(2022年1月21日浙江省第十三届人民代表大会第六次会议通过)
目 录
第一章 总则
第二章 公共数据平台
第三章 公共数据收集与归集
第四章 公共数据共享
第五章 公共数据开放与利用
第六章 公共数据安全
第七章 法律责任
第八章 附则
第一章 总则
第一条 为了加强公共数据管理,促进公共数据应用创新,保护自然人、法人和非法人组织合法权益,保障数字化改革,深化数字浙江建设,推进省域治理体系和治理能力现代化,根据有关法律、行政法规,结合本省实际,制定本条例。
第二条 本省行政区域内公共数据收集、归集、存储、加工、传输、共享、开放、利用等数据处理活动,以及公共数据安全等管理活动,适用本条例。
涉及国家秘密的公共数据及相关处理活动,不纳入本条例管理,按照有关法律、法规的规定执行。
第三条 本条例所称公共数据,是指本省国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。
根据本省应用需求,税务、海关、金融监督管理等国家有关部门派驻浙江管理机构提供的数据,属于本条例所称公共数据。
第四条 公共数据发展和管理工作坚持中国共产党的领导,遵循统筹规划、依法有序、分类分级、安全可控的原则。
第五条 县级以上人民政府应当将公共数据发展和管理工作纳入国民经济和社会发展规划以及数字政府建设等相关专项规划,建立健全工作协调机制,完善政策措施,保障公共数据发展和管理工作所需经费。
县级以上人民政府应当建立健全公共数据发展和管理工作考核评价机制,将公共数据发展和管理工作作为年度政府目标责任制考核的重要内容。
第六条 县级以上人民政府大数据发展主管部门或者设区的市、县(市、区)人民政府确定的负责大数据发展工作的部门(以下简称公共数据主管部门),负责本行政区域内公共数据发展和管理工作,指导、协调、督促其他有关部门按照各自职责做好公共数据处理和安全管理相关工作。
公共管理和服务机构负责本部门、本系统、本领域公共数据处理和安全管理工作。
网信、公安、国家安全、保密、密码等部门按照各自职责,做好公共数据安全的监督管理工作。
第七条 公共数据主管部门应当会同有关部门建立健全监督检查工作机制,加强对公共数据平台建设、数据标准实施、数据质量、数据共享开放、数据安全保障等情况的监督检查,并督促落实。
第八条 县级以上人民政府应当按照长江三角洲区域一体化发展国家战略要求,加强公共数据发展和管理工作跨省域合作,推动公共数据标准统一,促进公共数据共享利用,发挥公共数据在区域一体化协同治理和跨区域协同发展中的驱动作用。
第二章 公共数据平台
第九条 省公共数据主管部门应当会同省有关部门,统筹规划和建设以基础设施、数据资源、应用支撑、业务应用体系为主体,以政策制度、标准规范、组织保障、网络安全体系为支撑的一体化智能化公共数据平台(以下简称公共数据平台),促进省域整体智治、高效协同。
设区的市公共数据主管部门应当会同同级有关部门,按照省有关标准和指导规范的要求建设本级公共数据平台。县(市、区)应当按照互联互通、共建共享原则,依托设区的市公共数据平台建设本级公共数据平台;确有必要的,可以单独建设。
省、设区的市公共数据平台应当按照地方实际需要,及时向下级公共数据平台返回数据。
第十条 公共数据主管部门应当依托公共数据平台建立统一的数据共享、开放通道。公共管理和服务机构应当通过统一的共享、开放通道共享、开放公共数据。
公共管理和服务机构不得新建公共数据共享、开放通道;已建共享、开放通道的,应当并入统一的共享、开放通道。
第十一条 省公共数据主管部门应当统筹建设全省一体化数字资源系统,推动全省公共数据、应用、组件、算力等数字资源集约管理,促进数字资源高效配置供给,实现公共数据跨层级、跨地域、跨系统、跨部门、跨业务有序流通和共享。
第十二条 县级以上人民政府应当建立使用财政资金的数字化项目管理机制,加强对数字化项目的统筹、整合和共享管理,避免重复建设。
使用本省财政资金的数字化项目有下列情形之一的,不予立项、审查验收或者不予安排运行和维护经费:
(一)未经县级以上人民政府指定的部门同意,新建业务专网或者新建、扩建、改建独立数据平台的;
(二)未经县级以上人民政府指定的部门同意,在公共数据平台外开发、升级改造应用系统的;
(三)未按照规定纳入一体化数字资源系统管理的;
(四)未按照要求共享、开放数据或者重复收集数据的;
(五)不符合密码应用和安全管理要求的。
第十三条 公共数据实行目录化管理。省公共数据主管部门应当统筹推进省、设区的市、县(市、区)三级公共数据目录一体化建设,制定统一的目录编制标准,组织编制全省公共数据目录。
设区的市、县(市、区)公共数据主管部门应当按照统一标准,组织编制本级公共数据子目录,并报上一级公共数据主管部门审核。
公共管理和服务机构应当按照统一标准,编制本部门公共数据子目录,并报同级公共数据主管部门审核。
第十四条 省公共数据主管部门应当会同省标准化主管部门和其他有关部门,推进本省公共数据标准体系建设,制定省、设区的市、县(市、区)公共数据平台建设标准以及公共数据处理和安全管理等标准,推动公共数据国家标准、行业标准和地方标准有效实施。
第三章 公共数据收集与归集
第十五条 公共管理和服务机构收集数据应当遵循合法、正当、必要的原则,按照法定权限、范围、程序和标准规范收集。
可以通过共享获取数据的,公共管理和服务机构不得重复收集;共享数据无法满足履行职责需求的,公共管理和服务机构可以向公共数据主管部门提交数据需求清单,由公共数据主管部门与相关公共管理和服务机构协商解决。
第十六条 公共管理和服务机构按照法定权限、范围、程序和标准规范收集单位、个人数据的,有关单位、个人应当予以配合。
收集公共数据应当遵守网络安全、数据安全、个人信息保护等法律、法规以及国家标准的强制性要求。
第十七条 收集公共数据应当分别以下列号码或者代码作为必要标识:
(一)公民身份号码或者个人其他有效身份证件号码;
(二)法人统一社会信用代码;
(三)非法人组织统一社会信用代码或者其他识别代码。
公共管理和服务机构收集数据时,不得强制要求个人采用多种方式重复验证或者特定方式验证。已经通过有效身份证件验明身份的,不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证。法律、行政法规另有规定的除外。
第十八条 省公共数据主管部门应当会同省有关部门在省公共数据平台建立和完善人口、法人、信用、电子证照、自然资源和空间地理等基础数据库,以及跨地域、跨部门专题数据库。省公共管理和服务机构应当根据公共数据目录,按照应用需求将公共数据统一归集到省公共数据平台基础数据库和专题数据库。
设区的市、县(市、区)公共数据主管部门应当在本级公共数据平台建立和完善跨地域、跨部门专题数据库。公共管理和服务机构应当根据公共数据目录,按照应用需求将公共数据统一归集到本级公共数据平台专题数据库。
第十九条 自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整的,可以向公共管理和服务机构提出校核申请。公共管理和服务机构应当自收到校核申请之日起五个工作日内校核完毕;情况复杂的,经公共管理和服务机构负责人批准,可以延长至十个工作日。公共管理和服务机构应当将校核处理结果及时告知当事人。
自然人、法人或者非法人组织对涉及自身的公共数据有异议或者发现公共数据不准确、不完整的,也可以向公共数据主管部门提出校核申请。公共数据主管部门应当自收到校核申请之日起两个工作日内转交相应公共管理和服务机构,并督促公共管理和服务机构在前款规定的期限内校核完毕。
公共数据主管部门、公共管理和服务机构发现数据不准确、不完整或者不同的公共管理和服务机构收集、提供的数据不一致的,由公共数据主管部门通知数据收集、提供单位限期校核。数据收集、提供单位应当在期限内校核完毕。
第二十条 公共数据主管部门、公共管理和服务机构应当建立健全数据全流程质量管控体系,加强数据质量事前、事中和事后的监督检查,及时更新已变更、失效数据,实现问题数据可追溯、可定责,保证数据的及时性、准确性、完整性。
第二十一条 为了应对突发事件,公共管理和服务机构按照应对突发事件有关法律、法规规定,可以要求自然人、法人或者非法人组织提供应对突发事件所必需的数据,并根据实际需要,依法、及时共享和开放相关公共数据,为应对突发事件提供支持;收集的数据不得用于与应对突发事件无关的事项;对在履行职责中知悉的个人信息、商业秘密、保密商务信息等应当依法予以保密。
突发事件应急处置工作结束后,公共管理和服务机构应当对获得的突发事件相关公共数据进行分类评估,将涉及个人信息、商业秘密、保密商务信息的公共数据采取封存等安全处理措施,并关停相关数据应用。
第四章 公共数据共享
第二十二条 本条例所称公共数据共享,是指公共管理和服务机构因履行法定职责或者提供公共服务需要,依法使用其他公共管理和服务机构的数据,或者向其他公共管理和服务机构提供数据的行为。
公共数据应当以共享为原则、不共享为例外。
第二十三条 公共数据按照共享属性分为无条件共享、受限共享和不共享数据。
公共管理和服务机构应当按照国家和省有关规定对其收集、产生的公共数据进行评估,科学合理确定共享属性,并定期更新。列入受限共享数据的,应当说明理由并明确共享条件;列入不共享数据的,应当提供明确的法律、法规、规章或者国家有关规定依据。
公共数据主管部门对同级公共管理和服务机构确定的公共数据共享属性有异议,经协商不能达成一致意见的,报本级人民政府决定。
第二十四条 公共管理和服务机构需要通过共享获取数据的,应当向数据提供单位的同级公共数据主管部门提出申请,明确应用场景,通过统一的公共数据共享通道以接口调用、批量数据使用等方式获取数据。
无法按照前款规定获取数据的,可以向公共数据主管部门提交数据需求清单,由公共数据主管部门与相关公共管理和服务机构协商解决。
第二十五条 公共管理和服务机构申请使用无条件共享数据的,公共数据主管部门应当在两个工作日内予以共享。
申请使用受限共享数据的,公共数据主管部门应当自收到申请之日起一个工作日内征求数据提供单位意见,数据提供单位应当在三个工作日内反馈意见。数据提供单位同意共享的,公共数据主管部门应当在两个工作日内予以共享。数据提供单位不同意共享的,应当说明理由,公共数据主管部门应当自收到反馈意见之日起两个工作日内完成审核,认为应当共享的,应当在两个工作日内予以共享,并告知数据提供单位;认为不应当共享的,应当立即告知提出申请的公共管理和服务机构。
第二十六条 公共管理和服务机构通过共享获取的公共数据,应当用于本机构依法履行职责的需要,不得用于或者变相用于其他目的。
第五章 公共数据开放与利用
第二十七条 本条例所称公共数据开放,是指向自然人、法人或者非法人组织依法提供公共数据的公共服务行为。
公共数据开放应当遵循依法、规范、公平、优质、便民的原则。公共数据按照开放属性分为无条件开放、受限开放和禁止开放数据。
第二十八条 省公共数据主管部门根据国家和省有关公共数据分类分级要求,组织编制全省公共数据开放目录。设区的市公共数据主管部门可以组织编制本行政区域公共数据开放子目录。公共数据开放目录按照实际需要实行动态调整。
公共数据开放目录应当标注数据名称、数据开放主体、数据开放属性、数据格式、数据类型、数据更新频率等内容。
第二十九条 省、设区的市公共数据主管部门应当根据当地经济社会发展需要,会同同级公共管理和服务机构制定年度公共数据开放重点清单,优先开放与民生紧密相关、社会迫切需要、行业增值潜力显著和产业战略意义重大的公共数据。
确定年度公共数据开放重点清单,应当听取相关行业组织、企业、专家和社会公众的意见。
第三十条 公共数据有下列情形之一的,禁止开放:
(一)开放后危及或者可能危及国家安全的;
(二)开放后可能损害公共利益的;
(三)涉及个人信息、商业秘密或者保密商务信息的;
(四)数据获取协议约定不得开放的;
(五)法律、法规规定不得开放的。
前款第三项规定的公共数据有下列情形之一的,可以列入受限开放或者无条件开放数据:
(一)涉及个人信息的公共数据经匿名化处理的;
(二)涉及商业秘密、保密商务信息的公共数据经脱敏、脱密处理的;
(三)涉及个人信息、商业秘密、保密商务信息的公共数据指向的特定自然人、法人或者非法人组织依法授权同意开放的。
省公共数据主管部门应当会同省网信、公安、经济和信息化等部门制定公共数据脱敏、脱密等技术规范。
第三十一条 公共管理和服务机构应当按照国家和省有关规定对其收集、产生的公共数据进行评估,科学合理确定开放属性,并定期更新。
公共数据主管部门对同级公共管理和服务机构确定的公共数据开放属性有异议,经协商不能达成一致意见的,报本级人民政府决定。
第三十二条 自然人、法人或者非法人组织需要获取无条件开放的公共数据的,可以通过统一的公共数据开放通道获取。
第三十三条 自然人、法人或者非法人组织需要获取受限开放的公共数据的,应当具备相应的数据存储、处理和安全保护能力,并符合申请时信用档案中无因违反本条例规定记入的不良信息等要求,具体条件由省、设区的市公共管理和服务机构通过本级公共数据平台公布。
自然人、法人或者非法人组织需要获取受限开放的公共数据的,应当通过统一的公共数据开放通道向公共数据主管部门提出申请。公共数据主管部门应当会同数据提供单位审核后确定是否同意开放。
经审核同意开放公共数据的,申请人应当签署安全承诺书,并与数据提供单位签订开放利用协议。申请开放的公共数据涉及两个以上数据提供单位的,开放利用协议由公共数据主管部门与申请人签订。开放利用协议应当明确数据开放方式、使用范围、安全保障措施等内容。
申请人应当按照开放利用协议约定的范围使用公共数据,并按照开放利用协议和安全承诺书采取安全保障措施。
第三十四条 县级以上人民政府应当将公共数据作为促进经济社会发展的重要生产要素,促进公共数据有序流动,推进数据要素市场化配置改革,推动公共数据与社会数据深度融合利用,提升公共数据资源配置效率。
自然人、法人或者非法人组织利用依法获取的公共数据加工形成的数据产品和服务受法律保护,但不得危害国家安全和公共利益,不得损害他人的合法权益。
第三十五条 县级以上人民政府可以授权符合规定安全条件的法人或者非法人组织运营公共数据,并与授权运营单位签订授权运营协议。禁止开放的公共数据不得授权运营。
授权运营单位应当依托公共数据平台对授权运营的公共数据进行加工;对加工形成的数据产品和服务,可以向用户提供并获取合理收益。授权运营单位不得向第三方提供授权运营的原始公共数据。
授权运营协议应当明确授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置等内容。
省公共数据主管部门应当会同省网信、公安、国家安全、财政等部门制定公共数据授权运营具体办法,明确授权方式、授权运营单位的安全条件和运营行为规范等内容,报省人民政府批准后实施。
第三十六条 县级以上人民政府及其有关部门应当通过产业政策引导、资金扶持、引入社会资本等方式,拓展公共数据开发利用场景。
县级以上人民政府及其有关部门可以通过政府购买服务、协议合作等方式,支持利用公共数据创新产品、技术和服务,提升公共数据产业化水平。
公共数据主管部门可以通过应用创新大赛、补助奖励、合作开发等方式,鼓励利用公共数据开展科学研究、产品开发、数据加工等活动。
第六章 公共数据安全
第三十七条 公共数据安全管理应当坚持统筹协调、分类分级、权责统一、预防为主、防治结合的原则,加强公共数据全生命周期安全和合法利用管理,防止数据被非法获取、篡改、泄露、损毁或者不当利用。
第三十八条 公共数据、网信、公安、国家安全、密码等部门应当按照各自职责,对下级公共数据主管部门、本级公共管理和服务机构的公共数据安全承担监督管理责任。
公共管理和服务机构在公共数据、网信、公安、国家安全、密码等部门指导下,开展本系统、本领域公共数据安全保护工作。
第三十九条 公共数据安全实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制。公共数据主管部门、公共管理和服务机构的主要负责人是本单位数据安全工作的第一责任人。
公共数据主管部门、公共管理和服务机构应当强化和落实数据安全主体责任,建立数据安全常态化运行管理机制,具体履行下列职责:
(一)落实网络安全等级保护制度,建立健全本单位数据安全管理制度、技术规范和操作规程;
(二)设置数据安全管理岗位,实行管理岗位责任制,配备安全管理人员和专业技术人员;
(三)定期组织相关人员进行数据安全教育、技术培训;
(四)加强数据安全日常管理和检查,对复制、导出、脱敏、销毁数据等可能影响数据安全的行为,以及可能影响个人信息保护的行为进行监督;
(五)加强平台(系统)压力测试和风险监测,发现数据安全缺陷、漏洞等风险时立即采取补救措施;
(六)制定数据安全事件应急预案,并定期进行演练;
(七)法律、法规、规章规定的其他职责。
第四十条 公共数据主管部门应当会同网信、公安、国家安全、密码等部门建立健全公共数据分类分级、安全审查、风险评估、监测预警、应急演练、安全审计、封存销毁等制度,并督促指导公共管理和服务机构实施。
第四十一条 公共数据主管部门、公共管理和服务机构应当结合公共数据具体应用场景,按照分类分级保护要求,建立健全公共数据安全防护技术标准和规范,采取身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等技术措施,提高数据安全保障能力。
第四十二条 公共数据主管部门、公共管理和服务机构在处理公共数据过程中,因数据汇聚、关联分析等原因,可能产生涉密、敏感数据的,应当进行安全评估,并根据评估意见采取相应的安全措施。
第四十三条 公共数据主管部门、公共管理和服务机构依法委托第三方服务机构开展平台(系统)建设以及运行维护的,应当按照国家和省有关规定对服务提供方进行安全审查;经安全审查符合条件的,签订服务外包协议时应当同时签订服务安全保护及保密协议,约定违约责任,并监督服务提供方履行数据安全保护义务。
服务外包协议不生效、无效、被撤销或者终止的,公共数据主管部门、公共管理和服务机构应当撤销账号或者重置密码,并监督服务提供方以数据覆写、物理销毁等不可逆方式删除相关数据。
第四十四条 自然人、法人或者非法人组织认为开放的公共数据侵犯其合法权益的,有权向公共管理和服务机构提出撤回数据的要求。
公共管理和服务机构收到撤回数据要求后,应当立即进行核实,必要时立即中止开放;经核实存在前款规定问题的,应当根据不同情形采取撤回数据或者处理后再开放等措施,并将有关处理结果及时告知当事人。当事人对处理结果有异议的,可以向公共数据主管部门申请复核。
公共管理和服务机构在日常监督管理过程中发现开放的公共数据存在安全风险的,应当立即中止开放,并在消除安全风险后开放。
第四十五条 公共数据主管部门、公共管理和服务机构可以组织有关单位、专家或者委托第三方专业机构,对公共数据共享、开放和安全保障等工作开展评估,提升公共数据管理水平。
第七章 法律责任
第四十六条 违反本条例规定的行为,法律、行政法规已有法律责任规定的,从其规定。
第四十七条 公共管理和服务机构有下列情形之一的,由公共数据主管部门按照管理权限责令限期整改:
(一)未按照规定编制或者更新公共数据子目录的;
(二)违反规定新建业务专网或者新建、扩建、改建独立数据平台的;
(三)违反规定在公共数据平台外开发、升级改造应用系统的;
(四)违反规定重复收集数据的;
(五)未及时向公共数据平台归集数据或者归集的数据不符合标准要求的;
(六)未按照规定校核、封存、撤回公共数据或者关停数据应用的;
(七)未按照规定共享或者开放公共数据的;
(八)违反规定将共享获取的公共数据用于其他目的的;
(九)未依法履行公共数据安全管理职责的;
(十)违反本条例规定的其他情形。
公共管理和服务机构应当在规定期限内完成整改,并反馈整改情况;未按照要求整改的,由公共数据主管部门提请本级人民政府予以通报批评;情节严重的,由有权机关对负有责任的领导人员和直接责任人员依法给予处理。
第四十八条 公共数据主管部门及其工作人员在公共数据发展和管理工作中,不履行或者不正确履行本条例规定的职责,造成危害后果或者不良影响的,或者存在其他玩忽职守、滥用职权、徇私舞弊行为的,由有权机关对负有责任的领导人员和直接责任人员依法给予处理。
第四十九条 自然人、法人或者非法人组织有下列情形之一的,公共管理和服务机构、公共数据主管部门应当按照职责责令改正,并暂时关闭其获取相关公共数据的权限;未按照要求改正的,对其终止开放相关公共数据:
(一)未经同意超出公共数据开放利用协议约定的范围使用数据的;
(二)未按照公共数据开放利用协议和安全承诺书采取安全保障措施的;
(三)严重违反公共数据平台安全管理规范的;
(四)其他严重违反公共数据开放利用协议的情形。
第五十条 自然人、法人或者非法人组织违反公共数据开放利用协议,第三方服务机构违反服务安全保护协议或者保密协议,授权运营单位违反授权运营协议,属于违反网络安全、数据安全、个人信息保护有关法律、法规规定的,由网信、公安等部门按照职责依法予以查处,相关不良信息依法记入其信用档案。
第八章 附则
第五十一条 本条例自2022年3月1日起施行。浙江省人民政府发布的《浙江省公共数据和电子政务管理办法》同时废止。