2023数据要素管理制度汇编.docx

数据要素管理制度汇编2023目录公共数据授权运营管理办法1数据交易服务规则6数据元件开发应用管理办法10数据分类分级管理办法14数据安全管理办法17数据治理工程数据存储管理规定21数据流通交易管理办法29数据要素市场化配置改革行动计划35数据要素市场化配置改革重点任务分工表42数据要素市场运行管理办法59数据要素服务商评价管理办法64数据要素管理办法70数据资产登记管理办法74数据资产评估管理办法80数据金库管理细则84公共数据授权运营管理办法第一章总则第一条背景依据。为贯彻落实关于构建数据基础制度更好发挥数据要素作用的意见（12022）32号）关于构建更加完善的要素市场化配置体制机制的实施意见（2021）3号）要求，保障公共数据授权运营工作安全有序开展，打通公共数据与社会数据融合开发利用通道，加快探索数据要素的“聚、融、通、用”，根据数据安全法网络安全法个人信息保护法以及相关法律法规规定，结合实际，制定本办法。第二条适用范围。在行政区域内开展公共数据授权运营、开发利用、交易流通及其相关管理活动适用本办法。第三条名词解释。本办法所称公共数据，是指行政机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位（以下统称公共管理和服务机构），在依法履行职责或者提供公共服务过程中收集、产生的数据。本办法所称公共数据授权运营，是指州人民政府依法按有关程序授权法人（以下简称“公共数据授权运营主体”），对授权使用的公共数据进行加工处理、开发利用，形成公共数据产品和服务并向社会提供的行为。涉及国家秘密、商业秘密或个人隐私的公共数据不在本办法所称的公共数据授权运营范围。本办法所称公共数据产品，是指利用公共数据加工形成的产品，主要形态有数据元件、数据包、数据接口、数据服务、数据报告、业务服务等。第四条职能职责。州人民政府统一领导公共数据授权运营工作，协调解决授权运营过程中有关重大问题。数据管理局负责指导、监督、管理和协调本辖区公共数据授权运营工作，接受上级有关部门的业务监督、指导；组织制定并实施本辖区公共数据授权运营相关配套制度；制定公共数据运营服务平台建设标准，并组织平台验收。公共管理和服务机构根据相关法律法规和开发利用需求开展公共数据供给工作。公共数据授权运营主体负责制定制度规范和技术标准，保障公共数据合法合规开发利用；建设数据安全防护体系，保障公共数据开发利用全过程安全；挖掘应用场景，利用多种新技术手段，为应用单位提供公共数据产品和服务；通过数据运营赋能产业发展，引导培育数据合规、数据分析、数据经纪等数据服务商，带动数据要素市场生态体系发展壮大，推动数字经济提质增效。州市监、发改、工信、财政等主管部门各司其职根据本行业要求开展公共数据授权运营监管工作。第五条平台建设。公共数据运营服务平台由公共数据授权运营主体建设和运维，为公共数据授权运营提供安全可控、功能完备、标准统一的系统。（一）平台搭建可信授权认证通道和数据安全流通通道，支持租户隔离、开发与生产环境隔离，具备数据脱敏处理和数据导出审核等功能，实现公共数据开发应用全过程可记录、可审计、可追溯。（二）满足政府审批和监管需求，支持接入外部数据，满足公共数据授权运营主体对公共数据的开发应用需求，具备身份认证、角色权限等系统安全管理功能。第六条基本原则。公共数据授权运营应当遵循政府搭台、市场参与，统筹规划、创新引领，包容审慎、安全可控，依法合规、有序推进的原则。第七条优先领域。公共数据授权运营优先支持与民生紧密相关、行业增值潜力显著和产业战略意义重大的文旅、能源、环保、农业、物流、制造、信用、交通、卫生、就业、社保等领域。第二章运营主体授权第八条公共数据授权运营主体要求。公共数据授权运营主体应当满足公共数据授权运营所需的技术实力、数据安全要求，在授权范围内，依托公共数据运营服务平台提供的安全可信环境，实施公共数据开发利用，并提供数据产品和服务。第九条授权运营协议。州人民政府委托数据管理局与公共数据授权运营主体签订授权运营协议，在授权范围内统一开展公共数据开发利用。第十条授权期限。授权运营协议的有效期一般为3年。期限届满后，州人民政府依法再次选定公共数据授权运营主体。协议期间，公共数据授权运营主体不得随意提前解除或终止授权运营协议。第十一条授权撤销。授权运营期间，公共数据授权运营主体若违反本规定或协议约定等情形的，州人民政府有权对其撤回公共数据运营的授权，并解除授权运营协议。授权运营协议终止或提前解除的，公共数据授权运营主体不再享有运营服务平台的使用权限。第三章数据使用授权第十二条数据需求申请。建立常态化、规范化数据需求对接机制，公共数据授权运营主体在授权范围内开展数据场景创新，梳理数据需求并统一向州数据运营服务中心提交公共数据运营服务需求清单。第十三条数据申请要求。公共数据授权运营主体应当按照“一场景一授权”的原则，申请公共数据，并符合下列规定：（一）应用场景明确，且具有重大经济价值或社会价值。（二）申请使用公共数据应当符合最小必要的原则。（三）应用场景具有较强的可实施性，在授权运营期限内有明确目标和计划，能够取得显著成效。第十四条数据需求审核。由数据运营服务中心对公共数据运营服务需求清单进行初审，初审通过后，报数据管理局进行复审，数据管理局在5个工作日内完成复审并征求数据提供单位的意见，数据提供单位在5个工作日内给出是否授权运营的确认意见。第十五条数据使用授权。数据提供单位确认授权的，公共数据授权运营主体按照“原始数据不出域，数据可用不可见”的要求，依据数据开发应用相关管理规定，组织数据元件的开发、交付与使用。第四章运营主体行为规范第十六条公共数据治理需求。公共数据授权运营主体在数据加工处理或提供服务过程现公共数据质量问题的，可以向数据管理局反馈数据治理需求，数据管理局应当督促数据提供单位在规定期限内完成数据治理。第十七条公共数据加工处理。公共数据授权运营主体对授权运营的公共数据进行加工处理，应当符合下列规定：（一）加工处理工作人员须经实名认证、备案与审查，并与公共数据授权运营主体签订保密协议，操作行为应可追溯、可审查；（二）加工处理过程中原始数据不可见，公共数据授权运营主体使用经抽样、脱敏后的公共数据进行开发利用、模型训练等操作；（三）经数据管理局审核批准后，公共数据授权运营主体方可依法导入合规获取的社会数据，与公共数据进行融合开发利用。第十八条运营服务定价和收益。公共数据授权运营主体应当依法合规开展公共数据运营，严格执行数据产品和服务定价机制，对授权运营的公共数据进行加工形成数据产品和服务，可依法获取收益。第十九条公共数据安全。公共数据授权运营主体应当建立公共数据安全保障制度，建立健全高效的技术防护和运行管理体系，确保公共数据安全，切实保护个人信息。公共数据授权运营主体未经授权不得违规公开、泄露、篡改或者损坏公共数据，不得擅自将授权运营的公共数据提供给第三方。授权运营的数据涉及个人隐私、商业秘密、保密商务信息的，处理该数据应当符合相关法律法规规章和文件规定。第二十条定期报告制度。公共数据授权运营主体应当建立公共数据授权运营定期报告制度，定期向数据管理局报告公共数据授权运营的情况，提交公共数据授权运营年度报告，报告应当包括本单位数据资源的授权存储、加工处理、分析挖掘、融合利用及市场运营情况等内容，并接受州数据管理行政主管部门及有关部门的监督检查。第二十一条公共数据产品和服务的使用范围。公共数据授权运营主体加工形成的公共数据产品和服务应当接受数据管理局审核，原始数据不得导出公共数据运营服务平台。第五章授权运营监督管理第二十二条行业监管。数据管理局负责内公共数据授权运营的统筹管理和监督评价，督促其他有关部门按照各自职责做好公共数据授权运营相关工作。数据管理局应当会同州网信等相关部门和数据专家委员会，对公共数据授权运营主体规划的应用场景进行合规性和安全风险评估。第二十三条公共数据授权运营市场监管。数据管理局、市监、发改、工信、财政、信息通信建设管理等部门按照各自职责，做好公共数据授权运营的市场监督管理工作。数据管理局应当会同州市监、发改、工信、财政等部门建立公共数据产品市场化运营管理制度，市场主体未遵守反垄断、反不正当竞争、消费者权益保护等法律法规规定的，由有关部门按照职责依法处置。州市场监督管理部门应当建立数据权益保护制度，对公共数据产品进行保护，维护公共数据授权运营主体的合法权益。第二十四条公共数据授权运营安全监管。数据管理局、网信、公安、机要和保密、国家安全等部门按照各自职责，做好公共数据授权运营的安全监督管理工作。州网信应当会同数据管理局、公安、机要和保密等部门建立公共数据授权运营安全管理制度，按照公共数据分类分级要求，加强公共数据全生命周期安全和合法利用管理，确保数据来源可溯、去向可查、行为留痕、责任可究。公共数据授权运营实行“谁运营、谁负责，谁使用、谁负责”的安全责任制。公共数据授权运营主体的主要负责人是授权运营公共数据安全的第一责任人。数据管理局可以委托第三方机构，根据法律、法规等有关规定，对公共数据授权运营主体开展数据安全检测评估，并根据评估意见采取相应的安全措施。第二十五条公共数据运营服务平台安全管理机制。公共数据授权运营主体负责建设维护并管理公共数据运营服务平台，对平台上数据的存储、传输、利用等环节建立透明化、可记录、可审计、可追溯的全过程管理机制，接受数据管理局的监督检查。第六章授权运营利益补偿机制第二十六条培育授权运营产业生态。基于文旅、能源、环保、农业、物流等领域应用场景，开展公共数据授权运营形成数据产品，满足科技创新、治理数字化转型、数字经济发展等方面的需求,推动更多主体参与到数据创新应用当中，形成积极参与的良性公共数据运营产业生态。第二十七条利益补偿激励机制。公共数据授权运营主体通过引导外部数据和技术流入，为数据提供部门提供数据和技术服务，助力政府部门的智慧治理能力提升和公共服务水平提高，以此作为公共数据授权运营的激励，持续推动公共数据授权运营工作。第七章法律责任第二十八条公共数据授权运营主体责任。公共数据授权运营主体有下列情形之一的，数据管理局应当要求其立即改正违规行为，并暂时关闭其公共数据运营服务平台的使用权限，公共数据授权运营主体应当在规定期限内改正，并反馈改正情况，未按照要求改正的，终止其相关公共数据的授权：（一）违规使用公共数据的；（二）未按照授权运营相关要求和数据安全承诺书采取安全保障措施的；（三）严重违反公共数据平台安全管理规范的；（四）其他严重违反授权运营要求的情形。第二十九条政府部门及其工作人员责任。政府部门及其工作人员不履行或者不正确履行本办法规定职责的，由本级人民政府或者上级主管部门责令改正；情节严重或者造成严重损害的，由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分；涉嫌犯罪的，依法追究刑事责任。第八章附则第三十条其他要求。法律、法规、规章和国家政策文件对公共数据开发应用管理有规定的，从其规定。第三十一条解释权归属。本办法由数据管理局负责解释。第三十二条生效日期。本办法自2023年11月1日起施行，有效期至2028年10月31日。数据交易服务规则第一章总则第一条目的和依据。为了鼓励和规范交易主体在数据交易机构（以下简称“数据交易机构”）开展数据交易，促进数据要素市场的有序形成与发展，依据网络安全法数据安全法个人信息保护法电子商务法等有关法律法规规章的规定，结合实际，制定本规则。第二条适用范围。本规则适用于在数据交易机构开展的数据元件、数据产品和数据服务等数据交易活动。法律法规和国家政策对数据交易另有规定的，从其规定。第三条相关定义。本办法所称数据交易机构，是指经批准依法设立，组织开展数据元件、数据产品和数据服务等数据交易活动的组织机构。第四条权益维护。数据交易机构依据本规则开展数据交易服务，并维护交易主体的合法、正当权益。第五条交易原则。市场主体通过数据交易机构开展数据交易活动，应当遵循依法依规、安全可控、公平公正、诚实守信的原则。第二章机构职责第六条机构职责。数据交易机构依托数据交易平台为交易主体提供数据交易服务，具体承担以下职责：（一）提供满足数据交易活动功能性、安全性、合法性要求的数据交易平台；（二）对交易主体进行资格审核；（三）制定交易服务协议，明确交易主体与数据交易机构之间的权利义务关系，不断完善服务功能与服务水平；（四）制定及完善交易流程、交易标的负面清单与谨慎清单、数据安全保护规则、交易监督与风险评估规则、交易纠纷解决规则等交易规则体系；（五）对数据交易活动的合法、合规性进行审查或监督，必要时就交易安全进行风险评估；（六）对通过数据交易平台开展数据交易活动产生的交易纠纷或争议按照争议解决规则予以调解、处理；（七）法律、行政法规及其他有关规定要求数据交易机构需履行的其他义务或职责。第七条机构运行。数据交易机构应当依法合规、诚实守信，坚持公开、公平、公正原则，保障各类交易主体合法权益。数据交易机构未经授权，不得将数据交易平台上架的交易标的违规出售或非法提供给第三方。第八条平台运营。数据交易平台由数据交易机构负责建设运营，提供主体管理、供需对接、凭证管理、交易服务、交易结算等功能。数据交易平台应当具备数据安全防护功能，保障数据元件、数据产品传输、存储、加工、交易等各环节的安全可控。第九条交易流程。数据交易流程主要包含：登记发布、交易磋商、交易实施、争议解决等主要环节。第三章登记发布第十条交易标的。数据交易机构支持的数据交易标的主要包含数据元件、数据产品和数据服务。第十一条标的登记。数据卖方在交易前应当通过数据交易平台完成交易标的登记，并符合下列要求：（一）数据卖方应当保证数据元件、数据产品和数据服务的登记信息准确、真实和全面；（二）数据包描述包含数据包标题名称、试用样例、是否涉密或包含敏感个人信息等内容；（三）API、SDK接口描述包含接口名称、接口描述、试用接口样例、接口调用文档等信息；（四）数据元件描述包含标题、内容描述、试用样例等；（五）数据产品描述包含标题、内容描述、应用环境等；（六）提供数据服务的第三方专业服务机构，将相关服务内容、服务形式、服务工具、服务案例上传至数据交易平台；（七）在描述信息录入过程中数据卖方可以标明交易标的的价值，也可以委托第三方专业服务机构对其交易标的进行价值评估，并提交评估结果和相关报告；（八）数据交易平台要求提交的其他材料。第十二条标的审核。数据交易机构负责对申请登记的交易标的进行合法性、合规性审核，主要包括下列内容：（一）标的登记申请、安全评估、标的描述、安全承诺书等材料内容是否齐全、完善、合规；（二）申请登记的交易标的权属是否明确，是否存在权属纠纷；（三）交易标的在加工过程中所使用的数据资源是否涉及隐私信息或国家法律法规禁止发布或传输的数据，是否为合规采集；（四）法律法规规章和国家政策文件的其他相关要求是否满足。第十三条权属确认。数据卖方应当提交必要的材料证明其对交易标的具备加工处理、使用、处分的权益。提供的材料不足以确认的，数据卖方应当按照数据交易机构的要求予以补充。第十四条数据发布。通过审核的交易标的，应当尽快在数据交易平台登记发布；未通过审核的交易标的，交易机构有权要求数据提供方进行修正，直至审核通过。第四章交易磋商第十五条交易申请。数据买方应当通过数据交易平台申请购买已登记发布的交易标的，并提交数据交易申请单，明确交易标的内容、形式、用途等。第十六条交易磋商。数据卖方接收到数据交易平台发送的交易申请后，双方就交易标的进行磋商，双方达成一致意见，则进入交易定价阶段。第十七条交易定价。基于数据交易机构开展的数据交易，若仅有一家数据买方，可采取协商定价的方式进行交易；若有两家或两家以上数据买方，可采取公开竞价、动态报价、拍卖以及其他竞价方式进行交易。数据卖方可按照数据资产评估管理办法，按需委托具有资质的第三方专业服务机构对交易标的进行评价和评估，并出具相关评估报告，作为定价基础。数据交易机构也可制定数据价格评估指引，综合运用成本法、收益法和市场法，对交易标的价格确定提供参考。法律法规对数据定价另有专门规定的，从其规定。第五章交易实施第十八条合同签署。交易主体协商达成一致后需与数据交易机构签署三方合同和数据交易承诺函，确认交易标的或服务内容、用途、质量、交付方式、使用或服务期限、三方责任、保密条款、争议解决方式等内容，同时对数据来源、数据质量、使用用途、使用范围、安全保护措施及过失责任承担等事项进行承诺声明。数据交易机构应当制定合同标准化文本，协助交易主体明确各方权利义务、规范交易行为。数据交易机构应当对交易合同进行登记备案。第十九条交易实施。交易合同达成后，交易主体应当按合同约定履行义务，完成价款支付、交易标的交付。第二十条交付方式。交易主体应当在交易合同中明确约定数据交易方式。数据交易机构提供的交付方式包括但不限于：（一）数据包交付：由数据卖方将数据产品上传或拷贝至数据交易平台，由数据交易平台向数据买方交付交易标的的方式；（二）API交付：以APl数据调用接口的方式，由数据卖方向数据买方交付交易标的的方式；（三）数据服务交付：由数据卖方按照数据买方的要求提供可视化、挖掘、建模等服务，以及云服务、存储资源、算力平台、网络安全等支撑环境的租赁服务,以及其他与数据相关的服务。第二十一条质量验证。数据买方可以自行或委托第三方按照合同约定的方式就交易标的质量进行验证。验证不合格的，数据卖方应当按照交易合同的约定承担相应责任。第二十二条安全传输。数据卖方应当在交易标的交付前采取适当的加密措施，并应当明确告知数据买方相应的注意事项，共同配合以保证传输中的数据安全。第二十三条合同验收。数据买方应当对交易标的是否符合数据交易合同约定进行验收。第二十四条交易结算。数据交易机构应当选择符合条件的商业银行作为结算银行，并在结算银行开立交易结算资金专用账户，用于存放结算资金及相关款项。数据买方应当按约定完成交易标的价款结算，结算方式由买卖双方协商确定。第二十五条交易评价。交易完成后，数据买方可对交易标的质量、交付情况进行星级评价。第六章争议解决第二十六条争议处理规则。数据交易机构建立争议处理规则并在数据交易平台内公示。第二十七条争议解决。交易主体经数据交易平台交易时发生纠纷，任何一方均有权依法选择以下途径解决：（一）与争议相对方自主协商；（二）向数据交易机构申请调解；（三）依法向仲裁机构申请仲裁；（四）向有管辖权的人民法院提起诉讼。第七章监督管理第二十八条平台监管责任。数据交易机构对基于数据交易平台开展数据交易活动负有安全合规监管责任，应当采取技术手段和其他必要措施，排查数据安全风险，保障数据交易平台安全。数据交易机构发现数据交易活动存在违法违规行为，应当书面通知当事双方整改，对拒不整改的或存在重大违法犯罪事实的，有权向相关监管部门举报。第二十九条配合执法。数据交易机构应当配合公安机关、国家安全机关因依法履职需要调取数据。交易主体应当积极配合有关部门实施的数据流通交易监督管理活动，自觉维护市场秩序。第八章附则第三十条其他要求。法律、法规、规章和国家政策对数据交易服务规则有规定的，从其规定。第三十一条解释权归属。本规则由数据管理局负责解释。第三十二条生效日期。本办法自2023年11月1日起施行,有效期至2028年10月31日。数据元件开发应用管理办法第一章总则第一条目的。为推进数据元件开发应用，加快释放数据价值，赋能数字经济发展和治理能力现代化，根据中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见（2020）9号）中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见（2022）32号）中共云南省委云南省人民政府关于构建更加完善的要素市场化配置体制机制的实施意见（2021）3号）等有关规定，结合实际，制定本办法。第二条适用范围。行政区域内数据元件开发应用及其相关管理活动适用本办法。第三条定义。本办法所称数据元件开发应用，是指对归集的数据资源进行开发并形成安全属性和价值属性兼具的数据元件，再针对政府部门、组织、企业和个人等终端用户的需求，进一步应用数据元件开发形成数据产品和服务的活动。本办法所称数据元件，是指对数据脱敏处理后，根据需要由若干相关字段形成的数据集或由数据的关联字段通过建模形成的数据特征。本办法所称数据产品和服务，是指利用数据元件进行分析研究、加工处理所形成的能发挥数据要素价值的产品和服务。本办法所称数据元件开发商，是指通过公共数据授权运营主体合法获取数据资源，或基于自有数据资源开发形成数据元件的企业。本办法所称数据产品开发商，是指利用合法获取的数据元件和数据资源开发形成数据产品和服务的企业。第四条原则。数据元件开发应用坚持“政府引导、市场主导、需求牵引、分类分级、安全合规”的原则，充分发挥市场主体的专业能力，实现数据资源的有序合规开发应用。第五条相关职责。数据管理局负责数据元件开发应用的统筹指导、规则制定、监督管理工作，协调解决数据元件开发应用中重大事项。数据运营服务中心负责指导监督公共数据授权运营主体落实公共数据安全运营要求，开展安全合规检查，规范数据元件开发应用活动。公共数据授权运营主体负责在授权范围内为数据元件开发商提供数据加工使用权，建立数据元件开发全流程安全合规管控制度，保障数据元件开发应用活动安全有序开展。数据相关行业协会应当制定并推动实施本行业规范和团体标准，指导会员依法、合规开展数据元件开发应用活动，反映会员合理诉求和建议，加强行业自律，并配合有关部门开展行业监管，促进行业健康发展。第二章数据元件设计第六条数据元件标准规范制定。数据运营服务中心会同州标准化行政主管部门制定数据元件开发、生产和管理标准体系，包括但不限于数据元件的规格标准、设计规范、质量标准规范、安全审查、分类分级等，保障数据元件有序开发利用。第七条数据元件开发商要求。数据元件开发商应当具备数据元件设计与开发相关的专业技术能力和数据安全管理能力。有意向开展数据元件开发的企业可以向数据运营服务中心提交申请，经审查后，可以在批准的期限内开展数据元件开发。第八条数据资源调研。用于数据元件设计的数据资源包括公共数据资源和非公共数据资源。数据管理局应当统筹推进公共数据资源普查，完善公共数据资源目录，明确可用于数据元件开发的公共数据资源清单。公共数据授权运营主体可以通过市场购买、协议转让等方式开展非公共数据资源归集，推动公共数据资源与非公共数据资源汇聚融合、开发应用。第九条数据元件应用场景挖掘。公共数据授权运营主体应当建立数据元件开发生态体系，组织数据元件开发商调研数据要素化应用场景需求，深度挖掘可落地的数据元件应用场景。第十条数据元件设计。数据元件设计包含标准元件设计和定制元件设计。标准元件设计是数据元件开发商根据行业经验和数据调研情况，设计具有广泛应用场景和能够进行规模化流通的数据元件。定制元件设计是数据元件开发商通过需求调研和确认，选择特定业务场景并反推数据资源需求的方式，设计具有明确应用场景的数据元件。第十一条数据元件设计说明。数据元件开发商应当向数据运营服务中心提交数据元件的设计说明，明确数据元件的类型、功能设计、需要调用的数据类型，以及数据元件设计安全风险的自评估报告。第十二条数据元件设计审核。数据运营服务中心可以通过数据元件设计书合规审核、数据元件开发安全风险评估等方式进行审核，确定数据元件开发利用的安全性和合规性，通过审核或评估的可以获得数据资源和开发工具的使用权限。第十三条数据资源归集。公共数据授权运营主体应当根据本州公共数据授权运营的相关要求，开展数据资源的授权申请和归集汇聚，并生成样本数据，满足数据元件开发商的数据需求。第三章数据元件开发第十四条数据元件开发环境。数据运营服务中心应当依据国家网络安全、数据安全等相关法律和标准体系，组织建设与数据安全等级相匹配的开发环境，包括设施设备、系统、开发平台、开发工具等，保障开发环境安全可靠运行。第十五条数据元件开发平台。公共数据授权运营主体具体负责建设、运行、维护全州统一的数据元件开发平台，提供数据元件开发调试和生产环境，管理和调度数据元件的设计和运行，对数据元件开发全流程进行安全审核。数据运营服务中心应当监督公共数据授权运营主体做好平台的运营管理和安全保障工作。第十六条数据元件开发平台使用。数据元件开发商调用公共数据开发数据元件的，应当使用全州统一的数据元件开发平台，并承担开发席位、开发环境、开发工具等资源消耗，以及数据资源、元件发布等成本。第十七条数据元件模型开发。数据元件开发商可以调用公共数据授权运营主体提供的各类样本数据进行数据元件模型开发，并通过平台提交模型结果，经公共数据授权运营主体审核通过后，进行数据元件生产。数据元件开发商申请调用样本数据进行数据元件模型开发的，应当与公共数据授权运营主体签订数据元件开发利用协议。数据元件开发商未经授权不得变更数据使用用途、使用范围和使用期限，不得篡改、破坏、泄露所获取的样本数据，不得以任何形式提供给第三方。第十八条数据元件生产。经公共数据授权运营主体审核通过的数据元件模型，应当通过数据元件开发平台加载所需的数据资源后，生成数据元件。第十九条数据元件质量审核。公共数据授权运营主体应当根据数据质量标准规范对生产完成的数据元件质量进行审核。第二十条数据元件分类分级。数据运营服务中心应当组织制定数据元件分类分级标准，指导和监督公共数据授权运营主体开展数据元件分类分级工作。第二十一条数据元件目录编制。公共数据授权运营主体应当根据数据元件的分类结果，编制数据元件目录，并定期公告发布。第二十二条数据元件权益保障。数据元件开发商基于自身的技术能力，依法开发数据元件所获得的权益受法律保护。第四章数据元件应用第二十三条数据产品和服务开发。数据产品开发商通过数据元件交易平台向数据元件开发商购买获得数据元件，利用数据元件开发各类数据产品和服务，以满足政府部门、组织、企业和个人等终端用户的需求。第二十四条数据产品开发商要求。数据产品开发商应当根据数据要素服务商相关要求和开发需求等，选择符合条件的数据元件进行数据产品的开发。第二十五条数据产品和服务开发环境。数据产品开发商可利用自有的开发环境开展数据产品和服务开发，并做好网络和数据安全防护。第二十六条数据产品和服务设计说明。数据产品开发商应当向公共数据授权运营主体提交应用数据元件开发的数据产品和服务设计说明，明确使用数据元件的安全级别、应用场景和风险管控措施。数据产品开发商应根据合同或协议约定，合法使用数据元件，不得擅自改变数据元件的用途。第二十七条数据产品和服务权益保障。数据产品开发商基于自身的技术能力，合法合规利用数据元件开发形成数据产品和服务,所获得的权益受法律保护。第五章安全监督管理第二十八条联合监管。数据管理局应当会同州网信、发改、工信、公安、市监、国家安全等部门建立数据元件开发应用的联合监管机制，在各自职责范围内，开展数据元件开发应用安全监督管理工作，督促公共数据授权运营主体、数据元件开发商、数据产品开发商落实数据元件开发应用安全管理相关责任。第二十九条安全合规要求。公共数据授权运营主体应当建立数据安全合规体系，明确数据元件开发应用各主要环节安全合规要求。数据运营服务中心应当定期检查公共数据授权运营主体履行数据安全责任、落实安全管理制度等方面的情况。第三十条数据安全管理机制。公共数据授权运营主体、数据元件开发商、数据产品开发商开展数据元件开发应用相关活动应当符合法律法规以及本办法的要求，建立数据安全常态化运行管理机制，履行以下数据安全保护职责：（一）依法建立健全数据安全管理制度、技术规范和操作规程；（二）设置数据安全管理岗位，实行管理岗位责任制，配备安全管理人员和专业技术人员，并定期对相关人员进行安全教育、技术培训；（三）加强数据安全日常管理和检查；（四）制定数据安全应急预案，开展应急演练；（五）按照分类分级保护要求，采取安全保护技术措施，防止数据丢失、篡改、破坏和泄露，保障数据安全；（六）发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向数据管理局报告；（七）法律、法规规定的其他数据安全保护义务。第六章法律责任第三十一条市场主体法律责任。数据元件开发商、数据产品开发商等市场主体及其工作人员在进行数据元件开发和应用的过程中，有下列行为之一的，依法追究相应法律责任：（一）未履行数据元件开发应用相关合同或协议规定的义务；（二）数据元件开发应用损害国家利益、社会公共利益和他人合法权益；（三）采用不正当手段获取或开发数据元件，或干扰数据元件开发平台提供正常服务；（四）利用数据资源或数据元件实施违法行为，获取非法收益；（五）未按规定采取安全保障措施的，造成危害信息安全事件；（六）其他违反本规定规定造成严重后果的。市场主体的数据元件开发应用活动应当遵守反垄断、反不正当竞争、消费者权益保护等法律、法规的规定。第七章附则第三十二条其他要求。法律、法规、规章和国家政策对数据开发应用管理有规定的，从其规定。第三十三条解释权归属。本办法由数据管理局负责解释。第三十四条生效口期。本办法自2023年11月1日起施行，有效期至2028年10月31日。数据分类分级管理办法第一章总则第一条编制依据。为加强和规范数据分类分级管理,促进数据流通、开发和利用，释放数据价值，依据数据安全法，结合实际，制定本办法。第二条适用范围。本办法适用于各级行政机关、法律法规规章授权的具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等公共服务运营单位(以下简称“各类主体”)在存储、传输、共享、开放、加工、交易、销毁等活动中的数据分类分级管理活动。涉及国家秘密、商业秘密、个人隐私等事项的数据，按照相关法律法规规定办理。第三条原则。分类分级管理以提升数据归集、数据元件加工和交易安全合规保障能力为目标，坚持问题导向、目标导向和结果导向相结合，企业主体、行业指导、政府监管相结合，分类标识、逐类定级和分级管理相结合的原则。第四条主体职责。数据管理局应根据国家和数据分类分级制度，指导和监督各类主体做好数据分类分级工作。数据运营服务中心指导监督各类主体按要求编制本单位数据分类分级具体规定，对自身持有的数据实施分类分级管理，确保数据安全。第五条分类分级思路。各类主体开展数据分类分级，应当遵循“先分类、再分级”的基本思路，通过梳理数据，开展数据分类及评估定级，形成分类分级目录，报数据管理局审核，并动态更新。第二章数据分类管理第六条分类规则。各类主体应当根据数据的行业属性特征，先按照行业领域明确数据的一级分类，然后按照本行业领域的业务属性进行数据二级分类。第七条特殊分类。各类主体对本单位具有特别要求的数据，按照特殊要求进行数据分类。第八条分类清单。各类主体应当编制数据分类清单，并向数据管理局报备。第九条分类变更与调整。各类主体应结合实际，明确本单位数据资源的维护周期，定期安排专人检查、编制数据新增、删减、变更等情况，及时调整数据分类清单。第十条个人信息数据。个人信息分为个人基本资料、个人身份信息、个人健康生理信息等类别，参考信息安全技术个人信息安全规范(GB/T35273-2020)进行个人信息数据分类。第三章数据分级管理第十一条分级原则。根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据进行级别划分。第十二条分级规则。数据运营服务中心指导监督各类主体按照分级原则将数据分为一般数据、重要数据和核心数据3个级别。重要数据、核心数据按照国家和行业的重要数据目录、核心数据目录划分。目录不明确时，可参考其他有关规定或标准。第十三条分级步骤。各类主体可按照确定分级对象、识别分级要素、分析数据影响、综合确定级别等步骤开展数据评估定级。第十四条数据目录。各行业主管部门应当根据数据分级要求，编制本行业一般数据、重要数据、核心数据目录，对列入目录的数据进行重点保护。第十五条定级变更与调整。经定级的数据，出现下列情形之一的，应当重新定级：（一）数据内容发生变化，导致数据安全级别发生变化的；（二）数据内容未发生变化，但数据时效性、规模、应用场景等发生变化，需要重新定级的；（三）因业务需要将相同或不同级别的数据汇聚并进行分析、处理的；（四）国家、省、州相关定级标准规范发生变化；（五）其他需要重新定级的情形。数据级别发生变更的，有关主体应当及时调整目录，并重新报备。第十六条个人信息数据。涉及个人数据的，各类主体应当参照国家有关法律法规和标准，分别制定敏感个人信息和一般个人信息目录。第四章数据分级安全管理第十七条设施要求。各类主体应当根据国家和州数据分类分级相关规定，在数据存储、传输、共享、开放、加工、交易、销毁等环节，采用符合对应安全等级的信息系统、存储设施和传输设备，并建立完善对应等级的安全保护机制。第十八条重要、核心数据管理制度建设。重要数据、核心数据的持有主体应当制定本单位重要数据、核心数据保护制度，采取严格保护措施，按照规定对其数据处理活动定期开展风险评估。使用重要数据、核心数据的单位应当成立数据安全管理机构，明确数据安全负责人；数据安全负责人应当具备相关管理工作经验或相应数据安全保护资质，并及时向数据管理局报备数据的用途、场景、使用方式、安全情况等信息。第十九条敏感个人信息保护。个人信息的持有主体，应按照国家个人信息保护相关法律法规进行保护。使用敏感个人数据的，应按照相应规定进行特别保护,明确使用规定、流程、应用场景等，不得随意使用。第二十条预警监测。各类主体开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向数据管理局等有关主管部门报告。第二十一条规范性检查。数据管理局应当依照国家法律法规组织对涉及重要数据、核心数据和敏感个人数据的各类主体,进行数据安全检查。第二十二条应急管理。发生安全事件时，有关单位应当立刻采取措施防止危害扩大，及时消除安全隐患；涉嫌犯罪的，应当按照规定向公安机关报案。第五章监督与考核第二十三条责任追究。各类主体及其工作人员在进行数据分类分级过程中违反本办法规定或涉嫌侵犯数据相关主体权益的，应当予以改正；拒不改正或者情节严重的，由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。第二十四条绩效考核。数据管理局组织制定各类主体数据分类分级工作考核制度，数据运营服务中心具体负责数据分类分级考核，重点考核重要数据、核心数据和敏感个人数据的定级管理。第二十五条举报与投诉。数据运营服务中心应当设立数据安全投诉、举报受理途径，及时查证处理投诉举报内容，并对投诉、举报人的个人信息予以保密，保护投诉、举报人的合法权益。受到投诉、举报的各类主体