第一条（目的）

第二条（适用）

本自律公约作为开放的行业自律规范，旨在为签署本公约的成员（以下称“公约成员”）提供自律规范以保障数据信息安全，促进行业发展。

第三条（目标）

公约成员应坚持数据信息安全与企业发展并重，推进数据信息技术创新和应用，建立健全数据信息安全保障体系，提升数据信息安全保护能力，促进公共数据信息的公开。

第四条（社会责任义务）

公约成员开展数据信息经营和服务活动，必须遵守法律、行政法规，诚实守信，履行数据信息安全保护义务，接受社会公众的监督，承担社会责任。

第五条（必要措施）　

公约成员提供服务，应当依照法律、行政法规的规定和行业标准的要求，采取适当必要的措施，防范数据信息违法犯罪活动，保障数据信息安全，有效应对数据信息安全事件。

第六条（行业自律）　

数据信息相关行业组织可以参照本自律公约制定章程，加强行业自律，制定数据信息安全行为规范，指导成员加强数据信息安全保护，提升成员的数据信息安全保护水平，促进行业健康发展。

第七条（数据信息安全等级保护制度）

公约成员应当建立数据信息安全等级保护制度，按照数据信息安全等级保护制度的要求，履行安全保护义务，防止数据信息的泄露或者被窃取、篡改。

第八条（企业数据信息风险检测评估制度）　

公约成员应当建立企业数据信息风险检测评估制度，自行或者委托第三方数据信息安全服务机构对其数据信息的安全性和可能存在的风险定期进行检测评估，并将检测评估情况和改进措施报送企业决策部门。

第九条（遵循原则）　

公约成员应当在数据信息的收集、处理、交易、共享、转移等环节遵循知情同意、合法必要、目的明确、个人控制、信息质量、安全责任等原则。

第十条（个人数据信息收集、处理）　

公约成员收集、使用公民个人数据信息，应当遵循合法、正当、必要的原则，告知收集、使用信息的目的、方式和范围，并获得被收集者同意。公约成员不得收集与其提供的产品、服务无关的公民个人数据信息，收集、使用、处理公民个人数据信息不得违反法律、行政法规的规定以及双方的约定。公约成员应当公开其收集、使用公民个人数据信息的规则。

第十一条（数据信息交易） 

公约成员应当共同培育数据信息交易市场，规范数据信息交易行为。数据信息交易应遵守法律法规，不得损害国家利益、社会公共利益以及第三人合法权益。数据信息交易应当依法订立书面合同，约定数据质量、交易价格、提交方式、数据用途等内容，鼓励推广数据交易合同示范文本。

第十二条（数据信息跨境转移）　

公约成员在中华人民共和国境内运营中产生和收集的公民个人数据信息和重要业务数据信息应当在境内存储。确需向境外提供的，应当符合法律、行政法规的规定。

第十三条（个人数据信息保护政策及制度）

公约成员应当根据规范性法律文件和企业实践及时制定并更新其个人数据信息保护政策及制度，同时应在网站、软件或服务的适当位置公开其个人数据信息保护政策，并以适当方式提醒用户注意相关政策并告知不同意个人数据信息保护政策可能的后果。

第十四条（投诉、举报制度）

公约成员应当建立数据信息安全投诉、举报制度，及时处理有关的投诉和举报。

第十五条（数据信息公开） 

公约成员应共同推动政府及公共部门按照统一标准、依法管理的原则进行数据信息公开，推动制定统一的公共数据信息共享开放政策和措施，推动公共数据信息合法、有序的共享开放。

第十六条（关于公约执行）

本公约通过行业自律推动执行，公约成员应接受社会监督，公约将逐步完善执行及监督机制。

第十七条（用语含义）