Notice on Issuing the 'Interim Measures for the Management of Public Data Authorization and Operation in Guangming District'

各有关单位： 《光明区公共数据授权运营管理暂行办法》已经区政府二届四十一次常务会议审议通过，现予以印发，请认真贯彻落实。 深圳市光明区政务服务和数据管理局 2024年12月20日 光明区公共数据授权运营管理暂行办法 第一章 总则 第一条 为了规范、促进本区公共数据授权运营管理，加快公共数据资源有序开发利用，释放公共数据价值，促进高质量发展，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《广东省公共数据管理办法》《深圳经济特区数据条例》《深圳经济特区数字经济产业促进条例》等相关规定，结合我区实际，制定本办法。 第二条 光明区内公共数据授权运营及其监督管理等活动，适用本办法。 第三条 本办法下列用语的含义： （一）公共数据，是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中所产生、处理的数据。 （二）公共数据产品和服务，是指公共数据经过加工处理后形成的，具有经济社会价值的数据集、数据接口、数据指标、数据报告、数据模型算法、数据应用等标的物。 （三）公共数据授权运营，是指公共数据授权运营单位、公共数据授权运营服务平台合作方等对授权的公共数据进行加工处理，形成公共数据产品或服务并向社会提供的行为。 （四）公共数据授权运营单位，是指经区政府按程序依法授权，推动公共数据价值流通，开展公共数据加工处理和产品开发活动的法人或非法人组织（以下简称授权运营单位）。 （五）公共数据授权运营服务平台，是指用于支撑开展公共数据授权运营活动的平台。 （六）公共数据授权运营服务平台合作方，是指依托公共数据授权运营服务平台开展数据应用或产品开发等活动的自然人、法人或非法人组织（以下简称运营合作方）。 （七）数源部门，是指本区内依法采集公共数据的公共管理和服务机构，包括国家机关、事业单位和其他依法管理公共事务的组织，以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。 （八）数据主体，是指相关公共数据所指向的自然人、法人和非法人组织。 第四条 按照“原始数据不出域、数据可用不可见”的要求，遵循“依法合规、安全可控、需求导向、稳慎有序”和“谁使用谁负责、谁运营谁负责”的原则，在保障国家安全、社会公共利益，保护公民、法人和其他组织合法权益的前提下，开展本区公共数据授权运营活动。鼓励在与民生紧密相关、光明科学城发展和科研数据价值挖掘等领域，先行探索公共数据授权运营工作。 第二章 职责分工 第五条 区政务服务和数据管理部门作为区公共数据主管部门，在市公共数据主管部门监督指导下，统筹、指导、监督本区公共数据授权运营活动，具体负责下列工作： （一）统筹组织本区公共数据授权运营目录编制、授权运营单位资质审查、公共数据资源授权申请审核、公共数据授权运营成效评估等相关工作； （二）组织制定本区公共数据授权运营管理制度、操作指南、相关标准和技术规范； （三）统筹本区公共数据分级分类工作，建立健全公共数据供需对接和异议处理机制； （四）建立健全公共数据授权专家评审机制，就公共数据授权运营相关制度制定、应用场景评审、数据产品和服务审核等提出评审意见； （五）统筹推进本区公共数据质量管理工作； （六）组织协调公共数据资源，丰富公共数据应用场景； （七）指导、监督公共数据授权运营服务平台的建设和运营。 第六条 数源部门负责下列工作： （一）明确负责本机构公共数据资源管理和组织公共数据授权运营工作的部门和人员； （二）开展本机构公共数据分级分类、公共数据资源汇聚更新和治理、公共数据授权运营目录编制、公共数据资源授权申请审核等工作； （三）负责本机构公共数据资源质量管理等相关工作； （四）落实区公共数据主管部门有关公共数据授权运营的其他工作要求。 （五）鼓励与授权运营单位深度合作，开展应用和场景创新。 第七条 发改、工信、科创、财政、市场监管、审计等部门依法依规，监督管理职责范围内的数据产品和服务流通交易等活动。 网信、公安、保密行政管理等部门在职责范围内负责公共数据授权运营的安全监管相关工作。 第三章 授权运营单位选定 第八条 授权运营单位选定包括信息发布、申请提交、资格评审、协议签订、协议要求、终止及撤销等。 第九条 区公共数据主管部门通过光明区政府在线等途径发布开展公共数据授权运营申报的通知，明确申报条件。 为保障公共数据授权运营活动的安全，授权运营单位应经营状况良好，具备必要的资质和服务能力，符合相应的信用条件，以及具备履行数据安全保护义务的技术管理能力。 授权运营单位应满足但不限于以下资质要求： （一）经营状况良好，单位及其法定代表人无重大违法记录，未被列入严重失信主体名单； （二）具备满足公共数据授权运营所需的办公条件、专业团队和技术能力，包括但不限于技术、运营、管理人员等。 授权运营单位应满足但不限于以下技术管理要求： （一）熟悉并理解国家和省、市、区公共数据管理、授权运营和开发利用等法律法规、政策文件及相关规定； （二）熟悉公共数据的管理和应用，具备运用公共数据开展数据处理活动的工作经验和技术基础； （三）明确数据安全负责人和管理部门，建立公共数据授权运营内部管理和安全保障制度； （四）具备接入政务外网的环境和条件，具备对公共数据进行获取、管理和应用的软硬件环境； （五）具备数字化系统建设能力和经验； （六）具备针对运营合作方的管理能力； （七）具备及时响应政府监管要求所需的技术管理能力。 第十条 公共数据授权运营申请单位应当在规定时间内，向区公共数据主管部门提交公共数据授权运营申请。 第十一条 区公共数据主管部门会同网信、发改、财政等监管部门，组织专家对公共数据授权运营申请单位进行综合评审，评审结果报区人民政府审定。 第十二条 区公共数据主管部门与经区人民政府审定的授权运营单位签订公共数据授权运营协议。 第十三条 公共数据授权运营协议应遵循相关法律、法规规定，包括但不限于以下内容：授权主体和对象、授权内容（数据及服务平台）、授权流程、授权应用范围、授权期限、责任机制、监督机制、终止和撤销机制、安全要求、不可抗力等。公共数据授权运营协议的有效期一般为3年。 第十四条 公共数据授权运营协议终止或撤销的，区公共数据主管部门应及时关闭授权运营单位的公共数据和公共数据授权运营服务平台的使用权限，并按照规定留存不少于3年的相关网络日志，运营不足3年的，需留存全部相关网络日志。退出的授权运营单位应及时删除公共数据授权运营服务平台内留存的相关数据，配合区公共数据主管部门做好公共数据授权运营服务平台及运营合作方的交接工作。 第四章 公共数据授权运营工作流程 第十五条 公共数据授权运营工作流程包括公共数据授权运营服务平台建设、运营合作方入驻及退出、公共数据资源授权申请、服务协议签订、公共数据安全使用、登记备案、流通管理、交易定价、数据质量管理等。 第十六条 区公共数据授权运营服务平台作为本区开展公共数据授权运营的统一通道，实施集约化建设，授权运营单位应充分依托光明区现有数字化建设基础支撑能力，搭建和完善公共数据授权运营服务平台，原则上其他单位不再另建独立的运营平台。平台需在政务外网划分单独的区域进行部署，符合有关法律法规要求的网络安全等级保护标准，具备数据治理、脱敏脱密、数据应用合规审核等功能，满足基本数据加工需求，支持集成非公共数据，满足公共数据开发利用合规监管要求。 第十七条 授权运营单位应严格按照有关规定建立运营合作方参与及退出机制，明确运营合作方的准入资质及退出规则，运营合作方的参与及退出应报区公共数据主管部门备案。 第十八条 授权运营单位提出公共数据资源授权申请，由区公共数据主管部门在收到授权运营单位申请之日起5个工作日内完成评估确认，数源部门应在接收区公共数据主管部门的评估确认意见之日起5个工作日内给出是否授权的确认意见。 运营合作方提出公共数据资源授权申请，由授权运营单位在收到运营合作方申请之日起5个工作日内完成初审，初审通过后向区公共数据主管部门提交申请。区公共数据主管部门在收到授权运营单位申请之日起5个工作日内完成评估确认，数源部门应在接收区公共数据主管部门的评估确认意见之日起5个工作日内给出是否授权的确认意见。 所申请公共数据资源需要跨层级或者跨区域汇聚的，由区公共数据主管部门向市公共数据主管部门提起申请和协调。 第十九条 获得公共数据资源授权后，授权运营单位和运营合作方在开展数据开发利用前，应与区公共数据主管部门、数源部门共同签订公共数据开发利用服务协议，服务协议应包括但不限于以下内容：公共数据开发利用应用场景、数据清单、数据调用方式、使用期限、数据计费标准和收费方式、责任及监督机制、保密条款等。 第二十条 授权运营单位、运营合作方应在确保个人隐私、商业秘密、国家安全和公共安全的前提下，对经授权的公共数据开展公共数据产品和服务开发。涉及个人隐私、商业秘密、国家安全和公共安全的公共数据，应经过脱敏、脱密处理，或经相关数据所指向的特定自然人、法人、非法人组织依法授权同意后，按应用场景使用。 第二十一条 授权运营单位在开展公共数据运营过程中，因数据汇聚、关联分析等原因发现数据间隐含关系与规律，并危害国家安全、公共安全，或侵犯个人隐私、商业秘密的，应立即停止相应的数据处理活动，及时向公共数据主管部门报告数据风险情况。 第二十二条 公共数据产品和服务实行登记和备案制度。授权运营单位、运营合作方应及时将公共数据产品和服务的定价依据、应用场景、使用范围及方式等信息向区公共数据主管部门登记备案。公共数据产品和服务不得用于或变相用于未经审核的应用场景。 区公共数据主管部门可自行或委托第三方专业机构，对授权运营单位、运营合作方加工形成的公共数据产品和服务开展模型查验等合规及安全审核。 第二十三条 通过审核的公共数据产品和服务，按照国家、省、市有关数据要素市场规则，可以通过数据交易所进行市场化流通交易。公共数据产品和服务的提供和流通相关活动应按照国家和省、市有关政策和法律法规等相关规定执行。 第二十四条 公共数据产品和服务交易定价应以准许成本和数据应用价值为重要依据，遵循依法合规、普惠公平、收益合理的原则，建立公共数据成本核算机制，鼓励引入第三方专业机构开展公共数据产品和服务评估定价。 第二十五条 区公共数据主管部门会同数源部门、授权运营单位共同建立数据质量逐级倒查反馈机制和数据泄密倒查机制，对于错误、遗漏等数据质量问题，由数源部门在职责范围内及时处理并予以反馈。授权运营单位存在泄密等重大问题，区公共数据主管部门有权依法及时终止授权运营工作。 第二十六条 区公共数据主管部门应当会同财政部门开展年度公共数据授权运营全过程评估，包括数据质量管理、公共数据开发利用等，并将授权运营全过程的工作情况通报网信、公安、保密行政管理部门。区公共数据主管部门可委托第三方机构开展公共数据授权运营全过程成效评估。 第五章 监督管理及安全保障 第二十七条 区公共数据主管部门应当定期对授权运营单位履行公共数据授权运营协议的落实情况进行监督检查。 第二十八条 授权运营单位应当对运营合作方使用公共数据的情况进行跟踪监督管理，授权运营单位应每月将对运营合作方的监督管理情况报区公共数据主管部门。 第二十九条 区公共数据主管部门建立授权运营安全防护技术标准和规范，建立公共数据产品和服务全生命周期安全合规管理机制，根据“谁运营谁负责、谁使用谁负责”的原则，监督数源部门、授权运营单位、运营合作方落实公共数据开发利用与安全管理主体责任。 第三十条 授权运营单位应建立并严格落实网络安全和数据安全管理制度，明确主体安全责任、行为规范和管理要求；定期开展公共数据安全培训，定期对公共数据的使用情况进行备份。 第三十一条 授权运营单位应当根据法律、法规、规章要求和公共数据授权运营服务平台相关管理制度，加强平台安全管理，健全平台安全防护体系，落实网络安全等级保护制度、密码应用安全性评估等要求，保障平台安全可靠运行，有效防范公共数据被非法获取、篡改、泄露或者不当利用。 第三十二条 授权运营单位不得泄露、篡改或者毁损公共数据，不得导出原始数据，不得通过可逆模型或算法还原出原始数据，不得将授权的公共数据资源违规提供给第三方；应当对提供的公共产品和服务可能产生的法律责任负责，接受区公共数据主管部门以及相关部门的指导、管理和监督。 第三十三条 数源部门经评估认为公共数据授权运营活动不规范或有损公共数据安全的情况，有权向区公共数据主管部门报告相关情况并要求整改。 第三十四条 区公共数据主管部门应会同有关单位或委托第三方机构，对授权运营单位开展授权运营情况年度评估，每月组织开展平台安全检查，对授权运营单位实行动态管理，评估结果作为再次申请授权运营的重要评审依据 第三十五条 区公共数据主管部门应当会同数源部门指导授权运营单位结合相关数据安全应急预案要求，制定公共数据授权运营安全应急处置相关预案，区公共数据主管部门应当会同数源部门、授权运营单位每年自行组织或委托第三方机构组织应急演练活动，建立完善的应急处置机制。 第六章 权益保障 第三十六条 授权运营单位、运营合作方在授权范围内对相应公共数据资源进行加工处理、产品开发，对投入实际劳动和技术产生的公共数据产品和服务可获得相应市场收益。法律另有规定或者当事人另有约定的除外。区公共数据主管部门应定期制定数据发展规划，授权运营单位应依授权运营协议积极推动规划的落地。 第三十七条 数据主体可依法向数源部门申请查阅、复制本机构或者本人的数据，或授权有关市场主体调取、使用本机构或本人数据。 数据主体发现相关数据有错误或者认为其商业秘密、个人信息和隐私等合法权益受到侵害的，有权依法提出异议并请求及时采取更正、删除等必要措施。 数据主体认为数源部门违反法律、法规、规章的规定，损害其合法权益的，可以向区公共数据主管部门投诉。区公共数据主管部门应当依法依规及时进行处理。 第七章 法律责任 第三十八条 参与公共数据授权运营的授权运营单位、运营合作方等违反授权运营相关协议的，区公共数据主管部门应当责令限期整改，整改期间，暂停授权运营使用权限；逾期未完成整改的，区公共数据主管部门应终止协议，并依法追究其法律责任。 第三十九条 参与公共数据授权运营的授权运营单位、运营合作方等不得损害国家利益、社会公共利益和他人合法权益。如违反网络安全、数据安全、个人信息保护等有关法律法规规定的，由网信、公安等有关部门按照职责依法予以查处，将相关违规违法行为依法纳入征信记录。 第八章 附则 第四十条 本办法由区政务服务和数据管理局负责解释。 第四十一条 本办法自2025年1月10日起施行，有效期3年。国家和省、市对公共数据授权运营管理有新规定的，从其规定。