市级各相关部门、各区政数局：

　　现将《乌海市公共数据授权运营工作细则（试行）》印发给你们，请结合实际，认真贯彻落实。

　　乌海市行政审批政务服务与数据管理局        

　　2024年12月23日                       

乌海市公共数据授权运营工作细则（试行）

　　为规范公共数据授权运营管理，促进公共数据有序开发利用，加快培育数据要素市场，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《内蒙古自治区公共数据管理暂行办法》《内蒙古自治区公共数据授权运营管理暂行办法》等规定，结合本市实际，制定本工作细则。

　　一、总则

　　（一）总体要求

　　公共数据授权运营遵循“依法合规、安全可控、统筹规划、稳慎有序”原则，按照“原始数据不出域、数据可用不可见”要求，在维护国家数据安全、保护个人信息和商业秘密前提下，向社会提供数据产品和服务。

　　优先支持与民生紧密相关、行业增值潜力显著和产业战略意义重大的环境、能源、农牧业、金融、交通、医疗卫生、就业、社保、文旅、教育、科技、气象、企业登记监管等领域开展公共数据授权运营。

　　（二）适用范围

　　本行政区域内与公共数据授权运营相关的数据授权、加工、经营、安全监管等活动，适用本工作细则。存在以下情况的公共数据不得开展授权运营：

　　1.危及或者可能危及国家安全的公共数据；

　　2.可能损害公共利益的公共数据；

　　3.数据获取协议约定不能运营的公共数据；

　　4.法律、法规规定不能运营的其他公共数据。

　　（三）术语定义

　　公共数据，指国家机关和法律、法规授权的具有管理公共事务职能的机构（以下简称公共管理和服务机构）在履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他机构在提供公共服务中收集、产生的涉及公共利益的各类数据。

　　公共数据主管部门，是指市、区人民政府确定的承担本行政区域内公共数据管理职责的机构，具体为市行政审批政务服务与数据管理局、各区政务服务与数据管理局。

　　公共数据授权运营，指市级及以上公共数据主管部门按程序授权法人或者非法人组织（以下简称授权运营单位），对授权的公共数据进行加工处理，开发形成公共数据产品并向社会提供服务的行为。

　　授权运营单位，指经市级及以上公共数据主管部门按程序授权，对授权的公共数据进行加工处理，开发形成数据产品和服务，并向社会提供的法人或者非法人组织。

　　授权运营平台，指提供公共数据加工处理及运营管理的平台，主要功能包括数据加工处理人员的实名认证与备案管理，操作行为的记录和审查管理，原始数据的加密和脱敏管理，元数据管理，数据模型的训练和验证，数据产品的开发、提供、交易和计价等。

　　授权运营协议，指公共数据主管部门与授权运营单位就公共数据授权运营达成的书面协议，主要内容包括：授权运营单位的权利和义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制等。

　　公共数据产品及服务，指利用公共数据加工形成的产品及服务，主要形态有数据集、数据接口、数据指标、数据报告、数据模型，以及开展加工、清洗、标注、建模等数据处理服务。

　　公共数据应用单位，指具备一定数据安全保障能力，有明确的应用场景需求，使用授权运营单位提供的公共数据产品及服务的行政企事业单位和社会组织。

　　“一场景一清单一审定”原则，指每一个数据应用场景对应一份数据需求清单，该清单需经过公共数据主管部门与相应公共管理和服务机构的审核。

　　二、职责分工

　　（一）协调机制

　　建立市级公共数据授权运营管理工作协调机制，由政数局牵头，网信、发改、工信、公安、国安、司法、财政、市场监督管理等部门组成，负责统筹推进本市行政区域内授权运营管理工作，建立健全授权运营制度规范和工作机制，审议给予授权、终止或撤销授权等重大事项，授权运营的安全监管和监督评价，组建市公共数据授权运营专家组，统筹协调解决授权运营工作中遇到的重大问题。

　　（二）职责分工

　　市级公共数据主管部门负责组织编制本行政区域内公共数据授权运营相关制度规范，健全工作机制；组建专家组，研究论证授权运营过程中的重大、疑难问题，评估运营风险，提供专业咨询服务和建议；统筹管理、指导、协调其他有关部门按照各自职责做好公共数据授权运营相关工作；鼓励社会主体积极参与公共数据授权运营，营造良好政策环境，推动数据要素市场发展壮大。

　　公共管理和服务机构负责编制本机构公共数据目录，做好数据治理、数据分类分级，协同公共数据主管部门监督本机构相关领域公共数据运营工作。未经市政府批准，不得与第三方签订公共数据运营协议，不得以合作开发、委托开发等方式，交由第三方承建信息系统使其直接获取数据运营权。

　　授权运营单位负责组建专业团队，挖掘数据应用场景，为应用单位提供公共数据产品及服务。

　　市场监督管理等部门负责做好公共数据产品及服务市场化的监督管理。

　　工信、版权、知识产权等相关管理部门负责建立数据权益保护制度，就新领域、新业态涉及的知识产权权益进行保护。

　　网信、公安、保密、国安、财政、通信管理等部门按照各自职责，做好其他相关监督管理与安全保障工作。

　　专家组负责提供授权运营业务和技术咨询。协调机制有关单位可委托专家对授权运营申请单位进行综合评审，辅助决策。

　　三、授权申请程序

　　（一）发布公告

　　市级公共数据主管部门发布重点领域开展授权运营的公告，明确申报条件。公告内容包括申请条件、授权运营工作要求，所需提交材料、申请方式、申请时间等。

　　（二）申请提交

　　意向申请单位应当在规定时间内向市级公共数据主管部门提交申请，申请时应当提交下列材料：

　　1.授权运营申请表；

　　2.最近一年的第三方审计报告和财务会计报告；

　　3.数据安全承诺书；

　　4.安全风险自评报告；

　　5.授权运营单位资格证明佐证材料；

　　6.公共数据主管部门要求提供的其他材料。

　　（三）资格审查

　　市级公共数据主管部门对授权运营单位提交的资料进行初步审查，材料不全或者不符合形式要求的，申请单位应当在规定时间内补交材料。初审通过后，组织召开专家论证会，专家组对授权运营单位的基本条件、技术安全条件等进行综合评审，出具论证评审意见。资格条件审查内容包括：

　　1.基本条件审查：经营状况良好，具备授权运营领域所需的办公条件、专业资质、知识人才积累和生产服务能力。企业及其法定代表人无重大违法记录，包括但不限于未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单；

　　2.技术安全条件审查：熟悉并理解国家和自治区数据管理相关规定及政策文件；熟悉公共数据的管理和应用，具备运用公共数据开展数据处理活动的工作经验。具有明确的数据安全负责人和管理部门，建立公共数据授权运营内部管理和安全保障制度；具备接入政务外网的环境和条件，具备对公共数据进行获取、管理和应用的软硬件环境；具备通过网络安全等级保护三级标准的系统开发和运维实践经验；具备及时响应政府监管要求所需的技术管理能力；具备成熟的数据管理能力和数据安全保障能力，近3年未发生网络安全和数据安全事件；

　　3.重点领域具体安全要求审查：由公共数据主管部门会同相应公共管理和服务机构研究确定。

　　（四）授权备案

　　市级公共数据主管部门将初审结果、综合专家组评审结果报市政府审定。

　　（五）签订协议

　　市级公共数据主管部门与经市政府审定通过的授权运营申请单位签订授权运营协议，协议中应明确授权运营范围、授权运营期限、授权方式等。其他细节事项由授权运营单位与市级公共数据主管部门商议决定，并在协议中体现。

　　（六）社会公开

　　市级公共数据主管部门按要求向社会公开授权运营单位名单等信息。

　　（七）期满重新申请

　　授权运营协议有效期不超过5年。协议期间，授权运营单位可以向相应主管部门申请提前终止协议。授权运营单位若有违反协议等情况，也可暂停或撤销其授权运营的资格。期限届满后需要继续开展授权运营的，授权运营单位应提前6个月按程序重新申请。

　　四、运营实施

　　（一）建立平台

　　市级公共数据主管部门依托本级公共数据平台建设授权运营平台，为授权运营活动提供支撑。

　　授权运营平台的建设满足以下条件：遵循已有公共数据平台标准规范体系，复用统一用户认证组件、用户授权服务等公共数据平台能力；实现网络隔离、租户隔离、开发与生产环境隔离，具备数据脱敏处理、数据产品和服务出域审核功能，确保全流程操作可追踪，数据可溯源；满足政府监管需求，支持集成外部数据，具备分布式隐私计算能力；满足授权运营单位基本数据加工需求。

　　（二）运营要求

　　授权运营单位应当依法合规开展公共数据运营，在实施过程中遵循下列要求：

　　1.不得泄露、窃取、篡改、毁损、不当利用公共数据，不得以任何形式将授权运营的原始数据提供给第三方；

　　2.管理人员、技术人员应当通过公共数据主管部门组织的授权运营岗前培训；

　　3.定期报告运营情况，接受公共数据主管部门对授权运营涉及的业务和信息系统、数据使用情况、安全保障能力等方面的监督检查；

　　4.严格执行数据产品和服务定价、合理收益规定。完善公共数据安全制度，建立健全高效的技术防护和运行管理体系，确保公共数据安全，切实保护个人信息。

　　（三）数据申请

　　授权运营单位应当按照应用场景提出受限开放的公共数据需求申请，经公共数据主管部门会同相应公共管理和服务机构按照“一场景一清单一审定”原则审核同意后获取，数据申请应当满足下列要求：

　　1.应用场景明确，具有重大经济价值或社会价值，并设置数据安全保障措施；

　　2.应用场景具有较强的可实施性，在授权运营期限内有明确的目标和计划，能够取得显著成效；

　　3.按照应用场景申请使用公共数据，遵循集约利用和最小必要的原则。

　　（四）数据加工

　　授权运营单位应当通过授权运营平台对授权运营的公共数据进行加工处理，形成公共数据产品及服务。加工处理公共数据应当满足下列要求：

　　1.授权运营单位所有参与数据加工处理的人员须经实名认证、备案与审查，签订保密协议，操作行为应当做到有记录、可审查。保密协议应当明确保密期限和违约责任；

　　2.原始数据对数据加工人员不可见。授权运营单位使用经抽样、脱敏的公共数据进行数据产品和服务的模型训练与验证；

　　3.经公共数据主管部门审核批准后，授权运营单位可以将依法合规获取的社会数据导入授权运营平台，与授权运营的公共数据进行融合计算；

　　4.授权运营单位应当主动进行市场调研，发动社会各界力量挖掘应用场景，为企业、科研机构、社会组织等社会主体提供优质的数据产品及服务。

　　授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的，可向本级公共数据主管部门提出数据治理需求。需求合理的，公共数据主管部门应当督促数据提供单位，在规定期限内完成数据治理。

　　（五）数据应用

　　授权运营单位加工形成的数据产品和服务，在导出授权运营平台前，应当向市级公共数据主管部门提交出域申请，经合法合规审核批准后再向应用单位提供。

　　经公共数据主管部门审核批准后的数据产品和服务应当按照数据要素市场规则流通交易。

　　应用单位应当按照与授权运营单位签订的协议，使用公共数据产品及服务，不得用于或变相用于其他目的，不得损害国家利益、社会公共利益和他人合法权益，不得以直接或者间接方式将公共数据产品或服务交由第三方使用。

　　鼓励将公共数据开发利用形成的各类成果，用于公共服务、行政管理和社会治理等领域。

　　（六）授权收益

　　授权运营单位应当遵循依法合规、普惠公平、收益合理原则，对加工形成的公共数据产品和服务确定价格，并依据授权协议在公共数据授权运营参与方之间进行合理的利益分配。相关定价及依据、应用场景、使用范围等应当向市级公共数据主管部门备案。

　　鼓励多方合作开展数据产品和服务市场化运营，探索成本分摊、利润分成、股权参股、知识产权共享等多元化利益分配机制。

　　鼓励授权运营单位以数据互换、项目合作等方式将其自有数据提供给相关公共管理和服务机构共享使用。

　　鼓励授权运营单位将形成的公共数据产品及服务通过自治区数据交易中心进行交易。

　　（七）运营报告

　　授权运营单位在运营期限内，应当向市级公共数据主管部门提交公共数据授权运营年度报告，报告内容包括：本单位数据资源的授权存储、加工处理、分析挖掘、安全管理、融合利用及市场运营情况等内容。

　　（八）运营评估

　　市级公共数据主管部门会同有关单位或委托第三方机构，对授权运营单位开展授权运营情况年度评估，对授权运营单位实行动态管理，评估结果作为再次申请授权运营的重要依据。

　　评估结果分为通过、限期整改和未通过。通过评估的授权运营单位，可继续承担公共数据授权运营工作。限期整改的授权运营单位应当制定整改方案，30日内整改完成，报本级公共数据主管部门再次评估。未通过或限期整改后仍未通过的，由公共数据主管部门向本级政府反馈评估结果，依据授权运营协议约定终止其授权运营工作，并重新发布信息，审核符合条件的授权运营单位承担授权运营工作。

　　五、授权终止

　　（一）终止情形

　　授权运营终止分为授权运营单位主动退出和被动退出两种情形。主动退出包括授权运营协议期满退出和提前终止协议。确需提前终止协议的授权运营单位，应提前6个月向公共数据主管部门提出主动退出申请，提交提前终止申请书，并做好数据处置工作。

　　授权运营单位违反授权运营协议的，公共数据主管部门应按照协议约定要求其改正，并暂时关闭其授权运营域使用权限。授权运营单位应当在约定期限内改正，并反馈改正情况；未按照要求改正的，终止其公共数据授权。

　　（二）退出审查

　　授权运营协议终止或撤销的，市级公共数据主管部门应当及时撤销授权运营平台使用权限，及时删除授权运营平台内留存的数据，按照规定留存网络日志不少于6个月。

　　有关单位应当对授权运营单位的退出条件进行审查，防止出现授权运营工作不合规、数据安全漏洞、数据泄露等安全隐患，若审查结果不通过，授权运营单位有义务依照授权运营协议完成整改工作。

　　六、安全监管

　　（一）安全原则

　　公共数据授权运营坚持统筹发展和安全原则，按照“公共数据分类分级”要求，加强公共数据全生命周期安全和合法利用管理，确保数据来源可溯、去向可查，行为留痕、责任可究。

　　（二）政府监管

　　市级公共数据主管部门应当履行下列安全管理职责：

　　1.建立健全授权运营安全防护技术标准和规范，落实安全审查、风险评估、监测预警等管理机制，明确管理机制对应的负责部门，定期开展公共数据安全培训，培训主题与内容应当针对培训对象作调整；

　　2.实施数据产品和服务的安全合规管理，对授权运营域的操作人员进行认证、授权和访问控制，记录数据来源、产品加工和数据调用等全流程日志信息；

　　3.建立健全公共数据授权运营安全监督检查机制，做好针对授权运营行为中产生数据信息的监督追踪，定期开展安全监督工作成果检查和安全检查系统技术升级。在安全监督检查中发现授权运营单位存在较大安全风险的，可依法依规进行约谈，并要求其采取安全措施进行整改；

　　4.会同网信、保密、公安、国安等部门，按照“一授权一预案”要求，结合公共数据授权运营的应用场景制定应急预案，定期组织应急演练。发生数据安全事件时，公共数据主管部门启动应急响应，采取应急处置措施，防止危害扩大，消除安全隐患；

　　5.监督授权运营单位落实公共数据开发利用和安全管理责任，定期委托第三方机构，根据法律法规规定，对授权运营单位开展数据安全检测评估，并根据评估意见采取安全措施。

　　（三）单位职责

　　授权运营单位应当履行下列公共数据安全管理职责：

　　1.建立完善的数据安全管理制度。实行“谁运营谁负责、谁使用谁负责”责任制，明确授权运营单位的主要负责人是授权运营公共数据安全的第一责任人；

　　2.依照授权运营协议约定，建立健全公共数据开发利用日常监测、安全测评、风险评估、安全审查、泄露溯源、数据篡改及违规使用的监控预警机制等机制，确保各参与主体在公共数据管理、需求审核、开发利用、技术支撑等全流程的安全可控；

　　3.在网络安全等级保护制度的基础上，建立健全高效的技术防护和运行管理体系，保障公共数据安全，切实保护个人信息；

　　4.依照授权运营协议约定加强对应用单位及相关人员的安全监管，保障公共数据产品及服务合法合规安全应用。若发现违规使用、转卖、泄露或其他不当应用情况，应当采取暂停、终止合作等措施避免损失扩大；

　　5.依照授权运营协议约定，配合公共数据主管部门完成安全审查、信息登记、检测评估和培训演练工作，如实提供评估资料，不得拒绝、隐匿、瞒报；

　　6.依照安全承诺书，制定安全事件应急预案，发生数据泄露、毁损、丢失等安全事件或重大风险时，立即启动应急预案，并及时向公共数据主管部门汇报情况；

　　7.在数据授权运营过程中，授权运营单位如发现存在数据安全隐患或其它不安全因素，应当依照安全承诺书第一时间向本级公共数据主管部门上报，密切配合本级公共数据主管部门做好数据安全事件的处置及调查，积极采取措施消除安全隐患；

　　8.发现可能或已经发生数据泄露等数据安全事件的，应当依照安全承诺书，立即通知本级公共数据主管部门，调查事件发生原因，积极采取补救措施，并承担相应法律责任；

　　9.妥善保存公共数据授权运营中产生的制度规范、运营协议、运营日志等各项关键信息，确保相关信息记录的留存时间不少于二十年。

　　（四）社会监督

　　社会公众有权对公共数据授权运营活动进行监督，认为存在违法违规行为的，可以向公共数据主管部门投诉举报，公共数据主管部门应当会同相关部门及时调查处理，并为举报人保密。

　　（五）法律责任

　　授权运营单位及相关人员存在违反国家法律法规，侵犯他人商业秘密、个人隐私等合法权益或造成财产损失的，应当依法承担法律责任。

　　授权运营单位违反授权运营协议，属于违反网络安全、数据安全、个人信息保护法律法规规定的，由网信、公安等部门按照职责依法查处，不良信息依法记入信用档案。

　　七、附则

　　本工作细则由乌海市行政审批政务服务与数据管理局负责解释和修订。

　　本工作细则自发布之日起施行。国家、自治区对公共数据授权运营管理有新规定的，从其规定，并适时开展本工作细则的修订工作。