经自治区人民政府同意，现将《内蒙古自治区公共数据授权运营管理暂行办法》印发给你们，请认真遵照执行。

内蒙古自治区政务服务与数据管理局

2024年6月18日       

（此件公开发布）

第一条  为贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》相关要求，加快推动内蒙古自治区公共数据有序开发利用，培育数据要素市场，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定，结合自治区实际，制定本办法。

第二条  本自治区行政区域内与公共数据授权运营相关的数据授权、加工、经营、安全监管等活动，适用本办法。

第三条  公共数据授权运营应当遵循依法合规、统筹规划、稳慎有序、安全可控的原则。

第四条  本办法下列用语的含义：

（一）公共数据，指国家机关和法律、法规授权的具有管理公共事务职能的机构（以下简称公共管理和服务机构）在履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他机构在提供公共服务中收集、产生的涉及公共利益的各类数据。

（二）公共数据授权运营，指盟（市）级及以上人民政府指定本级公共数据主管部门（以下简称主管部门），按程序授权法人或者非法人组织（以下简称授权运营单位），对授权的公共数据进行加工处理，开发形成公共数据产品并向社会提供服务的行为。

（三）授权运营单位，指经主管单位按程序授权，对授权的公共数据进行加工处理，开发形成数据产品和服务，并向社会提供的法人或者非法人组织。

（四）授权运营平台，指提供公共数据加工处理及运营管理的平台，主要功能包括数据加工处理人员的实名认证与备案管理，操作行为的记录和审查管理，原始数据的加密和脱敏管理，元数据管理，数据模型的训练和验证，数据产品的开发、提供、交易和计价等。

（五）授权运营协议，指主管部门与授权运营单位就公共数据授权运营达成的书面协议，主要内容包括：授权运营单位的权利和义务、授权运营范围、运营期限、合理收益的测算方法、数据安全要求、期限届满后资产处置、退出机制等。

（六）公共数据产品及服务，指利用公共数据加工形成的产品及服务，主要形态有数据集、数据接口、数据指标、数据报告、数据模型，以及开展加工、清洗、标注、建模等数据处理服务。

（七）公共数据应用单位(以下简称应用单位)，指具备一定数据安全保障能力，有明确的应用场景需求，使用授权运营单位提供的公共数据产品及服务的行政企事业单位和社会组织。

第五条  公共数据授权运营工作职责：

（一）主管部门

负责组织编制本行政区域内公共数据授权运营相关制度规范，健全工作机制；组建专家组，研究论证授权运营过程中的重大、疑难问题，评估运营风险，提供专业咨询服务和建议；统筹管理、指导、协调其他有关部门按照各自职责做好公共数据授权运营相关工作；鼓励社会主体积极参与公共数据授权运营，营造良好政策环境，推动数据要素市场发展壮大。

（二）公共管理和服务机构

负责编制本机构公共数据目录，做好数据治理、数据分类分级，协同主管部门监督本机构相关领域公共数据运营工作。

（三）授权运营单位

负责组建专业团队，挖掘数据应用场景，为应用单位提供公共数据产品及服务。

（四）市场监督管理等部门负责做好公共数据产品及服务市场化的监督管理；工信、版权、知识产权等相关管理部门负责建立数据权益保护制度，就新领域、新业态涉及的知识产权权益进行保护；网信、公安、保密、国安、财政、通信管理局等部门按照各自职责，做好其他相关监督管理与安全保障工作。

第六条  优先支持与民生紧密相关、行业增值潜力显著和产业战略意义重大的环境、能源、农牧业、金融、交通、医疗卫生、就业、社保、文旅、教育、科技、气象、企业登记监管等领域开展公共数据授权运营。

第七条  公共数据授权运营工作流程包括信息发布、申请提交、资格审查、协议签订等。

（一）信息发布。主管部门发布重点领域开展公共数据授权运营工作的通知公告，明确申报条件。

（二）申请提交。意向申请单位应当在规定时间内向主管部门提交申请。

（三）资格审查。主管部门对授权运营申请单位进行资格审查，专家组进行综合评审，评审结果报本级人民政府（行政公署）审定。

（四）协议签订。经相应人民政府（行政公署）审定通过的授权运营申请单位，由主管部门与其签订授权运营协议。

第八条  授权运营协议有效期不超过5年。协议期间，授权运营单位可以向相应主管部门申请提前终止协议。授权运营单位若有违反协议等情况，也可暂停或撤销其授权运营的资格。

第九条  支持具备相关技术能力和资源优势的法人或非法人组织申报授权运营，需满足但不限于下列条件：

（一）经营状况良好，具备良好的社会公信力，无重大违法记录，未被列入失信被执行人名单、重大税收违法案件当事人名单、严重失信名单等。

（二）具备满足公共数据授权运营所需的办公条件、专业团队和技术能力，包括但不限于技术、运营、管理人员等。

（三）熟悉并理解国家和自治区数据管理相关规定及政策文件；熟悉公共数据的管理和应用，具备运用公共数据开展数据处理活动的工作经验。

（四）具有明确的数据安全负责人和管理部门，建立公共数据授权运营内部管理和安全保障制度；具备接入政务网络的环境和条件，具备对公共数据进行获取、管理和应用的软硬件环境；具备通过网络安全等级保护三级标准的系统开发和运维实践经验；具备及时响应政府监管要求所需的技术管理能力；公共数据安全体系评估结果无高风险项。

具体行业领域的授权运营单位申报条件，可由主管部门会同相应公共管理和服务机构研究确定。

第十条  各盟（市）可根据自身数据资源优势与特点，选择重点领域开展公共数据授权运营试点，并向自治区主管部门备案。

第十一条  授权运营单位应当依法合规开展公共数据运营，不得泄露、篡改或者毁损公共数据，不得以任何形式将授权运营的原始数据提供给第三方。

第十二条  授权运营单位应当按照应用场景提出受限开放的公共数据需求申请，经主管部门会同相应公共管理和服务机构按照“一场景一清单一审定”原则审核同意后获取，数据申请应当满足下列要求：

（一）应用场景明确，具有较强的可实施性，且具有重大经济价值或社会价值。

（二）遵循集约利用和最小必要的原则。

“一场景一清单一审定”指每一个数据应用场景对应一份数据需求清单，该清单需经过主管部门与相应公共管理和服务机构的审核。

第十三条  授权运营单位应当通过授权运营平台对授权运营的公共数据进行加工处理，形成公共数据产品及服务。加工处理公共数据应当满足下列要求：

（一）授权运营单位所有参与数据加工处理的人员须经实名认证、备案与审查，签订保密协议，操作行为应当做到有记录、可审查。

（二）原始数据对数据加工人员不可见。

（三）经主管部门审核批准后，授权运营单位可以将依法合规获取的社会数据导入授权运营平台，与授权运营的公共数据进行融合计算。

第十四条  授权运营单位对加工形成的公共数据产品及服务，可以向应用单位提供并获取合理收益，同时将相关定价及依据、应用场景、使用范围等向主管部门备案。公共数据产品及服务的价格应当遵循普惠公平、收益合理的原则。

鼓励授权运营单位将形成的公共数据产品及服务通过自治区数据交易中心进行交易。

第十五条  鼓励授权运营单位以数据互换、项目合作等方式将其自有数据提供给相关公共管理和服务机构共享使用。

第十六条  授权运营单位在运营期限内，应当向主管部门提交公共数据授权运营年度报告，报告应当包括本单位数据资源的授权存储、加工处理、分析挖掘、融合利用及市场运营情况等内容。

第十七条  公共数据实行目录化管理，公共管理和服务机构应当按照公共数据目录编制规范，编制和更新本机构公共数据目录，并报本级主管部门审核后，纳入全区公共数据总目录。

第十八条  公共管理和服务机构应当加强数据质量源头管理，确保数据完整性、一致性、准确性和及时性。

第十九条  授权运营单位在数据加工处理或提供服务过程中发现公共数据质量问题的，可以向主管部门提出数据治理需求。主管部门应当督促相应公共管理和服务机构在规定期限内完成数据治理。

第二十条  申请回流至各盟（市）的数据，应当经自治区级主管部门会同公共管理和服务机构审核同意后获取。

第二十一条  授权运营单位应当主动进行市场调研，发动社会各界力量挖掘应用场景，为企业、科研机构、社会组织等社会主体提供优质的数据产品及服务。

第二十二条  应用单位应当向授权运营单位提交需求申请，详细说明应用场景、使用范围、使用期限和安全管控等内容。

第二十三条  授权运营单位应当根据应用单位需求，加工处理公共数据，形成公共数据产品及服务，经合法合规审核后再向应用单位提供。

第二十四条  应用单位应当按照与授权运营单位签订的协议，使用公共数据产品及服务，不得用于或变相用于其他目的，不得损害国家利益、社会公共利益和他人合法权益，不得以直接或者间接方式将公共数据产品或服务交由第三方使用。

第二十五条  鼓励将公共数据开发利用形成的各类成果，用于公共服务、行政管理和社会治理等领域。

第二十六条  应当按照公共数据分类分级要求，加强公共数据全生命周期安全和合法利用管理，确保数据来源可溯、去向可查、行为留痕、责任可究。

第二十七条  公共数据授权运营应当遵照“原始数据不出域，数据可用不可见”的总体要求，在保护个人隐私和确保公共安全的前提下开展授权运营。涉及个人信息、商业秘密的，在获得真实、有效、安全授权后按应用场景使用。

第二十八条  公共数据授权运营安全实行谁运营谁负责、谁使用谁负责的原则。授权运营单位的主要负责人是授权运营公共数据安全的第一责任人。

第二十九条  授权运营单位应当制定数据安全事件应急处置预案，并定期组织演练。发生数据泄露、毁损、丢失等数据安全事件或重大风险时，应当立即启动处置预案，并向主管部门报告。授权运营单位应当建立数据泄露溯源、数据篡改及违规使用的监控预警机制。授权运营单位应当加强对应用单位及相关人员的安全监管，保障公共数据产品及服务合法合规安全应用。若发现违规使用、转卖、泄露或其他不当应用情况，应当采取暂停、终止合作等措施避免损失扩大。

第三十条  授权运营单位应当在网络安全等级保护制度的基础上，建立健全高效的技术防护和运行管理体系，保障公共数据安全，切实保护个人信息。

第三十一条  授权运营单位应当建立信息保存制度，妥善保存公共数据授权运营中产生的制度规范、运营协议、运营日志等各项关键信息，确保相关信息记录的留存时间不少于二十年。

第三十二条  授权运营单位有下列情形之一的，主管部门应当责令改正，并暂停其公共数据申请及加工利用使用权限，授权运营单位应当在规定期限内改正，并反馈改正情况；未按照要求改正的，终止其相关公共数据的授权：

（一）违规使用公共数据的。

（二）未按照授权运营协议和数据安全承诺书采取安全保障措施的。

（三）其他严重违反授权运营协议的情形。

第三十三条  存在以下情况的公共数据不得开展授权运营：

（一）危及或者可能危及国家安全的公共数据。

（二）可能损害公共利益的公共数据。

（三）数据获取协议约定不能运营的公共数据。

（四）法律、法规规定不能运营的其他公共数据。

第三十四条  主管部门组织制定公共数据授权运营综合评价与考核指标，负责对本级授权运营单位按年度开展运营绩效考核评估，考核评估可以委托第三方机构开展。评估结果作为再次申请授权运营的重要依据。

第三十五条  授权运营单位应当配合有关部门做好安全保障、绩效评价等评估工作，如实提供有关资料，不得拒绝、隐匿、瞒报。

第三十六条  评估结果分为通过评估、未通过评估和限期整改：

若评估结果为通过评估，则由授权运营单位继续承担公共数据授权运营工作，并对其中考核评估结果优秀的授权运营单位，优先试点创新举措，在数据申请应用、产业政策引导等方面适当倾斜。

若评估结果为未通过评估，则由主管部门向本级人民政府（行政公署）反馈评估结果，终止授权运营协议，并重新选择符合条件的单位承担相关公共数据授权运营工作。

若评估结果为限期整改，授权运营单位应当制定整改方案，30日内整改完成，报主管部门再次评估。若评估结果仍为限期整改，按未通过评估办理。

第三十七条  授权运营协议终止或撤销的，主管部门应当及时撤销授权运营单位的数据申请和开发利用使用权限，及时删除授权运营平台留存的相关数据。

第三十八条  各盟（市）根据本办法制定公共数据授权运营的工作细则，也可结合本盟（市）实际，制定本盟（市）公共数据授权运营管理办法，探索公共数据授权运营新模式。

第三十九条  本办法由自治区政务服务与数据管理局负责解释。

第四十条 本办法自发布之日起实施。