前 言

公共數據運營全流程可分為數據供給、數據運營、交易流通、應用追溯、效果評估五個主要環節。公共數據運營參與主體包括數據提供方、數據匯聚方、數據管理方、數據使用方、數據運營方、數據監管方、數據開發方、數據交易流通方、數據消費方等主體，這些參與主體主要涉及到政務部門、企事業單位、高校和科研院所、其他社會團體和個人等，對公共數據有明確使用需求，也從公共數據運營中獲得利益。

一

相關概念

（一）公共數據

2022年發布的“數據二十條”提到“各級黨政機關、企事業單位依法履職或提供公共服務過程中產生的公共數據”。從地方立法和政策文件來看，2021年《北京市公共數據管理辦法》將公共數據定義為“具有公共使用價值的，不涉及國家秘密、商業秘密和個人隱私的，依托計算機信息系統記錄和保存的各類數據”；更多的地方則通過“持有主體”和“產生來源”兩個維度來界定公共數據的范圍，如《浙江省公共數據開放與安全管理暫行辦法》認為公共數據是指“各級行政機關以及具有公共管理和服務職能的事業單位，在依法履行職責過程中獲得的各類數據資源。”還有些地方對主體范圍進一步細化明確，如《上海市公共數據開放實施細則》明確包括“供水、供電、供氣、公共交通等提供公共服務的組織”；《浙江省公共數據條例》明確“根據本省應用需求，稅務、海關、金融監督管理等國家有關部門派駐浙江管理機構提供的數據，屬于本條例所稱公共數據。”

綜上所述，我們認為公共數據是指各級政務部門、企事業單位依法履職或提供公共服務過程中產生的數據，包括政務數據和公共服務數據。政務數據是指國家機關和法律、法規授權的具有管理公共事務職能的組織在履行法定職責時收集、產生的各類數據。公共服務數據是指供水、供電、供氣、公共交通等提供公共服務的組織提供公共服務過程中收集、產生的各類數據。

（二）授權運營

公共數據授權運營是指授權符合條件的企事業單位，在保障國家秘密、國家安全、社會公共利益、商業秘密、個人隱私和數據安全的前提下，依據法律法規、政策規定，對授權的公共數據進行加工處理，開發形成公共數據產品和服務，并向社會提供服務的活動。公共數據運營主體是指根據授權承擔公共數據運營的企事業單位。

公共數據產品和服務是指利用公共數據加工形成的產品或服務，主要形態有數據包、數據模型、數據接口、數據報告及其他形式的數據服務等。

授權運營域是指依托一體化智能化公共數據平臺，為授權運營單位提供加工處理公共數據服務的特定安全域，具備安全脫敏、訪問控制、算法建模、監管溯源、接口生成、封存銷毀、全程審計。

授權運營協議是指縣級以上政府與授權運營單位就公共數據授權運營達成的書面協議，明確雙方權利義務、授權運營范圍、運營期限、合理收益的測算方法、數據安全要求、期限屆滿后資產處置、退出機制和違約責任等。

公共數據應用單位是指具備一定數據安全保障能力，有明確的數據應用場景需求，依法合規使用運營單位提供的數據產品和服務，研發自有新產品、新服務，或開展經濟活動的企事業單位和社會組織。

二

合規原則

（一）法律法規

1. 數據安全

2021年9月1日正式施行的《中華人民共和國數據安全法》（以下簡稱《數據安全法》），作為我國數據安全領域的首部基礎性法律，也是國家安全領域的一部重要法律，標志著我國以數據安全保障數據開發利用和產業發展全面進入法治化軌道。《數據安全法》第一條要求“規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益”。《數據安全法》第三十七條要求“國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力”。第三十九條要求“國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全”。以上各條內容，在推動數據合規利用、政務水平提升、提高公共服務水平等方面具有積極作用。

2. 個人信息保護

2021年11月1日正式施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），與《網絡安全法》《數據安全法》等，共同組成了聚焦保障網絡安全、數據安全和個人信息安全的核心法律體系。《個人信息保護法》是為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，“規范”、“促進”是以“保護”為基本前提的。

公共數據中如果包含個人信息，應按照《個人信息保護法》的明確要求處理個人信息，應當在事先充分告知的前提下取得個人同意，并規定在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節時，應取得個人的單獨同意。該法同時規定了告知同意規則的例外，即個人信息處理中不用取得個人同意的情形：如果公共數據用于為履行法定職責或者法定義務所必需，為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需等。

公共數據授權運營相關方屬于個人信息處理者的,應履行合規管理和保障個人信息安全等義務，包括制定內部管理制度和操作規程，采取相應的安全技術措施，指定負責人進行監督，定期進行合規審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。

公共數據中如果包含生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息，屬于處理敏感個人信息，應僅在同時具備“特定目的性”“充分必要性”及“采取嚴格保護措施”的條件下才可以處理，并且應進行單獨告知。

（二）政策規定

數據作為數字時代的重要資源和關鍵要素已成為當下共識，積極發展以數據為關鍵要素的數字經濟已上升為國家戰略。我國政府對數字經濟的發展給予了極高關注，黨中央、國務院多次明確提出要加快培育數據要素市場，并相續頒布了一系列相關政策文件。以下是一些關鍵政策指引摘要：

公共數據具有“生產要素”屬性，能夠被市場主體用于生產經營與價值創造，在數字經濟發展中越發重要，盡快完善保障數據合規流通的數據要素市場體制機制，更好統籌發展和安全，探索新型安全治理機制，將安全貫穿數據供給、流通、使用全過程，發揮數據要素的放大、疊加、倍增作用。

三

運營單位合規要求

公共數據授權運營單位總體上應遵循依法合規、安全可控、統籌規劃、穩慎有序的原則。從數據安全合規角度，主要有以下幾方面：

（一）技術安全要求

1.數據安全負責人和管理部門：運營單位需明確數據安全負責人和管理部門，建立公共數據授權運營內部管理和安全保障制度。

2.系統開發與運維：應具備符合網絡安全等級保護三級標準和商用密碼安全性評估要求的系統開發和運維實踐經驗。

3.數據管理能力：擁有成熟的數據管理能力和數據安全保障能力，近三年內未發生網絡數據安全事件。

4.平臺建設：按照相關標準和要求建設數據開發與運營管理平臺，確保平臺的安全性、穩定性和可追溯性。

（二）應用場景與數據使用

運營單位需有明確的應用場景，且該應用場景需具有重大經濟價值或社會價值。應用場景應具有較強的可實施性，在授權運營期限內有明確的目標和計劃，能夠取得顯著成效。按照應用場景申請授權運營公共數據，并提供詳細的數據需求清單。堅持最小必要原則，確保申請的數據量和使用范圍符合實際需求。

（三）運營與監管

1.協議簽訂：運營單位需與縣級以上政府簽訂授權運營協議，明確雙方權利義務、授權運營范圍、運營期限、合理收益的測算方法、數據安全要求等。

2.定期報告與評估：運營單位需定期向公共數據主管部門提交運營報告，包括數據產品和服務存儲、加工處理、分析挖掘、融合利用、安全管理及市場運營情況等內容。同時接受公共數據主管部門的監督評價和安全監管。

3.收益管理：運營單位對加工形成的數據產品和服務進行定價和收益管理時，應遵循依法合規、普惠公平、收益合理的原則。

（四）責任與處罰

1.數據安全責任：運營單位是運營公共數據安全的第一責任人，需對數據安全負全面責任。

2.違規處罰：對于違反授權運營協議和相關法律法規的行為，公共數據主管部門有權暫停或終止授權運營協議，并依法追究運營單位的法律責任。

綜上所述，公共數據授權運營單位的合規要求涉及多個方面，旨在確保公共數據的安全可控和有序開發利用。運營單位需嚴格遵守相關規定和要求，不斷提升自身的技術能力和管理水平，以更好地服務于社會經濟發展。

四

授權數據合規要求

公共數據授權運營數據涉及數據資源供給側、生產加工側和數據產品消費與應用側，應確保數據的安全、合規、有效開發利用。以下是對這些要求的詳細歸納：

（一）總體要求

領導與原則：公共數據授權運營堅持中國共產黨的領導，遵循依法合規、安全可控、統籌規劃、穩慎有序的原則。

保護前提：在保護個人信息、商業秘密、保密商務信息和確保公共安全的前提下，向社會提供數據產品和服務。

（二）適用范圍

適用于特定行政區域內與公共數據授權運營相關的授權、加工、經營、安全監管等數據活動。

（三）基本原則

基本原則：按照“原始數據不出域、數據可用不可見”的要求進行管理。

（四）數據資源供給側

目錄管理：公共數據資源實行目錄管理。大數據主管部門負責制訂公共數據資源目錄編制技術規范和分類分級規則，匯集形成公共數據資源目錄。公共管理和服務機構應當依據技術規范和分類分級規則編制、維護本單位公共數據資源目錄，同時明確公共數據的開放類型、數據格式、更新頻率等內容。

數據采集匯聚：建立健全覆蓋省市（自治區）、地級市、縣、鄉、村五級的公共數據資源體系。各級政務部門和各類公共服務組織按照“應歸盡歸、有條件使用”原則，通過物理匯聚與邏輯接入兩種方式，及時向公共數據資源平臺歸集公共數據。公共數據采集應遵循“一數一源、一源多用”原則，可以通過共享方式獲取或確認的，一律不得重復采集、多頭采集。各級政務部門和各類公共服務組織應當依托統一的數據資源基礎設施所提供的服務功能來實現本地區、本單位公共數據資源歸集、存儲、交換、共享和開放等大數據應用活動。

（五）生產加工側

數據開發利用：大數據局制定開發利用的標準，編制并發布“數據產品購買指導性目錄”。運營單位建立健全公共數據運營安全管理制度，加強對公共數據運營平臺的網絡數據安全管理，落實數據安全管理責任制，確保各參與主體在公共數據管理、申請審核、開發利用、技術支撐等全流程安全可控。使用單位要及時發現、反饋推廣應用過程中的新場景新需求，通過公共數據運營的需求牽引，促進公共數據質量提高和開發利用能力提升。

數據加工要求：授權運營單位應在運營域內對授權的公共數據進行加工處理，形成數據產品和服務，經合法合規審核后向用戶提供，數據產品和服務僅能用于運營協議約定的應用場景。

主體申請條件既開發利用主體申請條件應滿足：具備申請領域公共數據開發利用能力；具備成熟的數據管理能力和數據安全保障能力；符合公共數據授權運營的其他規定要求。因違法經營受到刑事處罰或者責令停產停業、吊銷許可證或者執照、較大數額罰款等行政處罰，不得申請開發利用主體。

主體授權流程既開發主體授權流程：資質申請->資質審核->主體公示->協議簽訂。

（六）數據產品消費與應用側

數據產品出域：市公共數據主管部門統籌建設運營域，為授權運營單位統籌提供數據出域審核，確保公共數據授權運營全流程操作可審計，數據可溯源。嚴禁提供可還原出原始數據的公共數據產品和服務。數據產品審查通過后，運營主體應當與使用單位簽訂數據產品使用協議，明確數據產品的交付方式、計價方式、使用場景、使用條件和使用期限，明確數據安全責任和違約責任。使用協議應當通過公共數據運營平臺報數據資源主管部門備案。

綜上所述，公共數據授權數據安全合規要求涉及數據資源供給側、生產加工側和數據產品消費與應用側，旨在確保公共數據的安全、合規、有效開發利用，推動數字經濟的高質量發展。

五

安全管理與考核評估

公共數據授權運營的安全管理與考核評估是確保公共數據有效利用、保障個人信息安全及推動數據要素市場健康發展的重要環節。

（一）公共數據授權運營安全管理

法律法規遵循：公共數據授權運營應嚴格遵守《數據安全法》《個人信息保護法》等相關法律法規，確保數據收集、處理、使用等各環節合法合規。

數據安全責任：按照“誰運營誰負責、誰使用誰負責”的原則，明確授權運營單位的數據安全主體責任。授權運營單位應建立健全數據安全管理制度，加強數據全生命周期的安全防護。

技術防護：采用先進的數據安全技術，如數據加密、脫敏處理、多方安全計算等，確保數據在加工處理過程中“原始數據不出域、數據可用不可見”。加強運營域的安全管理，制定相關技術規范和管理標準，確保運營域安全穩定運行。

安全監管與應急處理：運營主體負責加工處理公共數據、數據產品的數據安全，在運營過程中定期開展數據安全應急演練和數據安全風險評估，發現風險及時整改。

個人信息保護：在公共數據授權運營過程中，應特別關注個人信息保護，避免個人信息泄露和濫用。授權運營單位應嚴格遵守個人信息保護相關法律法規，采取有效措施保障個人信息安全。

安全監督：大數據主管部門應當建立健全數據安全保障體系，完善協調機制以及安全預警、安全處置機制。大數據主管部門應當會同網信、公安、國安等部門，完善數據分類分級安全保護制度。各級各部門應當按照國家和省（自治區）數據分類分級要求，對本級本部門以及相關行業、領域的數據進行分類分級管理。各級大數據主管部門應當會同網信、公安、密碼管理等部門定期或不定期檢查數據處理者和數據流通交易場所履行數據安全責任等情況，對在監督檢查中發現存在安全風險的，應當提出改進要求并督促整改。大數據主管部門應當會同有關部門完善數據流通交易監管制度，建立健全跨部門協同監管機制，對數據交易、信息披露行為等數據市場相關活動組織實施監督管理。推行面向數據商和數據交易服務中介機構的數據流通交易聲明和承諾制。加強對數據交易服務中介機構的監管，規范從業人員的執業行為。發展改革部門應當會同大數據、人民銀行等有關部門，推動建設數據要素市場社會信用體系。

（二）公共數據授權運營考核評估

評估目的：通過考核評估，對被授權方在授權期限內的運營工作績效進行評估，以決定是否延續授權關系。同時，評估地方政府或生態整體的授權運營工作成效，推動公共數據授權運營工作的持續優化和提升。

評估內容：針對被授權方，評估其運營工作的具體績效表現，包括數據處理能力、產品服務質量、市場應用效果等方面。

評估方法：定量評估與定性評估相結合，通過數據分析、案例研究、專家評審等多種方式對被授權方和地方政府或生態整體的運營工作進行全面評估。可以委托第三方專業機構進行獨立評估，確保評估結果的客觀性和公正性。

評估結果應用：根據評估結果，對被授權方進行分類管理，對表現優秀的給予獎勵和支持；對表現不佳的提出整改要求或取消授權資格。同時，將評估結果作為地方政府或生態整體優化授權運營工作的重要依據，推動其不斷完善制度設計、提升運營效能。

綜上所述，公共數據授權運營的安全管理與考核評估是保障公共數據有效利用、推動數據要素市場健康發展的重要保障措施。通過加強安全管理和考核評估工作，可以確保公共數據在授權運營過程中始終處于安全可控的狀態，同時推動授權運營工作的持續優化和提升。

六

總 結

本文重點研究探索公共數據授權的相關概念和合規原則，從運營單位、授權數據和安全管理與考核評估三個方面，介紹了各參與主體在整個公共數據運營全流程中數據安全與隱私保護和運營涉及的評估與監督管理的合規要求，希望對推動落實公共數據授權運營各參與主體規范數據處理活動，保障數據安全，促進數據開發利用有幫助。

(本文作者：北京安華金和科技有限公司 譚峻楠）

CCIA數據安全工作委員會單位介紹

北京安華金和科技有限公司（DBSEC）成立于2009年，是中國專業的數據安全產品、服務與解決方案提供商，中國“數據安全治理”理念、體系的提出者和踐行者。安華金和致力于保障數據要素安全有序流通，幫助用戶在實現數據價值的同時，防止數據泄露風險和違規風險的發生，為用戶提供專業的數據安全解決方案、咨詢服務和切實有效的安全技術與產品應用，從而與用戶共同實現“讓數據使用自由而安全”的長期目標。