齐政办规〔2024〕6号

各县（市）、区人民政府，市政府有关委、办、局，各有关单位：

    《齐齐哈尔市公共数据授权运营管理暂行办法》已经市政府17届50次常务会议审议通过，现印发给你们，请抓好落实。

齐齐哈尔市人民政府办公室

2024年11月29日     

齐齐哈尔市公共数据授权运营管理暂行办法

第一章  总  则

       第一条  为深化数据要素市场化配置改革，加快公共数据开发利用，规范公共数据授权运营，培育数据要素市场，促进数字经济发展，释放公共数据价值，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》《黑龙江省促进大数据发展应用条例》等有关法律法规和政策规定，结合本市实际，制定本办法。

       第二条  本市行政区域内公共数据的授权、运营、开发、安全、监管等活动，适用本办法。

       涉及国家秘密的公共数据，不适用本办法。

      第三条  本办法所称公共数据，是指本市各级行政机关，法律法规授权的具有管理公共事务职能的组织，以及供水、供电、供气、供热、通讯、公共交通等公共服务运营单位（以下统称公共管理和服务机构）在依法履职或者提供公共管理和服务过程中收集、产生的，以一定形式记录、保存的各类数据及其衍生数据，包含政务、公益事业单位数据和公用企业数据。

　　本办法所称公共数据授权运营，是指市政府按照法律法规和相关要求，将公共数据授权给符合条件的运营机构进行数据开发运营，并向市场公平提供数据产品和技术服务的活动。

　　本办法所称市级公共数据服务机构，是指承担公共数据运营过程中涉及公共数据汇聚、公共数据治理、公共数据供给、公共数据加工、数据脱敏脱密等工作的数据技术和服务支撑机构。

　　本办法所称运营机构，是指按照规范程序获得市政府授权，对授权范围内的公共数据进行数据开发、数据运营管理、数据生态建设等工作的法人组织。

　　本办法所称产品开发主体，是指满足有关条件的，对公共数据进行开发利用形成数据产品和服务的法人和非法人组织。

　　本办法所称数据产品，是指公共数据运营过程中，运营机构和产品开发主体通过对公共数据投入实质性劳动加工处理形成的数据服务及其衍生产品，包括但不限于数据集、数据分析报告、数据可视化产品、数据组件、数据模型、数据指数、应用程序编程接口（API数据）、加密数据等。

　　本办法所称数据加工使用权，是指在授权范围内以各种方式或技术手段加工、分析等开发使用数据的权利。

　　本办法所称数据产品经营权，是指通过许可使用、转让和设立担保等方式处分数据的权利。

       第四条  公共数据授权运营应坚持安全与发展并重，遵循依法合规、公平透明、公益优先、合理收益、安全可控、开放创新的原则，在确保国家秘密、商业秘密、个人信息和公共安全的前提下，按照“原始数据不出域、数据可用不可见”的要求，推动公共数据有序流动与开发利用。

      第五条  市数据局作为公共数据授权运营实施机构，负责组织和监督本市公共数据授权运营活动，制定公共数据授权运营相关政策、管理制度和实施方案，鼓励社会主体开发利用公共数据，支持各类数据要素主体发展壮大，引导数据要素价格机制和收益分配机制形成，培育数据要素市场。

　　市级公共数据服务机构负责公共数据目录编制、公共数据汇聚与供给、公共数据分类分级、公共数据治理、公共数据加工、数据脱敏脱密、数据安全保障等工作。

　　公共管理和服务机构负责本部门公共数据的目录编制、更新校核、质量管理、分类分级、集中汇聚、安全管理等工作。

　　运营机构负责数据运营、数据开发、服务支撑、安全保障，以及数据需求对接等工作，并保障产品开发利用全过程安全合规。挖掘应用场景，引育产品开发、数据分析、数据合规、数据经纪等第三方专业服务机构，营造数据要素市场生态，推动数字经济发展。

　　产品开发主体依据数据使用要求和数据运营规则进行数据产品和服务的开发。

　　网信、公安、国安、保密等部门按照各自职责，做好公共数据运营的安全监督管理工作。

第二章  授权管理

       第六条  市政府是公共数据授权主体，委托市数据局负责全市公共数据授权运营的组织实施和运营监督管理工作。各区政府、各级公共管理和服务机构未经市政府批准，不得与第三方签订公共数据授权运营协议，不得以合作开发、委托开发等方式交由第三方承建信息系统使其直接获取数据运营权。

        第七条  市数据局按照法律法规和相关要求，组织以公开招标、邀请招标、谈判等公平竞争方式选择运营机构，运营机构获得公共数据的数据加工使用权和数据产品经营权，双方签订公共数据授权运营协议并备案，协议中明确授权范围、运营期限、数据安全要求、退出机制、授权运营信息披露要求等内容。

       第八条  运营机构应符合以下基本条件：

　　（一）中华人民共和国境内合法注册的实体企业。

　　（二）信用记录良好，企业及其法定代表人无重大违法记录，未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单等。

　　（三）企业经营状况良好，在数据运营基础设施建设、数据开发、运营服务等方面具有高水平的专业团队，具备数据资源加工、数据运营管理和技术服务能力。

　　（四）具备成熟的数据管理能力和数据安全保障能力，具备网络安全等级保护三级标准的系统开发和运维实践经验，网络数据安全风险评估结果无中高风险项，近3年未发生网络安全、数据安全事件。

      第九条  市数据局应牵头制定公共数据供给管理制度，明确运营机构和产品开发主体的数据需求申请规范及需求审核流程，建立透明化、可审计、可追溯的数据供给全过程管理机制，确保公共数据向社会供给过程中的安全合规。

　　有以下潜在风险的数据不得向社会提供：

　　（一）原始数据、敏感数据、隐私数据直接暴露的风险；

　　（二）数据模型、算法受到隐私攻击，造成敏感数据、隐私数据间接暴露的风险；

　　（三）具有可能危害数据安全的其他风险。

第三章  数据运营

       第十条  运营机构获取经过加工及脱敏脱密的数据，对数据进行开发利用，鼓励数据服务商作为产品开发主体参与数据开发利用活动，开发形成的数据产品和服务经审核后，可对外进行交易流通，各参与方按照“谁投入、谁贡献、谁受益”原则进行收益分配。

       第十一条  运营机构应当履行以下职责：

　　（一）建立健全数据运营管理规范，制定数据运营服务流程细则，对数据运营进行全过程记录，确保数据管理、开发利用、服务支撑等全过程的安全性和规范性，并对公共数据资源使用情况进行披露。

　　（二）为产品开发主体提供数据开发服务支撑，促进数据要素与各行业深度融合，激发市场活力，创新产业发展。

　　（三）对数据产品和服务进行安全审核，通过审核的数据产品和服务可对外进行交易流通，保障数据运营安全。

      第十二条  运营机构应当按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规规定，在保护国家安全、公共利益、数据安全的前提下，依法合规开展数据运营活动。

　　运营机构的数据运营活动应符合以下要求：

　　（一）运营机构必须在授权范围内开展数据运营活动，不得泄露、窃取、篡改、毁损、丢失、不当利用数据；

　　（二）运营机构应公平对待各使用单位、各应用场景，不得进行垄断性、排他性等不正当经营。

　　（三）承担其他法律法规及市数据局要求的授权运营相关工作。

       第十三条  运营机构应配合市数据局加强数据要素市场建设和生态培育，营造开放、健康、安全的数字生态，挖掘应用场景，开展市场化数据产品开发与利用，拓宽公共数据和社会数据场景融合，释放数据价值，发挥数据乘数效应。

第四章  产品开发

      第十四条  为促进数据要素高效流通、繁荣数据要素市场生态、促进数字经济发展，鼓励产品开发主体依法合规进行数据产品开发，形成可面向市场流通应用的数据产品和服务。运营机构应按照“创新引领、市场导向、安全可信、公平竞争”的原则，对产品开发主体的资质进行审核，审核通过后产品开发主体可进行数据产品和服务的开发利用。运营机构需将审核通过的产品开发主体信息报备至市数据局。

　　产品开发主体应符合以下基本条件：

　　（一）法人、非法人组织经营状况良好，具备数字技术领域所需的专业资质、专业人才和生产服务能力；落实数据安全负责人和管理部门，建立数据开发利用内部管理和安全保障制度；

　　（二）法人及其法定代表人、非法人组织主要成员未列入“严重失信主体名单”或“经营异常名录信息”；

　　（三）具备成熟的数据管理能力和数据安全保障能力；近3年未因发生网络安全或数据安全事件被公开通报。

       第十五条  产品开发主体在确保数据合理使用的前提下，按照最小必要原则，根据具体场景应用需求向运营机构提出数据开发利用申请。运营机构收集汇总应用场景数据需求，按照“一类场景一审定”原则对数据需求进行评估，并根据数据供给管理要求向市级公共数据服务机构提出申请。

       第十六条  产品开发主体与运营机构按照“一场景一协议”原则签订数据开发利用协议，明确双方权利义务、应用场景、数据范围、开发利用期限、数据安全要求、收益分配、违约责任等。产品开发主体应在安全可信环境内依法合规地进行数据产品和服务的开发，不得用于或变相用于其他目的，不得损害国家利益、社会公共利益和他人合法权益。

      第十七条  产品开发主体开发形成的数据产品和服务，经运营机构进行安全合规审核后，可进行交易流通。数据产品或服务应合规使用，不得用于从事违反法律法规、社会公德和伦理的活动。原始数据不得进行交易。

　　安全合规审核重点评估以下风险：

　　（一）是否超出数据的用途和使用范围；

　　（二）原始数据、敏感数据、隐私数据直接暴露的风险；

　　（三）数据模型、算法受到隐私攻击，造成敏感数据、隐私数据间接暴露的风险；

　　（四）其他可能危害数据安全的风险。

第五章  安全保障

       第十八条  构建政府、企业、社会多方协同的安全运营模式，明确各方主体安全责任和义务，按照“谁提供谁负责、谁管理谁负责、谁运营谁负责、谁使用谁负责”的原则，加强公共数据全生命周期安全和合法利用管理。涉及数据跨境的按照国家有关规定办理。

      第十九条  市数据局应当会同联合网信、公安等监管部门建立健全安全监督机制，定期开展数据授权运营安全监督检查，强化公共数据授权运营的内控审计和风险识别。参与公共数据授权运营的各级部门和企业主体应当配合安全监督工作，及时整改检查中发现的问题，防范数据安全风险和数据金融风险。

　　市级公共数据服务机构应按照公共数据授权运营的“原始数据不出域”原则，对公共数据进行数据加工和脱敏脱密后，提供给运营机构进行数据运营与开发利用，在公共数据供给和社会开发利用之间建立安全合规保障。同时，采取数据备份、加密认证等安全保护技术措施，防止公共数据丢失、毁损、泄露和篡改，保障公共数据安全。

　　运营机构应当按照相关法律法规，履行法定或者约定的数据安全保护义务，建立健全数据运营安全管理制度，加强数据运营内控管理和技术管理，对数据产品和服务进行合规性审查，确保数据管理、开发利用、服务支撑等全过程安全可控。对数据运营过程中发现的各种数据安全问题及时向市数据局反馈、报告。

　　产品开发主体应确保数据开发利用过程的安全合规，开发形成的数据产品和服务在对外交易流通之前必须经过运营机构的安全审核。

　　公安机关、国家安全机关等依法在各自职责范围内承担公共数据安全监管职责。网信部门按照有关法律法规的规定统筹协调网络数据安全和相关监管工作。

       第二十条  数据运营过程中，公共数据服务机构应建立数据安全事件总体应急处置预案，参与数据运营的企业主体应建立“一场景一预案”的数据安全事件应急处置预案。当发生数据丢失、泄露、篡改、毁损等数据安全事件或重大风险时，应当立即启动应急处置预案；因数据汇聚、关联分析等原因发现数据间隐含关系与规律，并危害国家安全、公共利益，或侵犯个人信息、商业秘密、保密商务信息的，应立即停止相应的数据处理活动，并及时向市级公共数据服务机构报告数据风险情况。

       第二十一条  参与公共数据运营的各级单位和企业主体应当依法合规开展数据运营活动，按需申请公共数据并在申请范围内使用，不得将数据用于或变相用于其他目的，不得泄露、篡改或者毁损公共数据，不得擅自留存或违规将授权运营的数据提供给第三方。

　　市数据局及运营机构应制定针对参与数据加工处理人员的安全管理制度规范，做到操作行为有记录、可审查，定期开展数据运营安全培训。 

第六章  监督评估

       第二十二条  市数据局应建立数据运营评估机制，定期组织开展运营情况评估。评估结果为后续的政策制定、优化资源配置、数据应用推广等方面提供决策依据，参与公共数据授权运营的各级部门和企业主体应当配合运营评估工作。

       第二十三条  在授权运营协议期间，发生以下情形时，市数据局可终止运营机构的公共数据授权，运营协议自动失效：

　　（一）运营机构未履行授权运营协议要求，或出现重大经营问题，市数据局责令其整改，但未按要求进行整改的；

　　（二）政策调整、政府决策变化导致数据授权运营协议不再适用的；

　　（三）因不可抗力导致授权运营协议无法继续实行的；

　　（四）运营机构违反本办法规定及相关法律法规的其他行为。

　　运营机构应建立产品开发主体监督与退出机制，产品开发主体具有影响安全或不规范行为且拒不整改或达不到整改要求的，运营机构有权取消其数据产品开发资格。

第七章  附则

       第二十四条  国家或本省对公共数据运营有新规定的，从其规定。

       第二十五条  本暂行办法自2024年11月29日起施行，有效期2年。

       原文件下载：齐齐哈尔市人民政府办公室关于印发齐齐哈尔市公共数据授权运营管理暂行办法的通知（齐政办规〔2024〕6号）政策解读

       文件地址：/qqhr/c100136/202412/c02_513578.shtml