深圳落实综合改革试点又一成果落地——《深圳经济特区数据条例》(以下简称《条例》)7月6日在深圳市人大常委会网站公布,并将于明年1月1日起实施,这是国内数据领域首部基础性、综合性立法。《条例》坚持个人信息保护与促进数字经济发展并重,对市民深恶痛绝的APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”,并给予重罚。
7月5日下午,深圳市人大常委会召开法规解读会,对该《条例》进行解读。
个人数据处理规则以“告知—同意”为前提
我国互联网用户量已达9亿,应用程序数量数百万个。长期以来,一些APP过度收集个人信息、强制索要用户授权令人深恶痛绝。针对这一问题,《条例》确立以“告知-同意”为前提的个人数据处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。
当前,一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。不少用户往往被迫接受“一揽子协议”,这严重损害了用户作为个人数据主体的决定权。为此,《条例》专门规定,数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
用户有权拒绝被画像和被推荐
很多市民有这样的经历:在网上买过一个东西,就频频被推相关产品的广告。市人大常委会相关负责人表示,用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,应该给予规范。《条例》规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。自然人有权拒绝对其进行的用户画像或者基本用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。
《条例》将未满十四岁未成年人的个人数据视作敏感个人数据,首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外,不得向其进行个性化推荐。
“人脸识别”不能强制使用
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终身性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。
为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出更严格的规定——除了该生物识别数据为处理个人数据目的所必需且不能替代外,应当同时提供处理其他非生物识别数据的替代方案。
公共数据应当最大限度免费开放
政府各部门掌握的公共数据资源蕴藏着巨量的经济信息,通过增值开发不仅可以给市民带来便利,也可以产生巨大的经济效益。《条例》设计了公共数据治理的顶层框架,要求政府建立城市大数据中心,实现对全市公共数据资源统一、集约管理。明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。
《条例》明确将提供教育、卫生、社会福利、供水、供电、供水、环保、公交等公共服务的组织纳入公共管理和服务机构范围,其在提供服务过程中产生、处理的数据均属公共数据。公共数据应当在法律、法规允许范围内最大限度地开放,不得收取任何费用。
大数据“杀熟”最高可罚五千万元
在加强个人数据保护的基础上,《条例》探索培育数据要素市场,在填补目前数据交易相关法律规范的空白的同时,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象作出专门规定。
《条例》明确规定,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。违反上述规定拒不改正的,处五万元以上五十万元以下罚款,情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元。
深圳经济特区数据条例
(2021年6月29日深圳市第七届人民代表大会常务委员会第二次会议通过)
目录
第一章 总则
第二章 个人数据
第一节 一般规定
第二节 告知与同意
第三节 个人数据处理
第三章 公共数据
第一节 一般规定
第二节 公共数据共享
第三节 公共数据开放
第四节 公共数据利用
第四章 数据要素市场
第一节 一般规定
第二节 市场培育
第三节 公平竞争
第五章 数据安全
第一节 一般规定
第二节 数据安全管理
第三节 数据安全监督
第六章 法律责任
第七章 附则
第一章 总则
第一条 为了规范数据处理活动,保护自然人、法人和非法人组织的合法权益,促进数据作为生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。
第二条 本条例中下列用语的含义:
(一)数据,是指任何以电子或者其他方式对信息的记录。
(二)个人数据,是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。
(三)敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。
(四)生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。
(五)公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
(六)数据处理,是指数据的收集、存储、使用、加工、传输、提供、开放等活动。
(七)匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。
(八)用户画像,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。
(九)公共管理和服务机构,是指本市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。
第三条 自然人对个人数据享有法律、行政法规及本条例规定的人格权益。
处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则。
第四条 自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。
第五条 处理公共数据应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则,充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。
第六条 市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据共享开放、数据要素市场培育及数据安全监督管理工作。
第七条 市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会的日常工作由市政务服务数据管理部门承担。
市数据工作委员会可以设立若干专业委员会。
第八条 市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。
市政务服务数据管理部门负责本市公共数据管理的统筹、指导、协调和监督工作。
市发展改革、工业和信息化、公安、财政、人力资源保障、规划和自然资源、市场监管、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据监督管理相关职能。
市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。
第二章 个人数据
第一节 一般规定
第九条 处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。
第十条 处理个人数据应当符合下列要求:
(一)处理个人数据的目的明确、合理,方式合法、正当;
(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;
(三)依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;
(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;
(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。
第十一条 本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:
(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;
(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;
(三)处理个人数据的频率应当为实现处理目的所必需的最低频率;
(四)个人数据存储期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;
(五)建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。
第十二条 数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
第十三条 市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制,加强对个人数据保护和相关监督管理工作的统筹和指导;建立个人数据保护投诉举报处理机制,依法处理相关投诉举报。
第二节 告知与同意
第十四条 处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:
(一)数据处理者的姓名或者名称以及联系方式;
(二)处理个人数据的种类和范围;
(三)处理个人数据的目的和方式;
(四)存储个人数据的期限;
(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;
(六)自然人依法享有的相关权利以及行使权利的方式;
(七)法律、法规规定应当告知的其他事项。
处理敏感个人数据的,应当依照前款规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。
第十五条 紧急情况下为了保护自然人的人身、财产安全等重大合法权益,无法依照本条例第十四条规定进行事前告知的,应当在紧急情况消除后及时告知。
处理个人数据有法律、行政法规规定应当保密或者无需告知情形的,不适用本条例第十四条规定。
第十六条 数据处理者应当在处理个人数据前,征得自然人的同意,并在其同意范围内处理个人数据,但是法律、行政法规以及本条例另有规定的除外。
前款规定应当征得同意的事项发生变更的,应当重新征得同意。
第十七条 数据处理者不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。
第十八条 处理敏感个人数据的,应当在处理前征得该自然人的明示同意。
第十九条 处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外。
基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目的。
生物识别数据具体管理办法由市人民政府另行制定。
第二十条 处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意。
处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。
第二十一条 处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:
(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;
(二)为了订立或者履行自然人作为一方当事人的合同所必需;
(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;
(四)公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需;
(五)新闻单位依法进行新闻报道所必需;
(六)法律、行政法规规定的其他情形。
第二十二条 自然人有权撤回部分或者全部其处理个人数据的同意。
自然人撤回同意的,数据处理者不得继续处理该自然人撤回同意范围内的个人数据。但是,不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的,从其规定。
第二十三条 处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
第三节 个人数据处理
第二十四条 个人数据不准确或者不完整的,数据处理者应当根据自然人的要求及时补充、更正。
第二十五条 有下列情形之一的,数据处理者应当及时删除个人数据:
(一)法律、法规规定或者约定的存储期限届满;
(二)处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;
(三)自然人撤回同意且要求删除个人数据;
(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;
(五)法律、法规规定的其他情形。
有前款第一项、第二项规定情形,但是法律、法规另有规定或者经自然人同意的,数据处理者可以保留相关个人数据。
数据处理者根据本条第一款规定删除个人数据的,可以留存告知和同意的证据,但是不得超过其履行法定义务或者处理纠纷需要的必要限度。
第二十六条 数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。
第二十七条 数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:
(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;
(二)基于自然人的同意向他人提供相关个人数据的;
(三)为了订立或者履行自然人作为一方当事人的合同所必需的;
(四)法律、行政法规规定的其他情形。
第二十八条 自然人可以向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定及时提供,并不得收取费用。
第二十九条 数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。
自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。
第三十条 数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。
第三十一条 数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。
数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。
第三章 公共数据
第一节 一般规定
第三十二条 市数据工作委员会设立公共数据专业委员会,负责研究、协调公共数据管理工作中的重大事项。
市政务服务数据管理部门承担市公共数据专业委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和利用。
区政务服务数据管理部门在市政务服务数据管理部门指导下,负责统筹本区公共数据管理工作。
第三十三条 市人民政府应当建立城市大数据中心,建立健全其建设运行管理机制,实现对全市公共数据资源统一、集约、安全、高效管理。
各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。
城市大数据中心包括公共数据资源和支撑其管理的软硬件基础设施。
第三十四条 市政务服务数据管理部门负责推动公共数据向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据共享、开放和利用。
第三十五条 实行公共数据分类管理制度。
市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划、建设和管理,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。
各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。
公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。
第三十六条 实行公共数据目录管理制度。
市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制规范,组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据,明确数据来源部门和管理职责。
公共管理和服务机构应当按照公共数据资源目录编制规范要求,对本机构的公共数据进行目录管理。
第三十七条 公共管理和服务机构收集数据应当符合下列要求:
(一)为依法履行公共管理职责或者提供公共服务所必需,且在其履行的公共管理职责或者提供的公共服务范围内;
(二)收集数据的种类和范围与其依法履行的公共管理职责或者提供的公共服务相适应;
(三)收集程序符合法律、法规相关规定。
公共管理和服务机构可以通过共享方式获得的数据,不得另行向自然人、法人和非法人组织收集。
第三十八条 公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录。
第三十九条 市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。
公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管理,保障数据真实、准确、完整、及时、可用。
市公共数据专业委员会应当定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。
第四十条 市人民政府应当加强公共数据共享、开放和利用体制机制和技术创新,不断提高公共数据共享、开放和利用的质量与效率。
第二节 公共数据共享
第四十一条 公共数据应当以共享为原则,不共享为例外。
市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度。
第四十二条 纳入公共数据共享目录的公共数据,应当按照有关规定通过城市大数据中心的公共数据共享平台在有需要的公共管理和服务机构之间及时、准确共享,法律、法规另有规定的除外。
公共数据共享目录由市政务服务数据管理部门另行制定,并及时调整。
第四十三条 公共管理和服务机构可以根据依法履行公共管理职责或者提供公共服务的需要提出公共数据共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门的要求,加强共享数据使用管理,不得超出使用范围或者用于其他目的。
公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并提供必要的数据使用指导和技术支持。
第四十四条 公共管理和服务机构依法履行公共管理职责或者提供公共服务所需要的数据,无法通过公共数据共享平台共享获得的,可以由市人民政府统一对外采购,并按照有关规定纳入公共数据共享目录,具体工作由市政务服务数据管理部门统筹。
第三节 公共数据开放
第四十五条 本条例所称公共数据开放,是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据的活动。
第四十六条 公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。
第四十七条 依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。
第四十八条 公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。
无条件开放的公共数据,是指应当无条件向自然人、法人和非法人组织开放的公共数据;有条件开放的公共数据,是指按照特定方式向自然人、法人和非法人组织平等开放的公共数据;不予开放的公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。
第四十九条 市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据开放管理制度,编制公共数据开放目录并及时调整。
有条件开放的公共数据,应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。
第五十条 市政务服务数据管理部门应当依托城市大数据中心建设统一、高效的公共数据开放平台,并组织公共管理和服务机构通过该平台向社会开放公共数据。
公共数据开放平台应当根据公共数据开放类型,提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。
第四节 公共数据利用
第五十一条 市人民政府应当加快推进数字政府建设,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据管理的制度规则,创新政府决策、监管及服务模式,实现主动、精准、整体式、智能化的公共管理和服务。
第五十二条 市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为公共管理和服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。
市人民政府可以依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善运行管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。
各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。
各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。
第五十三条 市人民政府应当依托城市智能中枢平台,推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。
市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在公共管理和服务过程中的创新应用,精简办事材料、环节,优化办事流程;对于可以通过数据比对作出审批决定的事项,可以开展无人干预智能审批。
第五十四条 市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,推行非现场监管、信用监管、风险预警等新型监管模式,提升监管水平。
第五十五条 市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,共同开展智慧城市应用创新。
第四章 数据要素市场
第一节 一般规定
第五十六条 市人民政府应当统筹规划,加快培育数据要素市场,推动构建数据收集、加工、共享、开放、交易、应用等数据要素市场体系,促进数据资源有序、高效流动与利用。
第五十七条 市场主体开展数据处理活动,应当落实数据管理主体责任,建立健全数据治理组织架构、管理制度和自我评估机制,对数据实施分类分级保护和管理,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性。
第五十八条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。
第五十九条 市场主体向第三方开放或者提供使用个人数据的,应当遵守本条例第二章的有关规定;向特定第三方开放、委托处理、提供使用个人数据的,应当签订相关协议。
第六十条 使用、传输、受委托处理其他市场主体的数据产品和服务,涉及个人数据的,应当遵守本条例第二章的规定以及相关协议的约定。
第二节 市场培育
第六十一条 市人民政府应当组织制定数据处理活动合规标准、数据产品和服务标准、数据质量标准、数据安全标准、数据价值评估标准、数据治理评估标准等地方标准。
支持数据相关行业组织制定团体标准和行业规范,提供信息、技术、培训等服务,引导和督促市场主体规范其数据行为,促进行业健康发展。
鼓励市场主体制定数据相关企业标准,参与制定相关地方标准和团体标准。
第六十二条 数据处理者可以委托第三方机构进行数据质量评估认证;第三方机构应当按照独立、公开、公正原则,开展数据质量评估认证活动。
第六十三条 鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面,探索构建数据资产定价指标体系,推动制定数据价值评估准则。
第六十四条 市统计部门应当探索建立数据生产要素统计核算制度,明确统计范围、统计指标和统计方法,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。
第六十五条 市人民政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。
市场主体可以通过依法设立的数据交易平台进行数据交易,也可以由交易双方依法自行交易。
第六十六条 数据交易平台应当建立安全、可信、可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。
第六十七条 市场主体合法处理数据形成的数据产品和服务,可以依法交易。但是,有下列情形之一的除外:
(一)交易的数据产品和服务包含个人数据未依法获得授权的;
(二)交易的数据产品和服务包含未经依法开放的公共数据的;
(三)法律、法规规定禁止交易的其他情形。
第三节 公平竞争
第六十八条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体合法权益的行为:
(一)使用非法手段获取其他市场主体的数据;
(二)利用非法收集的其他市场主体数据提供替代性产品或者服务;
(三)法律、法规规定禁止的其他行为。
第六十九条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;
(二)针对新用户在合理期限内开展优惠活动的;
(三)基于公平、合理、非歧视规则实施随机性交易的;
(四)法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。
第七十条市场主体不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式,排除、限制竞争。
第五章 数据安全
第一节 一般规定
第七十一条 数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。
市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。
第七十二条 数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。
数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。
第七十三条 处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。
第七十四条 市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。
第二节 数据安全管理
第七十五条 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
第七十七条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
第七十八条 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
第七十九条 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
第八十条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。
数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。
第八十一条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。
受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。
第八十二条 数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
第八十三条 数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。
监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。
第八十四条 处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。
第八十五条 数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
第八十六条发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
第三节 数据安全监督
第八十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。
第八十八条 市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。
第八十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。
第九十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。
第九十一条 市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
第六章 法律责任
第九十二条 违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。
第九十三条 公共管理和服务机构违反本条例有关规定的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任;因此给自然人、法人、非法人组织造成损失的,应当依法承担赔偿责任。
第九十四条 违反本条例第六十七条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
第九十五条 违反本条例第六十八条、第六十九条规定,侵害其他市场主体、消费者合法权益的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得;拒不改正的,处五万元以上五十万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
市场主体违反本条例第七十条规定,有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规规定处罚。
第九十六条 数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。
第九十七条履行数据监督管理职责的部门以及公共管理和服务机构不履行或者不正确履行本条例规定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第九十八条 违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。
法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。
人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。
第九十九条 数据处理者违反本条例规定处理数据,给他人造成损害的,应当依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第一百条 本条例自2022年1月1日起施行。