法律顧問
深圳經濟特區數據條例
深圳經濟特區數據條例
(2021年6月29日深圳市第七屆人民代表大會常務委員會第二次會議通過)
目錄
第一章總 則
第二章個人數據
第一節一般規定
第二節告知與同意
第三節個人數據處理
第三章公共數據
第一節一般規定
第二節公共數據共享
第三節 公共數據開放
第四節公共數據利用
第四章數據要素市場
第一節一般規定
第二節市場培育
第三節公平競爭
第五章數據安全
第一節一般規定
第二節數據安全管理
第三節數據安全監督
第六章法律責任
第七章附則
第一章總則
第一條為了規范數據處理活動,保護自然人、法人和非法人組織的合法權益,促進數據作為生產要素開放流動和開發利用,加快建設數字經濟、數字社會、數字政府,根據有關法律、行政法規的基本原則,結合深圳經濟特區實際,制定本條例。
第二條本條例中下列用語的含義:
(一)數據,是指任何以電子或者其他方式對信息的記錄。
(二)個人數據,是指載有可識別特定自然人信息的數據,不包括匿名化處理后的數據。
(三)敏感個人數據,是指一旦泄露、非法提供或者濫用,可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據,具體范圍依照法律、行政法規的規定確定。
(四)生物識別數據,是指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數據,包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數據。
(五)公共數據,是指公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。
(六)數據處理,是指數據的收集、存儲、使用、加工、傳輸、提供、開放等活動。
(七)匿名化,是指個人數據經過處理無法識別特定自然人且不能復原的過程。
(八)用戶畫像,是指為了評估自然人的某些條件而對個人數據進行自動化處理的活動,包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等進行的自動化處理。
(九)公共管理和服務機構,是指本市國家機關、事業單位和其他依法管理公共事務的組織,以及提供教育、衛生健康、社會福利、供水、供電、供氣、環境保護、公共交通和其他公共服務的組織。
第三條自然人對個人數據享有法律、行政法規及本條例規定的人格權益。
處理個人數據應當具有明確、合理的目的,并遵循最小必要和合理期限原則。
第四條自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。但是,不得危害國家安全和公共利益,不得損害他人的合法權益。
第五條處理公共數據應當遵循依法收集、統籌管理、按需共享、有序開放、充分利用的原則,充分發揮公共數據資源對優化公共管理和服務、提升城市治理現代化水平、促進經濟社會發展的積極作用。
第六條市人民政府應當建立健全數據治理制度和標準體系,統籌推進個人數據保護、公共數據共享開放、數據要素市場培育及數據安全監督管理工作。
第七條市人民政府設立市數據工作委員會,負責研究、協調本市數據管理工作中的重大事項。市數據工作委員會的日常工作由市政務服務數據管理部門承擔。
市數據工作委員會可以設立若干專業委員會。
第八條市網信部門負責統籌協調本市個人數據保護、網絡數據安全、跨境數據流通等相關監督管理工作。
市政務服務數據管理部門負責本市公共數據管理的統籌、指導、協調和監督工作。
市發展改革、工業和信息化、公安、財政、人力資源保障、規劃和自然資源、市場監管、審計、國家安全等部門依照有關法律、法規,在各自職責范圍內履行數據監督管理相關職能。
市各行業主管部門負責本行業數據管理工作的統籌、指導、協調和監督。
第二章個人數據
第一節一般規定
第九條處理個人數據應當充分尊重和保障自然人與個人數據相關的各項合法權益。
第十條處理個人數據應當符合下列要求:
(一)處理個人數據的目的明確、合理,方式合法、正當;
(二)限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人數據處理;
(三)依法告知個人數據處理的種類、范圍、目的、方式等,并依法征得同意;
(四)保證個人數據的準確性和必要的完整性,避免因個人數據不準確、不完整給當事人造成損害;
(五)確保個人數據安全,防止個人數據泄露、毀損、丟失、篡改和非法使用。
第十一條本條例第十條第二項所稱限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,包括但是不限于下列情形:
(一)處理個人數據的種類、范圍應當與處理目的有直接關聯,不處理該個人數據則處理目的無法實現;
(二)處理個人數據的數量應當為實現處理目的所必需的最少數量;
(三)處理個人數據的頻率應當為實現處理目的所必需的最低頻率;
(四)個人數據存儲期限應當為實現處理目的所必需的最短時間,超出存儲期限的,應當對個人數據予以刪除或者匿名化,法律、法規另有規定或者經自然人同意的除外;
(五)建立最小授權的訪問控制策略,使被授權訪問個人數據的人員僅能訪問完成職責所需的最少個人數據,且僅具備完成職責所需的最少數據處理權限。
第十二條數據處理者不得以自然人不同意處理個人數據為由,拒絕向其提供相關核心功能或者服務。但是,該個人數據為提供相關核心功能或者服務所必需的除外。
第十三條市網信部門應當會同市工業和信息化、公安、市場監管等部門以及相關行業主管部門建立健全個人數據保護監督管理聯合工作機制,加強對個人數據保護和相關監督管理工作的統籌和指導;建立個人數據保護投訴舉報處理機制,依法處理相關投訴舉報。
第二節告知與同意
第十四條處理個人數據應當在處理前以通俗易懂、明確具體、易獲取的方式向自然人完整、真實、準確地告知下列事項:
(一)數據處理者的姓名或者名稱以及聯系方式;
(二)處理個人數據的種類和范圍;
(三)處理個人數據的目的和方式;
(四)存儲個人數據的期限;
(五)處理個人數據可能存在的安全風險以及對其個人數據采取的安全保護措施;
(六)自然人依法享有的相關權利以及行使權利的方式;
(七)法律、法規規定應當告知的其他事項。
處理敏感個人數據的,應當依照前款規定,以更加顯著的標識或者突出顯示的形式告知處理敏感個人數據的必要性以及對自然人可能產生的影響。
第十五條緊急情況下為了保護自然人的人身、財產安全等重大合法權益,無法依照本條例第十四條規定進行事前告知的,應當在緊急情況消除后及時告知。
處理個人數據有法律、行政法規規定應當保密或者無需告知情形的,不適用本條例第十四條規定。
第十六條數據處理者應當在處理個人數據前,征得自然人的同意,并在其同意范圍內處理個人數據,但是法律、行政法規以及本條例另有規定的除外。
前款規定應當征得同意的事項發生變更的,應當重新征得同意。
第十七條數據處理者不得通過誤導、欺騙、脅迫或者其他違背自然人真實意愿的方式獲取其同意。
第十八條處理敏感個人數據的,應當在處理前征得該自然人的明示同意。
第十九條處理生物識別數據的,應當在征得該自然人明示同意時,提供處理其他非生物識別數據的替代方案。但是,處理生物識別數據為處理個人數據目的所必需,且不能為其他個人數據所替代的除外。
基于特定目的處理生物識別數據的,未經自然人明示同意,不得將該生物識別數據用于其他目的。
生物識別數據具體管理辦法由市人民政府另行制定。
第二十條處理未滿十四周歲的未成年人個人數據的,按照處理敏感個人數據的有關規定執行,并應當在處理前征得其監護人的明示同意。
處理無民事行為能力或者限制民事行為能力的成年人個人數據的,應當在處理前征得其監護人的明示同意。
第二十一條處理個人數據有下列情形之一的,可以在處理前不征得自然人的同意:
(一)處理自然人自行公開或者其他已經合法公開的個人數據,且符合該個人數據公開時的目的;
(二)為了訂立或者履行自然人作為一方當事人的合同所必需;
(三)數據處理者因人力資源管理、商業秘密保護所必需,在合理范圍內處理其員工個人數據;
(四)公共管理和服務機構為了依法履行公共管理職責或者提供公共服務所必需;
(五)新聞單位依法進行新聞報道所必需;
(六)法律、行政法規規定的其他情形。
第二十二條自然人有權撤回部分或者全部其處理個人數據的同意。
自然人撤回同意的,數據處理者不得繼續處理該自然人撤回同意范圍內的個人數據。但是,不影響數據處理者在自然人撤回同意前基于同意進行的合法數據處理。法律、法規另有規定的,從其規定。
第二十三條處理個人數據應當采用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協議或者技術等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
第三節個人數據處理
第二十四條個人數據不準確或者不完整的,數據處理者應當根據自然人的要求及時補充、更正。
第二十五條有下列情形之一的,數據處理者應當及時刪除個人數據:
(一)法律、法規規定或者約定的存儲期限屆滿;
(二)處理個人數據的目的已經實現或者處理個人數據對于處理目的已經不再必要;
(三)自然人撤回同意且要求刪除個人數據;
(四)數據處理者違反法律、法規規定或者雙方約定處理數據,自然人要求刪除;
(五)法律、法規規定的其他情形。
有前款第一項、第二項規定情形,但是法律、法規另有規定或者經自然人同意的,數據處理者可以保留相關個人數據。
數據處理者根據本條第一款規定刪除個人數據的,可以留存告知和同意的證據,但是不得超過其履行法定義務或者處理糾紛需要的必要限度。
第二十六條數據處理者向他人提供其處理的個人數據,應當對個人數據進行去標識化處理,使得被提供的個人數據在不借助其他數據的情況下無法識別特定自然人。法律、法規規定或者自然人與數據處理者約定應當匿名化的,數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。
第二十七條 數據處理者向他人提供其處理的個人數據有下列情形之一的,可以不進行去標識化處理:
(一)應公共管理和服務機構依法履行公共管理職責或者提供公共服務的需要且書面要求提供的;
(二)基于自然人的同意向他人提供相關個人數據的;
(三)為了訂立或者履行自然人作為一方當事人的合同所必需的;
(四)法律、行政法規規定的其他情形。
第二十八條自然人可以向數據處理者要求查閱、復制其個人數據,數據處理者應當按照有關規定及時提供,并不得收取費用。
第二十九條數據處理者基于提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當向其明示用戶畫像的具體用途和主要規則。
自然人可以拒絕數據處理者根據前款規定對其進行用戶畫像或者基于用戶畫像推薦個性化產品或者服務,數據處理者應當以易獲取的方式向其提供拒絕的有效途徑。
第三十條數據處理者不得基于用戶畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。但是,為了維護其合法權益并征得其監護人明示同意的除外。
第三十一條數據處理者應當建立自然人行使相關權利和投訴舉報的處理機制,并以易獲取的方式提供有效途徑。
數據處理者收到行使權利要求或者投訴舉報的,應當及時受理,并依法采取相應處理措施;拒絕要求事項或者投訴的,應當說明理由。
第三章公共數據
第一節一般規定
第三十二條市數據工作委員會設立公共數據專業委員會,負責研究、協調公共數據管理工作中的重大事項。
市政務服務數據管理部門承擔市公共數據專業委員會日常工作,并負責統籌全市公共數據管理工作,建立和完善公共數據資源管理體系,推進公共數據共享、開放和利用。
區政務服務數據管理部門在市政務服務數據管理部門指導下,負責統籌本區公共數據管理工作。
第三十三條市人民政府應當建立城市大數據中心,建立健全其建設運行管理機制,實現對全市公共數據資源統一、集約、安全、高效管理。
各區人民政府可以按照全市統一規劃,建設城市大數據中心分中心,將公共數據資源納入城市大數據中心統一管理。
城市大數據中心包括公共數據資源和支撐其管理的軟硬件基礎設施。
第三十四條市政務服務數據管理部門負責推動公共數據向城市大數據中心匯聚,組織公共管理和服務機構依托城市大數據中心開展公共數據共享、開放和利用。
第三十五條實行公共數據分類管理制度。
市政務服務數據管理部門負責統籌本市公共數據資源體系整體規劃、建設和管理,并會同相關部門建設和管理人口、法人、房屋、自然資源與空間地理、電子證照、公共信用等基礎數據庫。
各行業主管部門應當按照公共數據資源體系整體規劃和相關制度規范要求,規劃本行業公共數據資源體系,建設并管理相關主題數據庫。
公共管理和服務機構應當按照公共數據資源體系整體規劃、行業專項規劃和相關制度規范要求,建設、管理本機構業務數據庫。
第三十六條實行公共數據目錄管理制度。
市政務服務數據管理部門負責建立全市統一的公共數據資源目錄體系,制定公共數據資源目錄編制規范,組織公共管理和服務機構按照公共數據資源目錄編制規范要求編制目錄、處理各類公共數據,明確數據來源部門和管理職責。
公共管理和服務機構應當按照公共數據資源目錄編制規范要求,對本機構的公共數據進行目錄管理。
第三十七條公共管理和服務機構收集數據應當符合下列要求:
(一)為依法履行公共管理職責或者提供公共服務所必需,且在其履行的公共管理職責或者提供的公共服務范圍內;
(二)收集數據的種類和范圍與其依法履行的公共管理職責或者提供的公共服務相適應;
(三)收集程序符合法律、法規相關規定。
公共管理和服務機構可以通過共享方式獲得的數據,不得另行向自然人、法人和非法人組織收集。
第三十八條公共管理和服務機構應當按照有關規定保存公共數據處理的過程記錄。
第三十九條市政務服務數據管理部門應當組織制定公共數據質量管理制度和規范,建立健全質量監測和評估體系,并組織實施。
公共管理和服務機構應當按照公共數據質量管理制度和規范,建立和完善本機構數據質量管理體系,加強數據質量管理,保障數據真實、準確、完整、及時、可用。
市公共數據專業委員會應當定期對公共管理和服務機構數據管理工作進行評價,并向市數據工作委員會報告評價結果。
第四十條市人民政府應當加強公共數據共享、開放和利用體制機制和技術創新,不斷提高公共數據共享、開放和利用的質量與效率。
第二節 公共數據共享
第四十一條公共數據應當以共享為原則,不共享為例外。
市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制和相關管理制度。
第四十二條納入公共數據共享目錄的公共數據,應當按照有關規定通過城市大數據中心的公共數據共享平臺在有需要的公共管理和服務機構之間及時、準確共享,法律、法規另有規定的除外。
公共數據共享目錄由市政務服務數據管理部門另行制定,并及時調整。
第四十三條 公共管理和服務機構可以根據依法履行公共管理職責或者提供公共服務的需要提出公共數據共享申請,明確數據使用的依據、目的、范圍、方式及相關需求,并按照本級政務服務數據管理部門和數據提供部門的要求,加強共享數據使用管理,不得超出使用范圍或者用于其他目的。
公共數據提供部門應當在規定時間內,回應公共數據使用部門的共享需求,并提供必要的數據使用指導和技術支持。
第四十四條公共管理和服務機構依法履行公共管理職責或者提供公共服務所需要的數據,無法通過公共數據共享平臺共享獲得的,可以由市人民政府統一對外采購,并按照有關規定納入公共數據共享目錄,具體工作由市政務服務數據管理部門統籌。
第三節公共數據開放
第四十五條本條例所稱公共數據開放,是指公共管理和服務機構通過公共數據開放平臺向社會提供可機器讀取的公共數據的活動。
第四十六條公共數據開放應當遵循分類分級、需求導向、安全可控的原則,在法律、法規允許范圍內最大限度開放。
第四十七條依照法律、法規規定開放公共數據,不得收取任何費用。法律、行政法規另有規定的,從其規定。
第四十八條公共數據按照開放條件分為無條件開放、有條件開放和不予開放三類。
無條件開放的公共數據,是指應當無條件向自然人、法人和非法人組織開放的公共數據;有條件開放的公共數據,是指按照特定方式向自然人、法人和非法人組織平等開放的公共數據;不予開放的公共數據,是指涉及國家安全、商業秘密和個人隱私,或者法律、法規等規定不得開放的公共數據。
第四十九條市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據開放管理制度,編制公共數據開放目錄并及時調整。
有條件開放的公共數據,應當在編制公共數據開放目錄時明確開放方式、使用要求及安全保障措施等。
第五十條市政務服務數據管理部門應當依托城市大數據中心建設統一、高效的公共數據開放平臺,并組織公共管理和服務機構通過該平臺向社會開放公共數據。
公共數據開放平臺應當根據公共數據開放類型,提供數據下載、應用程序接口和安全可信的數據綜合開發利用環境等多種數據開放服務。
第四節公共數據利用
第五十一條市人民政府應當加快推進數字政府建設,深化數據在經濟調節、市場監管、社會管理、公共服務、生態環境保護中的應用,建立和完善運用數據管理的制度規則,創新政府決策、監管及服務模式,實現主動、精準、整體式、智能化的公共管理和服務。
第五十二條市人民政府應當依托城市大數據中心建設基于統一架構的業務中樞、數據中樞和能力中樞,形成統一的城市智能中樞平臺體系,為公共管理和服務以及各區域各行業應用提供統一、全面的數字化服務,促進技術融合、業務融合、數據融合。
市人民政府可以依托城市智能中樞平臺建設政府管理服務指揮中心,建立和完善運行管理機制,推動政府整體數字化轉型,深化跨層級、跨地域、跨系統、跨部門、跨業務的數據共享和業務協同,建立統一指揮、一體聯動、智能精準、科學高效的政府運行體系。
各行業主管部門應當依托城市智能中樞平臺建設本行業管理服務平臺,推動本行業管理服務全面數字化。
各區人民政府應當依托城市智能中樞平臺,以服務基層為目標,整合數據資源、優化業務流程、創新管理模式,推進基層治理與服務科學化、精細化、智能化。
第五十三條市人民政府應當依托城市智能中樞平臺,推動業務整合和流程再造,深化前臺統一受理、后臺協同審批、全市一體運作的整體式政務服務模式創新。
市政務服務數據管理部門應當推動公共管理和服務機構加強公共數據在公共管理和服務過程中的創新應用,精簡辦事材料、環節,優化辦事流程;對于可以通過數據比對作出審批決定的事項,可以開展無人干預智能審批。
第五十四條市人民政府應當依托城市智能中樞平臺,加強監管數據和信用數據歸集、共享,充分利用公共數據和各領域監管系統,推行非現場監管、信用監管、風險預警等新型監管模式,提升監管水平。
第五十五條市政務服務數據管理部門可以組織建設數據融合應用服務平臺,向社會提供安全可信的數據綜合開發利用環境,共同開展智慧城市應用創新。
第四章數據要素市場
第一節一般規定
第五十六條市人民政府應當統籌規劃,加快培育數據要素市場,推動構建數據收集、加工、共享、開放、交易、應用等數據要素市場體系,促進數據資源有序、高效流動與利用。
第五十七條市場主體開展數據處理活動,應當落實數據管理主體責任,建立健全數據治理組織架構、管理制度和自我評估機制,對數據實施分類分級保護和管理,加強數據質量管理,確保數據的真實性、準確性、完整性、時效性。
第五十八條市場主體對合法處理數據形成的數據產品和服務,可以依法自主使用,取得收益,進行處分。
第五十九條市場主體向第三方開放或者提供使用個人數據的,應當遵守本條例第二章的有關規定;向特定第三方開放、委托處理、提供使用個人數據的,應當簽訂相關協議。
第六十條 使用、傳輸、受委托處理其他市場主體的數據產品和服務,涉及個人數據的,應當遵守本條例第二章的規定以及相關協議的約定。
第二節市場培育
第六十一條市人民政府應當組織制定數據處理活動合規標準、數據產品和服務標準、數據質量標準、數據安全標準、數據價值評估標準、數據治理評估標準等地方標準。
支持數據相關行業組織制定團體標準和行業規范,提供信息、技術、培訓等服務,引導和督促市場主體規范其數據行為,促進行業健康發展。
鼓勵市場主體制定數據相關企業標準,參與制定相關地方標準和團體標準。
第六十二條數據處理者可以委托第三方機構進行數據質量評估認證;第三方機構應當按照獨立、公開、公正原則,開展數據質量評估認證活動。
第六十三條鼓勵數據價值評估機構從實時性、時間跨度、樣本覆蓋面、完整性、數據種類級別和數據挖掘潛能等方面,探索構建數據資產定價指標體系,推動制定數據價值評估準則。
第六十四條市統計部門應當探索建立數據生產要素統計核算制度,明確統計范圍、統計指標和統計方法,準確反映數據生產要素的資產價值,推動將數據生產要素納入國民經濟核算體系。
第六十五條市人民政府應當推動建立數據交易平臺,引導市場主體通過數據交易平臺進行數據交易。
市場主體可以通過依法設立的數據交易平臺進行數據交易,也可以由交易雙方依法自行交易。
第六十六條數據交易平臺應當建立安全、可信、可控、可追溯的數據交易環境,制定數據交易、信息披露、自律監管等規則,并采取有效措施保護個人數據、商業秘密和國家規定的重要數據。
第六十七條市場主體合法處理數據形成的數據產品和服務,可以依法交易。但是,有下列情形之一的除外:
(一)交易的數據產品和服務包含個人數據未依法獲得授權的;
(二)交易的數據產品和服務包含未經依法開放的公共數據的;
(三)法律、法規規定禁止交易的其他情形。
第三節公平競爭
第六十八條市場主體應當遵守公平競爭原則,不得實施下列侵害其他市場主體合法權益的行為:
(一)使用非法手段獲取其他市場主體的數據;
(二)利用非法收集的其他市場主體數據提供替代性產品或者服務;
(三)法律、法規規定禁止的其他行為。
第六十九條市場主體不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,但是有下列情形之一的除外:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同交易條件的;
(二)針對新用戶在合理期限內開展優惠活動的;
(三)基于公平、合理、非歧視規則實施隨機性交易的;
(四)法律、法規規定的其他情形。
前款所稱交易條件相同,是指交易相對人在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別。
第七十條市場主體不得通過達成壟斷協議、濫用在數據要素市場的支配地位、違法實施經營者集中等方式,排除、限制競爭。
第五章數據安全
第一節一般規定
第七十一條數據安全管理遵循政府監管、責任主體負責、積極防御、綜合防范的原則,堅持安全和發展并重,鼓勵研發數據安全技術,保障數據全生命周期安全。
市人民政府應當統籌全市數據安全管理工作,建立和完善數據安全綜合治理體系。
第七十二條數據處理者應當依照法律、法規規定,建立健全數據分類分級、風險監測、安全評估、安全教育等安全管理制度,落實保障措施,不斷提升技術手段,確保數據安全。
數據處理者因合并、分立、收購等變更的,由變更后的數據處理者繼續落實數據安全管理責任。
第七十三條處理敏感個人數據或者國家規定的重要數據的,應當按照有關規定設立數據安全管理機構、明確數據安全管理責任人,并實施特別技術保護。
第七十四條市網信部門應當統籌協調相關主管部門和行業主管部門按照國家數據分類分級保護制度制定本部門、本行業的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二節數據安全管理
第七十五條數據處理者應當對其數據處理全流程進行記錄,保障數據來源合法以及處理全流程清晰、可追溯。
第七十六條數據處理者應當依照法律、法規規定以及國家標準的要求,對所收集的個人數據進行去標識化或者匿名化處理,并與可用于恢復識別特定自然人的數據分開存儲。
數據處理者應當針對敏感個人數據、國家規定的重要數據制定并實施去標識化或者匿名化處理等安全措施。
第七十七條數據處理者應當對數據存儲進行分域分級管理,選擇安全性能、防護級別與安全等級相匹配的存儲載體;對敏感個人數據和國家規定的重要數據還應當采取加密存儲、授權訪問或者其他更加嚴格的安全保護措施。
第七十八條數據處理者應當對數據處理過程實施安全技術防護,并建立重要系統和核心數據的容災備份制度。
第七十九條數據處理者共享、開放數據的,應當建立數據共享、開放安全管理制度,建立和完善對外數據接口的安全管理機制。
第八十條數據處理者應當建立數據銷毀規程,對需要銷毀的數據實施有效銷毀。
數據處理者終止或者解散,沒有數據承接方的,應當及時有效銷毀其控制的數據。法律、法規另有規定的除外。
第八十一條數據處理者委托他人代為處理數據的,應當與其訂立數據安全保護合同,明確雙方安全保護責任。
受托方完成處理任務后,應當及時有效銷毀其存儲的數據,但是法律、法規另有規定或者雙方另有約定的除外。
第八十二條數據處理者向境外提供個人數據或者國家規定的重要數據,應當按照有關規定申請數據出境安全評估,進行國家安全審查。
第八十三條數據處理者應當落實與數據安全防護級別相適應的監測預警措施,對數據泄露、毀損、丟失、篡改等異常情況進行監測和預警。
監測到發生或者可能發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即采取補救、預防措施。
第八十四條處理敏感個人數據或者國家規定的重要數據,應當按照有關規定定期開展風險評估,并向有關主管部門報送風險評估報告。
第八十五條數據處理者應當建立數據安全應急處置機制,制定數據安全應急預案。數據安全應急預案應當按照危害程度、影響范圍等因素對數據安全事件進行分級,并規定相應的應急處置措施。
第八十六條發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即啟動應急預案,采取相應的應急處置措施,及時告知相關權利人,并按照有關規定向市網信、公安部門和有關行業主管部門報告。
第三節數據安全監督
第八十七條市網信部門應當依照有關法律、行政法規以及本條例規定負責統籌協調數據安全和相關監督工作,并會同市公安、國家安全等部門和有關行業主管部門建立健全數據安全監督機制,組織數據安全監督檢查。
第八十八條市網信部門應當會同有關主管部門加強數據安全風險分析、預測、評估,收集相關信息;發現可能導致較大范圍數據泄露、毀損、丟失、篡改等數據安全事件的,應當及時發布預警信息,提出防范應對措施,指導、監督數據處理者做好數據安全保護工作。
第八十九條市網信部門以及其他履行數據安全監督職責的部門可以委托第三方機構,按照法律、法規規定和相關標準要求,對數據處理者開展數據安全管理認證以及數據安全評估工作,并對其進行安全等級評定。
第九十條市網信部門以及其他履行數據安全監督職責的部門在履行職責過程中,發現數據處理者未按照規定落實安全管理責任的,應當按照規定約談數據處理者,督促其整改。
第九十一條市網信部門以及其他數據監督管理部門及其工作人員,應當對在履行職責過程中知悉的個人數據、商業秘密和需要保守秘密的其他數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六章法律責任
第九十二條違反本條例規定處理個人數據的,依照個人信息保護有關法律、法規規定處罰。
第九十三條公共管理和服務機構違反本條例有關規定的,由上級主管部門或者有關主管部門責令改正;拒不改正或者造成嚴重后果的,依法追究法律責任;因此給自然人、法人、非法人組織造成損失的,應當依法承擔賠償責任。
第九十四條違反本條例第六十七條規定交易數據的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得,交易金額不足一萬元的,處五萬元以上二十萬元以下罰款;交易金額一萬元以上的,處二十萬元以上一百萬元以下罰款;并可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
第九十五條違反本條例第六十八條、第六十九條規定,侵害其他市場主體、消費者合法權益的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得;拒不改正的,處五萬元以上五十萬元以下罰款;情節嚴重的,處上一年度營業額百分之五以下罰款,最高不超過五千萬元;并可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
市場主體違反本條例第七十條規定,有不正當競爭行為或者壟斷行為的,依照反不正當競爭或者反壟斷有關法律、法規規定處罰。
第九十六條數據處理者違反本條例規定,未履行數據安全保護責任的,依照數據安全有關法律、法規規定處罰。
第九十七條履行數據監督管理職責的部門以及公共管理和服務機構不履行或者不正確履行本條例規定職責的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。
第九十八條違反本條例規定處理數據,致使國家利益或者公共利益受到損害的,法律、法規規定的組織可以依法提起民事公益訴訟。法律、法規規定的組織提起民事公益訴訟,人民檢察院認為有必要的,可以支持起訴。
法律、法規規定的組織未提起民事公益訴訟的,人民檢察院可以依法提起民事公益訴訟。
人民檢察院發現履行數據監督管理職責的部門違法行使職權或者不作為,致使國家利益或者公共利益受到損害的,應當向有關行政機關提出檢察建議;行政機關不依法履行職責的,人民檢察院可以依法提起行政公益訴訟。
第九十九條數據處理者違反本條例規定處理數據,給他人造成損害的,應當依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七章附則
第一百條本條例自2022年1月1日起施行。
