公共数据运营全流程可分为数据供给、数据运营、交易流通、应用追溯、效果评估五个主要环节。公共数据运营参与主体包括数据提供方、数据汇聚方、数据管理方、数据使用方、数据运营方、数据监管方、数据开发方、数据交易流通方、数据消费方等主体,这些参与主体主要涉及到政务部门、企事业单位、高校和科研院所、其他社会团体和个人等,对公共数据有明确使用需求,也从公共数据运营中获得利益。
一、相关概念
(一)公共数据
2022年发布的“数据二十条”提到“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”。从地方立法和政策文件来看,2021年《北京市公共数据管理办法》将公共数据定义为“具有公共使用价值的,不涉及国家秘密、商业秘密和个人隐私的,依托计算机信息系统记录和保存的各类数据”;更多的地方则通过“持有主体”和“产生来源”两个维度来界定公共数据的范围,如《浙江省公共数据开放与安全管理暂行办法》认为公共数据是指“各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。”还有些地方对主体范围进一步细化明确,如《上海市公共数据开放实施细则》明确包括“供水、供电、供气、公共交通等提供公共服务的组织”;《浙江省公共数据条例》明确“根据本省应用需求,税务、海关、金融监督管理等国家有关部门派驻浙江管理机构提供的数据,属于本条例所称公共数据。”
综上所述,我们认为公共数据是指各级政务部门、企事业单位依法履职或提供公共服务过程中产生的数据,包括政务数据和公共服务数据。政务数据是指国家机关和法律、法规授权的具有管理公共事务职能的组织在履行法定职责时收集、产生的各类数据。公共服务数据是指供水、供电、供气、公共交通等提供公共服务的组织提供公共服务过程中收集、产生的各类数据。
(二)授权运营
公共数据授权运营是指授权符合条件的企事业单位,在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下,依据法律法规、政策规定,对授权的公共数据进行加工处理,开发形成公共数据产品和服务,并向社会提供服务的活动。公共数据运营主体是指根据授权承担公共数据运营的企事业单位。
公共数据产品和服务是指利用公共数据加工形成的产品或服务,主要形态有数据包、数据模型、数据接口、数据报告及其他形式的数据服务等。
授权运营域是指依托一体化智能化公共数据平台,为授权运营单位提供加工处理公共数据服务的特定安全域,具备安全脱敏、访问控制、算法建模、监管溯源、接口生成、封存销毁、全程审计。
授权运营协议是指县级以上政府与授权运营单位就公共数据授权运营达成的书面协议,明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制和违约责任等。
公共数据应用单位是指具备一定数据安全保障能力,有明确的数据应用场景需求,依法合规使用运营单位提供的数据产品和服务,研发自有新产品、新服务,或开展经济活动的企事业单位和社会组织。
二、合规原则
(一)法律法规
1. 数据安全
2021年9月1日正式施行的《中华人民共和国数据安全法》(以下简称《数据安全法》),作为我国数据安全领域的首部基础性法律,也是国家安全领域的一部重要法律,标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道。《数据安全法》第一条要求“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”。《数据安全法》第三十七条要求“国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力”。第三十九条要求“国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全”。以上各条内容,在推动数据合规利用、政务水平提升、提高公共服务水平等方面具有积极作用。
2. 个人信息保护
2021年11月1日正式施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),与《网络安全法》《数据安全法》等,共同组成了聚焦保障网络安全、数据安全和个人信息安全的核心法律体系。《个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,“规范”、“促进”是以“保护”为基本前提的。
公共数据中如果包含个人信息,应按照《个人信息保护法》的明确要求处理个人信息,应当在事先充分告知的前提下取得个人同意,并规定在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节时,应取得个人的单独同意。该法同时规定了告知同意规则的例外,即个人信息处理中不用取得个人同意的情形:如果公共数据用于为履行法定职责或者法定义务所必需,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等。
公共数据授权运营相关方属于个人信息处理者的,应履行合规管理和保障个人信息安全等义务,包括制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人进行监督,定期进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
公共数据中如果包含生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息,属于处理敏感个人信息,应仅在同时具备“特定目的性”“充分必要性”及“采取严格保护措施”的条件下才可以处理,并且应进行单独告知。
(二)政策规定
数据作为数字时代的重要资源和关键要素已成为当下共识,积极发展以数据为关键要素的数字经济已上升为国家战略。我国政府对数字经济的发展给予了极高关注,党中央、国务院多次明确提出要加快培育数据要素市场,并相续颁布了一系列相关政策文件。以下是一些关键政策指引摘要:
公共数据具有“生产要素”属性,能够被市场主体用于生产经营与价值创造,在数字经济发展中越发重要,尽快完善保障数据合规流通的数据要素市场体制机制,更好统筹发展和安全,探索新型安全治理机制,将安全贯穿数据供给、流通、使用全过程,发挥数据要素的放大、叠加、倍增作用。
三、运营单位合规要求
公共数据授权运营单位总体上应遵循依法合规、安全可控、统筹规划、稳慎有序的原则。从数据安全合规角度,主要有以下几方面:
(一)技术安全要求
1.数据安全负责人和管理部门:运营单位需明确数据安全负责人和管理部门,建立公共数据授权运营内部管理和安全保障制度。
2.系统开发与运维:应具备符合网络安全等级保护三级标准和商用密码安全性评估要求的系统开发和运维实践经验。
3.数据管理能力:拥有成熟的数据管理能力和数据安全保障能力,近三年内未发生网络数据安全事件。
4.平台建设:按照相关标准和要求建设数据开发与运营管理平台,确保平台的安全性、稳定性和可追溯性。
(二)应用场景与数据使用
运营单位需有明确的应用场景,且该应用场景需具有重大经济价值或社会价值。应用场景应具有较强的可实施性,在授权运营期限内有明确的目标和计划,能够取得显著成效。按照应用场景申请授权运营公共数据,并提供详细的数据需求清单。坚持最小必要原则,确保申请的数据量和使用范围符合实际需求。
(三)运营与监管
1.协议签订:运营单位需与县级以上政府签订授权运营协议,明确双方权利义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求等。
2.定期报告与评估:运营单位需定期向公共数据主管部门提交运营报告,包括数据产品和服务存储、加工处理、分析挖掘、融合利用、安全管理及市场运营情况等内容。同时接受公共数据主管部门的监督评价和安全监管。
3.收益管理:运营单位对加工形成的数据产品和服务进行定价和收益管理时,应遵循依法合规、普惠公平、收益合理的原则。
(四)责任与处罚
1.数据安全责任:运营单位是运营公共数据安全的第一责任人,需对数据安全负全面责任。
2.违规处罚:对于违反授权运营协议和相关法律法规的行为,公共数据主管部门有权暂停或终止授权运营协议,并依法追究运营单位的法律责任。
综上所述,公共数据授权运营单位的合规要求涉及多个方面,旨在确保公共数据的安全可控和有序开发利用。运营单位需严格遵守相关规定和要求,不断提升自身的技术能力和管理水平,以更好地服务于社会经济发展。
四、授权数据合规要求
公共数据授权运营数据涉及数据资源供给侧、生产加工侧和数据产品消费与应用侧,应确保数据的安全、合规、有效开发利用。以下是对这些要求的详细归纳:
(一)总体要求
领导与原则:公共数据授权运营坚持中国共产党的领导,遵循依法合规、安全可控、统筹规划、稳慎有序的原则。
保护前提:在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下,向社会提供数据产品和服务。
(二)适用范围
适用于特定行政区域内与公共数据授权运营相关的授权、加工、经营、安全监管等数据活动。
(三)基本原则
基本原则:按照“原始数据不出域、数据可用不可见”的要求进行管理。
(四)数据资源供给侧
目录管理:公共数据资源实行目录管理。大数据主管部门负责制订公共数据资源目录编制技术规范和分类分级规则,汇集形成公共数据资源目录。公共管理和服务机构应当依据技术规范和分类分级规则编制、维护本单位公共数据资源目录,同时明确公共数据的开放类型、数据格式、更新频率等内容。
数据采集汇聚:建立健全覆盖省市(自治区)、地级市、县、乡、村五级的公共数据资源体系。各级政务部门和各类公共服务组织按照“应归尽归、有条件使用”原则,通过物理汇聚与逻辑接入两种方式,及时向公共数据资源平台归集公共数据。公共数据采集应遵循“一数一源、一源多用”原则,可以通过共享方式获取或确认的,一律不得重复采集、多头采集。各级政务部门和各类公共服务组织应当依托统一的数据资源基础设施所提供的服务功能来实现本地区、本单位公共数据资源归集、存储、交换、共享和开放等大数据应用活动。
(五)生产加工侧
数据开发利用:大数据局制定开发利用的标准,编制并发布“数据产品购买指导性目录”。运营单位建立健全公共数据运营安全管理制度,加强对公共数据运营平台的网络数据安全管理,落实数据安全管理责任制,确保各参与主体在公共数据管理、申请审核、开发利用、技术支撑等全流程安全可控。使用单位要及时发现、反馈推广应用过程中的新场景新需求,通过公共数据运营的需求牵引,促进公共数据质量提高和开发利用能力提升。
数据加工要求:授权运营单位应在运营域内对授权的公共数据进行加工处理,形成数据产品和服务,经合法合规审核后向用户提供,数据产品和服务仅能用于运营协议约定的应用场景。
主体申请条件既开发利用主体申请条件应满足:具备申请领域公共数据开发利用能力;具备成熟的数据管理能力和数据安全保障能力;符合公共数据授权运营的其他规定要求。因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚,不得申请开发利用主体。
主体授权流程既开发主体授权流程:资质申请->资质审核->主体公示->协议签订。
(六)数据产品消费与应用侧
数据产品出域:市公共数据主管部门统筹建设运营域,为授权运营单位统筹提供数据出域审核,确保公共数据授权运营全流程操作可审计,数据可溯源。严禁提供可还原出原始数据的公共数据产品和服务。数据产品审查通过后,运营主体应当与使用单位签订数据产品使用协议,明确数据产品的交付方式、计价方式、使用场景、使用条件和使用期限,明确数据安全责任和违约责任。使用协议应当通过公共数据运营平台报数据资源主管部门备案。
综上所述,公共数据授权数据安全合规要求涉及数据资源供给侧、生产加工侧和数据产品消费与应用侧,旨在确保公共数据的安全、合规、有效开发利用,推动数字经济的高质量发展。
五、安全管理与考核评估
公共数据授权运营的安全管理与考核评估是确保公共数据有效利用、保障个人信息安全及推动数据要素市场健康发展的重要环节。
(一)公共数据授权运营安全管理
法律法规遵循:公共数据授权运营应严格遵守《数据安全法》《个人信息保护法》等相关法律法规,确保数据收集、处理、使用等各环节合法合规。
数据安全责任:按照“谁运营谁负责、谁使用谁负责”的原则,明确授权运营单位的数据安全主体责任。授权运营单位应建立健全数据安全管理制度,加强数据全生命周期的安全防护。
技术防护:采用先进的数据安全技术,如数据加密、脱敏处理、多方安全计算等,确保数据在加工处理过程中“原始数据不出域、数据可用不可见”。加强运营域的安全管理,制定相关技术规范和管理标准,确保运营域安全稳定运行。
安全监管与应急处理:运营主体负责加工处理公共数据、数据产品的数据安全,在运营过程中定期开展数据安全应急演练和数据安全风险评估,发现风险及时整改。
个人信息保护:在公共数据授权运营过程中,应特别关注个人信息保护,避免个人信息泄露和滥用。授权运营单位应严格遵守个人信息保护相关法律法规,采取有效措施保障个人信息安全。
安全监督:大数据主管部门应当建立健全数据安全保障体系,完善协调机制以及安全预警、安全处置机制。大数据主管部门应当会同网信、公安、国安等部门,完善数据分类分级安全保护制度。各级各部门应当按照国家和省(自治区)数据分类分级要求,对本级本部门以及相关行业、领域的数据进行分类分级管理。各级大数据主管部门应当会同网信、公安、密码管理等部门定期或不定期检查数据处理者和数据流通交易场所履行数据安全责任等情况,对在监督检查中发现存在安全风险的,应当提出改进要求并督促整改。大数据主管部门应当会同有关部门完善数据流通交易监管制度,建立健全跨部门协同监管机制,对数据交易、信息披露行为等数据市场相关活动组织实施监督管理。推行面向数据商和数据交易服务中介机构的数据流通交易声明和承诺制。加强对数据交易服务中介机构的监管,规范从业人员的执业行为。发展改革部门应当会同大数据、人民银行等有关部门,推动建设数据要素市场社会信用体系。
(二)公共数据授权运营考核评估
评估目的:通过考核评估,对被授权方在授权期限内的运营工作绩效进行评估,以决定是否延续授权关系。同时,评估地方政府或生态整体的授权运营工作成效,推动公共数据授权运营工作的持续优化和提升。
评估内容:针对被授权方,评估其运营工作的具体绩效表现,包括数据处理能力、产品服务质量、市场应用效果等方面。
评估方法:定量评估与定性评估相结合,通过数据分析、案例研究、专家评审等多种方式对被授权方和地方政府或生态整体的运营工作进行全面评估。可以委托第三方专业机构进行独立评估,确保评估结果的客观性和公正性。
评估结果应用:根据评估结果,对被授权方进行分类管理,对表现优秀的给予奖励和支持;对表现不佳的提出整改要求或取消授权资格。同时,将评估结果作为地方政府或生态整体优化授权运营工作的重要依据,推动其不断完善制度设计、提升运营效能。
综上所述,公共数据授权运营的安全管理与考核评估是保障公共数据有效利用、推动数据要素市场健康发展的重要保障措施。通过加强安全管理和考核评估工作,可以确保公共数据在授权运营过程中始终处于安全可控的状态,同时推动授权运营工作的持续优化和提升。
六、总 结
本文重点研究探索公共数据授权的相关概念和合规原则,从运营单位、授权数据和安全管理与考核评估三个方面,介绍了各参与主体在整个公共数据运营全流程中数据安全与隐私保护和运营涉及的评估与监督管理的合规要求,希望对推动落实公共数据授权运营各参与主体规范数据处理活动,保障数据安全,促进数据开发利用有帮助。
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。