南宁市公共数据授权运营管理暂行办法(征求意见稿)
为贯彻落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,规范我市公共数据授权运营管理,加快推进公共数据有序开发利用,我局起草了《南宁市公共数据授权运营管理暂行办法(征求意见稿)》,现向社会公开征求意见。
有关单位和各界人士如有修改意见,可通过以下方式提出:
一、登录“南宁市行政立法和决策公开征求意见平台”(http://gkzqyjpt.sf.nanning.gov.cn),在线提出意见、建议。
二、通过电子邮件方式提出意见、建议,发送至以下邮箱:nndsjsa@163.com。
意见反馈截止日期为2024年10月12日。提出建议的有关单位,请注明单位名称、通讯地址、联系电话等内容;个人请署真实姓名、身份证号码、通讯地址、联系电话等内容,以便联系。感谢您的参与和支持!
附件:1.南宁市公共数据授权运营管理暂行办法(征求意见稿)
2.《南宁市公共数据授权运营管理暂行办法(征求意见稿)》起草说明
南宁市数据局
2024年9月12日
南宁市公共数据授权运营管理暂行办法
(征求意见稿)
第一章 总 则
第一条 为贯彻落实国家、自治区数据要素有关文件精神,规范公共数据授权运营管理,加快推进公共数据有序开发利用,培育数据要素市场,赋能我市经济社会高质量发展,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》和《广西壮族自治区大数据发展条例》等相关规定,结合本市实际,制定本暂行办法。
第二条 公共数据授权运营坚持中国共产党的领导,遵循依法合规、安全可控、政府引导、市场运作、创新引领、统筹协调的原则,以维护国家数据安全、保护个人信息和商业秘密为前提,按照“原始数据不出域、数据可用不可见”的要求推动公共数据有序流动与开发利用。
第三条 本市行政区域内与公共数据授权运营有关的申请授权、数据开发、数据运营、安全监管等活动,适用于本办法。
第四条 本办法所称公共数据,包括政务数据和公共服务数据。政务数据,是指国家机关和法律、法规授权的具有管理公共事务职能的组织,在履行法定职责过程中收集、产生的数据。公共服务数据,是指教育、医疗、卫生健康、供水、供电、供气、供热、生态环境、公共交通、通信、气象、社会保险、文化旅游、体育等公共企业事业单位在提供公共服务过程中收集、产生的涉及公共利益的数据。
本办法所称公共数据授权运营,是指经市人民政府同意,由市公共数据主管部门按程序依法授权的法人或者非法人组织(以下统称数据运营主体),对被授权的公共数据进行加工处理,开发形成数据产品和服务,并向社会提供的行为。
本办法所称的公共数据授权运营协议,是指市政府委托市公共数据主管部门与授权运营主体就公共数据授权运营达成的书面协议,明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、收益分配、期限届满后资产处置、监督机制、退出机制和违约责任等。
本办法所称数据中台,是指由市公共数据主管部门组织建设和运维的,对本市公共数据进行统一管理、汇聚治理、供需调度、开发共享、质量管理的公共数据资源平台。
本办法所称公共数据授权运营域(以下统称授权运营域),是指由市公共数据主管部门组织建设的,为数据运营主体提供加工处理公共数据服务的特定安全域,具备产品加工、资产管理、安全脱敏、访问控制、算法建模、监管溯源、接口生成、隐私计算、封存销毁等功能。
本办法所称公共数据产品和服务,是指利用公共数据加工形成的数据包、数据模型、数据接口、数据服务、数据报告、业务服务等。
第五条 市公共数据主管部门负责统筹推进本市公共数据授权运营工作,建立健全公共数据授权运营相关制度规范和工作机制;组织建设授权运营域,推进实施公共数据运营授权和公共数据产品备案;联合相关部门开展数据授权运营监管;建立健全公共数据授权运营绩效评价体系,引导公共数据要素市场健康发展。
政府部门及公共服务企事业单位(以下统称数源单位)负责管理本单位采集、产生的公共数据,按要求在数据中台上开展数据编目、资源汇聚、数据治理、质量管理、供需审批等工作,对汇聚、关联后属于国家秘密事项的数据依法加强安全管理,协同市公共数据主管部门开展与本单位相关的公共数据授权审批和运营监管。按照中央、自治区关于数据资产的有关规定,对本单位持有或控制的,预期能够产生管理服务潜力或带来经济利益流入的公共数据资源,作为公共数据资产纳入资产管理范畴。
对经济社会不同行业进行管理的各市级行政管理部门(以下统称行业主管部门)会同市公共数据主管部门发布公共数据授权运营公告,联审数据运营主体申请材料,审查公共数据产品和服务等,共同推进公共公共数据授权运营工作。
授权运营域建设运营主体(以下统称域运营主体)具体承担授权运营域的建设运营、数据管理、系统维护、安全保障以及公共数据资源处理、开发目录管理、需求对接等服务工作。
数据运营主体按照公共数据授权运营协议的约定在授权运营域内依法合规进行数据加工、产品开发,向社会提供数据产品和服务。
市网信、公安、保密、国家安全、财政、市场监管、发展改革等部门按照各自职责,联合市公共数据主管部门做好公共数据授权运营监管工作。
第二章 业务流程
第六条 市公共数据主管部门定期发布或会同相关行业主管部门定期发布公共数据授权运营公告,征集并选定数据运营主体,签订公共数据授权运营协议。
第七条 各数源单位在数据中台开展本单位可授权运营的公共数据汇聚治理,包括:编制数据资源目录、进行数据分类分级、开展数据清洗和质量管理、挂载数据资源并及时更新,确保数据资源的规范性、完整性、准确性、安全性和有效性。
第八条 公共数据主管部门将授权运营的公共数据资源目录由数据中台同步至授权运营域,确保目录信息的一致性和准确性。
第九条 数据运营主体按照“一场景一授权”的原则向市公共数据主管部门提出运营数据申请,市公共数据主管部门会同数源单位进行评审。符合条件的,公共数据主管部门将治理后的公共数据同步至授权运营域内供数据运营主体进行数据产品和服务开发使用。
市公共数据主管部门应会同数源单位、域运营主体及数据运营主体建立健全公共数据质量评估、问题倒查和处置反馈机制,确保公共数据供给质量。
第十条 市公共数据主管部门组织编制授权运营域的数据产品开发技术规范。数据运营主体应严格按照规范要求,在数据授权运营域内开展数据加工、产品开发和服务测试,形成最终可运营的数据产品和服务。
第十一条 公共数据产品和服务采用备案制。市公共数据主管部门会同行业主管部门组建专家库,市公共数据主管部门从专家库中随机抽取专家,按审查标准和流程对数据产品和服务进行合规性审查,符合要求的,由市公共数据主管部门颁发《数据产品备案证明》,并向社会公示。
第十二条 获得《数据产品备案证明》的公共数据产品和服务可到数据交易所(中心)上架交易。交易完成后,数据运营主体应将相关交易协议报公共数据主管部门存档,并按协议约定向社会提供公共数据产品和服务。
第十三条 用于产业发展、行业发展的公共数据有条件有偿使用。按照“谁投入、谁贡献、谁受益”的原则,采取评估测算、指导定价及协商等多种方式确定公共数据授权运营收益分配比例,保护公共数据授权运营各参与方的投入产出收益,依法依规维护数据资源权益。
第十四条 公共数据授权运营协议期满或数据运营主体违反授权运营协议的,由市公共数据主管部门按照协议约定,暂停或者终止其公共数据运营授权,回收授权运营域的使用权限,并向社会公布。
第三章 业务规范
第十五条 数据运营主体的选定步骤:
(一)市公共数据主管部门发布或会同相关行业主管部门发布公共数据授权运营公告,明确授权方式、授权范围、申报条件、评审标准和提交材料等要求;
(二)具备条件的授权运营申请主体向市公共数据主管部门提出公共数据授权运营申请,提交授权运营申请表、最近1年的第三方审计报告和财务会计报告、数据安全承诺书、安全风险自评报告、企业信用报告等材料;
(三)市公共数据主管部门会同行业主管部门建立联审机制,对授权运营申请主体的申报材料进行审查。联审通过的,由市公共数据主管部门与数据运营主体签署《公共数据授权运营协议》;
(四) 授权运营有效期一般不超过3年。有效期届满前1个月,数据运营主体可申请续签,经审查符合续签条件的,续签《公共数据授权运营协议》。
第十六条 运营主体应具备如下基本要求:
(一)经营状况良好,具备授权运营领域所需的专业资质、专业人才和生产服务能力;
(二)明确数据安全负责人和管理部门,建立公共数据开发利用内部管理和安全保障制度;
(三)具备网络安全等级保护三级标准和符合商用密码应用安全性评估要求的系统开发和运维实践经验;
(四)具备成熟的数据开发管理能力、数据资产管理能力和数据安全保障能力;
(五)未列入信用中国“严重失信主体名单”或“经营异常名录信息”,近3年未因发生网络安全或数据安全事件被公开通报。
第十七条 授权运营域是全市公共数据授权运营的统一通道。数源单位不得新建公共数据授权运营通道,除中央垂直管理单位统一部署外,不得以任何形式开展公共数据授权运营。
第十八条 域运营主体应在市公共数据主管部门的指导下建立健全授权运营域的管理制度及域内公共数据产品开发利用、资源管理以及安全管控的技术规范,经市公共数据主管部门同意后严格执行,强化对数据产品开发、运营监测,确保原始数据不得以任何形式导出授权运营域。
第十九条 原始数据不能用于数据产品的开发及测试。数据运营主体应使用经抽样、脱敏后的公共数据进行数据产品和服务的模型训练与验证。
社会数据应受控使用。数据运营主体须经域运营主体审核同意后,方可将依法合规获取的社会数据导入授权运营域进行数据产品和服务开发。
第二十条 域运营主体及数据运营主体应当在开展运营工作前,与市公共数据主管部门签订公共数据授权运营保密协议,明确开展公共数据运营工作的保密内容、范围、义务及违约责任。
域运营主体及数据运营主体应严格审核本单位员工信息,与本单位所有参与公共数据运营相关工作的员工签署工作保密协议,明确工作保密要求,及时将相关人员无犯罪证明及工作保密协议提交市公共数据主管部门备案。
第二十一条 域运营主体应制定授权运营域应急处置预案,定期开展应急演练,发生授权运营域运行安全事件或重大风险时,应当立即启动应急处置预案,并及时向市公共数据主管部门报告。
数据运营主体应按照“一产品一预案”的要求制定公共数据产品开发、运营安全事件应急处置预案,发生数据丢失、泄露、篡改、毁损等数据安全事件或重大风险时,应当立即启动应急处置预案,并及时向市公共数据主管部门报告。
第四章 数据安全与监督管理
第二十二条 公共数据授权运营有关单位负责人是数据安全的第一责任人。
域运营主体承担授权运营域的安全主体责任,应按数据产品开发技术规范建立健全授权运营域的技术防护和运行监测体系,加强对域内公共数据开发利用的日常监测、风险处置、安全管理等工作,对域内数据资源和数据产品进行建档管理,确保公共数据资源管理、开发利用、产品和服务输出等全过程业务的安全可控。
数据运营主体承担公共数据开发和产品服务的安全主体责任,应当依法合规开展公共数据产品和服务的开发运营,不得泄露、窃取、篡改、损毁、丢失、不当利用公共数据,不得擅自留存或违规将授权运营的公共数据提供给第三方,不得将获得授权的公共数据用于或变相用于任何未经授权的应用场景,不得使用非法违规获取的社会数据开发数据产品和服务。
域运营主体和数据运营主体应定期向市公共数据主管部门提交第三方机构出具的安全监测报告,接受并配合监管部门组织的监督检查。
第二十三条 市公共数据主管部门应会同网信、公安、保密等部门建立我市公共数据安全防护标准,建全公共数据授权运营全过程安全监管体系,定期开展公共数据授权运营安全检查。对发现问题的单位进行通报并要求其限期整改,整改期间暂停授权运营的有关业务活动,整改期结束未按照要求改正的,终止其相关公共数据运营授权。
第二十四条 市公共数据主管部门应建立健全公共数据运营绩效评价体系,从数据供给、开发利用、经济收益、创新应用、生态构建、安全管理等维度对公共数据授权运营相关单位进行评价,评价结果纳入绩效考核,强化基于数据价值创造和价值实现的激励导向。
第二十五条 公共数据授权运营相关单位及人员在公共数据授权运营符合改革方向、程序合法依规、旨在推动工作前提下出现的失误或者偏差,但是未牟取私利、未与其他单位或者个人恶意串通损害国家利益、社会公共利益和他人合法权益的,且发现问题后积极采取措施的,可以不予或者免予追究相关行政责任,在绩效考核、评先评优、职务职级晋升、职称评聘和表彰奖励等方面不受影响。
第二十六条 违反本办法规定的行为,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第五章 附 则
第二十七条 本办法自**日起施行。
第二十八条 本办法由市数据局负责解释,国家或自治区对公共数据授权运营管理另有规定的,从其规定。