前哨按语
7月6日,深圳市人大常委会正式公布了《深圳经济特区数据条例》。以下是条例全文和官方解读,并附条例正式文本与征求意见稿对比。
深圳市第七届人民代表大会常务委员会
公告
第十号
《深圳经济特区数据条例》经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,现予公布,自2022年1月1日起施行。
深圳市人民代表大会常务委员会
2021年7月6日
深圳经济特区数据条例
(2021年6月29日深圳市第七届人民代表大会常务委员会第二次会议通过)
目 录
第一章 总 则
第二章 个人数据
第三章 公共数据
第四章 数据要素市场
第五章 数据安全
第六章 法律责任
第七章 附 则
第一章 总则
第一条 为了规范数据处理活动,保护自然人、法人和非法人组织的合法权益,促进数据作为生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。
第二条 本条例中下列用语的含义:
(一)数据,是指任何以电子或者其他方式对信息的记录。
(二)个人数据,是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。
(三)敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。
(四)生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。
(五)公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
(六)数据处理,是指数据的收集、存储、使用、加工、传输、提供、开放等活动。
(七)匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。
(八)用户画像,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。
(九)公共管理和服务机构,是指本市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。
第三条 自然人对个人数据享有法律、行政法规及本条例规定的人格权益。
处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则。
第四条 自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。
第五条 处理公共数据应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则,充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。
第六条 市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据共享开放、数据要素市场培育及数据安全监督管理工作。
第七条 市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会的日常工作由市政务服务数据管理部门承担。
市数据工作委员会可以设立若干专业委员会。
第八条 市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。
市政务服务数据管理部门负责本市公共数据管理的统筹、指导、协调和监督工作。
市发展改革、工业和信息化、公安、财政、人力资源保障、规划和自然资源、市场监管、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据监督管理相关职能。
市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。
第二章 个人数据
第一节 一般规定
第九条 处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。
第十条 处理个人数据应当符合下列要求:
(一)处理个人数据的目的明确、合理,方式合法、正当;
(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;
(三)依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;
(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;
(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。
第十一条 本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:
(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;
(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;
(三)处理个人数据的频率应当为实现处理目的所必需的最低频率;
(四)个人数据存储期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;
(五)建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。
第十二条 数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
第十三条 市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制,加强对个人数据保护和相关监督管理工作的统筹和指导;建立个人数据保护投诉举报处理机制,依法处理相关投诉举报。
第二节 告知与同意
第十四条 处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:
(一)数据处理者的姓名或者名称以及联系方式;
(二)处理个人数据的种类和范围;
(三)处理个人数据的目的和方式;
(四)存储个人数据的期限;
(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;
(六)自然人依法享有的相关权利以及行使权利的方式;
(七)法律、法规规定应当告知的其他事项。
处理敏感个人数据的,应当依照前款规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。
第十五条 紧急情况下为了保护自然人的人身、财产安全等重大合法权益,无法依照本条例第十四条规定进行事前告知的,应当在紧急情况消除后及时告知。
处理个人数据有法律、行政法规规定应当保密或者无需告知情形的,不适用本条例第十四条规定。
第十六条 数据处理者应当在处理个人数据前,征得自然人的同意,并在其同意范围内处理个人数据,但是法律、行政法规以及本条例另有规定的除外。
前款规定应当征得同意的事项发生变更的,应当重新征得同意。
第十七条 数据处理者不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。
第十八条 处理敏感个人数据的,应当在处理前征得该自然人的明示同意。
第十九条 处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外。
基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目的。
生物识别数据具体管理办法由市人民政府另行制定。
第二十条 处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意。
处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。
第二十一条 处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:
(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;
(二)为了订立或者履行自然人作为一方当事人的合同所必需;
(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;
(四)公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需;
(五)新闻单位依法进行新闻报道所必需;
(六)法律、行政法规规定的其他情形。
第二十二条 自然人有权撤回部分或者全部其处理个人数据的同意。
自然人撤回同意的,数据处理者不得继续处理该自然人撤回同意范围内的个人数据。但是,不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的,从其规定。
第二十三条 处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
第三节 个人数据处理
第二十四条 个人数据不准确或者不完整的,数据处理者应当根据自然人的要求及时补充、更正。
第二十五条 有下列情形之一的,数据处理者应当及时删除个人数据:
(一)法律、法规规定或者约定的存储期限届满;
(二)处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;
(三)自然人撤回同意且要求删除个人数据;
(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;
(五)法律、法规规定的其他情形。
有前款第一项、第二项规定情形,但是法律、法规另有规定或者经自然人同意的,数据处理者可以保留相关个人数据。
数据处理者根据本条第一款规定删除个人数据的,可以留存告知和同意的证据,但是不得超过其履行法定义务或者处理纠纷需要的必要限度。
第二十六条 数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。
第二十七条 数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:
(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;
(二)基于自然人的同意向他人提供相关个人数据的;
(三)为了订立或者履行自然人作为一方当事人的合同所必需的;
(四)法律、行政法规规定的其他情形。
第二十八条 自然人可以向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定及时提供,并不得收取费用。
第二十九条 数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。
自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。
第三十条 数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。
第三十一条 数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。
数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。
第三章 公共数据
第一节 一般规定
第三十二条 市数据工作委员会设立公共数据专业委员会,负责研究、协调公共数据管理工作中的重大事项。
市政务服务数据管理部门承担市公共数据专业委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和利用。
区政务服务数据管理部门在市政务服务数据管理部门指导下,负责统筹本区公共数据管理工作。
第三十三条 市人民政府应当建立城市大数据中心,建立健全其建设运行管理机制,实现对全市公共数据资源统一、集约、安全、高效管理。
各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。
城市大数据中心包括公共数据资源和支撑其管理的软硬件基础设施。
第三十四条 市政务服务数据管理部门负责推动公共数据向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据共享、开放和利用。
第三十五条 实行公共数据分类管理制度。
市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划、建设和管理,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。
各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。
公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。
第三十六条 实行公共数据目录管理制度。
市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制规范,组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据,明确数据来源部门和管理职责。
公共管理和服务机构应当按照公共数据资源目录编制规范要求,对本机构的公共数据进行目录管理。
第三十七条 公共管理和服务机构收集数据应当符合下列要求:
(一)为依法履行公共管理职责或者提供公共服务所必需,且在其履行的公共管理职责或者提供的公共服务范围内;
(二)收集数据的种类和范围与其依法履行的公共管理职责或者提供的公共服务相适应;
(三)收集程序符合法律、法规相关规定。
公共管理和服务机构可以通过共享方式获得的数据,不得另行向自然人、法人和非法人组织收集。
第三十八条 公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录。
第三十九条 市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。
公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管理,保障数据真实、准确、完整、及时、可用。
市公共数据专业委员会应当定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。
第四十条 市人民政府应当加强公共数据共享、开放和利用体制机制和技术创新,不断提高公共数据共享、开放和利用的质量与效率。
第二节 公共数据共享
第四十一条 公共数据应当以共享为原则,不共享为例外。
市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度。
第四十二条 纳入公共数据共享目录的公共数据,应当按照有关规定通过城市大数据中心的公共数据共享平台在有需要的公共管理和服务机构之间及时、准确共享,法律、法规另有规定的除外。
公共数据共享目录由市政务服务数据管理部门另行制定,并及时调整。
第四十三条 公共管理和服务机构可以根据依法履行公共管理职责或者提供公共服务的需要提出公共数据共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门的要求,加强共享数据使用管理,不得超出使用范围或者用于其他目的。
公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并提供必要的数据使用指导和技术支持。
第四十四条 公共管理和服务机构依法履行公共管理职责或者提供公共服务所需要的数据,无法通过公共数据共享平台共享获得的,可以由市人民政府统一对外采购,并按照有关规定纳入公共数据共享目录,具体工作由市政务服务数据管理部门统筹。
第三节 公共数据开放
第四十五条 本条例所称公共数据开放,是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据的活动。
第四十六条 公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。
第四十七条 依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。
第四十八条 公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。
无条件开放的公共数据,是指应当无条件向自然人、法人和非法人组织开放的公共数据;有条件开放的公共数据,是指按照特定方式向自然人、法人和非法人组织平等开放的公共数据;不予开放的公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。
第四十九条 市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据开放管理制度,编制公共数据开放目录并及时调整。
有条件开放的公共数据,应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。
第五十条 市政务服务数据管理部门应当依托城市大数据中心建设统一、高效的公共数据开放平台,并组织公共管理和服务机构通过该平台向社会开放公共数据。
公共数据开放平台应当根据公共数据开放类型,提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。
第四节 公共数据利用
第五十一条 市人民政府应当加快推进数字政府建设,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据管理的制度规则,创新政府决策、监管及服务模式,实现主动、精准、整体式、智能化的公共管理和服务。
第五十二条 市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为公共管理和服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。
市人民政府可以依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善运行管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。
各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。
各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。
第五十三条 市人民政府应当依托城市智能中枢平台,推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。
市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在公共管理和服务过程中的创新应用,精简办事材料、环节,优化办事流程;对于可以通过数据比对作出审批决定的事项,可以开展无人干预智能审批。
第五十四条 市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,推行非现场监管、信用监管、风险预警等新型监管模式,提升监管水平。
第五十五条 市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,共同开展智慧城市应用创新。
第四章 数据要素市场
第一节 一般规定
第五十六条 市人民政府应当统筹规划,加快培育数据要素市场,推动构建数据收集、加工、共享、开放、交易、应用等数据要素市场体系,促进数据资源有序、高效流动与利用。
第五十七条 市场主体开展数据处理活动,应当落实数据管理主体责任,建立健全数据治理组织架构、管理制度和自我评估机制,对数据实施分类分级保护和管理,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性。
第五十八条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。
第五十九条 市场主体向第三方开放或者提供使用个人数据的,应当遵守本条例第二章的有关规定;向特定第三方开放、委托处理、提供使用个人数据的,应当签订相关协议。
第六十条 使用、传输、受委托处理其他市场主体的数据产品和服务,涉及个人数据的,应当遵守本条例第二章的规定以及相关协议的约定。
第二节 市场培育
第六十一条 市人民政府应当组织制定数据处理活动合规标准、数据产品和服务标准、数据质量标准、数据安全标准、数据价值评估标准、数据治理评估标准等地方标准。
支持数据相关行业组织制定团体标准和行业规范,提供信息、技术、培训等服务,引导和督促市场主体规范其数据行为,促进行业健康发展。
鼓励市场主体制定数据相关企业标准,参与制定相关地方标准和团体标准。
第六十二条 数据处理者可以委托第三方机构进行数据质量评估认证;第三方机构应当按照独立、公开、公正原则,开展数据质量评估认证活动。
第六十三条 鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面,探索构建数据资产定价指标体系,推动制定数据价值评估准则。
第六十四条 市统计部门应当探索建立数据生产要素统计核算制度,明确统计范围、统计指标和统计方法,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。
第六十五条 市人民政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。
市场主体可以通过依法设立的数据交易平台进行数据交易,也可以由交易双方依法自行交易。
第六十六条 数据交易平台应当建立安全、可信、可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。
第六十七条 市场主体合法处理数据形成的数据产品和服务,可以依法交易。但是,有下列情形之一的除外:
(一)交易的数据产品和服务包含个人数据未依法获得授权的;
(二)交易的数据产品和服务包含未经依法开放的公共数据的;
(三)法律、法规规定禁止交易的其他情形。
第三节 公平竞争
第六十八条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体合法权益的行为:
(一)使用非法手段获取其他市场主体的数据;
(二)利用非法收集的其他市场主体数据提供替代性产品或者服务;
(三)法律、法规规定禁止的其他行为。
第六十九条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;
(二)针对新用户在合理期限内开展优惠活动的;
(三)基于公平、合理、非歧视规则实施随机性交易的;
(四)法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。
第七十条 市场主体不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式,排除、限制竞争。
第五章 数据安全
第一节 一般规定
第七十一条 数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。
市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。
第七十二条 数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。
数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。
第七十三条 处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。
第七十四条 市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。
第二节 数据安全管理
第七十五条 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
第七十七条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
第七十八条 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
第七十九条 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
第八十条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。
数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。
第八十一条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。
受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。
第八十二条 数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
第八十三条 数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。
监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。
第八十四条 处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。
第八十五条 数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
第八十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
第三节 数据安全监督
第八十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。
第八十八条 市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。
第八十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。
第九十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。
第九十一条 市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
第六章 法律责任
第九十二条 违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。
第九十三条 公共管理和服务机构违反本条例有关规定的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任;因此给自然人、法人、非法人组织造成损失的,应当依法承担赔偿责任。
第九十四条 违反本条例第六十七条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
第九十五条 违反本条例第六十八条、第六十九条规定,侵害其他市场主体、消费者合法权益的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得;拒不改正的,处五万元以上五十万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
市场主体违反本条例第七十条规定,有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规规定处罚。
第九十六条 数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。
第九十七条 履行数据监督管理职责的部门以及公共管理和服务机构不履行或者不正确履行本条例规定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第九十八条 违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。
法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。
人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。
第九十九条 数据处理者违反本条例规定处理数据,给他人造成损害的,应当依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第一百条 本条例自2022年1月1日起施行。
《深圳经济特区数据条例》解读
市人大常委会法工委
《深圳经济特区数据条例》(以下简称《条例》)经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,自2022年1月1日起施行。现将有关情况解读如下。
一、立法的必要性
(一)是全面实施大数据战略,落实综合改革实施方案要求的需要
党的十九届四中全会作出《关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》等文件,将数据作为新的生产要素上升到基础战略资源地位。2020年10月,中共中央办公厅、国务院办公厅又印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》(以下简称《综合改革试点实施方案》),要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,有必要在数据法律制度构建方面先行先试,通过立法,充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。
(二)是规范个人数据处理活动,强化个人数据保护的需要
自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也在迅猛发展。但是由于个人数据保护相关法律规范的缺失,未经个人同意收集个人数据、超出必要获取用户权限、非法交易个人数据、滥用个人数据等侵权问题屡见不鲜,严重影响公民私人生活的安宁,有的甚至严重损害公民名誉和人身、财产安全。为了有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益,有必要通过经济特区立法,规范个人数据处理活动,强化对个人数据的保护。
(三)是推进公共数据资源开放利用,提升政府数据治理能力的需要
近年来,深圳以优化营商环境和提升民生服务为突破口,不断推出公共数据共享开放、开发利用等方面的系列创新举措,取得了卓有成效的成绩。然而,公共数据仍呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放程度不充分等问题亟需解决。有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据共享开放的瓶颈难题,充分开发利用公共数据资源,加快智慧城市和数字政府建设,提升政府数据治理能力。
(四)是加快培育数据要素市场,促进数字经济发展的需要
深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,在数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的不健全,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等,亟需通过立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。
二、主要内容和制度创新
不同于数据相关法律以及其他省市地方性法规、规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。《条例》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,着力平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度激发、释放数据作为生产要素的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。
(一)探索数据相关权益范围和类型
《综合改革试点实施方案》提出深圳要“率先完善数据产权制度,探索数据产权保护和利用新机制”。虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
(二)强化个人数据保护
1.明确处理个人数据的基本原则
《条例》参考《中华人民共和国个人信息保护法(二次审议稿)》(以下简称《个人信息保护法(二稿)》)以及国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息安全规范》)等相关规定确立了处理个人数据的基本原则,即处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则;同时,针对公众普遍关注的最小必要原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并例举了五种符合最小必要原则的具体情形。
2.确立以“告知——同意”为前提的个人数据处理规则
为进一步规范个人数据处理活动,《条例》借鉴国际主流个人数据立法的规定,确立了以“告知——同意”为基础的个人数据处理规则:一是处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的期限,可能存在的安全风险、采取的安全保护措施,以及自然人依法享有的权利、行使权利的方式等事项。二是处理个人数据应当征得自然人的同意,在其同意的范围内处理其个人数据,不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意,并对同意规则的例外情形作出了规定。三是针对自然人撤回同意的情形,规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件;并在立法中首次认可了数据处理者在自然人撤回同意前基于同意进行的合法数据处理的有效性。
3.合理限制生物识别数据的处理
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
4.规范用户画像和个性化推荐的应用
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为了在尽可能尊重和保障自然人对处理其个人数据的决定权的同时,不阻碍用户画像和个性化推荐等新兴数据应用技术的发展,《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
5.强化对未成年人个人数据的保护
为加强对未成年人个人数据的保护,在数字时代为其创造更有利的成长环境,《条例》借鉴《个人信息安全规范》关于“十四岁以下儿童的个人信息属于敏感个人信息”的规定,并与《中华人民共和国未成年人保护法》以及国家网信办《儿童个人信息网络保护规定》均将十四周岁作为加强未成年人个人信息保护临界年龄的规定保持一致,将未满十四周岁未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定。
此外,针对未成年人用户画像问题,虽然未成年人用户画像有诸多有益应用,如在线教育APP针对不同特征的学生有的放矢地制定相应的教学方案,但由于未成年人缺乏基本的辨识认知能力,难以辨别对其进行的个性化推荐是否符合其自身利益,因此,《条例》首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。
(三)提升公共数据治理水平
1.建立公共数据治理体系
为加强公共数据统筹管理,构建高质量的公共数据资源体系,《条例》从提升公共数据质量、促进公共数据共享开放等方面,设计了公共数据治理的顶层框架。一是构建公共数据管理体系,建设以城市大数据中心为核心的公共数据运行管理机制。二是建立公共数据资源管理制度,实行公共数据分类管理、目录管理。三是确立公共数据收集的基本原则,实行公共数据统筹采购,并要求对于可通过共享方式获得的数据不得再另行收集。四是明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。五是建立公共数据开放管理制度,建立公共数据开放目录和调整机制。
2.推动公共数据最大限度开放利用
根据习近平总书记在2017年12月8日在中共中央政治局实施国家大数据战略第二次集体学习中的讲话精神,公共数据资源是公共资源,治理公共数据最终目标是推动公共数据资源的开放利用。立法应当将公共数据资源开放纳入公共服务,减少政府对于公共数据开发利用的干预,充分发挥市场对公共数据资源的高效配置作用,由市场主体对开放的公共数据进行开发利用,将公共数据资源转化为生产要素和生产力,从而最大程度地实现公共数据的价值。《条例》就公共数据开放确立了分类分级、需求导向、安全可控的原则,要求公共数据应当在法律、法规允许范围内最大限度开放。一是最大限度界定公共数据范围,规定公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中,产生、处理的数据均属于公共数据。明确将提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织纳入公共管理和服务机构范围。二是建设统一、高效的公共数据开放平台,组织公共管理和服务机构通过平台向社会开放公共数据。三是公共数据依照法律、法规规定开放,不得收取任何费用。
(四)探索培育数据要素市场
1.促进数据要素价值实现
为促进市场主体实现数据要素价值,《条例》从五个方面探索培育数据要素市场,并填补目前数据交易相关法律规范的空白:一是建立健全数据标准体系,支持制定相关各类地方标准、行业标准、团体标准和企业标准。二是推动数据质量评估认证和数据价值评估。三是探索建立数据要素统计核算制度,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。四是拓宽数据交易渠道,充分尊重市场主体的自由意志,允许市场主体通过依法设立的数据交易平台进行数据交易或者依法自行交易。五是明确数据交易范围为“合法处理数据形成的数据产品和服务”,并从反面禁止交易包含个人数据未经相关权利人同意的数据产品和服务,以及包含未经依法开放的公共数据的数据产品和服务。
2.促进数据要素市场公平竞争
(五)保护数据全生命周期安全
《中华人民共和国数据安全法》(以下简称《数据安全法》)已于2021年6月10日通过,并将于9月1日起实施,《数据安全法》已就数据安全保护作出了较为完善的制度安排,特区立法不宜再行突破。因此,《条例》在国家立法的基础上进一步细化数据安全保护的相关内容:一是明确市人民政府负责统筹数据安全管理工作。二是明确数据处理者的数据安全管理责任,要求数据处理者落实在数据收集、加工、存储、共享开放、销毁、委托处理、出境等阶段的安全管理义务,并做好数据安全事件的监测、预警和应急处置工作。三是明确数据安全监督部门通过开展数据安全预警工作、对数据处理者进行数据安全管理认证和评估、约谈违规数据处理者等措施强化数据安全监督,并强调数据监督管理部门及其工作人员必须对在履职过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
此外,为强化对敏感个人数据和重要数据的保护,《条例》一是对敏感个人数据或者重要数据处理者设置了更加严格的安全管理责任,要求数据处理者按照规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。二是要求市网信部门统筹协调相关主管部门和行业主管部门对重要数据进行重点保护。三是要求数据处理者针对敏感个人数据和重要数据制定去标识化或者匿名化处理安全措施。四是要求敏感个人数据或者重要数据处理者定期开展风险评估,并向有关主管部门报送风险评估报告。
(六)建立数据领域公益诉讼制度
现实中,数据侵权具有较高的隐秘性,即便被侵权人察觉,由于取证困难,出于时间或经济成本的考量,也难以实现有效维权。为缓解当前数据维权艰难的现状,《条例》参考2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,在地方立法中首次确立了数据领域的公益诉讼制度,规定人民检察院和法律、法规规定的组织可以就违规定处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出检察建议或者提起行政公益诉讼。
(七)关于违反条例相关规定的法律责任
目前《中华人民共和国个人信息保护法》仍在制定过程中,为保持对违规处理个人数据处罚的统一性,避免与上位法规定不一致,《条例》规定违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。同时,鉴于《条例》关于数据安全的规定主要是对《数据安全法》相关规定的细化,无需在上位法规定之外另设法律责任,《条例》规定数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。
以下是 《深圳经济特区数据条例》通过文本与征求意见稿的对比
来源:“数字经济与社会” 公众号
| |
|
| |
|
第一条 为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。 | 第一条 为了规范数据处理活动,保护自然人、法人和非法人组织的合法权益,促进数据作为生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。 |
第二条 本条例所称数据,是指任何以电子或者非电子形式对信息的记录。本条例所称数据处理,是指数据的收集、存储、加工、使用、提供、开放、交易等活动。第八条 本条例所称个人数据,是指载有自然人个人信息的数据,包括载有个人身份信息、生物特征信息和其他敏感个人信息的数据,但是不包括匿名化处理后的数据。本条例所称敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,包括种族、民族、宗教信仰、生物特征、医疗健康、金融账户、个人行踪等数据。本条例所称生物识别数据,是指对自然人的相关身体、生理、行为等生物特征进行技术处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。本条例所称匿名化处理,是指通过对个人数据进行技术处理使得个人数据主体无法被识别,且处理后的数据不能被复原的活动。第十条 公共管理和服务机构处理个人数据,应当仅限于履行法定职责和提供公共服务所必需,并按照规定采取安全保护措施,充分保障数据安全。本条例所称公共管理和服务机构,是指本市国家机关和法律、法规授权管理公共事务和提供公共服务的组织第二十三条 本条例所称用户画像,是指为了评估自然人的某些条件而对其个人数据进行的自动化处理,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等而进行的处理。第三十一条 本条例所称公共数据,是指公共管理和服务机构在依法履行公共管理和服务职责过程中,产生、处理的各类数据。 | (一)数据,是指任何以电子或者其他方式对信息的记录。(二)个人数据,是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。(三)敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。(四)生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。(五)公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中,产生、处理的数据。(六)数据处理,是指数据的收集、存储、使用、加工、传输、提供、开放等活动。(七)匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。(八)用户画像,是指为了评估自然人的某些条件而对其个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等而进行的自动化处理。(九)公共管理和服务机构,是指本市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。 |
第三条 自然人对载有其个人信息的数据享有法律、行政法规及本条例规定的人格权益。自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害自然人人格权益,不得侵害他人知识产权。 | 第三条 自然人对个人数据享有法律、行政法规及本条例规定的人格权益。处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则。第四条 自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。 |
第七条 市人民政府应当充分发挥数据的基础资源作用和创新引擎作用,加快构建以数据为关键要素的数字经济,创新运用大数据提升城市治理现代化水平,促进保障和改善民生,并切实保障数据安全。 | 第五条 处理公共数据应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则,充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。 |
第四条 市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据开放共享利用、数据市场培育发展及数据安全管理工作。 | 第六条 市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据共享开放、数据要素市场培育及数据安全监督管理工作。 |
第五条市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会下设办公室,由市政务服务数据管理部门承担日常工作。 | 第七条 市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会的日常工作由市政务服务数据管理部门承担。 |
第六条市网信部门负责本市个人数据保护、数据安全、跨境数据流通等工作的指导、协调和监督管理。市工业和信息化部门负责本市数据产业发展和信息基础设施建设工作。市市场监督管理部门负责本市数据市场的监督管理工作。市政务服务数据管理部门负责本市公共数据管理工作的指导、协调和监督管理。市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。市发展改革、公安、财政、人力资源保障、规划和自然资源、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据资源管理的相关职能。 | 第八条 市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。市政务服务数据管理部门负责本市公共数据管理的统筹、指导、协调和监督工作。市发展改革、工业和信息化、公安、财政、人力资源保障、规划和自然资源、市场监管、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据管理相关职能。市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。 |
|
|
| 第九条 处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。 |
(一)严格遵守法律、法规规定,处理个人数据的目的和方式合法、正当;(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;(三)遵循公开、透明的原则,明示个人数据处理的目的、方式、范围和规则等;(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;前款所称处理个人数据应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,具体包括但是不限于下列情形:(一)处理的个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;(二)自动处理个人数据的频率应当是实现处理目的所必需的最低频率;(三)处理个人数据的数量应当是实现处理目的所必需的最少数量;(四)存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据进行删除或者匿名化处理,法律、法规另有规定或者自然人另行同意的除外;(五)应当建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问职责所需的最少的个人数据,且仅具备完成职责所需的最少的数据操作权限。 | (一)处理个人数据的目的明确、合理,方式合法、正当;(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;(三)依法告知个人数据处理的目的、方式、范围等,并依法征得同意;(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。第十一条 本条例第十条第二项所称限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,包括但是不限于下列情形:(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;(三)自动处理个人数据的频率应当为实现处理目的所必需的最低频率;(四)存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;(五)建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。 |
| 第十二条 数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。 |
| 第十三条 市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制,加强对个人数据保护和相关监督管理工作的统筹和指导;建立个人数据保护投诉举报处理机制,依法及时处理相关投诉举报。 |
| |
第二十条 处理个人数据应当在征得自然人或者其监护人处理其个人数据的同意前以通俗易懂、明确具体、易获取的方式向其完整、真实、准确地告知下列事项:(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;(六)自然人依法享有的权利以及行使权利的方式和程序;处理敏感个人数据应当依照前款规定,以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。 | 第十四条 处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;(六)自然人依法享有的相关权利以及行使权利的方式;处理敏感个人数据的,应当依照前款规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。 |
第二十一条 处理个人数据有法律、行政法规规定应当保密或者不宜告知的情形的,不适用本条例第二十条的规定。紧急情况下为了保护自然人的人身、财产安全等重大合法权益,不能按照本条例第二十条的规定进行事前告知的,应当在紧急情况消除后及时告知。 | 第十五条 紧急情况下为了保护自然人的人身、财产安全等重大合法权益,无法依照本条例第十四条规定进行事前告知的,应当在紧急情况消除后及时告知。处理个人数据有法律、行政法规规定应当保密或者无需告知的情形的,不适用本条例第十四条规定。 |
第十二条 数据处理者应当在处理个人数据前征得自然人或者其监护人的同意,并在其同意范围内处理其个人数据,但是法律、行政法规以及本条例另有规定的除外。本条例所称同意,是指当事人自主、明确地表示允许处理其个人数据的意思表示。数据处理者不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取其同意。第十三条 处理个人数据的种类、范围、目的和方式变更的,应当重新征得自然人或者其监护人的同意。 | 第十六条 数据处理者应当在处理个人数据前,征得自然人的同意,并在其同意范围内处理其个人数据,但是法律、行政法规以及本条例另有规定的除外。前款规定应当征得同意的事项发生变更的,应当重新征得自然人的同意。第十七条 数据处理者不得通过误导、欺骗、胁迫及其他违背自然人真实意愿的方式获取其同意。 |
第十四条 处理敏感个人数据的,应当在处理前征得该自然人或者其监护人的明示同意。 | 第十八条处理敏感个人数据的,应当在处理前征得该自然人的明示同意。 |
第十五条 生物识别数据处理者处理生物识别数据应当为处理个人数据的目的所必需,且不能为其他个人数据所替代,并应当具备相应的数据安全防护能力。生物识别数据处理管理办法由市政务服务数据管理部门会同市公安机关另行制定。 | 第十九条处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外。基于特定目的处理生物识别数据的,未经该自然人明示同意,不得将其生物识别数据用于其他目的。 |
第十六条 处理未成年人个人数据的,按照处理敏感个人数据的有关规定执行;处理不满十四周岁的未成年人个人数据的,应当在处理前征得其监护人的明示同意。处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。 | 第二十条 处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意。处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。 |
第十七条 处理个人数据有下列情形之一的,可以在处理前不征得自然人或者其监护人的同意:(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;(二)为了订立或者履行自然人作为一方当事人的合同所必需;(三)公共管理和服务机构为了履行法定职责或者提供服务所必需; | 第二十一条 处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;(二)为了订立或者履行自然人作为一方当事人的合同所必需;(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;(四)公共管理和服务机构为了履行法定职责或者提供公共服务所必需; |
第十八条 自然人有权随时撤回部分或者全部处理其个人数据的同意。自然人撤回同意的,数据处理者不得继续处理其个人数据,但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理;法律、法规另有规定的,从其规定。 | 第二十二条 自然人有权撤回部分或者全部处理其个人数据的同意。自然人撤回同意的,数据处理者不得继续处理该个人数据,但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的,从其规定。 |
第十九条 处理个人数据应当采用足以引起注意的特别标识等易获取的方式提供自然人撤回处理其个人数据的同意的途径,不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。 | 第二十三条 处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。 |
| |
第二十七条 自然人发现其个人数据不准确或者不完整的,有权要求数据处理者补充、更正,数据处理者应当予以核实,并及时补充、更正。 | 第二十四条 个人数据不准确或者不完整的,数据处理者应当自行或者根据自然人的要求及时补充、更正。 |
第二十八条 有下列情形之一的,自然人有权要求数据处理者删除其个人数据,数据处理者应当删除其个人数据:(二)处理个人数据的目的已经实现或者处理的个人数据对于处理的目的已经不再必要;(四)数据处理者违反法律、法规的规定或者双方约定处理数据;第二十九条 自然人撤回处理其个人数据的同意,要求数据处理者删除其个人数据的,数据处理者可以留存告知和同意的证据,但是不得超过其履行法定义务、应对诉讼或者纠纷的必要限度。 | 第二十五条 有下列情形之一的,数据处理者应当及时删除个人数据:(二)处理个人数据的目的已经实现或者处理的个人数据对于处理的目的已经不再必要;(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;根据前款第一项、第二项规定,除法律、法规规定外,经该自然人同意的,数据处理者可以保留相关个人数据。数据处理者根据本条第一款规定删除个人数据的,可以留存告知和同意的证据,但是不得超过其履行法定义务或者处理纠纷需要的必要限度。 |
第二十二条 数据处理者向他人提供其处理的个人数据的,应当对数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定的自然人。法律、法规规定或者自然人与数据处理者约定应当进行匿名化处理的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。 | 第二十六条 数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。 |
第二十二条 数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:(一)应公共管理和服务机构履行法定职责需要且书面要求提供的;(二)基于自然人或者其监护人的同意向他人提供其个人数据的; | 第二十七条 数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;(三)为了订立或者履行自然人作为一方当事人的合同所必需的; |
第二十六条 自然人有权向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定提供。 | 第二十八条 自然人可以向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定及时提供,并不得收取费用。 |
第二十三条 数据处理者可以基于提升产品质量或者服务体验的目的,对自然人进行用户画像,为其推荐个性化的产品或者服务。第二十四条 数据处理者对自然人进行用户画像时,应当向其明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式向其提供拒绝的途径。自然人有权随时拒绝对其进行的用户画像和基于用户画像向其进行的个性化产品或者服务推荐。禁止对未成年人进行用户画像以及基于用户画像向未成年人推荐个性化的产品或者服务。 | 第二十九条 数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。第三十条 数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。 |
第十一条 自然人发现数据处理者违反法律、法规规定或者双方约定处理其个人数据的,可以向市网信部门投诉举报,市网信部门应当及时依法处理。自然人认为数据处理者违反法律、法规规定或者双方约定处理其个人数据并造成损害的,可以依法向人民法院提起诉讼。 | 第三十一条 数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。 |
第二十五条 自然人对其个人数据的处理享有知情权、决定权,有权限制或者拒绝他人处理其个人数据。法律、行政法规另有规定的,从其规定。 |
|
|
|
第三十二条 市数据工作委员会设立公共数据管理委员会,负责协调、处理公共数据管理工作中的重大事项。市政务服务数据管理部门承担市公共数据管理委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和综合利用。区政务服务数据管理部门在市政务服务数据管理部门指导下,统筹本辖区公共数据管理工作。 | 第三十二条 市数据工作委员会设立公共数据专业委员会,负责研究、协调公共数据管理工作中的重大事项。市政务服务数据管理部门承担市公共数据专业委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和利用。区政务服务数据管理部门在市政务服务数据管理部门指导下,负责统筹本区公共数据管理工作。 |
第三十三条 市人民政府应当建立城市大数据中心,并依托城市大数据中心建设全市公共数据资源共享平台和开放平台,实现对全市公共数据资源统一、集约、安全、高效管理和利用。各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。 | 第三十三条 市人民政府应当建立城市大数据中心,建立健全其建设运行管理机制,实现对全市公共数据资源统一、集约、安全、高效管理。各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。城市大数据中心包括公共数据资源和支撑其管理的软硬件基础设施。 |
第三十三条 市政务服务数据管理部门负责推动公共管理和服务机构将所管理的公共数据资源向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据资源管理和利用。 | 第三十四条 市政务服务数据管理部门负责推动公共数据向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据共享、开放和利用。 |
第三十四条 公共数据资源按照基础数据资源、主题数据资源和业务数据资源实行分类管理制度。市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划和建设,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。 | 市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划、建设和管理,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。 |
市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制要求,组织公共管理和服务机构按照公共数据资源目录规范处理各类公共数据。公共管理和服务机构应当按照公共数据资源目录编制要求,对本机构所处理的数据进行目录管理。 | 市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制规范,组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据,明确数据来源部门和管理职责。公共管理和服务机构应当按照公共数据资源目录编制规范要求,对本机构的公共数据进行目录管理。 |
| 第三十七条 公共管理和服务机构收集数据应当符合下列要求:(一)为依法履行公共管理职责或者提供公共服务所必需,且在其履行的公共管理职责或者提供的公共服务范围内;(二)收集数据的种类和范围与其依法履行的公共管理职责或者提供的公共服务相适应;公共管理和服务机构可以通过共享方式获得的数据,不得另行向自然人、法人和非法人组织收集。 |
| 第三十八条 公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录。 |
第三十九条 市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管控,保障数据真实、准确、完整、及时、可用。市公共数据管理委员会定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。 | 第三十九条 市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管理,保障数据真实、准确、完整、及时、可用。市公共数据专业委员会应当定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。 |
| 第四十条 市人民政府应当加强公共数据共享、开放和利用体制机制和技术创新,不断提高公共数据共享、开放和利用的质量与效率。 |
| |
第三十六条 实行公共数据全面共享制度。公共数据在公共管理和服务机构之间以共享为原则,不共享为例外。 | 第四十一条 公共数据应当以共享为原则,不共享为例外。市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度。 |
第三十六条 市人民政府应当制定公共数据共享负面清单,并及时进行动态调整。未纳入负面清单的公共数据应当共享。 | 第四十二条 纳入公共数据共享目录的公共数据,应当按照有关规定通过城市大数据中心的公共数据共享平台在有需要的公共管理和服务机构之间及时、准确共享,法律、法规另有规定的除外。公共数据共享目录由市政务服务数据管理部门另行制定,并及时调整。 |
第三十七条 公共数据使用部门可以根据履行职责需要提出共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门要求,加强共享数据使用管理,不得超出范围使用或者用于其他目的。公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并可以对公共数据使用部门提出数据使用要求。 | 第四十三条 公共管理和服务机构可以根据依法履行公共管理职责或者提供公共服务的需要提出公共数据共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门的要求,加强共享数据使用管理,不得超出使用范围或者用于其他目的。公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并提供必要的数据使用指导和技术支持。 |
第四十条 公共管理和服务机构履行职责所需的数据无法通过城市大数据中心共享且难以自行收集的,由市人民政府统筹对外采购,具体工作由市政务服务数据管理部门承担。公共管理和服务机构所需采购的数据经市政务服务数据管理部门纳入公共数据资源目录后,可以由其自行采购,或者由市政务服务数据管理部门统一采购。采购的数据应当通过城市大数据中心向公共管理和服务机构提供统一服务。 | 第四十四条 公共管理和服务机构依法履行公共管理职责或者提供公共服务所需要的数据,无法通过公共数据共享平台共享获得的,可以由市人民政府统一对外采购,并按照有关规定纳入公共数据共享目录,具体工作由市政务服务数据管理部门统筹。 |
| |
第四十一条 本条例所称公共数据开放,是指公共管理和服务机构依法通过统一的公共数据平台或者由本单位直接面向社会提供可机器读取的公共数据的活动。 | 第四十五条 本条例所称公共数据开放,是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据的活动。 |
第四十二条 公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。 | 第四十六条 公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。 |
第四十二条 公共数据依照法律、法规规定开放,不得收取任何费用;法律、行政法规另有规定的,从其规定。 | 第四十七条 依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。 |
第四十三条 公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。无条件开放公共数据,是指可以无条件提供给自然人、法人和非法人组织的公共数据。有条件开放公共数据,是指可以部分提供或者需要按照特定条件提供给自然人、法人和非法人组织的公共数据。不予开放公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。 | 第四十八条 公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。无条件开放的公共数据,是指应当无条件向自然人、法人和非法人组织开放的公共数据;有条件开放的公共数据,是指按照特定方式向自然人、法人和非法人组织平等开放的公共数据;不予开放的公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。 |
第三十七条 市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度,并组织实施。第四十四条 建立以公共数据资源目录体系为基础的公共数据开放管理制度,建立公共数据开放清单和调整机制,推动公共管理和服务机构的数据开放工作。有条件开放的公共数据,应当在编制公共数据开放清单时明确开放条件、使用要求及安全保障措施等。 | 第四十九条 市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据开放管理制度,编制公共数据开放目录并及时调整。有条件开放的公共数据,应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。 |
第四十五条 市政务服务数据管理部门应当依托城市大数据中心建设公共数据开放平台,统一向社会开放公共数据。公共数据开放平台应当根据开放数据类型,提供数据下载、应用程序接口、安全可信的数据综合开发利用环境等多种数据开放方式。 | 第五十条 市政务服务数据管理部门应当依托城市大数据中心建设统一、高效的公共数据开放平台,并组织公共管理和服务机构通过该平台向社会开放公共数据。公共数据开放平台应当根据公共数据开放类型,提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。 |
第三十八条 公共管理和服务机构应当通过全市公共数据资源共享平台开展数据共享。公共管理和服务机构可以通过共享方式获得数据的,不得向自然人、法人和非法人组织重复收集。 |
|
第四十六条 市人民政府应当通过政策引导、经费支持等方式,支持社会力量对开放的公共数据进行开发利用。 |
|
| |
第四十七条 市人民政府应当加快推进数字政府改革,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据进行管理的制度规则,创新政府决策、监管及服务模式,推动政府数字化转型,实现主动、精准、整体式、智能化的政府管理和服务。 | 第五十一条 市人民政府应当加快推进数字政府建设,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据管理的制度规则,创新政府决策、监管及服务模式,实现主动、精准、整体式、智能化的公共管理和服务。 |
第四十八条 市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为政府管理服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。市人民政府依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善政府管理服务指挥中心的建设和运营管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。 | 第五十二条 市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为公共管理和服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。市人民政府可以依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善运行管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。 |
第四十九条 市人民政府应当依托城市智能中枢平台,从服务对象视角推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在政务服务、公共服务过程中的创新应用,精简办事材料、环节,优化办事流程。对于可以通过数据比对作出审批决定的事项,应当开展基于数据的无人干预智能审批,推动政务服务智能高效。 | 第五十三条 市人民政府应当依托城市智能中枢平台,推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在公共管理和服务过程中的创新应用,精简办事材料、环节,优化办事流程;对于可以通过数据比对作出审批决定的事项,可以开展无人干预智能审批。 |
第五十条 市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,建立全市统一的监管平台,探索非现场监管、信用监管、风险预警等新型监管模式,提升监管智能化水平。 | 第五十四条 市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,推行非现场监管、信用监管、风险预警等新型监管模式,提升监管水平。 |
第五十一条 市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,推动公共管理和服务机构、企业及其他各类社会组织和个人,共同开展智慧城市应用创新。 | 第五十五条 市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,共同开展智慧城市应用创新。 |
|
|
第五十二条 市人民政府应当科学统筹规划,加快培育数据市场,推动构建数据资源收集、加工、开放、共享、交易、应用等数据市场体系,促进数据资源有序、高效流动与利用。 | 第五十六条 市人民政府应当统筹规划,加快培育数据要素市场,推动构建数据收集、加工、共享、开放、交易、应用等数据要素市场体系,促进数据资源有序、高效流动与利用。 |
第五十三条 市场主体开展数据处理活动,应当建立健全数据治理组织架构和自我评估机制,组织开展数据治理活动,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性,促进数据价值实现。 | 第五十七条 市场主体开展数据处理活动,应当落实数据管理主体责任,建立健全数据治理组织架构、管理制度和自我评估机制,对数据实施分类分级保护和管理,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性。 |
第五十四条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,通过向他人提供获得收益,依法进行处分。 | 第五十八条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。 |
第五十五条 市场主体通过开放、共享、交易等方式流通数据、数据产品或者服务的,应当明确各方当事人的权利和义务;超出权利人授权范围的,应当重新取得相应权利人授权。 | 第五十九条 市场主体向第三方开放或者提供使用个人数据的,应当遵守本条例第二章的有关规定;向特定第三方开放、委托处理、提供使用个人数据的,应当签订相关协议。 |
| 第六十条 使用、传输、受委托处理其他市场主体的数据产品和服务,涉及个人数据的,应当遵守本条例第二章的规定以及相关协议的约定。 |
| |
| 第六十一条 市人民政府应当组织制定数据处理活动合规标准、数据产品和服务标准、数据质量标准、数据安全标准、数据价值评估标准、数据治理评估标准等地方标准。支持数据相关行业组织制定团体标准和行业规范,提供信息、技术、培训等服务,引导和督促市场主体规范其数据行为,促进行业健康发展。鼓励市场主体制定数据相关企业标准,参与制定相关地方标准和团体标准。 |
| 第六十二条 数据处理者可以委托第三方机构进行数据质量评估认证;第三方机构应当按照独立、公开、公正原则,开展数据质量评估认证活动。 |
第五十九条 支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。 | 第六十三条 鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面,探索构建数据资产定价指标体系,推动制定数据价值评估准则。 |
| 第六十四条 市统计部门应当探索建立数据生产要素统计核算制度,明确统计范围、统计指标和统计方法,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。 |
第五十七条 引导市场主体通过依法设立的数据交易平台进行数据交易。 | 第六十五条 市人民政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。市场主体可以通过依法设立的数据交易平台进行数据交易,也可以由交易双方依法自行交易。 |
第五十八条 数据交易平台应当建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。 | 第六十六条 数据交易平台应当建立安全、可信、可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。 |
第五十六条 市场主体合法处理数据形成的数据产品和服务,可以依法交易,但是具有下列情形之一的除外:(一)交易的数据产品和服务包含个人数据而未经相关权利人同意的; | 第六十七条 市场主体合法处理数据形成的数据产品和服务,可以依法交易。但是,有下列情形之一的除外:(一)交易的数据产品和服务包含个人数据未依法获得授权的;(二)交易的数据产品和服务包含未经依法开放的公共数据的; |
|
第六十条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体或者消费者合法权益的行为:(一)使用非法手段破坏其他市场主体所采取的保护数据的技术措施;(三)利用非法收集的他人数据提供替代性产品或者服务;(四)未经其他市场主体或者消费者同意,将其他市场主体的数据直接进行商业利用;(五)法律、法规规定禁止侵害其他市场主体或者消费者合法权益的其他行为。 | 第六十八条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体合法权益的行为:(二)利用非法收集的其他市场主体数据提供替代性产品或者服务; |
第六十一条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;(三)基于公平、合理、无歧视的规则实施随机性交易;前款所称交易条件相同,是指交易相对人之间在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别。 | 第六十九条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;(三)基于公平、合理、非歧视规则实施随机性交易的;前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。 |
第六十二条 市场主体不得达成垄断协议,不得滥用在数据市场的支配地位、不得实施经营者集中,不得排除、限制数据市场竞争。 | 第七十条 市场主体不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式,排除、限制竞争。 |
| |
|
第六十三条 数据安全管理遵循政府主导、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全协调治理体系。市网信部门具体负责本市数据安全管理工作的统筹、协调。 | 第七十一条 数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。 |
第六十四条 数据处理者应当落实数据安全管理责任,按照数据的级别实施必要的安全管理策略和保障措施,不断提升技术手段,防止数据泄露、毁损、丢失、篡改和非法使用,确保数据安全。数据处理者因合并、分立、收购等方式变更的,由新的数据处理者继续落实数据安全管理责任。 | 第七十二条 数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。 |
第六十五条 处理敏感个人数据或者国家规定的重要数据,应当按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。 | 第七十三条 处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。 |
| 第七十四条 市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。 |
| |
第六十六条 数据处理者应当记录其收集数据的合法来源,保障数据来源清晰、可追溯。 | 第七十五条 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。 |
第六十七条 数据处理者应当依照相关法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可恢复识别的个人数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定去标识化或者匿名化处理安全措施,并对数据去标识化或者匿名化处理过程进行记录。 | 第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。 |
第六十八条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,对敏感个人数据和国家规定的重要数据还应当进行加密存储、授权访问或者采取其他更加严格的安全保护措施。 | 第七十七条 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。 |
第六十九条 数据处理者应当对数据处理过程实施数据安全技术防护,并建立重要系统和核心数据的容灾备份制度。 | 第七十八条 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。 |
第七十条 数据处理者开放、共享数据的,应当建立数据开放、共享安全管理制度,建立和完善对外数据接口的安全管理机制。 | 第七十九条 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。 |
第七十一条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁,并对数据销毁过程的相关操作予以记录。数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据;法律、法规另有规定的除外。 | 第八十条 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。 |
第七十二条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保密合同,明确双方安全保护责任和义务。受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。 | 第八十一条 数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。 |
第七十三条 数据处理者向境外提供个人数据或者国家规定的重要数据的,应当按照有关规定申请数据出境安全评估。但是,经自然人明示同意,仅为自然人或者其家庭生活目的向境外提供其个人数据的除外。 | 第八十二条 数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。 |
第七十四条 数据处理者应当落实与数据级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取预防补救措施。 | 第八十三条 数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。 |
| 第八十四条 处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。 |
第七十五条 数据处理者应当建立应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照数据安全事件的危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。 | 第八十五条 数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。 |
第七十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信部门和有关行业主管部门报告。 | 第八十六条 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。 |
|
第七十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监管工作,会同有关部门建立健全数据安全监督机制,组织对数据安全进行监督检查。 | 第八十七条 市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。 |
第七十八条 市公安机关应当加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督相应主体做好数据安全防范工作。 | 第八十八条 市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。 |
第七十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。 | 第八十九条 市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。 |
第八十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。 | 第九十条 市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。 |
第八十一条 市网信部门以及其他依法履行数据安全监督职责的部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和技术秘密严格保密,不得泄露、出售或者非法向他人提供。 | 第九十一条 市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。 |
|
| 第九十二条 违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。 |
| 第九十三条 公共管理和服务机构违反本条例有关规定的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任;因此给自然人、法人、非法人组织造成损失的,应当依法承担赔偿责任。 |
第八十五条 违反本条例第五十六条规定交易数据的,由市市场监督管理部门责令立即改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。 | 第九十四条 违反本条例第六十七条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。 |
第八十六条 违反本条例第六十条、第六十一条规定,侵害其他市场主体或者消费者合法权益,或者对交易条件相同的交易相对人实施差别待遇的,由市市场监督管理部门责令立即改正,没收违法所得,违法所得不足一万元的,并处五万元以上二十万元以下罚款;违法所得一万元以上的,并处二十万元以上一百万元以下罚款;情节严重或者造成严重后果的,由市市场监督管理部门责令立即改正,没收违法所得,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。市场主体有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规的规定处罚。 | 第九十五条 违反本条例第六十八条、第六十九条规定,侵害其他市场主体、消费者合法权益的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得;拒不改正的,处五万元以上五十万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。市场主体违反本条例第七十条规定,有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规规定处罚。 |
第八十七条 数据处理者违反本条例第五章规定,未落实数据安全保护责任的,依照有关法律、法规处罚。 | 第九十六条 数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。 |
第八十八条 国家机关违反本条例规定,不履行或者不正确履行法定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。 | 第九十七条 履行数据监督管理职责的部门以及公共管理和服务机构不履行或者不正确履行本条例规定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。 |
第八十九条 未依照法律、行政法规以及本条例规定落实数据安全保护责任,或者非法处理数据,致使国家利益或者公共利益受到损害的,有关行业组织可以依法提起民事公益诉讼。有关行业组织提起相关民事公益诉讼,人民检察院认为有必要的,可以支持起诉。前款规定的行业组织未提起民事公益诉讼的,人民检察院可以向人民法院提起民事公益诉讼。人民检察院在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出监察建议;行政机关不依法履行职责的,人民检察院可以依法向人民法院提起行政公益诉讼。 | 第九十八条 违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。 |
| 第九十九条 数据处理者违反本条例规定处理数据,给他人造成损害的,应当依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 |
第八十二条 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款:(一)违反本条例第十二条、第十三条、第十四条、第十六条规定,未经自然人或者其监护人同意处理其个人数据的;(二)违反本条例第十五条规定,处理自然人生物识别数据的;(三)违反本条例第十八条规定,自然人撤回同意后继续处理其个人数据的;(四)违反本条例第二十条、第二十一条规定,未履行告知义务的;(五)违反本条例第二十二条规定,向他人提供处理的个人数据的;(六)违反本条例第二十三条、第二十四条规定,对自然人进行用户画像的;(七)违反本条例第二十七条规定,未及时核实并补充、更正个人数据的;(八)违反本条例第二十八条、第二十九条规定,未删除个人数据的;(九)违反本条例第三十条第二款规定,未依法及时处置相关行使权利申请或者相关投诉举报的;(十)违反本条例第五章规定,未对个人数据采取必要安全保护措施的。前款规定的违法行为,有下列情形之一的,依照前款规定的罚款额度从重处罚,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚;构成犯罪的,依法追究刑事责任:(一)违法行为造成数据泄露、损毁、丢失、篡改等数据安全事件的;(三)违法行为人为提供基础性互联网平台服务的数据处理者的; |
|
第八十三条 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款:(一)违反本条例第十九条规定,对自然人撤回同意进行不合理限制或者附加不合理条件的;(二)违反本条例第二十六条规定,未及时提供个人数据的查阅方式,或者未按照规定及时、免费提供个人数据的备份的;(三)违反本条例第三十条第一款规定,未建立自然人行使权利申请和投诉举报的受理处理机制的;(四)违反本条例第三十条第一款规定,未采用足以引起注意的特别标识或者其他易获取的方式提供有效的行使权利和投诉举报途径的。 |
|
第八十四条 公共管理和服务机构有下列情形之一的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任:(二)提供的公共数据不真实、不准确、不完整、不可用的;(三)向自然人、法人或者非法人组织重复收集可以通过数据共享获取的公共数据的;(四)未按照规定编制、更新、报送公共数据资源目录的; |
|
|
| |
相关文章链接
《深圳经济特区数据条例(草案修改一稿)》提请深圳市人大常委会"二审"
《深圳经济特区数据条例(征求意见稿)》全文及说明
近期热点文章
滴滴回应被网络安全审查,附《网络安全审查办法》解读
车辆可能突然加速!特斯拉召回28万辆进口和国产汽车
终审判了!黄金VIP会员诉爱奇艺、融泰律所隐私权、个人信息保护纠纷案判决书
《中华人民共和国数据安全法》全文
《数据安全法》历次审议报告及草案说明
数字经济时代,需要一部什么样的数据安全法
刘金瑞|数据安全范式革新及其立法展开
《中华人民共和国反外国制裁法》全文及解读
国务院2021年度立法工作计划
数据即权力:世界需要一套崭新数字治理规则
最高法发布互联网十大典型案例
史上罕见!美国推全面制华法案
特斯拉在中国建立数据中心,将开放信息查询
周小川最新演讲澄清数字货币三大误解
加密货币恐慌式崩盘!中国三大协会联手封杀
《个人信息保护法》一审稿和二审稿对照表
网信办|《汽车数据安全管理若干规定(征求意见稿)》全文
三大运营商宣布:纽交所维持退市决定!
工信部《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》
国家四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
《网络直播营销管理办法(试行)》全文及解读
广东发布互联网反不正当竞争反垄断十大案例
三部门联合召开互联网平台企业行政指导会
182.28亿!阿里实施“二选一”垄断行为被罚
刘金瑞|《平台经济反垄断指南》剑指何方
魔蝎公司非法爬取数据侵犯个人信息罪判决书
删除指纹识别信息!人脸识别第一案终审宣判
最高检披露2020年网络犯罪基本态势
拜登反垄断团队猛将Lina Khan的破圈论文:亚马逊的反垄断悖论
习近平|推动平台经济规范健康持续发展
《国务院反垄断委员会关于平台经济领域的反垄断指南》全文及官方解读
摄像头非法采集人脸信息 名创优品被立案调查
市场监管总局《网络交易监督管理办法》解读
微信好友关系不属于隐私?深圳南山法院判决
全国人大常委会|关于检查《反不正当竞争法》实施情况的报告-全文
公众号推送规则变了,点击“在看”或者把本号设置为置顶星标,以便及时收到推送。