、数据可用不可见”的要求，在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下，向社会提供数据产品和服务。

通过创新数据产品和服务，深度挖掘数据价值，进一步释放数据潜能，推动我市数字经济蓬勃发展。

优先在与民生紧密相关、行业发展潜力显著和产业战略意义重大的领域，先行开展公共数据授权运营试点工作。禁止开放的公共数据不得授权运营。

（四）用语定义。

公共数据授权运营，是指县级以上政府按程序依法授权法人或者非法人组织（以下统称授权运营单位），对授权的公共数据进行加工处理，开发形成数据产品和服务，并向社会提供的行为。

授权运营协议，是指县级以上政府与授权运营单位就公共数据授权运营达成的书面协议，明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。

授权运营域，是指由公共数据主管部门依托一体化智能化公共数据平台（以下简称公共数据平台）组织建设和运维的，为授权运营单位提供加工处理授权运营公共数据服务的特定安全域，具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁等功能。

数据产品和服务，是指利用公共数据加工形成的数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。

二、授权机制

（一）授权主体。

市、县（市、区）政府是公共数据授权主体，设置公共数据授权运营合同专用章。

公共数据主管部门牵头实施公共数据授权运营的具体工作，管理使用公共数据授权运营合同专用章。

（二）协调机制。

市、县（市、区）政府建立本级公共数据授权运营管理工作协调机制（以下简称协调机制），由公共数据主管部门、网信、发改、经信、公安、国家安全、司法行政、财政、市场监管等单位组成。协调机制主要职责包括：

1．健全完善公共数据授权运营相关制度规范和工作机制；

2．负责本级行政区域内授权运营工作的统筹管理、安全监管和监督评价；

3．确定公共数据授权运营领域；

4．审议给予、终止或撤销授权运营等重大事项；

5．监督指导公共数据授权运营年度评估工作；

6．统筹协调解决公共数据授权运营工作中遇到的重大问题。

（三）专家组。

依托政府投资数字化项目专家库，组建公共数据授权运营专家组。专家组主要职责包括：

1．接受公共数据主管部门委托对授权运营申请单位进行综合评审；

2．为公共数据授权运营提供业务和技术咨询；

3．论证公共数据授权运营中的专业技术问题；

4．对公共数据授权运营知识产权风险进行评估。

专家组履职过程应遵守职业道德，客观、公正、实事求是地提出咨询意见并遵守有关保密规定。县（市、区）政府可以结合本地实际，根据需要组建本级专家组，也可以委托市级专家组开展评审工作。

（四）职责分工。

1．公共数据主管部门负责本行政区域内公共数据授权运营的统筹管理和监督评价，指导、协调、督促其他有关部门按照各自职责做好公共数据授权运营相关工作。

2．公共管理和服务机构负责做好本领域公共数据的治理、申请审核和安全监管等授权运营相关工作。

发改、经信、财政、市场监管等部门按照各自职责，完善数据产品和服务的市场化运营管理制度，做好流通交易的监督管理工作。

网信、密码管理、保密行政管理、公安、国家安全等单位按照各自职责，做好授权运营的安全监管工作。

3．知识产权主管部门会同发改、经信、司法行政等部门建立数据知识产权保护制度，推进数据知识产权保护和运用。

（五）授权条件。

在实施授权运营时，坚持“无场景不授权”的原则，授权运营单位应当按照应用场景申请授权运营公共数据，并提供申请授权运营的业务场景清单和数据需求清单。应用场景应当满足下列要求：

1．具有重大经济社会价值；短期无法取得成效，但对当地经济社会有长期效益，也可酌情纳入。

2．具有较强的可实施性，在授权运营期限内有明确目标和计划，能够取得显著成效。

3．申请使用公共数据应当符合最小必要的原则。

（六）授权范围。

公共数据主管部门应综合考虑与民生紧密相关、行业发展潜力显著、产业战略意义重大等因素，优先面向产业发展、营商环境、科技创新、绿色生态、市域治理、公共服务、文化建设和全域旅游等重点领域，以及深化改革和共同富裕等重要工作，按照运营协议约定的数据清单，向授权运营单位授权公共数据。

禁止开放的公共数据不得授权运营，具体包括：开放后危及或者可能危及国家安全的，开放后可能损害公共利益的，涉及个人信息、商业秘密或者保密商务信息的，数据获取协议约定不得开放的，法律、法规规定不得开放的数据。其中涉及个人信息、商业秘密、保密商务信息的数据，若有下列情况之一的，可以列入受限开放或者无条件开放数据：

1．涉及个人信息的公共数据经匿名化处理的；

2．涉及商业秘密、保密商务信息的公共数据经脱敏、脱密处理的；

3．涉及个人信息、商业秘密、保密商务信息的公共数据指向的特定自然人、法人或者非法人组织依法授权同意开放的。

（七）市场化运营。探索将公共数据授权运营纳入政府国有资源资产有偿使用范围，按照“谁投入、谁贡献、谁受益”原则，保护公共数据授权运营各参与方的投入产出收益，依法依规维护数据资源资产权益。鼓励多方合作开展数据产品和服务市场化运营，探索成本分摊、利润分成、股权参股、知识产权共享等多元化利益分配机制。

三、授权程序

（一）通告发布。公共数据主管部门通过政府网站、授权运营域系统等渠道发布公共数据授权运营的公告，明确申报条件。

（二）申请提交。

授权运营申请单位应当在上述公告规定时间内向公共数据主管部门提交申请，包括提交授权运营申请表、最近一年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告等材料。

授权运营申请单位应当满足以下条件：

1．经营状况良好，具备授权运营领域所需的专业资质、知识人才积累和生产服务能力，并符合相应的信用条件，近3年未发生网络安全或数据安全事件；

2．明确数据安全负责人和管理部门，建立公共数据授权运营内部管理和安全保障制度，具备成熟的数据管理能力和数据安全保障能力；

3．具有符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验。

（三）资格审查。

公共数据主管部门对授权运营申请单位进行资格审查，组织专家组进行综合评审，评审结果报协调机制会议审议。

1．材料预审。公共数据主管部门对授权运营申请单位的材料进行初审，如申请单位提交材料不齐全或者不符合要求的，应在规定时间内补交相关材料。

2．专家评审。公共数据主管部门组织召开专家论证会，授权运营申请单位详细介绍场景建设思路、技术实力、资源优势等，专家组对授权运营申请单位的资质实力进行综合评审，对拟授权运营应用场景的安全性和合规性等进行集体研讨，出具论证评审意见。

3．协调机制会议审议。协调机制有关单位结合专家组评审结果，核实授权运营申请单位是否符合安全条件、信用条件等要求，并召开会议进行审议，审议通过的报本级政府确定。

4．备案。本级政府坚持总量控制、因地制宜、公平竞争的原则，结合具体应用场景确定授权运营领域与授权运营单位，并报省政府备案。

（四）社会公开。公共数据主管部门及时向社会公开公共数据授权运营单位等相关信息，对异议及时答复和处理。

（五）协议签订。

市、县（市、区）政府与授权运营单位签订授权运营协议，公共数据主管部门负责公共数据授权运营协议签订等相关工作的组织实施。授权运营期限由双方协商确定，一般不超过3年。

授权运营期限届满后需要继续开展授权运营的，授权运营单位应在届满前按程序重新申请公共数据授权运营；未提交申请的，默认终止授权。

（六）授权终止。授权运营协议终止或撤销的，由公共数据主管部门终止授权，关闭授权运营单位的授权运营域使用权限，及时删除授权运营域内留存的相关数据，并按照规定留存相关网络日志不少于6个月。

四、行为规范

（一）岗前培训。授权运营单位相关管理、技术人员应通过省公共数据主管部门组织的授权运营岗前培训。

（二）数据获取。

授权运营单位应当依场景需求填写拟申请授权数据清单，并通过一体化数字资源系统提交公共数据需求清单，经公共数据主管部门及数源部门审核同意后获取。涉及省回流市、县（市、区）数据的，应经省公共数据主管部门同意，涉及市回流县（市、区）数据的，按规定处理。

涉及个人信息、商业秘密、保密商务信息的公共数据，应经过脱敏、脱密处理，或经相关数据所指向的特定自然人、法人、非法人组织依法授权同意后获取。相关数据不得以“一揽子授权”、强制同意等方式获取。

（三）数据加工。

授权运营单位应在授权运营域内对授权运营的公共数据进行加工处理，形成数据产品和服务。

加工处理公共数据应符合以下要求：

1．授权运营单位所有参与数据加工处理的人员须经实名认证、备案与审查，签订保密协议，操作行为应做到有记录、可审查。保密协议应明确保密期限和违约责任。

2．原始数据对数据加工处理人员不可见。授权运营单位使用经抽样、脱敏后的公共数据进行数据产品和服务的模型训练与验证。

3．经公共数据主管部门审核批准后，授权运营单位可将依法合规获取的社会数据导入授权运营域，与获得授权的公共数据进行融合计算。

授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的，可向公共数据主管部门提出数据治理需求。需求合理的，公共数据主管部门应督促数据提供单位在规定期限内完成数据治理。

（四）流通交易。

授权运营单位加工形成的数据产品和服务应接受公共数据主管部门审核。原始数据包不得导出授权运营域。通过可逆模型或算法还原出原始数据包的数据产品和服务，不得导出授权运营域。

经公共数据主管部门审核批准后导出授权运营域的数据产品和服务，不得用于或变相用于未经审批的应用场景。

数据产品和服务应按照国家和省、市有关数据要素市场规则流通交易。

授权运营单位应坚持依法合规、普惠公平、收益合理的原则，确定数据产品和服务的价格。

（五）运营报告。授权运营单位在运营期限内，应向公共数据主管部门提交公共数据授权运营年度运营报告。报告包括本单位与授权运营相关的数据产品和服务存储、加工处理、分析利用、安全管理及市场运营情况等内容。

五、授权运营域

（一）建设原则。市级公共数据主管部门依托本级公共数据平台建设授权运营域；各县（市、区）依托市级授权运营域开展授权运营工作，原则上不再单独建设授权运营域。

（二）平台功能。公共数据主管部门按照全省授权运营域建设标准和验收要求，统筹建设市级授权运营域，实现网络隔离、租户隔离、开发与生产环境隔离，为公共数据授权运营提供个人/企业授权、运营管理、数据出域审核、全流程安全监控等功能服务，确保公共数据授权运营全流程操作可审计，数据可溯源，满足政府监管和授权运营单位基本数据加工等需求。

（三）平台使用。授权运营单位在授权运营域内对授权运营的公共数据进行加工处理，应按规定承担相应基础设施资源消耗等必要成本。

（四）平台运维。公共数据主管部门应当加强技术投入和运维管理，制定相关管理规范和技术标准，确保授权运营域安全稳定运行。

六、安全监管

（一）数据安全。

公共数据授权运营坚持统筹发展和安全的原则，按照“公共数据分类分级”要求，加强公共数据全生命周期安全和合法利用管理，确保数据来源可溯、去向可查，行为留痕、责任可究。

公共数据授权运营安全坚持“谁运营谁负责、谁使用谁负责”的原则。授权运营单位主要负责人是运营公共数据安全的第一责任人。

公共数据主管部门应加强公共数据安全管理，开展公共数据安全培训。公共数据实施数据产品和服务的安全合规管理，对授权运营域的操作人员进行认证、授权和访问控制，记录数据来源、产品加工和数据调用等全流程日志信息。

发生数据安全事件时，公共数据主管部门应按照应急预案启动应急响应，采取相应的应急处置措施，防止危害扩大，消除安全隐患。

授权运营单位应完善公共数据安全制度，依法合规开展公共数据运营，建立健全高效的技术防护和运行管理体系，确保公共数据安全，切实保护个人信息；不得泄露、窃取、篡改、毁损、丢失、不当利用公共数据，不得将授权运营的公共数据提供给第三方。

授权运营单位在开展公共数据运营过程中，因数据汇聚、关联分析等原因发现数据间隐含关系与规律，并危害国家安全、公共利益，或侵犯个人信息、商业秘密、保密商务信息的，应立即停止相应的数据处理活动，及时向公共数据主管部门报告数据风险情况。

（二）监督管理。

公共数据主管部门应建立健全安全防护技术标准和规范，落实安全审查、风险评估、监测预警、应急处置等监管职责。

公共数据主管部门牵头组织对授权运营单位的授权运营相关业务和数据使用情况、运营情况、安全保障能力等进行监督检查。授权运营单位应依法积极配合，并根据监管工作需要提供必要材料。

公共数据主管部门会同网信、密码管理、保密行政管理、公安、国安等单位，按照“一授权一预案”要求，结合公共数据授权运营的应用场景制定应急预案，并定期组织应急演练。

市场监管部门协同发展改革、经济和信息化、财政等单位完善数据产品和服务的市场化运营管理制度。对违反反垄断、反不正当竞争、消费者权益保护、知识产权等法律法规规定的，由有关单位按照职责依法处置，相关不良信息依法记入其信用档案。

（三）相关责任。授权运营单位违反授权运营协议的，公共数据主管部门应按照协议约定要求其改正，并暂时关闭其授权运营域使用权限。授权运营单位应在约定期限内改正，并反馈改正情况；未按照要求改正的，终止其相关公共数据的授权。授权运营单位违反授权运营协议，属于违反网络安全、数据安全、个人信息保护有关法律法规规定的，由网信、公安等单位按照职责依法予以查处，相关不良信息依法记入其信用档案。

七、附则

本细则自2024年7月19日起施行。国家、省和市对公共数据授权运营管理有新规定的，从其规定。

衢政办发〔2024〕25号关于印发衢州市公共数据授权运营管理实施细则（试行）的通知.pdf