随着数字云南建设的深入推进,公共数据在促进经济社会发展中的重要性越发凸显。一直以来,我省国家机关、法律法规规章授权的具有管理公共事务职能的组织和国家有关部门派驻云南的管理机构,以及医疗、教育、供水、供电、供气、通信、交通、文旅、体育等公共服务运营单位(以下统称公共机构),在依法履行职责或者提供公共服务过程中收集、产生的数据,是否属于我省公共数据范围、归谁管理不明确,对各部门公共数据的共享和利用等活动没有进行统一规划和统筹管理。
近年来,国家相继出台了《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律文件,为我省出台《云南省公共数据管理办法》提供了依据。2022年12月,党中央,国务院印发了《关于构建数据基础制度更好发挥数据要素作用的意见》,指出数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式,要求加快构建数据基础制度,充分发挥海量数据规模和丰富应用场景优势,激活数据要素潜能,增强经济发展新动能。
为贯彻落实国家有关要求,加强我省公共数据管理,保障公共数据安全,促进公共数据共享、开放和应用,保护自然人、法人和非法人组织合法权益,深入推进数字云南建设,提升省域治理体系和治理能力现代化,云南省发展改革委借鉴其他省市经验,结合本省公共数据发展实际,研究起草了《办法》
征求意见时间:2023年9月28日至10月28日
《办法》共八章49条,主要内容为:
第一章 总则。主要明确了《办法》出台目的、适用范围、用语定义、遵循原则,以及在公共数据的收集、归集、存储、加工、传输、共享、开放、利用等数据处理活动及数据安全管理中各级人民政府、数据主管部门、公共机构的职责。
第二章 公共数据平台和公共数据资源体系。主要明确由省公共数据主管部门统筹规划和建设全省统一的公共数据平台;会同省级有关部门依托公共数据平台建设全省一体化的公共数据资源体系,建立健全人口、法人、自然资源、经济、电子证照等基础数据库和医疗健康、政务服务、社会保障、生态环保、信用体系、应急管理等主题数据库。同时,明确要对公共数据进行分类分级、实行目录管理,建立公共数据标准体系、质量体系,对规范公共数据档案管理、数据回流等环节进行了规定。
第三章 公共数据收集和归集。主要明确了公共机构收集公共数据应当遵循的原则和标识验证规则,对公共数据异议的纠正机制,应对突发事件数据收集要求,数据主题权益等内容。
第四章 公共数据共享。主要明确了公共数据共享的原则、共享属性分类、对共享属性分类异议的处理机制,公共机构获取共享数据的申请流程、办理流程等内容,并对公共机构共享获取的公共数据的用途进行了规定。
第五章 公共数据开放和开发。主要明确了公共数据的开放原则、开放属性分类、开放目录、开放渠道、获取方式、开放过程中异议处理机制等。公共数据开发上,积极推进公共数据资源持有权、数据加工使用权、数据产品经营权结构性分置的产权运行机制先行先试,推动用于公共治理、公益事业的公共数据有条件无偿使用;探索用于产业发展、行业发展的公共数据有条件有偿使用。规定了公共数据一级开发、二级开发范围和途径,提出自然人、法人或者非法人组织等各类市场主体开发利用公共数据的原则和权益。
第六章 公共数据安全。主要明确了公共数据安全管理的原则、安全监管部门职责、公共机构安全管理职责、开展安全评估规定等,以及公共数据主管部门、公共机构委托第三方服务机构开展平台(系统)建设以及运行维护的安全管理要求。
第七章 相关责任。明确了违反《办法》有关规定的整改情形和改正情形。
第八章 附则。明确《办法》实施时间。
以下为征求意见稿全文。
云南省公共数据管理办法(征求意见稿)
第一章 总则
第一条(出台目的)为了加强公共数据管理,保障公共数据安全,促进公共数据共享、开放和应用,保护自然人、法人和非法人组织合法权益,深入推进数字云南建设,提升省域治理体系和治理能力现代化,根据有关法律、法规、规章和政策规定,结合本省实际,制定本办法。
第二条(适用范围)本省行政区域内公共数据的收集、归集、存储、加工、传输、共享、开放、开发等数据处理活动及数据安全管理,适用本办法。
涉及国家秘密的公共数据及相关处理活动,或者法律法规对公共数据管理另有规定的,不适用本办法,按照相关规定执行。
第三条(用语定义)本办法下列用语的含义:
(一)数据,是指任何以电子或其他方式对信息的记录。
(二)公共数据,是指本省国家机关、法律法规规章授权的具有管理公共事务职能的组织和国家有关部门派驻云南的管理机构,以及医疗、教育、供水、供电、供气、通信、交通、文旅、体育等公共服务运营单位(以下统称公共机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。
(三)数据主体,是指相关数据所指向的自然人、法人和非法人组织。
(四)公共数据共享,是指公共机构因履行法定职责或者提供公共服务需要,依法使用其他公共机构的数据,或者向其他公共机构提供数据的行为。
(五)公共数据开放,是指公共机构向自然人、法人或者非法人组织依法提供公共数据的公共服务行为。
第四条(遵循原则)公共数据管理工作坚持中国共产党的领导,遵循集约建设、统一标准、分类分级、汇聚整合、共享开放、安全可控的原则。
第五条(政府职责)县级以上人民政府应当将公共数据发展和管理工作纳入国民经济和社会发展规划以及数字政府建设等相关专项规划,建立健全工作协调机制,保障公共数据发展和管理工作所需经费,并将公共数据发展和管理工作作为年度政府目标责任制考核的重要内容。
第六条(主管部门职责)县级以上人民政府数据管理机构作为公共数据主管部门,负责下列工作:
(一)统筹本行政区域内公共数据资源管理工作;
(二)对公共机构提出公共数据管理任务和要求;
(三)编制、维护本级公共数据资源目录,建立公共数据资源清单管理机制;
(四)会同标准化行政主管部门制定公共数据相关标准和技术规范,上级数据主管部门已制定的,从其规定。
(五)对公共机构的公共数据管理工作进行监督评估,并向本级人民政府办公室(厅)提出相应的督查督办建议。
第七条(公共机构职责)公共机构应当履行本机构公共数据管理的主体责任,负责下列工作:
(一)明确公共数据管理的目标、责任、实施机构及人员;
(二)编制本机构公共数据资源目录,依法制定本机构公共数据收集清单和规范;
(三)本机构公共数据的校核、更新、汇聚;
(四)本机构公共数据的共享和开放;
(五)本机构公共数据的安全管理;
(六)法律、法规、规章规定的其他管理职责。
第二章 公共数据平台和公共数据资源体系
第八条(公共数据平台)省公共数据主管部门统筹规划和建设全省统一的公共数据平台,为公共数据处理活动提供支撑。各州(市)、县(市、区)不再建设本级公共数据平台;已建设的,应对接全省统一的公共数据平台并纳入统一管理。
第九条(统一通道)公共数据主管部门应当依托公共数据平台建立统一的数据共享、开放通道。公共机构应当通过统一的共享、开放通道共享、开放公共数据。
公共机构不得新建公共数据共享、开放通道;已建共享、开放通道的,应当并入统一的共享、开放通道。
第十条(数据资源体系)省公共数据主管部门会同省级有关部门依托公共数据平台建设全省一体化的公共数据资源体系,建立健全人口、法人、自然资源、经济、电子证照等基础数据库和医疗健康、政务服务、社会保障、生态环保、信用体系、应急管理等主题数据库。
州(市)、县(市、区)公共数据主管部门应当会同同级有关部门建立健全本级主题数据库。公共机构应当根据公共数据目录,按照应用需求将公共数据统一归集到本级主题数据库。
第十一条(数据分类分级)省公共数据主管部门应当会同有关部门,根据国家有关公共数据分类分级要求,制定省公共数据分类分级规则。
州(市)公共数据主管部门牵头,根据省公共数据分类分级规则,增补完善本行政区域内公共数据的分类分级规则。
行业主管部门根据省、州(市)公共数据分类分级相关规定,加强对本部门公共数据的分类分级管理。
第十二条(数据目录)全省公共数据实行统一的目录化管理,省公共数据管理机构制定统一的目录编制标准,组织编制省级和全省公共数据目录。
州(市)、县(市、区)公共数据主管部门应当按照统一标准,组织编制本级公共数据目录,并报上一级公共数据主管部门审定。
公共机构应当按照统一标准,编制本部门公共数据目录,报同级公共数据主管部门审定。
公共数据主管部门应当通过公共数据平台发布本级公共数据目录。
第十三条(目录内容)公共数据目录应当包括公共数据的数据形式、共享内容、共享属性、共享条件、共享范围、开放属性、更新频率和公共数据的收集、核准、提供部门等内容。
法律、法规、规章依据或者法定职能发生变化的,公共机构应当在15个工作日内更新本机构公共数据目录,并报本级公共数据主管部门审定。
公共数据主管部门应当在5个工作日内审定,并更新本级公共数据目录。
第十四条(建设项目要求)使用财政性资金新建和升级改造信息系统的,项目单位应当向同级公共数据主管部门提交项目所涉及的公共数据目录,未按要求提交的,项目审批部门不予立项;项目竣工验收前应当更新公共数据目录并向公共数据平台共享和归集相关公共数据,未按要求完成的,不得通过验收。
通过政府购买服务方式形成或运维的信息系统,按照前款规定提交和更新公共数据目录,并归集相关公共数据,未按要求完成的,不予安排后续年度费用。
第十五条(标准体系)省公共数据主管部门应当会同省标准化主管部门和其他有关部门,推进本省公共数据标准体系建设,制定公共数据处理和安全管理等标准,推动公共数据国家标准、行业标准和地方标准有效实施。
第十六条(质量体系)公共数据主管部门、公共机构应当建立健全数据全流程质量管控体系,加强数据质量事前、事中和事后的监督检查,及时更新已变更、失效数据,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。
第十七条(档案管理)公共机构应当加强公共数据电子文件管理,依法合理确定保存期限和归档范围,按照归档管理要求及时归档并向档案管理部门移交,法律法规另有规定的除外。
第十八条(数据回流)省、州(市)公共机构应按照“按需回流、安全可控”的原则,通过公共数据平台向下级公共机构及时、完整地回流数据。
第三章 公共数据收集和归集
第十九条(收集原则)公共机构收集数据应当遵循合法、准确、及时的原则,按照法定权限、范围、程序和标准规范收集。可以通过共享获取数据的,公共机构不得重复收集。
第二十条(标识和验证)收集公共数据应当分别以下列号码或者代码作为必要标识:
(一)公民身份号码或者个人其他有效身份证件号码;
(二)法人统一社会信用代码;
(三)非法人组织统一社会信用代码或者其他识别代码。
公共机构收集数据时,不得强制要求个人采用多种方式重复验证或者特定方式验证。已经通过有效身份证件验明身份的,不得强制通过收集指纹、虹膜、人脸等
生物识别信息重复验证。法律、行政法规另有规定的除外。
第二十一条(数据归集)省公共机构应当根据公共数据目录,按照应用需求将公共数据统一归集到省公共数据平台基础数据库和主题数据库。
第二十二条(纠正机制)自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整的,可以向收集该数据的公共机构提出校核申请。公共机构应当自收到校核申请之日起五个工作日内校核完毕;情况复杂的,经公共机构负责人批准,可以延长至十个工作日。公共机构应当将校核处理结果及时告知当事人。
自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整的,也可以向公共数据主管部门提出校核申请。公共数据主管部门应当自收到校核申请之日起两个工作日内转交相应公共机构,并督促公共机构在前款规定的期限内校核完毕。
公共数据主管部门、公共机构发现数据不准确、不完整或者不一致的,由公共数据主管部门通知数据收集、提供单位限期校核。数据收集、提供单位应当在期限内校核完毕。
第二十三条(突发事件应对)公共机构根据法律、法规、规章的规定,可以要求相关单位提供或者向数据主体紧急收集与突发事件应对相关的数据。
突发事件应对结束后,公共机构应当对相关公共数据进行分类评估,采取封存、销毁等方式将涉及国家秘密、个人隐私、个人信息、商业秘密、保密商务信息的公共数据进行安全处理,并关停相关数据应用。法律法规另有规定的,从其规定。
第二十四条(数据主体权益)数据主体有权依法向公共机构申请查阅、复制本单位或者本人的数据;发现相关数据有错误或者认为个人隐私、个人信息、商业秘密、保密商务信息等合法权益受到侵害的,有权依法提出异议并请求及时采取更正、删除等必要措施。
第四章 公共数据共享
第二十五条(共享原则)公共数据以共享为原则,不共享为例外。公共数据主管部门应当建立统一的公共数据共享申请、审批和反馈机制,负责组织实施公共数据共享。
第二十六条(共享属性分类)公共数据按照共享属性分为无条件共享、有条件共享、不予共享数据。
可提供给所有公共机构共享使用的公共数据属于无条件共享数据。
可以按照一定条件提供给有关公共机构共享使用的公共数据属于有条件共享数据。
不宜提供给其他公共机构共享使用的公共数据属于不予共享数据。
第二十七条(异议处理)公共机构应当根据实际情况定期更新公共数据的共享属性。列为有条件共享数据的,应当说明理由并明确共享条件;列为不予共享数据的,应当提供明确的法律、法规和规章依据。
公共数据主管部门对同级公共机构确定的公共数据共享属性有异议,经协商不能达成一致意见的,报本级人民政府决定。
同级公共机构之间对数据共享属性有异议的,应当相互协商;不能达成一致意见的,报同级公共数据主管部门协商;仍不能达成一致意见的,由公共数据主管部门报同级人民政府决定。
第二十八条(共享申请)公共机构需要通过共享获取数据的,应当向数据提供单位提出申请,明确应用场景,通过公共数据平台以
接口调用、批量数据使用等方式获取数据。
无法按照前款规定获取数据的,可以向公共数据主管部门提交数据需求清单,由公共数据主管部门与相关公共机构协商解决。
第二十九条(共享办理)无条件共享的公共数据,由公共机构通过公共数据平台向数据提供单位申请并获取,数据提供单位应当在两个工作日内予以共享。
有条件共享的公共数据,由公共机构通过公共数据平台向数据提供单位提出共享申请,数据提供单位应当在五个工作日内予以答复。同意共享的,数据提供单位应当在答复之日起五个工作日内完成数据共享;拒绝共享的,应当提供法律、法规、规章依据。
对于不予共享的公共数据,以及未符合共享条件的有条件共享的公共数据,公共机构可以向数据提供单位提出核实、比对需求,数据提供单位应当通过适当方式及时予以配合。法律、法规、规章另有规定的除外。
公共机构通过线上共享公共数据确有困难的,可以通过线下方式实施数据共享。
第三十条(共享用途)公共机构通过共享获取的公共数据,应当用于本机构依法履行职责的需要,不得用于或者变相用于其他目的。
第五章 公共数据开放和开发
第三十一条(开放原则)公共数据开放按照合法、规范、公平、便民的原则,在法律、法规、规章允许范围内向社会最大限度开放。
第三十二条(开放属性)公共数据按照开放属性分为无条件开放、有条件开放和不予开放数据。涉及国家安全、个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规、规章规定不得开放的公共数据,列入不予开放数据。需要依法授权向特定自然人、法人或者非法人组织开放的公共数据,列入有条件开放数据。其他公共数据列入无条件开放数据。
不予开放数据经过依法脱密、脱敏处理或者相关权利人同意开放的,可以列入无条件开放数据或者有条件开放数据。
第三十三条(开放目录)省公共数据主管部门组织科学编制省公共数据开放目录,并确定公共数据开放重点。
州(市)公共数据主管部门应当依照省公共数据开放目录组织编制本州(市)公共数据开放目录。
公共数据开放目录应当标注数据名称、数据开放主体、数据开放属性、数据格式、数据类型、数据更新频率等内容。
省、州(市)公共数据开放目录发布到公共数据平台,实行年度动态调整。
第三十四条(开放渠道)公共机构应当按照省公共数据主管部门要求,将审核后开放的公共数据通过公共数据平台对社会开放。公共数据平台设立州(市)、县(市、区)公共数据开放专区,州(市)、县(市、区)依托专区开展本级公共数据开放活动。
第三十五条(获取方式)自然人、法人或者非法人组织需要获取无条件开放的公共数据的,可以通过公共数据平台获取。
自然人、法人或者非法人组织需要获取有条件开放的公共数据的,可以通过公共数据平台向数据提供单位提出申请,数据提供单位审核后确定是否同意开放。
经审核同意开放公共数据的,申请人应当通过公共数据平台与数据提供单位签署安全承诺书,签订开放利用协议。
第三十六条(异议处理)自然人、法人或者非法人组织认为开放的公共数据侵犯其合法权益的,有权向公共机构提出撤回数据的要求。
公共机构收到撤回数据要求后,应当立即进行核实,必要时立即中止开放;经核实存在前款规定问题的,应当根据不同情形采取撤回数据或者处理后再开放等措施,并将有关处理结果及时告知当事人。当事人对处理结果有异议的,可以向公共数据主管部门申请复核。
公共机构在日常监督管理过程中发现开放的公共数据存在安全风险的,应当立即中止开放,并在消除安全风险后开放。
第三十七条(开发机制)省公共数据资源主管部门要积极推进公共数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制先行先试,推动用于公共治理、公益事业的公共数据有条件无偿使用;探索用于产业发展、行业发展的公共数据有条件有偿使用。
鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据推动按用途加大供给使用范围。
第三十八条(一级开发)省、州(市)人民政府可以授权具有条件的市场主体对公共数据开展一级开发,形成标准化、可机器读取、可流通的公共数据要素。一级开发费用可通过政府购买服务或运营一级开发产品所形成的收益分成等方式解决。
第三十九条(二级开发)鼓励有条件的市场主体向公共数据主管部门申请,对一级开发形成的公共数据要素开展二级开发。公共数据主管部门应当对申请主体的开发目的、技术条件、处理能力、安全管理等进行评估,符合条件的应当予以批准,并与申请主体签订数据安全管理、数据开发收益等方面的协议。
第四十条(利用原则和权益)自然人、法人或者非法人组织等各类市场主体开发利用公共数据应当遵循合法、正当的原则,不得损害国家利益、社会公共利益和他人合法权益。
自然人、法人或者非法人组织利用依法获取的公共数据加工形成的数据产品、服务以及获得的权益受法律保护。
自然人、法人或者非法人组织利用公共数据形成数据产品、研究报告、学术论文等成果的,应当在成果中注明数据来源和获取日期。
第六章 公共数据安全
第四十一条(安全管理原则)公共数据安全管理应当坚持统筹协调、分类分级、权责统一、预防为主、防治结合的原则,加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
第四十二条(安全监管)县级以上网信、公安、国家安全、保密、密码部门按照各自职责,做好公共数据安全的监督管理工作。
公共机构在各有关部门指导下,开展本单位、本系统、本领域公共数据安全保护工作。
第四十三条(安全职责)公共数据安全实行谁收集谁负责、谁持有谁负责、谁使用谁负责、谁运行谁负责的责任制。公共机构的主要负责人是本单位数据安全工作的第一责任人。
公共机构应当强化和落实数据安全主体责任,建立数据安全常态化运行管理机制,具体履行下列职责:
(一)落实网络安全等级保护制度,建立健全本单位数据安全管理制度、技术规范和操作规程;
(二)健全公共数据共享和开放的保密审查等安全保障机制;
(三)设置或明确公共数据安全管理机构和数据安全管理岗位,实行管理岗位责任制,配备安全管理人员和专业技术人员;
(四)定期组织相关人员进行数据安全教育、技术培训;
(五)加强数据安全日常管理和检查,对复制、导出、脱敏数据等可能影响数据安全的行为进行监督;
(六)加强平台(系统)压力测试和风险监测,发现数据安全缺陷、漏洞等风险时立即采取补救措施;
(七)制定数据安全事件应急预案,并定期进行演练;
(八)法律、法规、规章规定的其他职责。
第四十四条(安全评估)公共数据主管部门、公共机构在处理公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。
第四十五条(第三方管理)公共数据主管部门、公共机构依法委托第三方服务机构开展平台(系统)建设以及运行维护的,应当按照国家和省有关规定对服务提供方进行安全审查;经安全审查符合条件的,签订服务外包协议时应当同时签订服务安全保护及保密协议,约定违约责任,并监督服务提供方履行数据安全保护义务。
服务外包协议不生效、无效、被撤销或者终止的,公共数据主管部门、公共机构应当撤销账号或者重置密码,并监督服务提供方以数据覆写、物理销毁等不可逆方式删除相关数据。
第七章 相关责任
第四十六条(法律适用)违反本办法规定的行为,法律、行政法规已有法律责任规定的,从其规定。
第四十七条(整改情形)公共机构有下列情形之一的,由公共数据主管部门按照管理权限责令限期整改:
(一)未按照规定编制或者更新公共数据目录的;
(二)未及时向公共数据平台归集数据或者归集的数据不符合标准要求的;
(三)未按照规定共享或者开放公共数据的;
(四)违反规定重复收集数据的;
(五)未及时核查其他公共机构认为存在异议的公共数据的;
(六)未按照规定校核、封存、撤回公共数据或者关停数据应用的;
(七)违反规定将共享获取的公共数据用于其他目的的;
(八)擅自更改或者删除公共数据的;
(九)未依法履行公共数据安全管理职责的;
(十)违反本条例规定的其他情形。
公共机构应当在规定期限内完成整改,并反馈整改情况;未按照要求整改的,由公共数据主管部门提请本级人民政府予以通报批评;情节严重的,由有权机关对负有责任的领导人员和直接责任人员依法给予处理。
第四十八条(改正情形)自然人、法人或者非法人组织有下列情形之一的,公共机构、公共数据主管部门应当按照职责责令改正,并暂时关闭其获取相关公共数据的权限;未按照要求改正的,对其终止开放相关公共数据:
(一)损害国家利益、社会公共利益和他人合法权益的;
(二)未按照数据安全有关要求对开放获取的数据采取安全保障措施的;
(三)严重违反公共数据平台安全管理要求的;
(四)其他严重违反公共数据开放和利用要求的情形。
第八章 附则
第四十九条 本办法自印发之日起施行。