省政府辦公廳關于印發江蘇省公共數據授權運營管理暫行辦法的通知

各市、縣（市、區）人民政府，省各委辦廳局，省各直屬單位：

《江蘇省公共數據授權運營管理暫行辦法》已經省人民政府同意，現印發給你們，請認真貫徹實施。

江蘇省人民政府辦公廳

2024年10月23日

（此件公開發布）

江蘇省公共數據授權運營管理暫行辦法

第一章總則

第一條為加快推進公共數據資源開發利用，規范公共數據授權運營，培育數據要素市場，更好發揮數據要素作用，根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《江蘇省公共數據管理辦法》等有關法律法規和規章，結合我省實際，制定本辦法。

第二條本辦法適用于本省行政區域內公共數據授權運營及其相關管理活動。

第三條本辦法所稱的公共數據授權運營，是指依法依規授權符合條件的經營主體，對公共數據進行加工處理，開發形成公共數據產品和服務，并通過市場化方式向社會提供的行為。

本辦法所稱的公共數據授權運營域，是指在電子政務外網嚴格劃分、用于開展公共數據授權運營活動的唯一區域。

本辦法所稱的公共數據授權運營平臺，是指基于公共數據授權運營域提供公共數據授權、加工處理、開發利用、監督監管等的管理服務平臺。

本辦法所稱的公共數據產品和服務（以下簡稱數據產品），是指利用公共數據開發形成的數據接口、數據模型、數據報告等。

第四條公共數據授權運營堅持“原始數據不出域、數據可用不可見”，維護國家數據安全，保護個人信息和商業秘密，充分發揮市場在資源配置中的決定性作用，更好發揮政府作用，激發開發主體高效利用公共數據積極性，釋放公共數據要素價值，豐富數據產品供給。

第五條數據主管部門會同網信、發展改革、公安、財政、市場監管等部門建立健全工作機制，負責本行政區域內授權運營工作的統籌管理，協調解決數據供給、監督監管監測等授權運營工作中的重大問題。

第六條數據主管部門負責向運營主體供給數據，指導、監督公共數據授權運營平臺的建設和運營，指導編制數據資源目錄，推動發布數據產品目錄，建立公共數據資源授權運營情況披露機制，推動數據要素協同優化、復用增效、融合創新。

行業主管部門負責向數據主管部門供給本行業數據，督促本行業公共管理和服務機構落實數據提供、質量管理等工作，確保數據的真實性、準確性、完整性和時效性，指導運營主體編制本行業數據資源目錄，推動跨領域典型場景應用創新。

第二章授權程序

第七條公共數據授權運營采用“兩級主體、分級授權”的模式。兩級主體是指運營主體和開發主體，分級授權是指省、設區的市人民政府授權本級數據主管部門試點確定本級運營主體。

本辦法所稱的運營主體，是指承擔公共數據授權運營，包括授權運營平臺建設、數據加工處理、開發利用管理、服務能力支撐、市場生態培育和安全保障等工作的經營主體。

本辦法所稱的開發主體，是指依托公共數據授權運營平臺，依場景開發利用經協議授權的公共數據，形成數據產品并向社會提供的經營主體。

第八條省數據主管部門牽頭制定統一的公共數據授權運營實施方案。省市運營主體共同制定配套規范。運營主體按照申請條件和應用場景選擇開發主體進行數據開發利用，并簽訂授權協議。運營主體、開發主體的授權期限不超過3年。

第九條符合以下條件的，可申請成為開發主體：

（一）單位及其法定代表人無重大違法記錄和重大不良信用記錄，單位未發生過重大數據安全事件；

（二）經營情況穩定，具備開展公共數據開發利用工作的專業團隊和服務能力；

（三）具備明確的數據安全負責人和管理部門、健全的數據安全管理制度和工作機制；

（四）符合公共數據授權運營的其他規定要求。

第十條選擇開發主體堅持市場化原則，公平公開競爭擇優，不受地域、行業、所有制等限制，鼓勵支持引導符合條件的經營主體廣泛參與。

第十一條授權協議應當明確授權運營相關方權利義務、資產權屬、收益分配、授權范圍、服務期限、服務費用、安全要求、禁止條款、信用承諾、退出機制和違約責任等。

第三章主體責任

第十二條運營主體作為公共數據授權運營的責任主體，承擔以下責任：

（一）遵守公共數據授權運營實施方案和配套規范要求；建立健全公共數據授權運營安全管理制度，明確參與數據運營相關主體的網絡安全、數據安全等安全責任、行為規范和管理要求；建立健全公共數據開發利用合規審查、安全巡查、風險評估、信息共享、監測預警、應急處置、投訴舉報、信息披露等機制，確保數據接入、加工處理、開發利用、服務支撐等全過程安全可控；制定公共數據授權運營安全事件應急處置預案，發生安全事件時，應當立即采取處置措施，并向數據、網信等相關主管部門報告。

（二）落實國家數據分類分級保護制度要求，采用必要技術手段，確保“原始數據不出域、數據可用不可見”；建立合規監測機制，落實公共數據合規高效開發利用要求，確保開發利用行為符合法律法規、政策和協議規定，維護國家數據安全，保護個人信息和商業秘密。

（三）建設和管理公共數據授權運營平臺，為開發主體數據開發利用提供安全可信的系統，加強全流程數據安全管理。對授權數據進行加工處理，建立并動態維護數據資源目錄，跟蹤反饋數據質量情況，保障數據服務質量。

（四）發布行業領域或特定場景公共數據授權運營公告，明確開發主體申請條件，對開發主體進行資質審核、簽訂授權協議、審核開發利用申請、監督數據處理活動、審核數據產品發布，管理數據產品目錄，建立績效評價體系并定期評估，保障運營工作高效順暢開展。

（五）對開發主體提供相應的技術支持、業務咨詢等服務，培育數據商和第三方專業服務機構，推動公共數據運營生態健康發展。

（六）承擔數據主管部門授權運營的其他工作。

第十三條開發主體作為數據開發利用的責任主體，承擔以下責任：

（一）承擔數據開發利用和數據產品經營的安全主體責任，建立健全全流程數據安全管理制度，落實數據安全管理要求和保護責任；制定公共數據開發利用安全事件應急處置預案，發生安全事件時，應當立即采取處置措施，并向運營主體報告。

（二）落實“原始數據不出域、數據可用不可見”要求，確保開發利用和數據產品符合法律法規和標準規范，維護國家數據安全，保護個人信息和商業秘密。

（三）根據協議約定開展數據開發利用活動，按最小必要原則，依應用場景申請使用數據資源，規范導入社會數據、發布數據產品、報告應用成效。

第四章數據運營

第十四條公共數據授權運營平臺應當在授權運營域中建設運行，并依托政務云部署，確保公共數據申請、加工處理、開發利用不出域。

第十五條省數據主管部門負責指導省級運營主體統籌建設公共數據授權運營平臺。平臺建設堅持以省為主、省市共建的原則，避免多頭建設。

公共數據授權運營平臺為授權運營活動提供安全可信的數據開發利用環境，包含運營管理、數據接入、目錄管理、融合加工、算法建模、質量管理、接口生成等功能，具備身份認證、訪問控制、數據加密、數據脫敏、數據溯源、數據備份、隱私計算等安全技術能力，保障數據全流程安全，支撐數據主管部門及有關部門對授權數據使用進行監管，并與公共數據平臺對接授權數據。

第十六條在數據主管部門和行業主管部門指導監督下，運營主體應當基于公共數據資源目錄，結合應用場景登記形成授權運營數據資源目錄，依據目錄向數據主管部門申請數據。

第十七條開發主體結合應用場景申請數據資源，運營主體確認后提供。在數據產品開發過程中，需要導入公共數據以外的社會數據，經運營主體確認后，可以依法將合規獲取的數據導入進行融合開發。

第十八條開發主體通過公共數據授權運營平臺提交數據產品發布申請，運營主體評估審核后發布。評估重點包括但不限于以下內容：

（一）是否符合數據的申請用途和使用范圍；

（二）是否注明使用的數據來源及其合法合規性；

（三）是否存在原始數據、敏感數據直接暴露的風險；

（四）是否存在個人信息和商業秘密泄露、濫用等風險；

（五）是否涉及數據出境；

（六）是否存在其他可能危害數據安全和運營合規的風險。

第十九條數據產品交易應當嚴格遵循場內交易原則，開發主體應當將數據產品在依法設立的數據交易場所進行登記管理和交易，并接受價格主管部門對公共數據價格行為的監測。運營主體與開發主體的交易應當在依法設立的數據交易場所登記。

第二十條嚴格執行國家和省公共數據價格管理政策。

運營主體參考成本定價，按授權協議約定向開發主體收取合理費用。數據產品由市場定價。

充分發揮數據要素報酬遞增、低成本復用等特點，創新成本分攤、利潤分配、知識產權共享等多元化收益分配機制。

第二十一條運營主體匯集開發主體發布的數據產品形成目錄，并動態更新。

第二十二條運營主體定期向數據主管部門報告公共數據授權運營整體情況，包括開發主體數據開發利用情況、應用成效等。

第五章監督管理

第二十三條公共數據授權運營堅持“誰運營誰負責、誰使用誰負責”原則，落實數據安全責任和合規責任。

第二十四條數據主管部門會同行業主管部門對運營主體加強監管，督促落實公共數據分類分級管理要求，推動公共數據規范運營。

第二十五條網信部門會同數據主管部門、公安及行業主管部門等建立健全數據安全協同監管機制，明確公共數據授權運營各主體全過程的安全責任，加強對兩級主體安全監督檢查，包括安全管理組織機構、制度、技術及安全評估、應急預案、個人信息保護、數據出境安全等情況，推動公共數據授權運營安全有序規范開展。

第二十六條對于違反本辦法相關規定或在監督檢查中發現有影響數據安全或者使用不合規的行為，數據等主管部門應及時依職權處置，并要求整改，拒不整改或者整改不到位的，終止授權協議。如發生違反法律法規情形，依法追究有關主體相應法律責任。

第二十七條數據主管部門定期對運營主體的運營成效進行評價評估，運營主體為本省國有企業的，評價評估結果同步納入本級國資監管的重大專項任務范疇。運營主體定期對開發主體的數據應用成效進行跟蹤評估。

第二十八條開發主體有下列情形之一的，運營主體有權終止協議，并按照相關規定或者協議約定，取消其相關權限、下架已發布的數據產品或銷毀數據：

（一）授權協議期滿；

（二）因自身原因申請提前終止合作協議；

（三）在數據開發利用過程違反協議約定；

（四）對于評估不合格的，經提醒或約談后仍無改善的；

（五）發生數據安全事件，造成不良影響或者嚴重后果的；

（六）因國家法律法規或政策發生變化，導致公共數據授權運營資格、運營方式等發生調整或取消的；

（七）其他違反法律法規的情形。

第六章附則

第二十九條本辦法自2024年12月1日起施行，有效期至2026年11月30日。國家對公共數據授權運營管理另有規定的，從其規定。