《上海市公共数据资源授权运营管理办法》精要图解

01. 概述 

公共数据作为最重要的数据资源之一,关于公共数据的开发利用是我国推动数据要素成为数字经济的新引擎、新原料。国家数据局整体统筹协调数据业务发展,各省市政府成立数据管理部门,会同各行业主管部门等推动本区域、本行业的数据应用发展,并配套成立企业级的集团型公司开展数据产品和服务的应用探索、市场化数据的应用创新,截至2025年8月,全国数据管理组织体系已基本成型。

同时,各省积极推动公共数据授权运营工作,贵州、江苏、浙江、北京等已发布《公共数据授权运营管理办法》,四川、山西、广西等省也通过《数据条例》初步明确公共数据授权运营工作。今年7月15日上海市人民政府办公厅印发沪府办发〔2025〕15号通知,正式《上海市公共数据资源授权营管理办法》(以下简称《办法》),并于发布日正式施行。

02.  “图”来源  

上海作为中国特大城市,一直富有创新和探索精神,并拥有大量的公共数据资源,成为数据要素开发利用、先行先试的重要载体。另一面,上海作为居民规模体量超大城市,经济基本盘也超级巨大,某些方面又应以“稳重”为底盘。

因此,《上海市公共数据资源授权运营管理办法》“姗姗来迟”,今年7月正式发布。它总体明确公共数据授权运营的基本原则、组织体系、授权运营机制、财务管理、安全合规等基本内容。今天详细解读和学习上海市公共数据授权运营机制和运营思路,供大家参考。

03.  “图”说明  

图片

图1:《办法》总体框架

(一)总体框架

《办法》全文九章34条,分别包括总则、授权管理、数据基础设施、数据供给、运营管理、开发管理、安全合规、监督与评价、附则,对章节要点进行解析,如下:

1.总则

  • 明确四个目的分别是“为加快推进公共数据资源开发利用、规范公共数据资源授权运营、培育数据要素市场、发展新质生产力、优化营商环境”。
  • 明确适用范围。本市行政区域内公共数据资源授权运营及相关管理活动,包括上海市各级行政机关、事业单位、国有企业持有的公共数据;供水、电、气、公共交通等公用事业运营单位可参照执行。
  • 明确基本原则坚持发展与安全并重,按照“依法合规、公平公正、统一授权、公益优先、合理收益、安全可控”的原则,依法保障授权运营各参与方的合法权益,维护国家安全和公共利益,保护个人信息和商业秘密。
  • 明确职责分工。市政府作为统筹协调,依托市数据发展管理工作领导小组统筹重大政策、跨部门协调。市数据主管部门(市数据局)开展日常管理,如制定制度标准、确定统一实施机构、编制并督导实施方案;行业主管部门负责本行业数据供给、质量治理、场景规划与创新;网信、发改、公安、财政、市场监管、国资、知识产权等按职责分工协同配合。区政府做场景、政策、园区配套工作。

2.授权管理

  • 采用“整体授权”机制。如确实有需求的区预留路径可向市领导小组申请,同意后执行。
  • 编制公共数据资源授权运营实施方案市数据局指导实施机构,实施机构编制实施方案,报请市政府审定后实施,并作为运营机构选定的前置条件。
  • 运营机构选定与能力要求。
  • 按照规定程序,采取公平竞争方式选择运营机构,并与运营机构签订公共数据资源授权运营协议,报市数据主管部门备案。
  • 具备数据资源治理、加工、运营等所需的管理和技术服务能力,无不良经营记录,信用状况良好,符合国家数据安全保护要求的法人组织。

3.数据基础设施

  • 建设统一数据基础设施依托区块链、隐私计算、可信数据空间建设全市统一数据基础设施。
  • 建立授权运营域实施机构在统一底座内划定“公共数据授权运营域”,实现登记、开发、监管一体化。
  • 界定存量平台接入其他已建渠道须按统一标准改造后有序接入,避免多头分散。

4.数据供给

  • 数据资源上链归集所有公共数据须在大数据资源平台完成上链、编目、分类分级,实现集中治理。
  • 明确行业供数责任各行业主管部门组织本系统数据高质量供给,可指定事业单位或国企作为供数执行主体。
  • 多源数据融合开发鼓励运营机构对接国家部委、长三角及其他省市公共数据,依法引入非公共数据;鼓励建设数据创新实验室与沙盒监管。

5.运营管理

  • 运营机构职能在授权范围内治理数据、开发基础产品,评估开发主体资质;不得再开发已交付产品、不得垄断或不正当竞争。
  • 加强财务管理运营机构须建立专账,实施机构负责内控审计。
  • 明确定价与收益区分基础工数据产品和服务、经营性产品和服务。其中公益场景可无偿,经营场景实行政府指导价;收益分配机制由市数据局会同发改、财政、国资等部门制定。

6.开发管理

  • 开发主体要求具备实施机构规定的条件、基础公共数据产品和服务再开发、融合多源数据的创新开发。
  • 场景申请和评估提交公共数据资源应用场景方案,接受应用场景合规性评估。
  • 公共数据产品和服务发布先申请,评估后再发布,加强过程监督。评估依据参照“应用场景方案”,评估纬度包括合规性、安全性和一致性。

7.安全管理

  • 制定四级安全责任体系谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责。
  • 明确安全合规责任:(1)实施机构,建立对公共数据安全合规流通的监测、审计和溯源机制,落实分类分级安全管理要求,加强技术支撑和数据安全管理,授权运营基础设施定期评估;(2)运营机构,落实公共数据的全生命周期安全合规管理,加强内控管理、技术管理和人员管理;(3)开发主体,应当确保开发的公共数据产品和服务符合法律法规和标准规范要求。
  • 落实安全监管要求:网信、公安等部门协同开展分类分级、风险评估、应急处置与全流程监管。

8.监督与评价

  • 监督分工。实施机构、运营机构定期公开运营情况;市数据局组织第三方成效评估,结果与数字化项目、国资考核挂钩;鼓励各区、各部门政策扶持、园区载体降低用数成本,支持长三角跨区域协同开发。

(二)授权运营图解

为方便大家理解,对《办法》文字版进行理解后,梳理其中的主体、客体及它们之间关系,形成《上海公共数据授权运营示意图》,供参考。

图片

图2:上海市公共数据授权运营示意图

核心思路从三个方面进行解析,如下:

一是围绕数据本身,涉及相关要求,比如数据主体、存储数据的数据基础设施和数据开发环境;

二是围绕参与公共数据授权运营的各类主体包括数据管理及监管部门、数据运营及开发主体;

三是围绕数据运营工作全过程的安全合规管理需要区分安全责任落实执行、监督管理由不同的部门执行。

1.授权运营各类主体

  • 数据管理及监管部门市政府、市数据发展管理工作领导小组(实际落地决策部门)、市数据主管部门(实际为市数据局)、各行业主管部门、实施机构、区数据主管部门
  • 协同部门:网信、发展改革、公安、财政、市场监督、国资、知识产权;
  • 数据运营及开发主体:运营机构(整体授权)、额外运营实体、各类数据开发实体。

2.数据本身及相关设施

  • 数据本身:本市公共数据资源、国家部委、长三角地区、其他省可共享公共数据、其他依法获取的数据源等。参照国家数据局发布《数据领域常用名词解释(第一批)》中是指“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据”。公共数据资源范围非常广,《办法》中的数据是指授权运营范围内的公共数据,并非所有公共数据
  • 相关设施:包括大数据资源管理平台、全市统一数据基础设施、已建成的开发利用平台、数据创新实验室、授权运营基础设施等,它们主要用来存储数据、开发利用数据。

3.安全合规原则与要求

(1)市数据主管部门、行业主管部门、市网信和公安部门

  • 配合安全管理、监督检查,建立健全公共数据分类分级、风险评估、监测预警、应急处置工作体系,以及全流程安全监管体系;
  • 建立针对网络安全、数据安全、个人信息保护等的协同监管机制,严格管控未依法依规公开的原始公共数据资源直接进入市场。

(2)实施机构、运营机构、开发主体

图片

(三)关键要点分析

1.了解上海市公共数据授权运营思路

研读完《办法》的一些感受,尝试总结“上海市公共数据授权运营的思路和亮点”,如下:

  • 亮点1:坚持走数据融合开放之路数据价值的有效释放,数据融合是核心因素。不仅包括内部数据融合、不同行业数据融合,也强调与外部的数据多源融合,比如融合依法获取的非公共数据;
  • 亮点2:强调数据质量的重要性,从源头管好数据。行业主管作为公共数据供数的核心主力,源头数据质量控制好;所有的数据产品和服务的形成,必须依赖高质量的数据,避免源头出错。
  • 亮点3:坚守数据业务发展安全并重,数据合规不容忽视。数据业务的安全不仅是数据基础设施安全和网络边界安全,以数据处理活动为主、颗粒度更细的数据安全同样重要。此外,必须覆盖数据合规,包括数据来源的合规、公共数据授权范围的合规、数据产品和服务过程的合规、收益定价的合规。
  • 亮点4:为创新和发展预留必要的路径比如在总体采取整体授权运营机制时,特别预留通道,如确实有必要的,可单独申请公共数据授权运营,鼓励行业主管和区数据主管部门探索数据创新实验室模式,鼓励行业开展公共数据授权运营探索。

2.公共数据定价与收益分配机制

公共数据定价和收益分配一直是难点和痛点,尤其涉及收费数据产品

国家层面,数据要素价值释放需要在各行各业、社会企业落地应用,产生价值。企业层面,有明确且大量的公共数据资源需求,期望通过公共数据开发与企业侧的数据进行融合创新,寻找新的增长路线。过程中不仅数据本身变成资源,数据融合开发过程形成数据语料、数据模型也可作为知识产权、数据资产作价评估。

  • 区分收费模式。运营机构提供的基础公共数据产品和服务,用于公共治理、公益事业的,有条件无偿使用;用于产业发展、行业发展的经营性产品和服务,确需收费的,实行政府指导定价管理。
  • 明确收益分配原则。按照“谁投入、谁贡献、谁受益”的基本原则,推动公共数据资源授权运营收益的合理分配,保护各参与方的合法权益。鼓励实施机构、运营机构等参与方依法合规通过技术、产品和服务等方式,支持市、区及各部门的数据治理和服务能力建设。

3.各类主体的工作清单

根据《办法》提及的各类主体,分析他们的重要工作清单,大致包括62项,其中与数据管理与监管部门的47项;涉及数据运营及开发的15项,如下:

(1)数据管理及监管部门

图片

(2)数据运营及开发主体

图片

4.授权运营工作的重要制度和文件

数据主管部门:《公共数据授权运营实施细则》、《公共数据授权运营管理制度和标准规范》

实施机构:《公共数据资源授权运营实施方案》、《公共数据资源授权运营协议》

运营机构:《公共数据全生命周期安全合规管理制度》

开发主体:《公共数据资源应用场景方案》公共数据授权运营方案是整个工作的起点与核心,其内容框架见下图:

图片

图3:上海市公共数据授权运营方案框架

04.  “图”实践 

  • 授权运营新问题,需要不断试错和实践总结

企业对数据的需求一直很强烈,2018年之前的数据应用更多是源数据的直接采买和数据交换。2018年GDPR正式发布后,对数据、个人隐私等提出了严格处罚规则,各个国家开始重视数据安全合规,避免数据滥用问题。

我国2019年国家《数据安全法》《个人信息保护法》相继出台,关于数据的安全、合规上升到新高度。随后几年数据成为新的生产要素,数据合规流通、数据融合创新,成为数字经济的新质生产力,其中公共数据的开发利用是核心之一。

从国家政策驱动、标准规范及运营管理办法逐步在各省市落地执行,在这个过程中必然出现很多新问题,比如组织机构建立、授权运营机制模式、数据产品和服务开发和发布、如何定价和收益分配、谁来建设公共数据授权运营基础设施等,都需要不断的探索与实践,从实践中趟出一条路。

  • 全方位增强数据安全、数据合规意识

数据业务已成为必然趋势,在公共数据授权运营实践经验需要不断积累,关于“数据合规、数据安全”必然成为数据业务工作中的关键之一。参与该项工作中的管理部门、监管部门、运营部门、开发主体等,涉及相关工作岗位人员,需要保持高度的数据合规、数据安全意识,工作过程中“严谨、务实、规范”,保护好个人、保护好企业、保护好数据,积极投入到数据业务行业,跟随数据新政策、新形势,做好转型升级。

注:本文基于个人经验,从安全视角对《上海市公共数据资源授权运营管理办法》进行“人工”研读学习,提供一些学习后的体会,仅代表个人观点。

作者 :Smart

来源:合规社