T-ZGCSC 015-2024 公共數(shù)據(jù)授權運營實施指南

團體標準2024-11-11發(fā)布2024-11-12實施前言 2規(guī)范性引用文件 3術語和定義 4基本原則 5數(shù)據(jù)范圍 6授權運營域 7數(shù)據(jù)產品、服務類別及計價方式 8數(shù)據(jù)安全與隱私保護機制 9授權運營流程 10運營評價 11優(yōu)化調整 附錄A（資料性）典型數(shù)據(jù)開放領域 9附錄B（規(guī)范性）運營評價指標 參考文獻 1T/ZGCSC015-2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起本文件的某些內容可能涉及專利。本標準的發(fā)布機構不承擔識別專利的責任。本文件由中關村智慧城市產業(yè)技術創(chuàng)新戰(zhàn)略聯(lián)盟提出并歸口。本文件起草單位：中國聯(lián)通智能城市研究院、國家信息中心、中國信息通信研究院、國家工業(yè)信息安全發(fā)展研究中心、杭州市大數(shù)據(jù)管理服務中心、中關村智慧城市產業(yè)技術創(chuàng)新戰(zhàn)略聯(lián)盟、中國軟件評測中心、螞蟻科技集團股份有限公司、人民數(shù)據(jù)管理（北京）有限公司、北京國際大數(shù)據(jù)交易有限公司、北京市社會科學院、中關村實驗室、北京國脈互聯(lián)信息顧問有限公司、中國聯(lián)通研究院、中國移動通信有限公司研究院、聯(lián)通數(shù)字科技有限公司、撫州市政務服務和數(shù)據(jù)局、中國雄安集團數(shù)字城市科技有限公司、中移動信息技術有限公司、中電信數(shù)智科技有限公司、中電科發(fā)展規(guī)劃研究院、聯(lián)通（江西）產業(yè)互聯(lián)網有限公司、中國聯(lián)合網絡通信有限公司浙江省分公司、中國聯(lián)合網絡通信有限公司黑龍江省分公司、北京郵電大學、聯(lián)通（海南）產業(yè)互聯(lián)網有限公司、云粒智慧科技有限公司、中國通信建設集團設計院有限公司、江西省檢驗檢測認證總院檢測認證技術發(fā)展研究院、聯(lián)通(遼寧)產業(yè)互聯(lián)網有限公司、中國信息界發(fā)展研究院、奇安信科技集團股份有限公司、鷹潭泰爾物聯(lián)網研究中心有限公司、紅河紅產數(shù)據(jù)產業(yè)有限公司、湖南數(shù)據(jù)安全認證有限公司、杭州數(shù)瀚科技有限公司、北京東方正信實業(yè)投資有限公司。本文件主要起草人：郭中梅、單志廣、董正浩、馮杰、孫亮、張丹、陳麗、馬潮江、張斌、徐清源、廖俊、侯智軍、鄧成明、陳栩、石會昌、宋超、房秉毅、高長偉、馬冬妍、劉前偉、高楓、張亮、王鵬、強薇、白喆、單斐、王麗影、武通、謝悅、魏春城、祝欣越、劉琪、楊云龍、陳奇柏、王曉博、陳連路、王冬、蔡丹旦、許幸榮、郭宇、張沖、魏天呈、鄭佳熙、彭晉、昌文婷、李媛、盛晶、譚伊舒、胡月、郭真、盧曉慧、祝婷婷、唐菁、張競濤、王鵬、陳多思、周環(huán)珠、劉舒揚、李愛華、胡沐華、孫志敏、張雅琪、劉锏嶸、孫澤紅、任連嘉、夏樂樂、梁卓、張拯、李瑋、李帥崢、郭萍、吳誠林、沈華、王劍、張月新、黃海鳳、曾傳鑫、陳葉能、陳歡歡、厲霞、馮磊、于洋、王馳、王冬宇、常沙、楊璇、謝士琴、王雨朦、李征仁、莊士剛、杜鵬、陳晨、鄭金輝、史翔、李帥崢、蘇泳睿、張延強、付宇涵、馬冬妍、林楓、黃一申、于天水、馬長鏈、李月礁、王鵬、田康葉、張明明、夏倩倩、羅琦芳、胡楊、喬聰軍、陳月華、張冉、鄧宏明、鄭彩玲、鄧庭波、胡春龍、項如意、李艷、葛魯軍、張圣琦。本文件為首次發(fā)布。2T/ZGCSC015-2024公共數(shù)據(jù)授權運營實施指南本文件描述了公共數(shù)據(jù)授權運營的基本原則、數(shù)據(jù)范圍、授權運營域、數(shù)據(jù)產品類型及計價方式、數(shù)據(jù)安全與隱私保護、授權運營流程、運營評價、優(yōu)化調整等內容。本文件適用于指導公共數(shù)據(jù)實施機構和運營機構開展公共數(shù)據(jù)授權運營活動。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T38664.2—2020信息技術大數(shù)據(jù)政務數(shù)據(jù)開放共享第2部分：基本要求GB/T39477—2020信息安全技術政務信息共享數(shù)據(jù)安全技術要求T/CECC024—2023公共數(shù)據(jù)授權運營平臺技術要求3術語和定義下列術語和定義適用于本標準。3.1公共數(shù)據(jù)publicdata各級黨政機關、企事業(yè)單位依法履職或提供公共服務過程中產生的數(shù)據(jù)。3.2實施機構implementingagency縣級以上地方各級人民政府或國家行業(yè)主管部門結合授權模式確定的、具體負責組織開展授權運營活動的單位。3.3運營機構operatingagency按照規(guī)范程序獲得授權，對授權范圍內的公共數(shù)據(jù)資源進行開發(fā)運營的法人組織。3.4公共數(shù)據(jù)授權運營authorizationofpublicdataforoperationservice縣級以上地方各級人民政府、國家行業(yè)主管部門持有的公共數(shù)據(jù)資源，按照法律法規(guī)和相關要求，授權符合條件的運營機構進行治理、開發(fā)，并面向市場公平提供數(shù)據(jù)產品和技術服務的活動。3.5數(shù)據(jù)產品和服務dataproductanddataservice3T/ZGCSC015-2024基于數(shù)據(jù)加工形成的，可滿足特定需求的數(shù)據(jù)加工品和數(shù)據(jù)服務。4基本原則4.1統(tǒng)一性遵循國家、省、市級公共數(shù)據(jù)授權管理要求及行業(yè)規(guī)范開展公共數(shù)據(jù)授權運營活動。4.2合規(guī)性在不危害國家安全、公共利益，不侵犯商業(yè)秘密和個人隱私、個人信息權益的前提下開展公共數(shù)據(jù)授權運營活動。4.3可審計性建立有效的公共數(shù)據(jù)授權運營監(jiān)管機制，能夠對數(shù)據(jù)授權使用過程進行審計，系統(tǒng)性地追蹤、記錄、審查和評估數(shù)據(jù)處理和使用活動。4.4協(xié)同性建立跨部門跨組織協(xié)調、政策與法規(guī)協(xié)同、標準與互操作性、技術平臺互通等協(xié)同機制，確保不同機構、部門、企業(yè)和個人之間能夠高效、有序共享公共數(shù)據(jù)資源，共同推進公共數(shù)據(jù)價值挖掘和利用。4.5安全性建立公共數(shù)據(jù)授權運營安全相關管理制度，健全數(shù)據(jù)脫敏、安全審查、風險評估、監(jiān)測預警、應急處置等工作機制，確保公共數(shù)據(jù)在開放、共享和使用過程中的保密性、完整性和5數(shù)據(jù)范圍5.1概述公共數(shù)據(jù)授權運營按開放類型分為不予開放類、有條件開放類、無條件開放類三種類型。5.2不予開放類公共數(shù)據(jù)不予開放類公共數(shù)據(jù)是指為維護國家安全和社會穩(wěn)定，保護個人隱私權益以及尊重商業(yè)敏感信息，根據(jù)法律法規(guī)、國家安全、公共安全、商業(yè)秘密、個人隱私保護等原則，確定為不適合向公眾開放的公共數(shù)據(jù)。a)依法確定為國家秘密的；b)開放后可能危及國家安全、公共安全、經濟安全、社會穩(wěn)定的；c)涉及商業(yè)秘密、個人隱私的；d)法律、法規(guī)規(guī)定不得開放的。5.3有條件開放類公共數(shù)據(jù)有條件開放類公共數(shù)據(jù)是指在滿足特定條件或經過特定審批流程后，可以向特定對象或在特定范圍內開放的公共數(shù)據(jù)，這類開放需遵循標準的規(guī)則和程序，確保數(shù)據(jù)使用不會損害國家安全、公共安全、商業(yè)秘密和個人隱私。4T/ZGCSC015-2024a)涉及商業(yè)秘密和個人隱私，但相關自然人、法人和非法人組織同意開放，且法律、法規(guī)未禁止的；b)不予開放將嚴重擠占公共數(shù)據(jù)基礎設施資源，影響公共數(shù)據(jù)處理運行效率的；c)對數(shù)據(jù)安全和處理能力要求較高的；d)按照法律、法規(guī)規(guī)定應當列為有條件開放類公共數(shù)據(jù)的。5.4無條件開放類公共數(shù)據(jù)無條件開放類公共數(shù)據(jù)是指政府及公共機構在確保不違反法律法規(guī)、不泄露個人隱私、不影響國家安全、公共安全和商業(yè)秘密的前提下，無需經過特別審批或授權，公眾和企業(yè)即可直接訪問和使用的公共數(shù)據(jù)資源。a)已經按照相關規(guī)定向社會公開的信息轉換為可機器讀取的公共數(shù)據(jù)的；b)按照分類分級規(guī)定評估，開放后安全風險較低的；c)其他未列入不予開放類、有條件開放類公共數(shù)據(jù)的。6授權運營域6.1擴展性和兼容性宜按照GB/T38664.2—2020的第6.3節(jié)公共數(shù)據(jù)開放平臺使用交互、授權許可等相關要求進行建設，可復用已建公共數(shù)據(jù)平臺統(tǒng)一認證和授權服務等能力，具備良好的擴展能力和系統(tǒng)兼容性。6.2安全隔離使用物理和邏輯隔離技術實現(xiàn)網絡隔離、租戶隔離、開發(fā)與生產環(huán)境隔離，在公共數(shù)據(jù)流轉過程中具備數(shù)據(jù)訪問驗證、加密脫敏、出域核驗、安全審計等能力，確保全流程操作記錄可追蹤、數(shù)據(jù)出域可溯源。6.3隱私保護宜按照T/CECC024—2023的第6.7節(jié)相關要求，使用區(qū)塊鏈、數(shù)據(jù)沙箱、可信執(zhí)行環(huán)境、聯(lián)邦學習、安全多方計算、零知識證明、同態(tài)加密等技術，保障公共數(shù)據(jù)授權使用過程中原始數(shù)據(jù)隱私安全，確保數(shù)據(jù)在處理過程中不被未經授權訪問、泄露或濫用，數(shù)據(jù)可用不可見。6.4典型數(shù)據(jù)開放領域經脫敏處理和依法授權使用的典型公共數(shù)據(jù)開放領域詳見附錄A。7數(shù)據(jù)產品、服務類別及計價方式7.1數(shù)據(jù)產品及服務類別a)數(shù)據(jù)集與數(shù)據(jù)包：以靜態(tài)數(shù)據(jù)為主的數(shù)據(jù)產品；b)數(shù)據(jù)模型：基于特定場景，結合多種數(shù)據(jù)，利用一種或多種算法，將實際業(yè)務問題轉化為可通過計算解決的數(shù)學問題服務；c)應用程序編程接口（API）：利用數(shù)據(jù)網關實現(xiàn)的對外數(shù)據(jù)服務；d)數(shù)據(jù)報告：對數(shù)據(jù)結果進行直觀展示形成的可直接閱讀綜合性報告；e)數(shù)據(jù)服務：提供數(shù)據(jù)比對、提取、關聯(lián)、轉換、清洗、加工等服務的過程；5T/ZGCSC015-2024f)咨詢服務：對數(shù)據(jù)加工整理后提供的業(yè)務咨詢、技術培訓、解決方案等服務。7.2計價方式a)免費服務：考慮公益性，免費提供服務；b)成本定價：按照數(shù)據(jù)加工和服務過程中的成本進行定價；c)計量定價：按照數(shù)據(jù)服務的次數(shù)和數(shù)據(jù)量的大小進行定價；d)會員定價：按照注冊會員約定價格的方式進行定價；e)協(xié)議定價：按照協(xié)議約定價格的方式進行定價；f)固定費用：按照固定周期（如月度、年度）數(shù)據(jù)訂閱服務進行定價；g)增值服務：按照數(shù)據(jù)清洗、分析、定制化服務等增值服務類型單獨定價。h)綜合定價：按照提供的基礎服務、增值服務、定制服務、約定特殊條款等綜合制訂計價策略。8數(shù)據(jù)安全與隱私保護機制實施機構和運營機構宜按照GB/T39477—2020的第6節(jié)相關要求，建立完善的公共數(shù)據(jù)授權運營安全保障體系機制，涵蓋滿足數(shù)據(jù)分級分類、脫敏處理、加密傳輸存儲、訪問控制、個人隱私保護、數(shù)據(jù)生命周期管理等方面技術要求，確保數(shù)據(jù)在授權運營過程中的安全性和隱私保護遵循《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等相關法律法規(guī)。9授權運營流程9.1概述根據(jù)各階段參與公共數(shù)據(jù)授權運營機構與責任事項劃分，授權運營流程按8個步驟進行，6T/ZGCSC015-2024圖1公共數(shù)據(jù)授權運營流程9.2需求受理與評估運營機構或申請單位根據(jù)業(yè)務需求，向公共數(shù)據(jù)管理部門提交數(shù)據(jù)使用申請并提供相關材料，實施機構對申請進行初步審核，評估數(shù)據(jù)需求的合理性、合法性和可行性。運營單位應提供以下申請材料：a)公共數(shù)據(jù)授權運營申請表；b)公共數(shù)據(jù)授權運營實施方案，宜按照國家數(shù)據(jù)局《公共數(shù)據(jù)資源授權運營實施規(guī)范（試行）》第三章進行編制；c)最近1年的第三方審計報告和財務會計報告；d)專業(yè)資質或能力證明；e)數(shù)據(jù)安全承諾書；f)安全風險自評報告；g)數(shù)據(jù)需求申請；h)按照最小必要原則申請的數(shù)據(jù)授權運營應用場景。i)其他相關材料9.3數(shù)據(jù)審查與分類7T/ZGCSC015-2024實施機構組織由高校、科研機構、數(shù)據(jù)管理相關部門專家組成的專家委員會對申報單位資質條件、信用條件、實施方案、申請數(shù)據(jù)價值、合規(guī)性、安全風險等進行審查評估，根據(jù)需求數(shù)據(jù)的性質、敏感程度和開放條件對申請數(shù)據(jù)進行華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)公開要求。符合條件的運營機構報本級政府確定后向社會公開。符合公開授權運營的數(shù)據(jù)產品及服務目錄經數(shù)據(jù)審查專委會評審后向社會公開。9.4授權與協(xié)議簽訂基于專委會評估結果，實施機構以公開招標、邀請招標、談判等公平競爭方式選擇運營機構，經實施機構實施機構“三重一大”決策機制審議通過后雙方簽訂公共數(shù)據(jù)授權運營協(xié)議，明確公共數(shù)據(jù)授權運營期限、范圍目錄、產品服務、支撐平臺、收益分配、權利義務、違約責任、終止條件等，宜按照國家數(shù)據(jù)局《公共數(shù)據(jù)資源授權運營實施規(guī)范（試行）》第四章第十四條制訂。授權運營協(xié)議內容應充分征求各方意見，簽訂完畢后報本地區(qū)數(shù)據(jù)主管部門進行備案。9.5公共數(shù)據(jù)運營授權運營機構依法合規(guī)開展公共數(shù)據(jù)運營活動，不得泄露、竊取、篡改、毀損、丟失、不當利用公共數(shù)據(jù)，不得將授權運營的公共數(shù)據(jù)用于協(xié)議約定范圍之外的其他用途。符合條件的公共數(shù)據(jù)產品和服務清單、價格按照國家有關價格政策執(zhí)行，定期向社會披露公共數(shù)據(jù)資源使用情況，接受社會監(jiān)督。9.6運營評價開展授權運營活動效能評價，其結果作為續(xù)簽授權運營協(xié)議的依據(jù)，內容見《10運營9.7運營終止或撤銷根據(jù)實施機構評價、運營機構申請以及重大運營安全事故等觸發(fā)運營終止條件，經評估審批后終止或撤銷運營，公共數(shù)據(jù)主管部門按要求及時關閉授權運營機構的授權運營使用權限。運營期限原則上最長不超過5年。10運營評價10.1概述實施機構定期對運營機構履行公共數(shù)據(jù)開放工作職責情況、開放計劃制定和落實情況進行監(jiān)督檢查，評估數(shù)據(jù)使用合規(guī)性、安全性、技術成熟度、運營效果、用戶滿意度等方面表現(xiàn)，為數(shù)據(jù)運營流程、計價方式等提供優(yōu)化依據(jù)，確保公共數(shù)據(jù)授權運營活動的合規(guī)性、高效性和可持續(xù)性。運營評價指標詳見附錄B。10.2合規(guī)性采用自動化工具與人工審核結合形式，至少每年一次對法律法規(guī)遵從、數(shù)據(jù)使用規(guī)范、隱私保護措施、合規(guī)管理執(zhí)行等進行定期審計，評估公共數(shù)據(jù)使用是否符合《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等相關法律法規(guī)要求，確保公共數(shù)據(jù)授權使用活動合法合規(guī)。8T/ZGCSC015-202410.3安全性使用數(shù)據(jù)脫敏、滲透測試、安全審計等方式，至少每半年一次對公共數(shù)據(jù)在授權使用過程中采用的安全保護措施進行評估。10.4技術成熟度使用技術測試、性能評測、專家評審等方式，至少每年一次對授權運營數(shù)據(jù)支撐平臺技術架構、數(shù)據(jù)質量、自動化工具、可靠性與穩(wěn)定性等關鍵指標進行技術成熟度評估。10.5運營效果通過數(shù)據(jù)分析、案例研究、專家評審等方式，至少每半年一次對數(shù)據(jù)利用率、業(yè)務流程優(yōu)化、經濟社會效益、數(shù)據(jù)開放共享程度等關鍵指標進行綜合評價。10.6用戶滿意度采用問卷調查、在線評價、用戶訪談等多種形式，每半年進行一次對公共數(shù)據(jù)授權使用提供的用戶體驗、服務與支持、功能性能、持續(xù)改進等進行滿意度調查。11優(yōu)化調整運營機構根據(jù)公共數(shù)據(jù)評估結果，對運營流程和計價策略制定整改提升方案，經本機構公共數(shù)據(jù)專業(yè)委員會審核后，按照管理權限報同級公共數(shù)據(jù)主管部門備案。9T/ZGCSC015-2024（資料性）典型數(shù)據(jù)開放領域表A.1公共數(shù)據(jù)授權運營典型數(shù)據(jù)開放領域數(shù)據(jù)類型領域不予開放類有條件開放類無條件開放類組織人口統(tǒng)計數(shù)據(jù)涉及個人隱私的敏感數(shù)據(jù)，如個人姓名、身份證號碼等。經過脫敏處理的人口統(tǒng)計信息，如年齡分布、性別宏觀層面的人口統(tǒng)計數(shù)據(jù)，如總人口數(shù)量、地區(qū)經濟統(tǒng)計數(shù)據(jù)涉及商業(yè)機密的地區(qū)詳細經濟數(shù)據(jù)，如企業(yè)財務、并購交易、市場份額等。經過脫敏處理的經濟指標數(shù)據(jù)，如行業(yè)增長率、失宏觀經濟數(shù)據(jù)，如GDP總量、消費指數(shù)等。政務公開數(shù)據(jù)涉及國家安全、機密文件等敏感信息。涉及特定群體的政策文件、行政許可等。公開的政策文件、行政許可等信息。個人健康醫(yī)療數(shù)據(jù)涉及個人醫(yī)療記錄、病歷資料等敏感信息。經過脫敏處理的健康統(tǒng)計數(shù)據(jù)，如疾病發(fā)病率等。宏觀層面的健康統(tǒng)計信息，如疫苗接種率、傳染病報告等。教育資源數(shù)據(jù)涉及個人學習成績、學生個人信息等。經過脫敏處理的教育資源分配情況，如學校分布、師資力量等。宏觀層面的教育資源統(tǒng)計信息，如教育支出、學校就業(yè)數(shù)據(jù)涉及個人就業(yè)記錄、薪資信息等。經過脫敏處理的就業(yè)統(tǒng)計信息，如行業(yè)就業(yè)率、就業(yè)趨勢等。宏觀層面的就業(yè)統(tǒng)計數(shù)據(jù)，如失業(yè)率、崗位需求客體地理空間數(shù)據(jù)涉及國家安全的敏感地理信息，如軍事基地位置等。經過脫敏處理的地理信息，如城市規(guī)劃圖、土地利用情況等。宏觀層面的地理信息，如地圖、地形圖等。交通出行數(shù)據(jù)涉及個人隱私的出行軌跡數(shù)據(jù)等。經過脫敏處理的交通流量信息，如擁堵情況、公共交通時刻表等。宏觀層面的交通統(tǒng)計數(shù)據(jù)，如公共交通線路、站點分布等。環(huán)境監(jiān)測數(shù)據(jù)涉及敏感地點的詳細環(huán)境監(jiān)測數(shù)據(jù)等。經過脫敏處理的環(huán)境質量信息，如空氣質量指數(shù)、水質監(jiān)測數(shù)據(jù)等。宏觀層面的環(huán)境監(jiān)測數(shù)據(jù)，如污染源分布、污染物排放總量等。文化旅游數(shù)據(jù)涉及文化遺產保護相關的敏感信息等。經過脫敏處理的文化旅游資源信息，如旅游景點介紹、文化活動安排等。宏觀層面的文化旅游信息，如游客數(shù)量、旅游收入等。10T/ZGCSC015-2024表A.1公共數(shù)據(jù)授權運營典型數(shù)據(jù)開放領域（續(xù)）數(shù)據(jù)類型領域不予開放類有條件開放類無條件開放類客體公共安全數(shù)據(jù)涉及國家安全、重大案件的敏感信息等。經過脫敏處理的公共安全數(shù)據(jù)，如犯罪統(tǒng)計、交通事故報告等。宏觀層面的公共安全數(shù)據(jù)，如安全提示、防范知識等。氣象數(shù)據(jù)涉及國家安全的敏感氣象信息等。經過脫敏處理的氣象預報信息，如降雨概率、風速宏觀層面的氣象數(shù)據(jù)，如平均氣溫、降水量等。能源數(shù)據(jù)涉及國家能源安全的敏感信息等。經過脫敏處理的能源消耗信息，如電力消耗量、能源利用率等。宏觀層面的能源統(tǒng)計數(shù)據(jù)，如能源產量、進口量11T/ZGCSC015-2024（規(guī)范性）運營評價指標表B.1公共數(shù)據(jù)授權運營評價指標評價維度評價指標評價內容合