随着数字经济的迅猛发展，公共数据资源的开发利用愈发重要。上海市为加快推进公共数据资源开发利用，规范公共数据资源授权运营，培育数据要素市场，于2025年7月12日发布了《上海市公共数据资源授权运营管理办法》（以下简称《办法》）。此前，已有不少省市区域出台了相关规定，如，浙江省于2023年8月1日发布了《浙江省公共数据授权运营管理办法（试行）》（以下简称《浙江办法》）、南京市于2024年4月23日发布了《南京市公共数据授权运营管理暂行办法》、江苏省于2024年10月23日发布了《江苏省公共数据授权运营管理暂行办法》（以下简称《江苏办法》）等。

本文将围绕该《办法》，对十个关键性的热点问题进行具体的分析解读，以更好地理解和运用这一政策。

《办法》明确，公共数据资源授权运营是指将本市公共数据资源，按照法律法规和相关要求，授权符合条件的运营机构进行治理、开发，并面向市场公平提供数据产品和服务的活动。其适用范围为本市行政区域内公共数据资源授权运营及相关管理活动。这意味着在上海市范围内，所有涉及公共数据资源授权运营的行为都要遵循该《办法》的规定，从数据的获取、治理到产品和服务的提供，都在监管范围内，确保了公共数据资源授权运营活动的规范性和有序性。

根据《办法》第三条，实施机构是指由市政府按照规范程序确定，具体负责组织开展授权运营活动的单位；运营机构是指按照规范程序获得授权，对授权范围内的公共数据资源进行开发运营的法人组织；而开发主体是指依场景开发公共数据资源，形成数据产品和服务，满足市场化需求的法人和非法人组织。

在公共数据资源授权运营过程中，实施机构、运营机构和开发主体之间存在着密切的协作关系。实施机构负责组织开展授权运营活动，运营机构在实施机构的管理和监督下进行数据开发运营，开发主体则依托运营机构提供的数据产品和服务进行再开发。

具体而言，实施机构的主要职责是组织协调公共数据资源授权运营工作，制定相关管理制度和标准规范，确定运营机构和开发主体，监督管理授权运营活动等，一般为具有一定行政职能或公共服务属性的单位；运营机构的主要职责是基于实施机构提供的安全可控的开发利用环境进行数据治理和开发，形成基础的公共数据产品和服务，需要具备数据资源治理、加工、运营等所需的管理和技术服务能力，经营状况和信用状况良好，符合国家数据安全保护要求的法人组织；而开发主体的主要职责是对运营机构交付的基础公共数据产品和服务进行再开发，融合多源数据，提升公共数据产品和服务价值，推动场景应用，一般要求其具有与开发场景相关的技术能力、数据应用能力等。三者的职责和定位有所不同，一般情况下身份不会重叠。

对比浙江，《浙江办法》中仅规定了“授权运营单位”，并未明确区分“运营主体”和“开发主体”，即，授权运营单位系对授权的公共数据进行加工处理，开发形成数据产品和服务，并向社会提供的主体。但据了解，浙江省在具体的公共数据授权运营工作中，还是存在不同主体承担不同职责的情况，即，运营主体承担数据安全与合规、平台建设管理、数据质量、运营保障、运营生态培育等职责；开发主体承担数据安全合规开发利用、数据产品经营等责任。

上海市公共数据资源授权运营采用整体授权模式。这种模式强调市级层面的统筹规划，由市政府统一领导，市数据主管部门综合协调管理。确有需要的区，可在全市统筹领导下，报请市数据发展管理工作领导小组同意后，依据本办法开展公共数据资源授权运营工作。整体授权模式有利于整合全市公共数据资源，避免各自为政带来的数据孤岛和重复建设问题，同时也能在统一的框架下保障数据安全和合规运营。

对比而言，江苏省采取“两级主体、分级授权”模式，两级主体指运营主体和开发主体，由数据主管部门试点确定运营主体，再由运营主体选择开发主体进行数据开发利用。分级授权是指省、设区的市人民政府授权本级数据主管部门试点确定本级运营主体。浙江省实施“分级授权”模式，省市的公共数据主管部门依托公共数据平台建设授权运营域，县（市、区）依托市级授权运营域开展授权运营工作，公共数据主管部门结合重点领域和具体应用场景确定授权运营领域与授权运营单位。北京市采用“分场景授权”模式，比如设置了金融专区授权，通过这种方式推动公共数据在金融等特定领域的融合应用和价值释放。

2025年1月8日发布的《公共数据资源授权运营实施规范（试行）》（以下简称《国家实施规范》）第十二条规定，实施机构应当根据审定同意后的实施方案，按照法律法规要求，以公开招标、邀请招标、谈判等公平竞争方式选择运营机构。《办法》明确，实施机构应当根据审定后的实施方案，按照规定程序，采取公平竞争方式选择运营机构，并与运营机构签订公共数据资源授权运营协议，报市数据主管部门备案。但并未明确采用何种公平竞争方式，我们理解，根据实际情况，公开招标、邀请招标、谈判等方式应皆可能使用。通过公平竞争的方式选择运营机构，有利于引入市场活力，提高运营效率，同时对运营机构的资质要求也保障了公共数据资源的安全和有效开发利用。

运营机构需要具备数据资源治理、加工、运营等所需的管理和技术服务能力，无不良经营记录，信用状况良好，符合国家数据安全保护要求的法人组织。在实际操作中，实施机构会制定详细的评审标准，对参与竞争的运营机构从技术实力、管理经验、安全保障能力等多方面进行评估，从而选出最适合的运营机构来承担公共数据资源的运营工作。

对比江苏，江苏对运营主体的责任规定得较为细致，强调其要承担授权运营平台建设等一系列工作，但并未明确运营主体的选择机制。上海在选定运营机构时，更强调其要具备综合的数据治理、加工、运营能力，从更宏观的角度去筛选，对于运营机构后续在平台建设等具体事项上虽未如江苏那样细致罗列，我们理解，这并不意味着忽视，而是将重点放在了对运营机构综合实力的考量上，这样能给予运营机构更多自主发挥空间。

开发主体需具备实施机构规定的条件，对运营机构交付的基础公共数据产品和服务再开发，融合多源数据，提升数据产品和服务的价值。虽然《办法》未明确开发主体的具体选定条件，但开发主体会通过运营机构向实施机构提交公共数据资源应用场景方案，接受应用场景合规性评估。因而实施机构会根据实际情况，从技术能力、资金实力、行业经验、数据安全保障能力等方面对开发主体进行评估和筛选。开发主体作为公共数据资源开发利用的终端环节，其能力和资质直接影响到数据产品和服务的质量和市场价值。具备相应条件的开发主体能够更好地挖掘公共数据的潜力，开发出符合市场需求的创新产品和服务，推动公共数据资源的深度开发利用。

对比江苏，《江苏办法》第九条明确规定了开发主体需单位及其法定代表人无重大违法记录，单位未发生过重大数据安全事件等条件，具有较强的可参考性。浙江未明确提及开发主体的选定方式，重点在于授权运营单位（我们认为应包含运营机构和开发主体）的选定，通过公共数据主管部门发布通告、单位申请、相关单位审核等流程确定。《浙江办法》在第三条提出了授权运营单位安全条件，其中，“技术安全要求”包括“具备成熟的数据管理能力和数据安全保障能力、近3年未发生网络安全或数据安全事件”等，“应用场景安全要求”包括“授权运营的应用场景具有重大经济价值和社会价值，具有较强的可实施性，在授权运营期限内有明确的目标和计划，能够取得显著成效”。我们理解，浙江实施机构也会根据实际情况对开发主体进行评估和筛选。

上海市将借助区块链、隐私计算、可信数据空间等数字技术，打造全市统一的数据基础设施。实施机构依托全市数据基础设施，设定公共数据授权运营域，建设具备资源登记、运营管理、开发利用、安全监管等功能的统一公共数据资源授权运营基础设施。统一的数据基础设施建设为公共数据资源授权运营提供了需要的技术支撑。区块链、隐私计算以及可信数据空间等技术手段，实现了公共数据“可用不可见”“可控可计量”，在保障数据安全的同时，促进了数据的开发利用。

实际上，北京、杭州、苏州等国家数据基础设施建设（先行先试）试点城市普遍将区块链和隐私计算作为核心技术支撑。如北京金融公共数据专区通过区块链实现数据全流程溯源，并结合隐私计算技术完成企业信用数据与金融机构数据的跨域融合，支撑超54万户市场主体的融资服务[1]；杭州则构建“数场+数据空间”架构，以区块链为底层信任机制，隐私计算为核心安全手段，实现政务数据与社会数据的合规流通，其算力调度平台可整合3万卡算力资源[2]；浙江建立全省统一的授权运营域系统，要求所有公共数据加工处理必须在授权运营域内完成，实现“原始数据不出域、数据可用不可见[3]。相较而言，各地均以区块链、隐私计算为核心技术，但上海更强调全市统一基础设施的标准化，而北京、杭州等地可能更注重场景化创新和区域协同。

《办法》并未对“公共数据资源”的概念进行界定，我们可以参考《上海市数据条例》第三条，公共数据是指本市国家机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的组织（以下统称公共管理和服务机构），在履行公共管理和服务职责过程中收集和产生的数据。即，公共数据须满足两个条件，一是主体条件，公共数据必须是国家机关、事业单位、依法获得授权负责公共事务管理职能的机构以及提供各类公共服务的机构所收集和产生的数据；二是行为条件，公共数据需在依法履行公共事务管理职责或提供公共服务过程中收集和生成。引用一位专家的话来说，“公共数据并不局限于统一到地方大数据资源平台上的数据，当你对某一类数据不确定其属于公共还是非公共数据时，那么它大概率属于公共数据”。此话也可以看出公共数据的范围之宽泛。

对于公共数据资源的归集，《办法》明确，上海市公共数据资源依托大数据资源平台开展上链、编目、分类分级，实现集中统一管理，推动公共数据资源归集治理。市数据主管部门指导实施机构编制授权运营公共数据资源目录，对不影响公共安全、法律法规未禁止共享的公共数据加大供给力度。各行业主管部门应当推动本系统本行业公共数据的供给，指导所属事业单位、国有企业加大数据供给力度、提升数据供给质量、开展公共数据资源登记，协调推动部市数据对接。通过明确的数据供给机制，实现了本市公共数据资源的有序整合和管理。

不仅如此，为了提升数据产品和服务价值，公共数据还可能融合其他经营主体的数据，《办法》规定，鼓励运营机构积极对接国家部委、长三角地区和其他省市公共数据，以及依法合规获取非公共数据，与本市公共数据资源进行融合开发。年初发布的《国家实施规范》第六条就提到了“鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发，融合多源数据，提升数据产品和服务价值，繁荣数据产业发展生态”。很明显,《办法》贯彻了《国家实施规范》的要求，同时意味着，不同来源数据的融合，不仅丰富了数据资源池，也为数据产品和服务的开发提供了更充足的数据支持。

比如杭州，公共管理和服务机构必须通过“杭州市公共数据授权运营平台”归集数据，已建通道需在2025年前全部迁移至该平台[4]。再如北京，在金融、医疗等领域设立数据专区，由专区运营单位定向归集特定数据（如企业纳税、医保报销记录），第三方需签订保密协议后才可申请使用[5]。

《办法》要求，运营机构应当依法依规在授权范围内开展业务，并配合实施机构对开发主体资质、应用场景方案等开展相关评估工作。运营机构不得直接或者间接参与授权范围内已交付的公共数据产品和服务再开发，不得通过与开发主体达成垄断协议或者滥用市场支配地位等实施垄断行为，不得利用数据、算法、技术、资本优势等从事不正当竞争行为。这些规定明确了运营机构的职能边界和行为准则。运营机构作为公共数据资源开发运营的主体，要在合法合规的框架内开展业务，同时承担起协助实施机构进行管理的职责。对运营机构的限制则是为了维护市场公平竞争环境，防止运营机构利用其特殊地位谋取不当利益，保障公共数据资源授权运营市场的健康发展。

对比江苏，与《办法》类似，《江苏办法》构建了两级主体隔离机制，运营主体负责平台管理、数据加工和安全监管，不得参与具体数据产品开发；开发主体独立开展再开发，数据产品需在省级数据交易场所登记交易，从制度上切断运营机构与再开发的利益关联。而广州市也在《广州市公共数据授权运营管理暂行办法》（以下简称《广州办法》）中明确，运营机构仅能提供数据加工、算力支持等基础服务，不得以搭售增值服务限制数据商申请数据；数据商再开发形成的产品需在广州数据交易所备案，平台自动监测产品与原始数据的关联度，违规产品将被下架。相较而言，上海对运营机构的限制规定得较为全面，不仅强调不得参与已交付产品和服务的再开发，还特别防止其垄断和不正当竞争。

上海市数据主管部门会同市发展改革、财政、国资部门和市相关行业主管部门，建立健全公共数据产品和服务的定价与收益分配机制。运营机构提供的基础公共数据产品和服务，用于公共治理、公益事业的，有条件无偿使用；用于产业发展、行业发展的经营性产品和服务，确需收费的，实行政府指导定价管理。按照“谁投入、谁贡献、谁受益”的原则，推动公共数据资源授权运营收益的合理分配，保护各参与方的合法权益。这种定价和收益分配机制充分考虑了公共数据的公益属性和市场属性。对于用于公共治理和公益事业的产品和服务，以无偿使用为原则，体现了公共数据的公共服务功能；对于经营性产品和服务，实行政府指导定价，既能避免价格的无序波动，又能合理反映市场需求和成本。在具体实施过程中，相关部门会根据不同的数据产品和服务类型，综合考虑成本、市场需求、社会效益等因素，制定具体的定价标准和收益分配方案。

江苏省在收益分配方面，也强调合理分配，由运营主体参考成本定价，按协议向开发主体收取合理费用；根据《广州办法》，广州市推行“保本微利+场景分类”定价，运营机构对数据加工、算力支持等服务按“保本微利”原则收费。

在安全合规方面，《办法》明确了数据安全主体责任。将公共数据授权运营纳入“三重一大”决策范围，要求实施机构落实分类分级管理，运营机构要建立全生命周期安全合规管理，且开发主体不得侵害他人数据合法权益。构建统一合规的数据基础设施，依托区块链、隐私计算、可信数据空间等数字技术打造上海市统一的数据基础设施，设定公共数据授权运营域，实现公共数据“可用不可见”“可控可计量”。联动协调数据安全监管，严格限制未脱敏原始公共数据直接入市，上海市数据主管部门会同市行业主管和网信、公安等部门建立跨领域跨部门协同监管机制，并在分级分类、风险评估、监测预警及应急处置工作方面各司其职。通过这些全方位的安全保障措施，从决策层面、技术层面到监管层面，构建了严密的数据安全防护网，确保公共数据资源在授权运营过程中的安全合规，有效防范数据安全风险，保护个人信息、商业秘密和国家安全。在实际执行过程中，各相关部门和机构会严格按照规定履行职责，加强沟通协作，形成安全监管合力。

与江苏、浙江相比，《办法》在安全合规保障措施上更为全面和系统。江苏省虽也有安全责任规定和监管机制，但上海将公共数据授权运营纳入“三重一大”决策范围，从决策源头强化安全意识。这里需要说明，由于江苏和浙江出台办法较早，未能参考或遵循2025年1月份出台的《国家实施规范》，而《办法》的出台较好地贯彻了《国家实施规范》中的规定。

《浦东新区公共数据授权运营管理若干规定（试行）》（以下简称《浦东规定》）依据《上海市人民代表大会常务委员会关于加强浦东新区高水平改革开放法治保障制定浦东新区法规的决定》制定，属于浦东新区法规，具有先行先试的立法权限，于2025年2月1日起正式实施；而《办法》属于市级规范性文件，依据《上海市数据条例》等制定，适用于全市范围。依据《中华人民共和国立法法》第八十四条之“上海市人民代表大会及其常务委员会根据全国人民代表大会常务委员会的授权决定，制定浦东新区法规，在浦东新区实施”，因而《浦东规定》可在浦东新区范围内优先适用。

《办法》与《浦东规定》在内容上主要有三点差异：

一是授权运营模式：《浦东规定》采用“整体授权+领域授权”双轨制，“整体授权”由浦东新区数据主管部门统筹授权运营；“领域授权”则允许区行业主管部门在特定领域（如金融、医疗）单独授权运营机构，形成“条块结合”的机制；而《办法》采用整体授权模式，要求各区开展授权运营需报请市数据发展管理工作领导小组同意。

二是基础设施与平台部署：《浦东规定》允许浦东新区在全市统一基础设施框架下，根据需要部署区级公共数据授权运营平台，并接入国家区块链网络（上海）枢纽。而《办法》要求全市建设统一的授权运营基础设施，其他已建成平台需逐步接入，实现“数据不出域、服务可跨区”。

三是审批与备案程序：浦东新区可通过公平竞争方式确定运营机构，结果报市数据主管部门备案即可实施，无需市级前置审批；而《办法》中，区申请授权需经市领导小组审定实施方案，运营机构选定结果需报市数据主管部门备案。

我们理解，《浦东规定》与《办法》的关系本质上是“先行先试”与“统筹规范”的互补，在实施过程中，实践会进一步推动规则的优化。

《办法》的出台，为上海市公共数据资源的开发利用提供了明确的规范和指引。通过对上述十个热点问题的分析解读，我们可以看到，该《办法》在授权运营的各个环节，从定义适用范围到运营机构选定，从数据基础设施建设到安全合规保障，都进行了详细且合理的规定。与其他省市类似办法相比，上海的《办法》具有自身独特的优势和特点，不仅有助于推动上海市公共数据资源的高效开发利用，培育健康的数据要素市场，也为全国其他地区提供了有益的借鉴。