《南昌市公共数据资源整体授权运营实施方案(试行)(征求意见稿)》发布

一、总体情况

（一）授权运营范围

南昌市市直各部门及其所属单位、市属国有企业依法履职或提供公共服务过程中产生的具有利用价值的数据集合，在落实数据分类分级保护制度要求，不危害国家安全、公共利益，不侵犯商业秘密和个人隐私、个人信息权益等合法权益前提下，全部纳入授权运营范围。

（二）授权运营模式

采用整体授权运营模式，即将全市公共数据资源整体授权给一个主体进行运营。纳入整体授权运营的公共数据资源，市直各部门还可对重点领域、重点场景采取分领域或依场景授权运营模式。分领域或依场景授权运营实施方案由各部门根据实际需要另行制定并报市政府审定。

（三）授权运营必要性

一是贯彻落实国家数据发展战略的创新举措。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出“鼓励第三方深化对公共数据的挖掘利用”。《中共中央办公厅国务院办公厅关于加快公共数据资源开发利用的意见》进一步强调“探索开展依规授权运营，完善资源开发利用制度。”因此，实施公共数据授权运营是贯彻落实党中央、国务院数据发展战略的创新举措。

二是落实国家数据基础设施试点建设的重要任务。我市承接国家数据流通利用基础设施建设（可信数据空间方向）先行先试任务。根据国家数据局《数据基础设施建设（先行先试）任务书》关于“实现本地区公共数据资源接入，赋能产业经济发展”的要求，通过公共数据授权运营，将全市各领域的公共数据资源开发为数据产品，接入可信数据空间并流通利用，支撑各行业场景应用建设，是落实国家数据基础设施试点建设的重要任务。

三是推动我市经济社会高质量发展的内在要求。随着新一轮科技革命和产业变革深入发展，数据作为关键生产要素的价值日益凸显，发挥数据要素报酬递增、低成本复用等特点，可优化资源配置，赋能实体经济，发展新质生产力，推动生产生活、经济发展和社会治理方式深刻变革，对推动高质量发展具有重要意义，是推动我市经济社会高质量发展的内在要求。

（四）授权运营可行性

一是数据政策日趋完善。国家发展改革委、国家数据局印发《公共数据资源授权运营实施规范（试行）》，省政府办印发《江西省公共数据资源授权运营管理办法（试行）》，为公共数据授权运营提供了政策依据。

二是基础设施日益完善。我市建成市政务数据共享交换平台，与江西省政务数据共享交换平台实现级联，构建了省、市、县三级一体化的数据共享体系；建成南昌市可信数据空间服务平台，具备数据产品发布、展示、订阅和多源数据融合开发利用功能，并实现“原始数据不出域、数据可用不可见”。

三是风险防控日渐完善。我市持续提升政务云网集约化水平和政务云服务运行质量，可信数据空间、隐私计算等新技术不断发展成熟，能够为公共数据从登记授权到发挥要素作用提供全过程数据安全保障。

二、参与主体

（一）管理部门

市政数局为整体授权运营工作管理部门，负责统筹推进公共数据资源整体授权运营工作落实，包括：指导公共数据整体授权运营工作；完善整体授权运营公共数据资源管理；推动授权运营公共数据资源及产品登记；协调公共数据供给难点、堵点等。

（二）实施机构

南昌市数字科学研究中心为实施机构，负责公共数据资源整体授权运营工作具体实施，包括：以公平竞争方式选择运营机构；组织对公共数据应用场景建设方案及最终产品进行评审论证；按规定公开数据整体授权运营情况，并接受社会监督；每年组织对运营机构开展运营成效评价等。

（三）运营机构

运营机构由实施机构以公平竞争方式选择，负责对授权范围内的公共数据资源开展运营工作，包括：依托省公共数据资源授权运营平台，提供安全可控的开发利用环境（以下简称“开发利用环境”）；按照场景建设需要对公共数据进行治理和产品开发；按规定公开公共数据产品和服务能力清单；定期披露公共数据资源使用情况，接受社会监督；履行数据授权运营安全主体责任，加强内控管理、技术管理和人员管理；通过管理和技术措施，加强数据关联汇聚风险识别和管控，保护公共数据安全。

（四）数据提供单位

数据提供单位负责配合提供本部门、本领域公共数据资源，包括：推动本部门、本领域公共数据资源汇聚、登记和供给；编制本部门、本领域公共数据资源目录；指导所属事业单位、国有企业落实行业数据治理、质量管理等供数责任；参与公共数据应用场景建设方案及最终产品评审论证。

（五）其他部门

1.市价格管理部门按照定价管理权限，会同数据管理部门落实《国家发展改革委国家数据局关于建立公共数据资源授权运营价格形成机制的通知》有关要求。

2.市市场监管部门负责会同有关部门依法查处不执行政府指导价、价格欺诈及不按规定明码标价等行为。

3.市网信、公安等部门按照职责加强数据安全相关监管。

4.市财政部门负责会同数据管理部门按职责加强行政事业单位公共数据资产管理。

三、授权机制

（一）授权运营数据目录

根据授权运营范围，梳理形成《南昌市公共数据资源整体授权运营目录》（以下简称《目录》，见附件1），《目录》中的公共数据资源实行“一次授权、分批供给”，优先支持公共治理、公益事业和产业发展、行业发展所需的公共数据。

（二）授权运营数据供给方式

数据提供单位通过开发利用环境，按照“原始数据不出域”原则直接向运营机构供给数据，具体方式根据数据类型分为以下两种：1.API（应用程序编程接口）、文件类数据资源，挂载到南昌市数据共享交换平台，运营机构通过开发利用环境订阅后，封装形成新的API或虚拟库表数据产品；2.库表类数据资源，通过数据库同步工具建立映射数据库，部署数据接入连接器并按照“一场景一策略”提供访问权限，运营机构按访问权限开发数据产品；3.数据提供单位、实施机构、运营机构商定的其他供数方式。

（三）授权运营数据管理

1.质量管理

数据提供单位应加强数据源头治理和质量管控，按照“一数一源一标准”要求，开展数据汇聚工作，并确保数据的完整性、一致性、准确性和及时性。运营机构在数据处理、产品开发过程中发现公共数据存在质量问题的，数据提供单位应对问题数据及时排查和更正。

2.登记管理

《目录》中的数据资源应在落实数据分类分级保护制度要求前提下，由数据提供单位在江西省公共数据资源登记平台进行登记。以政务数据共享方式获得的公共数据，用于授权运营的，可在征得共享数据提供单位同意后，由数据提供单位在江西省公共数据资源登记平台进行登记。

3.目录管理

《目录》实施动态更新管理，更新情况由市政数局报请市人民政府审定后，以市政数局名义公布。未纳入南昌市整体授权运营公共数据资源目录的公共数据资源，不得擅自以合作开发、委托开发等方式变相将公共数据授权给社会机构或企业。

（四）授权运营机构选择及运营期限

1.选择方式及条件

运营机构由实施机构通过公开招标等公平竞争方式选择，应符合以下基本条件：

（1）资格条件：应为中华人民共和国境内依法登记的法人组织，持有有效的法定登记证照和统一社会信用代码证。

（2）资金能力：具有履行合同所需的资金，资产状况健康，具有持续抗风险能力，近三年无重大财务失信记录。

（3）管理能力：具有完善的组织架构和专业的管理团队、专业的项目管理机制、严格的安全管控机制、规范的内部监督制度，以及丰富的项目管理经验。

（4）技术能力：具有专业的技术团队，具备多源数据标准化处理的数据治理能力、多源异构数据融合处理能力、数据产品服务化封装能力、场景化数据建模分析能力和授权运营平台的运维能力。

（5）服务能力：具有专业的服务团队，具备全流程数据服务支撑能力，包括需求对接、方案设计、产品交付及持续运维服务，能够提供API接口、库表、文件等形式数据产品定制化服务，建立7×24小时应急响应机制，保障数据服务的稳定运行。

（6）安全能力：具有专业的安全团队，具备等保三级及以上的安全防护能力，具有完备的数据分类分级保护制度、个人信息保护措施和应急处置措施，近3年内未发生《网络安全事件分类分级指南》规定的一般等级以上网络安全、数据安全事件。

2.授权流程

（1）发布招标公告。实施机构依据招投标法律法规要求编制招标文件提交市政数局审议通过后，发布公共数据整体授权运营招标公告。明确授权方式、授权范围、申报条件、评审标准等。

（2）提交投标文件。申报单位按招标文件要求提交公共数据授权运营投标文件，提交资料包含近一年的财务审计报告、授权运营方案、信用报告以及其他相关资质材料。

（3）明确中标主体。实施机构组织专家，按照公开招标相关要求，对申报单位的投标文件进行综合评审，明确中标候选人。

（4）公示中标结果。实施机构将确定的中标候选人相关信息向社会公开不少于5个工作日，公示后将中标候选人确立为南昌市公共数据资源整体授权运营运营机构。

（5）签订运营协议。公示无异议后，实施机构与选定的运营机构签订《南昌市公共数据资源整体授权运营协议》，明确以下内容：授权运营的公共数据资源范围及数据资源目录、运营期限、初步拟提供的公共数据产品和服务清单及审核要求、技术支撑平台、设施及产品和服务等资产权属、运营情况信息披露要求、经营成本和收入等核算要求、收益分配机制、数据安全要求、风险监测和应急措施、成效评价及退出机制、违约责任、争议解决方式、协议变更和终止条件等。协议签订后20个工作日内报省级数据主管部门备案。

3.运营期限

整体授权运营期限为2年。

四、运营机制

（一）技术环境建设内容

运营机构依托江西省公共数据资源授权运营平台建设全市统一、安全可控的开发利用环境。开发利用环境应具备数据汇聚、开发利用、安全监管、全程审计等功能，实现“原始数据不出域、数据可用不可见”，并通过开发利用环境完成授权运营业务审批流程和公共数据开发利用。

（二）运营实施内容和计划

2026年底前，完成运营机构招标并签订授权运营协议；依托江西省公共数据资源授权运营平台完成开发利用环境部署；上线不少于100个公共数据产品，打造不少于5个公共数据应用场景。

2027年底前，上线不少于200个公共数据产品，打造不少于10个公共数据应用场景，深化应用场景挖掘，形成一批有价值、可推广的公共数据产品和应用场景。

（三）拟提供的数据产品和服务

按照支持公共治理、公益事业和产业发展、行业发展两大类，梳理形成《第一批拟开发的公共数据产品和服务清单》（以下简称《清单》，见附件2），涵盖金融服务、卫生健康、城市治理、文化旅游、交通运输等服务领域。运营机构可参考《清单》，综合考虑市场需求、成本收益等实际情况，确定开发的数据产品和服务。

（四）产品开发与信息披露机制

1.产品开发审核机制

运营机构按照“一场景一审核”要求，向实施机构提出应用场景和数据需求；实施机构组织行业监管部门、数据提供部门、领域专家等人员，对应用场景和数据需求的合规性、可行性和安全风险等进行审核；审核通过后，运营机构在开发利用环境内对已授权的公共数据资源进行脱敏、加密、匿名化和统计计算等产品开发相关工作，最终数据产品提交实施机构组织审核后发布。相关审核细则由实施机构另行制定。

2.产品服务登记机制

开发形成的数据产品和服务，在落实数据分类分级保护制度重新分类分级后，由运营机构在江西省公共数据资源登记平台进行登记。

3.产品服务发布机制

南昌市可信数据空间门户为公共数据开发利用发布渠道。运营机构开发形成的数据产品和服务以及完整目录，统一在南昌市可信数据空间发布，公开公平向全社会或特定行业提供查询和订阅。

4.授权运营信息披露机制

实施机构、运营机构作为信息披露责任主体，应按国家统一要求，通过省级公共数据资源登记平台等指定渠道，做好公共数据资源授权运营信息披露工作。信息披露以年为周期开展,实施机构、运营机构在开展公共数据资源授权运营工作后,于每年3月底前对上一年度授权运营情况进行披露，具体事宜严格按照《国家数据局综合司关于做好公共数据资源授权运营信息披露工作的通知》执行。

（五）产品定价和收益分配机制

1.产品定价机制

运营机构提供的公共数据产品和服务，用于公共治理、公益事业的，免费提供；用于产业发展、行业发展的，可收取公共数据运营服务费。公共数据运营服务费实行政府指导价管理，具体程序按照《国家发展改革委国家数据局关于建立公共数据资源授权运营价格形成机制的通知》执行。

2.收益分配机制

授权运营应保护各参与方的合法权益。运营机构应设立专账管理授权运营资金，在国家、省明确收益分配政策前，运营机构授权运营产生的收益，在扣除运营机构合理利润后，不进行分配；国家、省明确收益分配政策后，由相关职能部门制定收益分配办法。合理利润计算按照《国家发展改革委国家数据局关于建立公共数据资源授权运营价格形成机制的通知》执行。

五、安全管理

（一）数据安全管理和技术措施

1.加强数据安全管理

按照“谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责”的原则，落实数据安全责任。

实施机构应建立健全公共数据产品和服务全生命周期安全合规管理机制，落实数据分类分级保护和保密要求，制定安全合规审查、风险评估、监测预警、应急处置等授权运营安全防护制度规范和技术标准，按照“一场景一审核”要求，强化对应用场景和数据需求的审核，严格管控未依法依规公开的原始公共数据资源直接进入市场，强化对运营机构涉及公共数据资源授权运营的内控审计。

运营机构应履行数据授权运营安全主体责任，授权运营期间负责开发利用环境内数据安全，依法合规开展公共数据运营，不得以任何方式将授权运营的公共数据资源提供或转授权第三方；不得泄露、窃取、篡改公共数据资源，不得超授权范围使用公共数据资源；不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。加强内控管理、技术管理和人员管理，严防数据存储、加工、处理、传输、运营、服务等环节造成数据安全风险。

2.加强数据安全技术保障

实施机构和运营机构应构建贯穿授权运营全生命周期各环节的动态安全防护能力，建立数据安全运营技术防护体系，确保数据的可信性、安全性和完整性。综合利用安全可信流通相关技术，保证数据来源可溯、去向可查、行为留痕、责任可究等。加强算法、模型、数据的安全审计，确保高价值、高敏感数据“可用不可见、可控可计量、可溯源可审计”，防范数据关联汇聚风险。

（二）个人信息保护措施

运营机构应严格落实《个人信息保护法》《数据安全法》《网络安全法》等法律法规规定，遵循数据最小化处理原则，仅处理必要的个人信息，并明确数据使用范围，禁止超范围使用。同时，根据信息的敏感程度设置不同的访问权限，并对敏感数据实施加密、模糊化或匿名化处理，以降低信息泄露风险。对特定场景需要获取个人敏感信息的，必须获得本人授权同意，并以显著、清晰方式全面告知个人信息处理规则、目的、方式与期限；建立便捷高效的个人信息权利申请受理、响应与处置流程，规范异议处理、纠纷化解与责任追溯机制，切实保障数据主体合法权益。

（三）应急保障措施

实施机构应会同有关部门制定数据安全事件应急预案，并组织运营机构开展应急演练、网络数据安全风险评估。在公共数据加工使用中若出现危害国家安全、公共利益或侵犯商业秘密和个人隐私、个人信息权益等数据安全事件时，运营机构应立即终止数据处理，启动安全保护措施，并第一时间上报实施机构及数据提供单位，并按照应急预案启动应急响应，密切配合实施机构做好数据安全事件的处置及调查工作，积极采取措施消除安全隐患，防止危害扩大，并承担相应责任。

六、监督评价

（一）实施机构监督管理

实施机构需依托开发利用环境，对运营机构的数据访问、处理和分析行为进行全链路、实时监控，确保原始数据“可用不可见”、计算结果“合规出域”，严防数据泄露与滥用，保障数据要素在安全闭环内流转。

建立严格的场景准入与产品上线审批制度，确保每一个数据应用场景均符合授权范围并具备明确公益价值。对最终形成的数据产品或服务，进行合规性、安全性及伦理影响评估，确保其不侵犯个人隐私、不危害国家安全，并建立产品溯源与召回机制，实现全生命周期管理。

实施机构应监督运营机构建立完善的内控管理与保密制度，并对核心数据开发与管理岗位人员进行背景审查与备案。强制实施定期的数据安全与法律法规培训，增强全员合规意识。通过签订保密协议、明确操作权限、审计操作日志等方式，防范内部人员的数据违规操作风险。

（二）运营机构评价及退出机制

1.运营机构评价机制

实施机构应每年对运营机构上年度公共数据整体授权运营情况进行评价，评价内容包括但不限于以下五个方面：

（1）合规性与制度管理：政策执行、授权协议履行、内部治理、透明度；

（2）数据运营效能：数据质量、服务能力、场景创新、经济价值；

（3）数据安全与隐私保护：技术防护、风险管控、隐私合规、应急响应；

（4）社会效益与公众满意度：公共服务提升、公平普惠、用户反馈、生态贡献；

（5）财务与成本控制：资金使用、成本效益、收益分配。

评价结果分为“优秀”“合格”“不合格”三个等级，评价结果作为运营机构续约、退出的重要参考依据。

2.运营机构退出机制

授权运营允许主动退出或强制退出。

（1）主动退出：运营机构因自身原因可主动退出。由运营机构提前6个月书面通知实施机构。

（2）强制退出：运营机构存在以下情形可被强制退出，由实施机构提前6个月书面通知运营机构。

①因运营机构原因发生重大安全事件；

②运营活动存在合规性缺陷；

③运营机构评价评为“不合格”；

④其他违约情形。

公共数据资源授权运营协议终止的，实施机构应及时终止运营机构使用公共数据资源授权运营平台的权限，报告市政数局，并留存运营机构的全量工作日志不少于3年。退出的运营机构应配合实施机构做好交接工作。

（三）授权运营成效监测机制

运营机构应在授权运营期末提交授权运营情况总报告，报告应包括数据资源授权存储、加工处理、分析挖掘、融合利用及市场运营情况等。实施机构会同有关部门或者委托第三方机构，对我市的公共数据整体授权运营情况进行综合评估，评估结果作为运营机构再次申请授权运营的重要依据。