□法治报记者  胡蝶飞

“本市建立公共数据授权运营机制，提高公共数据社会化开发利用水平。” 11月29日，上海市第十五届人大常委会第三十七次会议25日表决通过的《上海市数据条例》  （以下简称《条例》）全文公布，其中公共数据授权运营特设专节中明确。

记者从市政府昨天召开的新闻通气会上了解到，公共数据授权运营是此次上海数据立法的亮点之一，这也是全国范围内第一次以立法形式提出公共数据授权运营制度。相关授权运营具体管理办法也拟于明年出台。

发布会还介绍了《条例》在体制贯通、建立数据安全治理体系、长三角区域数据合作等方面诸多亮点。

记者同时获悉，为更好贯彻实施《条例》，本市正抓紧研究制定包括公共数据授权运营管理办法在内的系列操作性配套措施，拟于2022年逐步出台，形成1+X格局。

全国首推公共数据授权运营

在市大数据中心副主任王晓妹看来，此次上海地方立法有五大亮点“可圈可点”。其中尤其值得一提的，就是在全国范围内首次以立法形式提出公共数据授权运营制度。

长期以来，公共数据流通过程中遇到诸多瓶颈、堵点问题。例如，一些高价值公共数据因风险控制难度大而不敢开放，数据供方和需方缺少开发生态链接，中小企业开发利用难等。

“上海在全国率先为公共数据授权运营立法，就是为了解决长期以来公共数据流通过程中碰到的瓶颈问题，推动公共数据的社会化开发利用。”王晓妹介绍，

《条例》明确，构建统一协调的公共数据运营机制，推进公共数据和其他数据融合应用，充分发挥公共数据在推动城市数字化转型和促进经济社会发展中的驱动作用。同时明确，市政府办公厅应当组织制定公共数据授权运营管理办法。

记者了解到，本市公共数据授权运营具体管理办法正在研究制定中，拟于明年出台。将明确授权主体，授权条件、程序、数据范围，运营平台的服务和使用机制，运营行为规范，以及运营评价和退出情形等内容。根据《条例》，市大数据中心应当根据公共数据授权运营管理办法对被授权运营主体实施日常监督管理。

“公共数据是数据要素中非常重要的组成部分，其授权对整个社会数据的流通和利用具有重要的牵引作用。”王晓妹表示，目前，公共数据授权还不适宜作为一般的行政许可向社会主体全面放开，但在保障数据运营开发安全性的前提下，在一定范围内试点推行，开放部分授权给到社会主体以激发应用产品是有利的。

分层分级分类管理数据

会上，市政府办公厅数据发展管理办公室副主任殷仍就《条例》制定背景及主要内容作了介绍。

《条例》共十章九十一条，分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则。

记者注意到，  《条例》第三章公共数据部分共涵盖六条具体内容。其中第三十八条明确：“要公共管理和服务机构之间共享公共数据，应当以共享为原则，不共享为例外。公共数据应当通过大数据资源平台进行共享。”

在健全公共数据治理体系方面，本市将实施“分类分级分层”的差异化管理制度。“此次《条例》分别对公共数据采集、整合、共享、开放、应用的全生命周期治理体系作了进一步优化。”殷仍介绍。

根据《条例》，本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准，明确不同类别公共数据的管理要求，在公共数据全生命周期采取差异化管理措施。

“分层管理中有一个‘数据反哺’和协调管理机制。”殷仍介绍，通过市大数据资源平台治理的公共数据，可以按照数据的区域属性回传至大数据资源分平台，支持各区开展数据应用。

殷仍举了个例子，比如，通过公共数据由市级向区级“反哺”，即可改善小区楼栋门牌号的管理，可推动基层治理更加深层、积极有效。

将设立上海数据交易所

据介绍，此次上海数据立法还在体制贯通上迈出了关键一步。数据发展和管理工作涉及多个职能部门，为了加强顶层统筹，形成管理合力，此次数据立法明确由市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作。

同时，上海在国家法律框架内，进一步明确了与数据有关的人格权益和财产权益，促进数据流通利用和数据创新活动。贯彻党中央、国务院支持浦东新区高水平改革开放的意见，在浦东新区设立上海数据交易所，支持第三方评估以及交易撮合、交易代理等数据交易服务机构有序发展。

《条例》明确，将在临港新片区内探索制定低风险跨境流动数据目录，促进数据跨境安全、自由流动。本市支持浦东新区加强数据交易相关的数字信任体系建设，创新融合大数据、区块链、零信任等技术，构建数字信任基础设施，保障可信数据交易服务。

此外，  《条例》还对长三角区域数据合作作出专章规定。“上海将与长三角区域其他省市共同开展数据标准化体系建设，建立数据共享机制和数据质量协同治理机制，支撑长三角区域业务协同和场景应用。”殷仍介绍道。

建立数据安全治理体系

“数据安全是数据管理的底线。”殷仍介绍，  《条例》在《中华人民共和国数据安全法》等上位法的框架下，结合本市实际，建立了数据安全治理体系。

实行数据安全责任制，明确数据处理者的主体责任和安全保护义务；建立健全数据分类分级保护制度，确定本市重要数据目录，对列入目录的数据进行重点保护；明确信息化职能整合后市级责任部门和市大数据中心的数据安全责任；建立监测预警和应急处置机制，推动数据安全检测评估、认证等服务机构的发展。

根据《条例》，本市将建立重要数据目录管理机制，对列入目录的数据进行重点保护。

重要数据的具体目录由市政府办公厅会同市网信等部门编制，并按照规定报送国家有关部门。重要数据处理者应当明确数据安全责任人和管理机构，按照规定定期对其数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告。同时，本市将建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制，加强本地区数据安全风险信息的获取、分析、研判、预警工作。

此次还设立了个人信息特别保护专节。  《条例》明确，除法律、行政法规另有规定外，处理个人信息的，应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。处理个人自行公开或者其他已经合法公开的个人信息，应当依法在合理的范围内进行；个人明确拒绝的除外。处理已公开的个人信息，对个人权益有重大影响的，应当依法取得个人同意。

此外，为保障各项规定得到更好的落实，  《条例》设置“法律责任”一章，就公共管理和服务机构违反数据管理工作相关规定设置了相应的法律责任。同时，根据《中华人民共和国个人信息保护法》的规定，明确了信用惩戒和公益诉讼制度。