深圳市第七届人民代表大会常务委员会
公告
第十号
《深圳经济特区数据条例》经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,现予公布,自2022年1月1日起施行。
深圳市人民代表大会常务委员会
2021年7月6日
深圳经济特区数据条例
(2021年6月29日深圳市第七届人民代表大会常务委员会第二次会议通过)
目录
第一章总则
第二章个人数据
第一节一般规定
第二节告知与同意
第三节个人数据处理
第三章公共数据
第一节一般规定
第二节公共数据共享
第三节公共数据开放
第四节公共数据利用
第四章数据要素市场
第一节一般规定
第二节市场培育
第三节公平竞争
第五章数据安全
第一节一般规定
第二节数据安全管理
第三节数据安全监督
第六章法律责任
第七章附则
第一章 总则
第一条为了规范数据处理活动,保护自然人、法人和非法人组织的合法权益,促进数据作为生产要素开放流动和开发利用,加快建设数字经济、数字社会、数字政府,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。
第二条本条例中下列用语的含义:
(一)数据,是指任何以电子或者其他方式对信息的记录。
(二)个人数据,是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。
(三)敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。
(四)生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。
(五)公共数据,是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
(六)数据处理,是指数据的收集、存储、使用、加工、传输、提供、开放等活动。
(七)匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。
(八)用户画像,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。
(九)公共管理和服务机构,是指本市国家机关、事业单位和其他依法管理公共事务的组织,以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。
第三条自然人对个人数据享有法律、行政法规及本条例规定的人格权益。
处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则。
第四条自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。
第五条处理公共数据应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则,充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。
第六条市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据共享开放、数据要素市场培育及数据安全监督管理工作。
第七条市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会的日常工作由市政务服务数据管理部门承担。
市数据工作委员会可以设立若干专业委员会。
第八条市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。
市政务服务数据管理部门负责本市公共数据管理的统筹、指导、协调和监督工作。
市发展改革、工业和信息化、公安、财政、人力资源保障、规划和自然资源、市场监管、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据监督管理相关职能。
市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。
第二章 个人数据
第一节 一般规定
第九条处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。
第十条处理个人数据应当符合下列要求:
(一)处理个人数据的目的明确、合理,方式合法、正当;
(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;
(三)依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;
(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;
(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。
第十一条本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:
(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;
(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;
(三)处理个人数据的频率应当为实现处理目的所必需的最低频率;
(四)个人数据存储期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;
(五)建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。
第十二条数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务。但是,该个人数据为提供相关核心功能或者服务所必需的除外。
第十三条市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制,加强对个人数据保护和相关监督管理工作的统筹和指导;建立个人数据保护投诉举报处理机制,依法处理相关投诉举报。
第二节 告知与同意
第十四条处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:
(一)数据处理者的姓名或者名称以及联系方式;
(二)处理个人数据的种类和范围;
(三)处理个人数据的目的和方式;
(四)存储个人数据的期限;
(五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;
(六)自然人依法享有的相关权利以及行使权利的方式;
(七)法律、法规规定应当告知的其他事项。
处理敏感个人数据的,应当依照前款规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。
第十五条紧急情况下为了保护自然人的人身、财产安全等重大合法权益,无法依照本条例第十四条规定进行事前告知的,应当在紧急情况消除后及时告知。
处理个人数据有法律、行政法规规定应当保密或者无需告知情形的,不适用本条例第十四条规定。
第十六条数据处理者应当在处理个人数据前,征得自然人的同意,并在其同意范围内处理个人数据,但是法律、行政法规以及本条例另有规定的除外。
前款规定应当征得同意的事项发生变更的,应当重新征得同意。
第十七条数据处理者不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。
第十八条处理敏感个人数据的,应当在处理前征得该自然人的明示同意。
第十九条处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外。
基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目的。
生物识别数据具体管理办法由市人民政府另行制定。
第二十条处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意。
处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。
第二十一条处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:
(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;
(二)为了订立或者履行自然人作为一方当事人的合同所必需;
(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;
(四)公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需;
(五)新闻单位依法进行新闻报道所必需;
(六)法律、行政法规规定的其他情形。
第二十二条自然人有权撤回部分或者全部其处理个人数据的同意。
自然人撤回同意的,数据处理者不得继续处理该自然人撤回同意范围内的个人数据。但是,不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的,从其规定。
第二十三条处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。
第三节个人数据处理
第二十四条个人数据不准确或者不完整的,数据处理者应当根据自然人的要求及时补充、更正。
第二十五条有下列情形之一的,数据处理者应当及时删除个人数据:
(一)法律、法规规定或者约定的存储期限届满;
(二)处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;
(三)自然人撤回同意且要求删除个人数据;
(四)数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;
(五)法律、法规规定的其他情形。
有前款第一项、第二项规定情形,但是法律、法规另有规定或者经自然人同意的,数据处理者可以保留相关个人数据。
数据处理者根据本条第一款规定删除个人数据的,可以留存告知和同意的证据,但是不得超过其履行法定义务或者处理纠纷需要的必要限度。
第二十六条数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。
第二十七条数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:
(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;
(二)基于自然人的同意向他人提供相关个人数据的;
(三)为了订立或者履行自然人作为一方当事人的合同所必需的;
(四)法律、行政法规规定的其他情形。
第二十八条自然人可以向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定及时提供,并不得收取费用。
第二十九条数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。
自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径。
第三十条数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。
第三十一条数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。
数据处理者收到行使权利要求或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝要求事项或者投诉的,应当说明理由。
第三章 公共数据
第一节 一般规定
第三十二条市数据工作委员会设立公共数据专业委员会,负责研究、协调公共数据管理工作中的重大事项。
市政务服务数据管理部门承担市公共数据专业委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和利用。
区政务服务数据管理部门在市政务服务数据管理部门指导下,负责统筹本区公共数据管理工作。
第三十三条市人民政府应当建立城市大数据中心,建立健全其建设运行管理机制,实现对全市公共数据资源统一、集约、安全、高效管理。
各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。
城市大数据中心包括公共数据资源和支撑其管理的软硬件基础设施。
第三十四条市政务服务数据管理部门负责推动公共数据向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据共享、开放和利用。
第三十五条实行公共数据分类管理制度。
市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划、建设和管理,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。
各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。
公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。
第三十六条实行公共数据目录管理制度。
市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制规范,组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据,明确数据来源部门和管理职责。
公共管理和服务机构应当按照公共数据资源目录编制规范要求,对本机构的公共数据进行目录管理。
第三十七条公共管理和服务机构收集数据应当符合下列要求:
(一)为依法履行公共管理职责或者提供公共服务所必需,且在其履行的公共管理职责或者提供的公共服务范围内;
(二)收集数据的种类和范围与其依法履行的公共管理职责或者提供的公共服务相适应;
(三)收集程序符合法律、法规相关规定。
公共管理和服务机构可以通过共享方式获得的数据,不得另行向自然人、法人和非法人组织收集。
第三十八条公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录。
第三十九条市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。
公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管理,保障数据真实、准确、完整、及时、可用。
市公共数据专业委员会应当定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。
第四十条市人民政府应当加强公共数据共享、开放和利用体制机制和技术创新,不断提高公共数据共享、开放和利用的质量与效率。
第二节 公共数据共享
第四十一条公共数据应当以共享为原则,不共享为例外。
市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度。
第四十二条纳入公共数据共享目录的公共数据,应当按照有关规定通过城市大数据中心的公共数据共享平台在有需要的公共管理和服务机构之间及时、准确共享,法律、法规另有规定的除外。
公共数据共享目录由市政务服务数据管理部门另行制定,并及时调整。
第四十三条公共管理和服务机构可以根据依法履行公共管理职责或者提供公共服务的需要提出公共数据共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门的要求,加强共享数据使用管理,不得超出使用范围或者用于其他目的。
公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并提供必要的数据使用指导和技术支持。
第四十四条公共管理和服务机构依法履行公共管理职责或者提供公共服务所需要的数据,无法通过公共数据共享平台共享获得的,可以由市人民政府统一对外采购,并按照有关规定纳入公共数据共享目录,具体工作由市政务服务数据管理部门统筹。
第三节 公共数据开放
第四十五条本条例所称公共数据开放,是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据的活动。
第四十六条公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。
第四十七条依照法律、法规规定开放公共数据,不得收取任何费用。法律、行政法规另有规定的,从其规定。
第四十八条公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。
无条件开放的公共数据,是指应当无条件向自然人、法人和非法人组织开放的公共数据;有条件开放的公共数据,是指按照特定方式向自然人、法人和非法人组织平等开放的公共数据;不予开放的公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。
第四十九条市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据开放管理制度,编制公共数据开放目录并及时调整。
有条件开放的公共数据,应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。
第五十条市政务服务数据管理部门应当依托城市大数据中心建设统一、高效的公共数据开放平台,并组织公共管理和服务机构通过该平台向社会开放公共数据。
公共数据开放平台应当根据公共数据开放类型,提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。
第四节 公共数据利用
第五十一条市人民政府应当加快推进数字政府建设,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据管理的制度规则,创新政府决策、监管及服务模式,实现主动、精准、整体式、智能化的公共管理和服务。
第五十二条市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为公共管理和服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。
市人民政府可以依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善运行管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。
各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。
各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。
第五十三条市人民政府应当依托城市智能中枢平台,推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。
市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在公共管理和服务过程中的创新应用,精简办事材料、环节,优化办事流程;对于可以通过数据比对作出审批决定的事项,可以开展无人干预智能审批。
第五十四条市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,推行非现场监管、信用监管、风险预警等新型监管模式,提升监管水平。
第五十五条市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,共同开展智慧城市应用创新。
第四章 数据要素市场
第一节 一般规定
第五十六条市人民政府应当统筹规划,加快培育数据要素市场,推动构建数据收集、加工、共享、开放、交易、应用等数据要素市场体系,促进数据资源有序、高效流动与利用。
第五十七条市场主体开展数据处理活动,应当落实数据管理主体责任,建立健全数据治理组织架构、管理制度和自我评估机制,对数据实施分类分级保护和管理,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性。
第五十八条市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。
第五十九条市场主体向第三方开放或者提供使用个人数据的,应当遵守本条例第二章的有关规定;向特定第三方开放、委托处理、提供使用个人数据的,应当签订相关协议。
第六十条使用、传输、受委托处理其他市场主体的数据产品和服务,涉及个人数据的,应当遵守本条例第二章的规定以及相关协议的约定。
第二节 市场培育
第六十一条市人民政府应当组织制定数据处理活动合规标准、数据产品和服务标准、数据质量标准、数据安全标准、数据价值评估标准、数据治理评估标准等地方标准。
支持数据相关行业组织制定团体标准和行业规范,提供信息、技术、培训等服务,引导和督促市场主体规范其数据行为,促进行业健康发展。
鼓励市场主体制定数据相关企业标准,参与制定相关地方标准和团体标准。
第六十二条数据处理者可以委托第三方机构进行数据质量评估认证;第三方机构应当按照独立、公开、公正原则,开展数据质量评估认证活动。
第六十三条鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面,探索构建数据资产定价指标体系,推动制定数据价值评估准则。
第六十四条市统计部门应当探索建立数据生产要素统计核算制度,明确统计范围、统计指标和统计方法,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。
第六十五条市人民政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。
市场主体可以通过依法设立的数据交易平台进行数据交易,也可以由交易双方依法自行交易。
第六十六条数据交易平台应当建立安全、可信、可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。
第六十七条市场主体合法处理数据形成的数据产品和服务,可以依法交易。但是,有下列情形之一的除外:
(一)交易的数据产品和服务包含个人数据未依法获得授权的;
(二)交易的数据产品和服务包含未经依法开放的公共数据的;
(三)法律、法规规定禁止交易的其他情形。
第三节 公平竞争
第六十八条市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体合法权益的行为:
(一)使用非法手段获取其他市场主体的数据;
(二)利用非法收集的其他市场主体数据提供替代性产品或者服务;
(三)法律、法规规定禁止的其他行为。
第六十九条市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;
(二)针对新用户在合理期限内开展优惠活动的;
(三)基于公平、合理、非歧视规则实施随机性交易的;
(四)法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。
第七十条市场主体不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式,排除、限制竞争。
第五章 数据安全
第一节 一般规定
第七十一条数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。
市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。
第七十二条数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。
数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。
第七十三条处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。
第七十四条市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。
第二节 数据安全管理
第七十五条数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
第七十七条数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
第七十八条数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
第七十九条数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
第八十条数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。
数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。
第八十一条数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。
受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。
第八十二条数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
第八十三条数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。
监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。
第八十四条处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。
第八十五条数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
第八十六条发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
第三节 数据安全监督
第八十七条市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。
第八十八条市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。
第八十九条市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。
第九十条市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。
第九十一条市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
第六章 法律责任
第九十二条违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。
第九十三条公共管理和服务机构违反本条例有关规定的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任;因此给自然人、法人、非法人组织造成损失的,应当依法承担赔偿责任。
第九十四条违反本条例第六十七条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
第九十五条违反本条例第六十八条、第六十九条规定,侵害其他市场主体、消费者合法权益的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得;拒不改正的,处五万元以上五十万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。
市场主体违反本条例第七十条规定,有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规规定处罚。
第九十六条数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。
第九十七条履行数据监督管理职责的部门以及公共管理和服务机构不履行或者不正确履行本条例规定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第九十八条违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。
法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。
人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。
第九十九条数据处理者违反本条例规定处理数据,给他人造成损害的,应当依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第一百条本条例自2022年1月1日起施行。
《深圳经济特区数据条例》解读
市人大常委会法工委
《深圳经济特区数据条例》(以下简称《条例》)经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,自2022年1月1日起施行。现将有关情况解读如下。
一、立法的必要性
(一)是全面实施大数据战略,落实综合改革实施方案要求的需要
党的十九届四中全会作出《关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》等文件,将数据作为新的生产要素上升到基础战略资源地位。2020年10月,中共中央办公厅、国务院办公厅又印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》(以下简称《综合改革试点实施方案》),要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,有必要在数据法律制度构建方面先行先试,通过立法,充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。
(二)是规范个人数据处理活动,强化个人数据保护的需要
自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也在迅猛发展。但是由于个人数据保护相关法律规范的缺失,未经个人同意收集个人数据、超出必要获取用户权限、非法交易个人数据、滥用个人数据等侵权问题屡见不鲜,严重影响公民私人生活的安宁,有的甚至严重损害公民名誉和人身、财产安全。为了有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益,有必要通过经济特区立法,规范个人数据处理活动,强化对个人数据的保护。
(三)是推进公共数据资源开放利用,提升政府数据治理能力的需要
近年来,深圳以优化营商环境和提升民生服务为突破口,不断推出公共数据共享开放、开发利用等方面的系列创新举措,取得了卓有成效的成绩。然而,公共数据仍呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放程度不充分等问题亟需解决。有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据共享开放的瓶颈难题,充分开发利用公共数据资源,加快智慧城市和数字政府建设,提升政府数据治理能力。
(四)是加快培育数据要素市场,促进数字经济发展的需要
深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,在数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的不健全,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等,亟需通过立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。
二、主要内容和制度创新
不同于数据相关法律以及其他省市地方性法规、规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。《条例》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,着力平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度激发、释放数据作为生产要素的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。
(一)探索数据相关权益范围和类型
《综合改革试点实施方案》提出深圳要“率先完善数据产权制度,探索数据产权保护和利用新机制”。虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
(二)强化个人数据保护
1.明确处理个人数据的基本原则
《条例》参考《中华人民共和国个人信息保护法(二次审议稿)》(以下简称《个人信息保护法(二稿)》)以及国家推荐性标准《信息安全技术个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息安全规范》)等相关规定确立了处理个人数据的基本原则,即处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则;同时,针对公众普遍关注的最小必要原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并例举了五种符合最小必要原则的具体情形。
2.确立以“告知——同意”为前提的个人数据处理规则
为进一步规范个人数据处理活动,《条例》借鉴国际主流个人数据立法的规定,确立了以“告知——同意”为基础的个人数据处理规则:一是处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的期限,可能存在的安全风险、采取的安全保护措施,以及自然人依法享有的权利、行使权利的方式等事项。二是处理个人数据应当征得自然人的同意,在其同意的范围内处理其个人数据,不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意,并对同意规则的例外情形作出了规定。三是针对自然人撤回同意的情形,规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件;并在立法中首次认可了数据处理者在自然人撤回同意前基于同意进行的合法数据处理的有效性。
3.合理限制生物识别数据的处理
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
4.规范用户画像和个性化推荐的应用
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为了在尽可能尊重和保障自然人对处理其个人数据的决定权的同时,不阻碍用户画像和个性化推荐等新兴数据应用技术的发展,《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
5.强化对未成年人个人数据的保护
为加强对未成年人个人数据的保护,在数字时代为其创造更有利的成长环境,《条例》借鉴《个人信息安全规范》关于“十四岁以下儿童的个人信息属于敏感个人信息”的规定,并与《中华人民共和国未成年人保护法》以及国家网信办《儿童个人信息网络保护规定》均将十四周岁作为加强未成年人个人信息保护临界年龄的规定保持一致,将未满十四周岁未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定。
此外,针对未成年人用户画像问题,虽然未成年人用户画像有诸多有益应用,如在线教育APP针对不同特征的学生有的放矢地制定相应的教学方案,但由于未成年人缺乏基本的辨识认知能力,难以辨别对其进行的个性化推荐是否符合其自身利益,因此,《条例》首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。
(三)提升公共数据治理水平
1.建立公共数据治理体系
为加强公共数据统筹管理,构建高质量的公共数据资源体系,《条例》从提升公共数据质量、促进公共数据共享开放等方面,设计了公共数据治理的顶层框架。一是构建公共数据管理体系,建设以城市大数据中心为核心的公共数据运行管理机制。二是建立公共数据资源管理制度,实行公共数据分类管理、目录管理。三是确立公共数据收集的基本原则,实行公共数据统筹采购,并要求对于可通过共享方式获得的数据不得再另行收集。四是明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。五是建立公共数据开放管理制度,建立公共数据开放目录和调整机制。
2.推动公共数据最大限度开放利用
根据习近平总书记在2017年12月8日在中共中央政治局实施国家大数据战略第二次集体学习中的讲话精神,公共数据资源是公共资源,治理公共数据最终目标是推动公共数据资源的开放利用。立法应当将公共数据资源开放纳入公共服务,减少政府对于公共数据开发利用的干预,充分发挥市场对公共数据资源的高效配置作用,由市场主体对开放的公共数据进行开发利用,将公共数据资源转化为生产要素和生产力,从而最大程度地实现公共数据的价值。《条例》就公共数据开放确立了分类分级、需求导向、安全可控的原则,要求公共数据应当在法律、法规允许范围内最大限度开放。一是最大限度界定公共数据范围,规定公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中,产生、处理的数据均属于公共数据。明确将提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织纳入公共管理和服务机构范围。二是建设统一、高效的公共数据开放平台,组织公共管理和服务机构通过平台向社会开放公共数据。三是公共数据依照法律、法规规定开放,不得收取任何费用。
(四)探索培育数据要素市场
1.促进数据要素价值实现
为促进市场主体实现数据要素价值,《条例》从五个方面探索培育数据要素市场,并填补目前数据交易相关法律规范的空白:一是建立健全数据标准体系,支持制定相关各类地方标准、行业标准、团体标准和企业标准。二是推动数据质量评估认证和数据价值评估。三是探索建立数据要素统计核算制度,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。四是拓宽数据交易渠道,充分尊重市场主体的自由意志,允许市场主体通过依法设立的数据交易平台进行数据交易或者依法自行交易。五是明确数据交易范围为“合法处理数据形成的数据产品和服务”,并从反面禁止交易包含个人数据未经相关权利人同意的数据产品和服务,以及包含未经依法开放的公共数据的数据产品和服务。
2.促进数据要素市场公平竞争
随着数字经济的发展,企业间的不正当数据竞争日益增多,严重制约了数据要素市场的培育和发展。为建立有序的数据要素市场竞争规则,保障市场主体和消费者的合法权益,《条例》在《中国人民共和国反不正当竞争法》的基础上,总结近年来数据要素市场不正当竞争司法案例的审判经验,借鉴国务院反垄断委员会《关于平台经济领域的反垄断指南》,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象,创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得利用数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中,排除、限制数据要素市场竞争;并对数据不正当竞争行为规定了相应的法律责任。
(五)保护数据全生命周期安全
《中华人民共和国数据安全法》(以下简称《数据安全法》)已于2021年6月10日通过,并将于9月1日起实施,《数据安全法》已就数据安全保护作出了较为完善的制度安排,特区立法不宜再行突破。因此,《条例》在国家立法的基础上进一步细化数据安全保护的相关内容:一是明确市人民政府负责统筹数据安全管理工作。二是明确数据处理者的数据安全管理责任,要求数据处理者落实在数据收集、加工、存储、共享开放、销毁、委托处理、出境等阶段的安全管理义务,并做好数据安全事件的监测、预警和应急处置工作。三是明确数据安全监督部门通过开展数据安全预警工作、对数据处理者进行数据安全管理认证和评估、约谈违规数据处理者等措施强化数据安全监督,并强调数据监督管理部门及其工作人员必须对在履职过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
此外,为强化对敏感个人数据和重要数据的保护,《条例》一是对敏感个人数据或者重要数据处理者设置了更加严格的安全管理责任,要求数据处理者按照规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。二是要求市网信部门统筹协调相关主管部门和行业主管部门对重要数据进行重点保护。三是要求数据处理者针对敏感个人数据和重要数据制定去标识化或者匿名化处理安全措施。四是要求敏感个人数据或者重要数据处理者定期开展风险评估,并向有关主管部门报送风险评估报告。
(六)建立数据领域公益诉讼制度
现实中,数据侵权具有较高的隐秘性,即便被侵权人察觉,由于取证困难,出于时间或经济成本的考量,也难以实现有效维权。为缓解当前数据维权艰难的现状,《条例》参考2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,在地方立法中首次确立了数据领域的公益诉讼制度,规定人民检察院和法律、法规规定的组织可以就违规定处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出检察建议或者提起行政公益诉讼。
(七)关于违反条例相关规定的法律责任
目前《中华人民共和国个人信息保护法》仍在制定过程中,为保持对违规处理个人数据处罚的统一性,避免与上位法规定不一致,《条例》规定违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。同时,鉴于《条例》关于数据安全的规定主要是对《数据安全法》相关规定的细化,无需在上位法规定之外另设法律责任,《条例》规定数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。
展开全文
- 浙江省公共数据条例
- 上海市数据条例
- 国家金融监督管理总局:银行保险机构数据安全管理办法(公开征求意见稿)
- 中国人民银行业务领域数据安全管理办法(征求意见稿)
- 网信办:数据出境安全评估办法
- 中国电子技术标准化研究院:人脸识别数据安全标准化研究报告(2021版)
- 中国人民银行:金融数据安全 数据安全评估规范(征求意见稿)
- 索信达韦海晗:银行数据安全管理实践
- 国家互联网信息办公室:网络数据安全管理条例(征求意见稿)
- 国家互联网信息办公室:数据出境安全评估办法(征求意见稿)
- 工信部:《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
- 中华人民共和国数据安全法
- 中华人民共和国数据安全法(草案)(二次审议稿)
- 信息安全技术 网络支付服务数据安全指南(征求意见稿)
- 信息安全技术 人脸识别数据安全要求(征求意见稿)