2025年7月出台的《上海市公共数据资源授权运营管理办法》(以下简称《办法》)是上海市在数据要素市场化配置改革中的一项重要制度探索。
邦信阳人工智能与数字经济全国业务委员会长期关注公共数据授权运营,参与了部分省市公共数据授权运营办法的制定和修改全过程,在2024年底联合上海数据研究院、联仁医疗、⾦润联汇以及同济大学的专家、学者共同策划并完成了《⼈⼯智能与数字经济法律研究报告——公共数据授权运营篇(2024年)》的编写,也曾撰写了多篇立法建议或分析文章(包括提交了本《办法》征求意见稿的修改建议稿),积累了一定的经验。
基于这些经验,本文尝试重点从场景落地牵引、制度快速迭代等角度提出优化思路,以期为本市公共数据授权运营制度的完善提供参考。
本文的附件呈上了《办法》征求意见稿与正式稿的对比一览表,仅供读者参考。
文 | 万波
一、《办法》的立法背景与意义
《上海市公共数据资源授权运营管理办法》于2025年7月正式出台,标志着上海市在公共数据要素市场化改革领域迈出了关键一步。这一立法举措并非偶然,而是有着深刻的时代背景和现实需求。随着数字经济成为全球经济增长的新引擎,数据作为新型生产要素的价值日益凸显。我国"数据二十条"明确提出要建立数据资源持有权、数据加工使用权、数据产品经营权"三权分置"的产权运行机制。两办、国家数据局、国家发改委陆续出台的“1+3“制度框架,也为公共数据要素市场发展指明了方向。
在此背景下,上海市在公共数据授权运营领域制度探索的“靴子“终于落地,具有重要的开创意义。
从立法必要性角度看,公共数据授权运营面临多重挑战:一方面,公共数据具有权威性、基础性和公共属性,蕴含着巨大的经济和社会价值;另一方面,公共数据涉及国家安全、公共利益和个人信息,其开发利用必须确保安全可控。各地试点虽然积累了一定经验,但缺乏统一规范,导致市场主体参与积极性不高,数据价值释放不充分。《办法》的出台正是为了破解这些难题。
从立法定位来看,《办法》属于由市政府办公厅经市政府同意后颁布,属于地方政府规范性文件,其上位法依据包括《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规。作为专门规范公共数据授权运营的地方立法,《办法》在坚持"发展与安全并重"的基本原则下,构建了较为完整的基础制度框架,涵盖了授权管理、数据基础设施、数据供给、运营管理、开发管理和安全合规等多个维度。
值得关注的是,《办法》并非孤立存在,而是与上海市其他数据政策形成协同效应。例如,2025年7月上海市数据局还印发了《2025年上海市公共数据开放工作方案》,重点推进交通、教育、卫生健康等八大领域数据开放,与《办法》形成"开放+授权"的多轮驱动模式,体现了分类施策的数据治理思路。
二、《办法》的进步与创新之处
《办法》为本市公共数据“供得出“搭建了制度基础,也实现了多项制度创新,其进步性主要体现在以下几个方面:
1. 《办法》在全市范围内建立了统一规范的授权运营框架
《办法》的颁布,结束了以往各部门、各区自行其是的分散局面。根据《办法》规定,上海市采用"整体授权模式",由市政府确定的实施机构统一组织开展授权运营活动,确有需要的区可在全市统筹下开展相关工作。这种"全市一盘棋"的管理模式,可以避免了多头授权、标准不一的问题,为市场主体提供了稳定预期。
2. 《办法》对参与主体角色定位进行了明确的界定
形成了"市数据局-实施机构-运营机构-开发主体"的四层架构。实施机构作为政府指定的管理主体,负责统筹协调;运营机构作为经授权的一级开发主体,负责基础数据产品和服务供给;开发主体则专注于场景化应用开发。这种分工明确了各方的权责边界,有利于形成专业化的协作生态。
3. 《办法》围绕“供不出“瓶颈问题,探索数据供给保障机制
在数据供给机制方面,《办法》体现了“疏堵结合“的理念。一方面,明文禁止各级行业主管部门及其所属事业单位,脱离本办法规定的授权运营程序”另起炉灶“,自行或者委托第三方开发形成公共数据产品和服务向社会有偿提供。另一方面,为调动行业主管部门的积极性,允许各行业主管部门指定所属事业单位、国有企业作为业务实施主体,会同实施机构共同参与授权运营活动。
4. 《办法》专章聚焦数字技术基础设施,通过技术保障安全底线
在技术保障层面,《办法》要求借助区块链、隐私计算、可信数据空间等数字技术,打造全市统一的数据基础设施。通过技术手段实现了"数据不动模型动"的安全目标,打消数据供需主体的安全顾虑。同时,《办法》提出建设数据创新实验室,探索沙盒监管机制,为数据高效流通应用提供安全试验环境。
5. 《办法》将"公益优先"列为基本原则之一,维护公共数据的公共属性
在公益保障方面,《办法》将"公益优先"列为基本原则之一,并在多个条款中予以体现。例如,要求运营机构不得滥用市场支配地位,不得从事不正当竞争;鼓励通过技术、产品和服务反哺政府数据能力建设。这些规定保障了公共数据的公共属性不被商业利益所过分侵蚀。同时,《办法》还建立了财务监督机制,要求运营机构对相关收支建立专账,接受内控审计,为收益分配机制的探索和建立奠定基础。
6. 《办法》的创新还体现在生态培育方面
一方面,鼓励各区通过政策支持、园区载体等方式培育开发主体,拓展应用场景;另一方面,推动数据跨领域融合应用,繁荣数商生态。这种"政府引导+市场主导"的发展模式,有利于形成多元参与、活力迸发的数据要素市场。
三、《办法》存在的不足与局限
尽管《上海市公共数据资源授权运营管理办法》在诸多方面实现了制度创新,但作为一项新兴领域的探索性立法,仍存在一些值得关注的不足之处。这些局限既包括立法技术层面的问题,也涉及制度设计中的深层次矛盾,需要在未来实践中不断完善。本文将从以下维度进行分析。
1. 《办法》对参与主体的权责边界界定仍存在模糊地带,可能引发实践中的争议
公共数据授权运营涉及的主体众多,《办法》除了明确了实施机构、运营机构、开发主体三个层次外,对各主体之间的具体权利和义务规定不够细致。
譬如,《办法》第十五条规定:“各行业主管部门在确有需要的情况下,可指定所属事业单位国有企业作为业务实施主体,会同实施机构制订本行业相关方案,落实行业数据治理、质量管理、数据标准制订等供数责任,并报市数据主管部门同意。”
但《办法》中对“业务实施主体”的角色定位较为模糊,现行规定中未明确所谓“业务实施主体”属于“实施机构”、“运营机构”、“开发主体”还是独立的一方主体。
我们进一步注意到,上海市卫健委2025年4月3日发布的《关于加强本市卫生健康数据安全与授权运营的工作指引(征求意见稿)》中,提及了“市卫生健康数字智能创新实验室”,作为本市卫生健康数据授权运营工作的具体实施机构,由市卫健委和市数据局共同指导成立。结合两部征求意见稿,我们理解,本办法中的“业务实施主体”,就是指类似“市卫生健康数字智能创新实验室”这样的特定行业的实施主体,《办法》确定了“全市统一的实施机构”与“业务实施主体”会同制定行业实施方案的工作大原则。
我们认为,上述会同工作的大原则有利于调动和发挥行业主管部门的积极性和丰富的行业经验,是本市务实的制度创新之一,值得肯定。但考虑到两个主体之间的工作事项较多,如何加强协同并理顺工作要求,如上述上海市卫健委工作指引征求意见稿提及的供数单位数据质量治理、登记备案、报送风险评估报告,用数单位提出用数需求等事项,是由业务实施主体一家决定,还是需要在统一实施机构、业务实施主体、运营机构之间分工协同并相互制约,目前都付之阙如。
2. 《办法》对参与主体的有效约束激励机制不足,可能难以破局公共数据“供不出”的瓶颈
“供数难”是始于数据开放,在公共数据授权运营依然是一个老大难问题,数源部门出于数据安全与个人信息保护考虑,供数积极性不足。部分高价值公共数据因国家部委条线制度约束,难以纳入授权运营。如何建立完善高效的数据供需对接机制,扩大高治理公共数据资源供给范围,始终是这项工作的重要“堵点”之一。
《办法》虽然增设了“自然人、法人和非法人组织明确同意使用其公共数据的,行业主管部门应当依法提供”的规定,但总体而言失之于宽泛。例如,未明确数源单位数据质量治理的具体要求,未明确数源单位供数的审核时限,未明确回流数据的审批权限。
又如,《办法》第十一条规定:“未经本办法规定的授权运营程序,本市各级行业主管部门及其所属事业单位不得自行或者委托第三方开发形成公共数据产品和服务向社会有偿提供。” 但在实践中,行业主管部门及其所属事业单位往往会突破传统委托关系,存在将公共数据以集团章程、行政协议、对外提供或授权等方式提供给下属第三方单位或公司,并直接由下属第三方单位或公司开发公共数据产品和服务的情况;在开发的过程中第三方单位也可能突破行业主管部门及其所属事业单位的指示对公共数据进行开发和应用。《办法》的现有规定是否可适用于复杂多变的现实情况,不无疑问。
从地方立法权限角度看,《办法》作为地方政府的规范性文件,在设定行政许可、行政处罚等方面受到《立法法》《行政处罚法》的严格限制,也不可避免地出现了但对违反规定的法律责任规定不足,缺乏针对性的处罚措施的通病。
在强约束不足的情况下,《办法》在激励机制方面,仅有市数据局定期对各行业主管部门和业务实施主体数据供给进行评估,并将评估结果作为“数字化项目管理的重要参考”的条款,以及“鼓励实施机构、运营机构等参与方依法合规通过技术、产品和服务等方式,支持市、区及各部门的数据治理和服务能力建设“等寥寥数笔,有效激励机制尚未建立起来。
3. 《办法》对基础设施技术标准的统一性、系统接口的开放性、平台的互操作性等关键问题规定不足
在数据基础设施和技术支撑方面,《办法》虽然提出打造全市统一数据基础设施,但对技术标准的统一性、系统接口的开放性、平台的互操作性等关键问题规定不足。譬如,公共授权运营域是否必须设立在政务云外网上,平台的运营主体和责任主体是实施机构还是运营机构,开发主体能否“带数“进入公共授权运营域、谁对”原始数据不域“进行审核并承担责任等。
同时考虑到不同行业、不同区域可能存在技术壁垒,特别是隐私计算、区块链等新兴技术的应用标准尚未统一,可能导致运营机构自成体系,形成新的"数据孤岛"。
4. 《办法》的实施配套不足
《办法》真正落地实施还面临配套措施不足的挑战。根据《办法》,本市的授权运营涉及如下“三环节十步骤“:(1)实施方案制定;(2)实施方案的审定;(3)运营机构的竞争与选定;(4)公共数据授权运营协议签订;(5)公共数据授权运营协议政府备案;(6)应用场景方案编制;(7)应用场景合规性评估;(8)公共数据产品和服务开发;(9)公共数据产品和服务发布前审核;(10)公共数据产品和服务发布。
此外还涉及公共数据资源登记、数据知识产权登记两个程序。另外,也涉及到运营机构数据定价、多主体间收益分配、事中监督、事后评估等复杂问题,均缺乏配套的实施细则,可能影响《办法》的落地实效。
5. 《办法》对市区协同及跨区域协同的措施欠缺
从市区协同角度看,《办法》虽然允许确有需要的区,可在全市统筹领导下,申报开展公共数据资源授权运营工作。但考虑到现阶段前述诸多配套制度和实施难点的存在,预计大范围向区级铺开的可能性不高,区级政府积极扩大数据来源,落地公共数据授权运营应用场景的动力可能不足。
从区域协同角度看,《办法》虽然鼓励对接长三角及其他省市数据,但缺乏具体的协同机制设计。公共数据授权运营涉及管辖权、收益分配、监管标准等复杂问题,需要建立区域间的制度性合作框架。目前长三角地区在数据标准互认、监管互协同等方面仍处于探索阶段,《办法》未能在这方面提供激励性制度,可能难以真正撬动数据要素的跨区域流动和价值释放。
四、完善《办法》的对策与建议
针对《办法》存在的不足,我们认为,可以从场景落地牵引、制度快速迭代两个层面不断完善,譬如:
在供数端,建议编制《上海市公共数据授权运营目录》,按照"场景牵引"原则确定优先授权领域, 明确哪些数据可以授权运营、适合何种授权方式、预期产生何种价值。譬如,对于应用场景丰富的医疗大数据领域,尽快推动上海市卫健委出台《关于加强本市卫生健康数据安全与授权运营的工作指引》,加快医疗健康领域公共数据授权运营的场景落地。
在用数端,建议明确运营机构和开发主体的准入门槛,包括资本实力、技术能力、安全资质、应用场景等具体指标,细化《授权运营参与主体权责清单》,以表格形式列明实施机构、运营机构、开发主体的权利、义务和禁止行为,特别是细化数据安全管理责任和收益归属规则,稳定市场预期,扩大用数主体队伍。
在平台端,尽快明确本市公共数据授权运营平台的技术标准和合同范本,统一数据质量(准确性、完整性、时效性)、技术安全(加密算法、访问控制)、流程规范(申请、审批、交付)、产品要求(标准化接口、元数据描述)和法律文本(运营协议与开发协议的示范文本)等标准和法律文件,制定过程中应充分吸收行业龙头企业和专业技术、法律机构参与,确保先进性和实用性。
附件:《上海市公共数据资源授权运营管理办法》征求意见稿与正式稿对比一览表
上海市公共数据资源授权运营管理办法 (征求意见稿) | 上海市公共数据资源授权运营管理办法 (正式稿) |
第一章 总则 | 第一章 总则 |
第一条(目的依据) 为加快推进公共数据资源开发利用,规范公共数据资源授权运营,培育数据要素市场,发展新质生产力,优化营商环境依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等法律法规,根据《中共中央办公厅国务院办公厅关于加快公共数据资源开发利用的意见》《公共数据资源授权运营实施规范(试行)》等文件要求,结合本市实际,制定本办法 | 第一条(目的依据) 为加快推进公共数据资源开发利用,规范公共数据资源授权运营,培育数据要素市场,发展新质生产力,优化营商环境,依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等法律法规规定,结合本市实际,制定 本办法。 |
第二条(适用范围) 本办法适用于在本市行政区域内开展的公共数据资源授权运营及其相关管理活动。 | 第二条(适用范围) 本市行政区域内公共数据资源授权运营及相关管理活动适用本办法。 |
第三条(术语定义) 公共数据资源授权运营,是指将本市的公共数据资源,按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发、并面向市场公平提供数据产品和服务的活动。 实施机构,是指由市人民政府按照规范程序确定的、具体负责组织开展授权运营活动的单位。 运营机构,是指按照规范程序获得授权,对授权范围内的公共数据资源进行开发运营的法人组织。 开发主体,是指依场景开发公共数据资源,形成数据产品和服务,满足市场化需求的法人和非法人组织。 | 第三条(术语定义) 本办法所称公共数据资源授权运营,是指将本市公共数据资源按照法律法规和相关要求,授权符合条件的运营机构进行治理、开发、并面向市场公平提供数据产品和服务的活动。 本办法所称实施机构,是指由市政府按照规范程序确定,具体负责组织开展授权运营活动的单位。 本办法所称运营机构,是指按照规范程序获得授权,对授权范围内的公共数据资源进行开发运营的法人组织。 本办法所称开发主体,是指依场景开发公共数据资源,形成数据产品和服务,满足市场化需求的法人和非法人组织。 |
第四条(基本原则) 公共数据资源授权运营坚持发展与安全并重,遵循依法合规、公平公正、统一授权、公益优先、合理收益、安全可控的原则,依法保障授权运营各参与方的合法权益,维护国家安全和公共利益,保护个人信息和商业秘密。 | 第四条(基本原则) 公共数据资源授权运营坚持发展与安全并重,按照依法合规、公平公正、统一授权、公益优先、合理收益、安全可控的原则,依法保障授权运营各参与方的合法权益,维护国家安全和公共利益,保护个人信息和商业秘密。 |
第五条(政府职责) 市人民政府加强对全市公共数据资源授权运营工作的统筹领导,依托市数据发展管理工作领导小组,建立健全工作机制,研究解决公共数据资源授权运营工作中的重大问题。 各区人民政府根据特色产业发展需要通过政策资金扶持、园区载体等方式,培育公共数据开发主体,拓展应用场景,繁荣数商生态,引导数据跨领域融合应用,推动数字经济高质量发展。 | 第五条(政府职责) 市政府加强对全市公共数据资源授权运营工作的统筹领导,依托市数据发展管理工作领导小组,建立健全工作机制,研究解决公共数据资源授权运营工作中的重大问题。 各区政府根据特色产业发展需要,通过提供政策支持、园区载体等方式,培育公共数据开发主体,拓展应用场景,繁荣数商生态,引导数据跨领域融合应用,推动数字经济高质量发展。 |
第六条(部门分工) 市数据主管部门负责综合协调管理本市公共数据资源授权运营工作,按程序报请市人民政府确定全市统一的实施机构,制订公共数据资源授权运营管理制度和标准,规范统筹做好公共数据共享开放和授权运营工作。 各行业主管部门负责本系统本行业公共数据资源供给和数据质量管理,参与开展数据应用场景规划建设,推进数据应用创新,协同推动涉及本系统本行业的公共数据资源授权运营。 网信、发展改革、公安、财政、审计、市场监管、国资、知识产权等部门,在各自职责范围内,协同配合做好公共数据资源授权运营的相关工作。 | 第六条(部门分工) 市数据主管部门负责综合协调管理本市公共数据资源授权运营工作,按照程序报请市政府确定全市统一的实施机构,制订公共数据资源授权运营管理制度和标准规范,统筹做好公共数据共享开放和授权运营工作。 各行业主管部门负责本系统本行业公共数据资源供给和数据质量管理,参与开展数据应用场景规划建设,推进数据应用创新,协同推动涉及本系统本行业的公共数据资源授权运营。 网信、发展改革、公安、财政、市场监管、国资、知识产权等部门在各自职责范围内,协同配合做好公共数据资源授权运营的相关工作。 |
第七条(资源登记) 公共数据资源授权运营涉及的公共数据资源应当进行登记,鼓励对利用被授权的公共数据资源加工形成的数据产品和服务(以下简称“公共数据产品和服务”)进行登记。 相关登记工作按照市数据主管部门相关实施细则执行。 | 第七条(资源登记) 公共数据资源授权运营涉及的公共数据资源应当进行登记,鼓励对利用被授权的公共数据资源加工形成的数据产品和服务(以下简称“公共数据产品和服务”)进行登记。 相关登记工作按照市数据主管部门相关实施细则执行。 |
第二章 授权管理 | 第二章 授权管理 |
第八条(授权模式) 本市公共数据资源授权运营采用整体授权模式。 确有需要的区,可在全市统筹领导下,报请市数据发展管理工作领导小组同意后,依据本办法开展公共数据资源授权运营工作。 | 第八条(授权模式) 本市公共数据资源授权运营采用整体授权模式。 确有需要的区,可在全市统筹领导下,报请市数据发展管理工作领导小组同意后,依据本办法开展公共数据资源授权运营工作。 |
第九条(实施方案) 市数据主管部门指导实施机构编制公共数据资源授权运营实施方案(以下简称“实施方案”)并报请市人民政府,按照“三重一大”决策机制审议通过后实施。实施方案内容应当包括授权运营的数据资源范围、运营机构的选择条件、授权运营期限、退出机制、监督管理及考核评价要求、运营机构授权范围内经营成本和收入核算机制、收益分配机制、安全保护和应急处置措施等。 | 第九条(实施方案) 市数据主管部门指导实施机构编制公共数据资源授权运营实施方案(以下简称“实施方案”)并报请市政府审定后实施。实施方案内容应当包括授权运营的数据资源范围、运营机构的选择条件、授权运营期限、退出机制、监督管理及考核评价要求、运营机构授权范围内经营成本和收入核算机制、收益分配机制、安全保护和应急处置措施等。 |
第十条(运营机构选定) 实施机构应当根据审定同意后的实施方案,按照规定程序选择运营机构,并与运营机构签订公共数据资源授权运营协议,报市数据主管部门进行备案。 运营机构应当为具备数据资源治理、加工、运营等所需的管理和技术服务能力,经营状况和信用状况良好,符合国家数据安全保护要求的法人组织。 | 第十条(运营机构选定) 实施机构应当根据审定后的实施方案,按照规定程序,采取公平竞争方式选择运营机构,并与运营机构签订公共数据资源授权运营协议,报市数据主管部门备案。 运营机构应当为具备数据资源治理、加工、运营等所需的管理和技术服务能力,无不良经营记录,信用状况良好,符合国家数据安全保护要求的法人组织。 |
第十一条(禁止情形) 本市各级行业主管部门及其所属事业单位自行或者委托第三方单位开发形成公共数据产品和服务的,未经本办法规定的授权运营程序,不得向社会有偿提供。法律法规有特别规定的,从其规定。 | 第十一条(禁止情形) 未经本办法规定的授权运营程序,本市各级行业主管部门及其所属事业单位不得自行或者委托第三方开发形成公共数据产品和服务向社会有偿提供。法律法规另有规定的,从其规定 |
第三章数据基础设施 | 第三章数据基础设施 |
第十二条(数据基础设施) 本市借助区块链、隐私计算、可信数据空间等数字技术,打造全市统一的数据基础设施。 实施机构依托全市数据基础设施,设定公共数据授权运营域,建设具备资源登记、运营管理、开发利用、安全监管等功能的统一公共数据资源授权运营基础设施(以下简称“授权运营基础设施”)。 运营机构基于实施机构提供的安全可控的开发利用环境进行数据治理和开发,形成基础的公共数据产品和服务。 | 第十二条(数据基础设施) 本市借助区块链、隐私计算、可信数据空间等数字技术,打造全市统一的数据基础设施。 实施机构依托全市数据基础设施,设定公共数据授权运营域,建设具备资源登记、运营管理、开发利用、安全监管等功能的统一公共数据资源授权运营基础设施(以下简称“授权运营基础设施”)。 运营机构基于实施机构提供的安全可控的开发利用环境进行数据治理和开发,形成基础的公共数据产品和服务。 |
第十三条(其他接入平台) 其他已建成的公共数据资源授权运营渠道和开发利用平台,应当待功能定位进一步明确后,遵守本市公共数据资源授权运营管理要求和技术标准,安全有序接入授权运营基础设施。 | 第十三条(其他接入平台) 其他已建成的公共数据资源授权运营渠道和开发利用平台,应当待功能定位进一步明确后,遵守本市公共数据资源授权运营管理要求和技术标准,安全有序接入授权运营基础设施。 |
第四章数据供给 | 第四章数据供给 |
第十四条(公共数据资源上链和归集) 本市公共数据资源依托大数据资源平台开展上链、编目、分类分级,实现集中统一管理,推动公共数据资源归集治理。 市数据主管部门指导实施机构编制授权运营公共数据资源目录,对不影响公共安全、法律法规未禁止共享的公共数据加大供给力度。 | 第十四条(公共数据资源上链和归集) 本市公共数据资源依托大数据资源平台开展上链、编目、分类分级,实现集中统一管理,推动公共数据资源归集治理。 市数据主管部门指导实施机构编制授权运营公共数据资源目录,对不影响公共安全、法律法规未禁止共享的公共数据加大供给力度。 |
第十五条(行业主管部门供数) 各行业主管部门应当推动本系统本行业公共数据的供给,指导所属事业单位、国有企业加大数据供给力度、提升数据供给质量、开展公共数据资源登记,协调推动部市数据对接。 各行业主管部门在确有需要的情况下,可指定所属事业单位国有企业作为业务实施主体,会同实施机构制定本行业相关方案,落实行业数据治理、质量管理、数据标准制订等供数责任,并报市数据主管部门同意。 自然人、法人和非法人组织明确授权使用其公共数据的,行业主管部门应当按照授权依法提供。 | 第十五条(行业主管部门供数) 各行业主管部门应当推动本系统本行业公共数据的供给,指导所属事业单位、国有企业加大数据供给力度、提升数据供给质量、开展公共数据资源登记,协调推动部市数据对接。 各行业主管部门在确有需要的情况下,可指定所属事业单位国有企业作为业务实施主体,会同实施机构制订本行业相关方案,落实行业数据治理、质量管理、数据标准制订等供数责任,并报市数据主管部门同意。 自然人、法人和非法人组织明确同意使用其公共数据的,行业主管部门应当依法提供。 |
第十六条(多源数据融合) 鼓励运营机构积极对接国家部委、长三角地区及其他省市公共数据,以及依法合规获取非公共数据,与本市公共数据资源进行融合开发。 鼓励行业主管部门、区数据主管部门建设数据创新实验室,探索数据流通沙盒监管机制,支撑多源数据合法、合规、高效地开发利用,做好行业规划、业态布局和模式创新,拓展公共数据资源的创新应用场景。 | 第十六条(多源数据融合) 鼓励运营机构积极对接国家部委、长三角地区和其他省市公共数据,以及依法合规获取非公共数据,与本市公共数据资源进行融合开发。 鼓励行业主管部门、区数据主管部门建设数据创新实验室,探索数据流通沙盒监管机制,支撑多源数据合法、合规、高效地开发利用,做好行业规划、业态布局和模式创新,拓展公共数据资源的创新应用场景。 |
第五章运营管理 | 第五章运营管理 |
第十七条(运营机构职能) 运营机构应当依法依规在授权范围内开展业务,并配合实施机构对开发主体资质、应用场景方案等开展相关评估工作。 运营机构不得直接或者间接参与授权范围内已交付的公共数据产品和服务再开发,不得通过与开发主体达成垄断协议或者滥用市场支配地位等实施垄断行为,不得利用数据、算法、技术、资本优势等从事不正当竞争行为。 | 第十七条(运营机构职能) 运营机构应当依法依规在授权范围内开展业务,并配合实施机构对开发主体资质、应用场景方案等开展相关评估工作。 运营机构不得直接或者间接参与授权范围内已交付的公共数据产品和服务再开发,不得通过与开发主体达成垄断协议或者滥用市场支配地位等实施垄断行为,不得利用数据、算法、技术、资本优势等从事不正当竞争行为。 |
第十八条(财务管理) 运营机构应当加强公共数据产品和服务相关成本、收入和支出的内部管理,对公共数据产品和服务相关的财务收支建立专账,依法接受监督。 实施机构应当强化对运营机构涉及公共数据资源授权运营的内控审计。 | 第十八条(财务管理) 运营机构应当加强公共数据产品和服务相关成本、收入和支出的内部管理,对公共数据产品和服务相关的财务收支建立专账,依法接受监督。 实施机构应当强化对运营机构涉及公共数据资源授权运营的内控审计。 |
第十九条(定价与收益分配机制) 市数据主管部门会同市发展改革、财政、国资及相关行业主管部门,建立健全公共数据产品和服务的定价与收益分配机制。 运营机构提供的基础公共数据产品和服务,用于公共治理、公益事业的,有条件无偿使用;用于产业发展、行业发展的经营性产品和服务,确需收费的,实行政府指导定价管理。 按照“谁投入、谁贡献、谁受益”的原则,推动公共数据资源授权运营收益的合理分配,保护各参与方的合法权益。鼓励实施机构、运营机构等参与方依法合规通过技术、产品和服务等方式,支持市、区及各部门的数据治理和服务能力建设。 | 第十九条(定价与收益分配机制) 市数据主管部门会同市发展改革、财政、国资部门和市相关行业主管部门,建立健全公共数据产品和服务的定价与收益分配机制。 运营机构提供的基础公共数据产品和服务,用于公共治理、公益事业的,有条件无偿使用;用于产业发展、行业发展的经营性产品和服务,确需收费的,实行政府指导定价管理。 按照“谁投入、谁贡献、谁受益”的原则,推动公共数据资源授权运营收益的合理分配,保护各参与方的合法权益。鼓励实施机构、运营机构等参与方依法合规通过技术、产品和服务等方式,支持市、区及各部门的数据治理和服务能力建设。 |
第六章开发管理 | 第六章开发管理 |
第二十条(开发主体) 开发主体需具备实施机构规定的资质,对运营机构交付的基础公共数据产品 和服务再开发,融合多源数据,提升公共数据产品和服务价值,推动场景应用。 | 第二十条(开发主体) 开发主体需具备实施机构规定的条件,对运营机构交付的基础公共数据产品和服务再开发,融合多源数据,提升公共数据产品和服务价值,推动场景应用。 |
第二十一条(场景申请和评估) 开发主体通过运营机构向实施机构提交公共数据资源应用场景方案,接受应用场景合规性评估。 | 第二十一条(场景申请和评估) 开发主体通过运营机构向实施机构提交公共数据资源应用场景方案,接受应用场景合规性评估。 |
第二十二条(公共数据产品和服务开发) 开发主体应当依托授权运营基础设施,在公共数据授权运营域中按规范流程 开发公共数据产品和服务,鼓励各区立足产业基础、功能定位、依托产业园区或楼宇,部署开发环境的实体空间载体。 运营机构开发主体不得超授权范围使用公共数据资源。涉及个人信息的公共数 据,应当经过匿名化处理,或经相关数据所指向的数据来源者依法授权同意后获取。本市依托“随申码”等渠道建立数据来源者授权同意的便捷机制。 | 第二十二条(公共数据产品和服务开发) 开发主体应当依托授权运营基础设施,在公共数据授权运营域中按照规范流程开发公共数据产品和服务。鼓励各区立足产业基础、功能定位、依托产业园区或者楼宇,部署开发环境的实体空间载体。 运营机构开发主体不得超授权范围使用公共数据资源。涉及个人信息的公共数据,应当经过匿名化处理,或者经相关数据所指向的数据来源者依法授权同意后获取。本市依托“随申码”等渠道建立数据来源者授权同意的便捷机制。 |
第二十三条(公共数据产品和服务发布) 开发主体在公共数据产品和服务发布前,应当向运营机构提交申请。运营机构负责按照应用场景方案,保障公共数据产品和服务发布的合规、安全和一致性。实施机构加强过程监督管理。 对于符合条件的公共数据产品和服务,鼓励按照本市有关数据产品知识产权 登记政策进行登记。 | 第二十三条(公共数据产品和服务发布) 开发主体在公共数据产品和服务发布前,应当向运营机构提交申请。运营机构负责按照应用场景方案,确保公共数据产品和服务发布的合规性、安全性和一致性。实施机构加强过程监督管理。 对符合条件的公共数据产品和服务,鼓励按照本市有关数据产品知识产权登记政策进行登记。 |
第七章安全合规 | 第七章安全合规 |
第二十四条(安全原则) 坚持“谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责”的原则,落实数据安全责任。 对于重要数据和个人信息,在保护国家安全、公共利益和个人隐私的前提下,鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式,依法依规实现数据价值开发。 | 第二十四条(安全原则) 按照“谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责”的原则,落实数据安全责任。 对重要数据和个人信息,在保护国家安全、公共利益和个人隐私的前提下,鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式,依法依规实现数据价值开发。 |
第二十五条(安全合规责任) 实施机构、运营机构、开发主体应当结合公共数据资源授权运营相关职责,落实数据安全主体责任。 实施机构应当建立健全对公共数据安全合规流通的监测、审计和溯源机制,落实公共数据分类分级安全管理要求,加强技术支撑和数据安全管理。 运营机构应当建立健全授权范围内公共数据的全生命周期安全合规管理制度,加强内控管理、技术管理和人员管理,确保数据来源合法可溯、去向可查、行为留痕、责任可究。 开发主体应当确保开发的公共数据产品和服务符合法律法规和标准规范要求,保护个人信息权益、知识产权、商业秘密等不受侵害。 | 第二十五条(安全合规责任) 实施机构、运营机构、开发主体应当结合公共数据资源授权运营相关职责,落实数据安全主体责任。 实施机构应当建立健全对公共数据安全合规流通的监测、审计和溯源机制,落实公共数据分类分级安全管理要求,加强技术支撑和数据安全管理,并定期对授权运营基础设施进行评估,确保安全、可靠和高效。 运营机构应当建立健全授权范围内公共数据的全生命周期安全合规管理制度,加强内控管理、技术管理和人员管理,确保数据来源合法可溯、去向可查、行为留痕、责任可究。 开发主体应当确保开发的公共数据产品和服务符合法律法规和标准规范要求,保护个人信息权益、知识产权、商业秘密等不受侵害。 |
第二十六条(安全监管) 市数据主管部门会同行业主管部门和市网信、公安等建立健全公共数据分类分级、风险评估、监测预警、应急处置工作体系,以及全流程安全监管体系,建立针对网络安全、数据安全、个人信息保护等的协同监管机制。严格管控未依法依规公开的原始公共数据资源直接进入市场。 | 第二十六条(安全监管) 市数据主管部门会同市相关行业主管部门和市网信、公安部门等建立健全公共数据分类分级、风险评估、监测预警、应急处置工作体系,以及全流程安全监管体系,建立针对网络安全、数据安全、个人信息保护等的协同监管机制。严格管控未依法依规公开的原始公共数据资源直接进入市场。 |
第八章监督与评价 | 第八章监督与评价 |
第二十七条(运营情况公开) 实施机构、运营机构应当按规定定期向社会披露公共数据资源授权运营相关情况,接受社会监督。 | 第二十七条(运营情况公开) 实施机构、运营机构应当按照规定定期向社会披露公共数据资源授权运营相关情况,接受社会监督。 |
第二十八条(评估评价) 市数据主管部门定期对各行业主管部门及业务实施主体的数据供给进行评估,评估结果作为数字化项目管理的重要参考,并纳入部门党政领导班子绩效考核体系。对国有企业的供数评估结果同步纳入本市国资监管的重大专项任务范畴。 实施机构定期对运营机构进行综合评价,评价结果报告市数据主管部门,作为运营机构终止、撤销或者再次申请授权运营的重要依据。 | 第二十八条(评估评价) 市数据主管部门负责开展公共数据资源授权运营成效评价和第三方评估,定期对各行业主管部门及业务实施主体的数据供给进行评估,评估结果作为数字化项目管理的重要参考。对国有企业的供数评估结果同步纳入本市国资监管的重大专项任务范畴。 实施机构定期对运营机构进行综合评价,评价结果报告市数据主管部门,作为运营机构终止、撤销或者再次申请授权运营的重要依据。 |
第二十九条(生态培育) 本市积极发展数据产业,统筹数据产业布局,完善技术创新体系。各区、各行业部门应当加强应用场景规划布局,推动数据创新应用,通过政策扶持、激励措施、产业发展载体等,培育公共数据开发主体,壮大数据服务产业,繁荣数商发展生态。倡导公益普惠,支持中小微企业、民营企业便捷高效用数,降低企业用数成本。 | 第二十九条(生态培育) 本市积极发展数据产业,统筹数据产业布局,完善技术创新体系。各区、各行业主管部门应当加强应用场景规划布局,推动数据创新应用,通过政策扶持、激励措施、产业发展载体等,培育公共数据开发主体,壮大数据服务产业,繁荣数商发展生态。倡导公益普惠,支持中小微企业、民营企业便捷高效用数,降低企业用数成本。 |
第三十条(包容创新) 按照“支持创新、权责一致、尽职免责”的原则开展公共数据资源授权运营,鼓励和保护干部担当作为,营造鼓励创新、包容创新的干事创业氛围。 | 第三十条(包容创新) 按照“支持创新、权责一致、尽职免责”的原则开展公共数据资源授权运营,鼓励和保护干部担当作为,营造鼓励创新、包容创新的干事创业氛围。 |
第三十一条(跨区域合作) 加强央地协同和区域合作发展、落实国家长三角一体化发展重大战略,探索创新长三角地区公共数据资源协同开发利用。 | 第三十一条(跨区域合作) 通过推动央地协同和区域合作发展、落实国家长三角一体化发展重大战略,探索创新长三角地区公共数据资源协同开发利用的保障措施。 |
第九章附则 | 第九章附则 |
第三十二条(参照执行) 中央国家机关派驻本市的相关管理单位的公共数据资源授权运营及其相关管理工作,参照本办法执行。 水务、电力、燃气、公共交通等公用事业运营单位在相关行业主管部门的指导下,适用本办法开展公共数据资源授权运营及其相关管理工作,法律法规另有规定的,从其规定。 | 第三十二条(参照执行) 中央国家机关派驻本市的相关管理单位开展公共数据资源授权运营及其相关管理工作的,可参照本办法执行。 供水、供电、供气、公共交通等公用事业运营单位在相关行业主管部门的指导 下,适用本办法开展公共数据资源授权运营及其相关管理工作,法律法规另有规定的,从其规定。 |
第三十三条(解释权) 本办法由市数据主管部门负责解释。 | 第三十三条(解释工作) 本办法具体解释工作由市数据主管部门负责。 |
第三十四条(实施日期) 本办法自2025年X月X日起施行。 | 第三十四条(实施日期) 本办法自印发之日起施行。 |
系列文章
BOSS & YOUNG
律师介绍
万波
上海邦信阳律师事务所 合伙人 📍上海
wanbo@boss-young.com
万律师主要执业方向为金融证券、金融科技、人工智能与数字经济领域,现为邦信阳人工智能与数字经济全国业务委员会主任,并任中国个人信息保护合规审计推进小组成员、上海市律师协会数据合规与网络安全专业委员会委员、上海大数据联盟成员、上海数商协会成员、上海仲裁协会数字经济与人工智能研究委员会委员、基于川渝的部省协同公路行业可信数据空间联盟理事等社会职务。具有国际云安全联盟(CSA)认证数据保护官资质,被China Business Law Journal连续评为2022年“A-List”法律精英,2023年、2024年“The Visionaries睿见领袖”,入选律新社“2024年度数据合规领域品牌之星匠心律师”,2024年度LegalOne实力之星(Stellar Accolade)。曾于2023年出版《数据与个人信息疑难问题法律指引——基于251则典型案例的分析》专著,并牵头撰写《2024人工智能与数字经济法律研究报告——银行保险篇》、《2024人工智能与数字经济法律研究报告——公共数据运营篇》等专题报告,并办理了上海首批2个“上海数据”品牌认证项目、全国交通行业数据产品挂牌及数据资产入表第一单项目、上海数据产品知识产权融资第一单项目等。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
