新疆維吾爾自治區數據條例

2024年7月，《新疆維吾爾自治區數據條例（草案）（徵求意見稿）》全文公布，公開徵求意見。

第一章 總 則

第一條【立法目的】 為了加強數據資源管理，保障數據安全，促進數據依法有序流通和套用，保護自然人、法人和非法人組織的合法權益，根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等有關法律、行政法規，結合自治區實際，制定本條例。

第二條【適用範圍】 自治區行政區域內的數據基礎設施規劃建設、數據處理及開發利用、數據安全監管和數據工作區域協同等活動，適用本條例。

第三條【基本定義】本條例中下列用語的含義：

（一）數據，是指任何以電子或者其他方式對信息的記錄。

（二）公共數據，包括政務數據和公共服務數據。

政務數據，是指國家機關和法律、法規授權的具有管理公共事務職能的組織（以下統稱政務部門）為履行法定職責收集、產生的數據。

公共服務數據，是指醫療、教育、供水、供電、供氣、通信、文旅、體育、環境保護、交通運輸等公共企業事業單位（以下統稱公共服務組織）在提供公共服務過程中收集、產生的涉及公共利益的數據。

（三）企業數據，是指各類經營主體在生產經營活動中產生、收集的數據。

（四）個人信息，是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

第四條【基本原則】堅持黨的領導，遵循促進發展與依法監管並重、共享開放與權益保障並重、數據價值轉化與安全保護並重的原則。

第五條【政府職責】 縣級以上人民政府應當加強對本行政區域數據工作的組織領導，明確數據管理機構，制定完善促進數位化發展的政策措施，推進自治區行政區域內的數據基礎設施規劃建設、數據處理及開發利用、數據安全監管和數據工作區域協同等活動，發揮數據在經濟發展、改善民生、社會治理等方面的作用。

自由貿易示範區、自主創新示範區、高新技術產業開發區等應當在推進數據要素市場培育發展，推動政務服務和社會治理數位化方面發揮示範引領作用。

第六條【部門職責】 自治區數據管理機構負責統籌推進全區數位化發展和數據管理工作，建立健全數據基礎制度，統籌數據資源體系建設，推動數據資源整合共享和開發利用，指導數據要素市場建設。

自治區網路安全和信息化主管部門負責統籌協調網路安全、數據安全、個人信息保護和數據跨境流動安全評估工作以及相關監督管理等工作。

自治區工業和信息化主管部門指導工業和信息化領域大數據開發利用，負責推進數字產業化發展、產業數位化轉型。

自治區公安、國家安全機關依法在各自職責範圍內負責公共數據安全相關工作。

自治區人民政府其他有關部門按照職責分工依法負責本部門、本領域和本行業的數據管理工作。

第七條【行業規範】數據行業組織應當建立健全行業規範，加強行業自律，引導從業者依法開展數據活動，配合有關部門開展行業監管，促進行業健康發展。

鼓勵社會團體、市場主體、高等學校和科研機構等參與制定數據領域行業標準、團體標準。

第八條【首席數據官】 各地區、各部門應當建立首席數據官制度。鼓勵企業建立首席數據官制度。

首席數據官負責數據管理與業務協同工作，提升本區域、本部門、本單位的數位化發展能力和水平。

第九條【人才培養】 自治區應當加強數位化發展人才隊伍建設，完善人才引進、培育、評價、激勵機制。支持和引導高等院校、職業學校開設數據科學相關專業，增加數字人才有效供給。

第十條【鼓勵創新】 鼓勵自然人、法人和其他組織在數據匯聚共享、開放開發、發展套用工作中依法先行先試、探索創新，支持數據區域合作、跨域協同。

第十一條【資金保障】 自治區財政統籌數位化發展所需資金保障工作，健全多元化投融資服務體系，逐步提高投入總體水平；鼓勵各地在本級財政預算中安排專項資金，支持數位化發展工作。

第十二條【考核評價】 自治區人民政府應當建立數位化發展工作考核制度，完善健全考核機制，明確考核內容、方法、程式，具體考核工作由各級數據管理機構承擔。

第二章 數據基礎設施

第十三條【數據基礎設施布局】 自治區應當統籌數據基礎設施建設，最佳化數據基礎設施布局，適度超前部署數據基礎設施，構建適應數據要素特徵、促進數據流通利用、實現數據資源共建共享、發揮數據價值效用的數據基礎設施體系，推進數據基礎設施體系化發展和規模化部署。

第十四條【數據匯聚基礎設施】自治區應當加強通信基礎設施建設，依託泛在互聯的高速通信網路，按需升級通信網路，有效提升數據匯聚環節的廣泛性、便捷性、精準性，夯實數據匯聚基礎。

第十五條【數據處理基礎設施】 自治區應當加強數據處理基礎設施頂層設計與規劃，融合利用各類先進數據處理技術，建立跨區域算力資源調度運營機制，建設綠色高效低碳算力網，融入全國一體化算力網。

第十六條【數據流通基礎設施】 自治區應當加快構建集約高效的數據流通基礎設施，實現數據在不同主體間“可用不可見”“可控可計量”，打通數據共享流通堵點，為場內集中交易和場外分散交易提供低成本、高效率、可信賴的流通環境。

第十七條【數據套用基礎設施】 自治區應當加強數據套用基礎設施頂層規劃，為數據套用方提供通用化的智慧型決策、輔助設計、智慧管理等能力，幫助數據套用方最佳化設計、生產、管理、銷售及服務全流程，進一步降低數據套用門檻，提升數位化水平。同時應充分利用人工智慧大模型的最新成果，更好推動數據要素賦能千行百業，促進數位化轉型和智慧型化升級。

第十八條【數據運營基礎設施】 自治區應當加強數據運營基礎設施布局，通過一系列技術工具和規則手段的協同聯動，推動數據匯聚、處理、流通、套用、交易等功能有序高效運轉，促進數據要素市場的供需精準匹配，保障清算結算、審計監管、爭議仲裁等一系列公共服務高質量開展，有效支撐數據要素市場名類資源高效配置。

第十九條【數據安全基礎設施】自治區應當加強數據安全技術手段建設，同步規劃、同步建設、同步使用安全技術措施，探索數據安全保障技術，提升重大安全威脅技術應對能力，構建全方位的數據安全體系。

第三章 數據資源

第二十條【公共數據資源體系】自治區數據管理機構應當會同有關部門按照國家規定，建立全區統一的公共數據資源體系，推進公共數據資源依法採集匯聚、加工處理，加強數據管理資料庫建設，加快數據共享開放和創新套用。

第二十一條【公共數據獲取】政務部門和公共服務組織應當依照法律、法規、規章和相關標準規範收集各類數據，相關自然人、法人和非法人組織應當予以配合。

政務部門和公共服務組織為依法履行職責或者提供公共服務需要，可以向社會採購數據。

第二十二條【公共數據匯聚】 數據管理機構應當健全公共

數據共享協調機制，推動公共數據匯聚、共享、回流等工作。政務部門和公共服務組織應當按照“應歸盡歸”原則向公共數據平台歸集數據，按需共享，推進公共數據屬地返還、按需回流。

稅務、海關、金融監督管理等中央國家機關派駐自治區的機關或者派出機構應當按照自治區統一要求，向公共數據平台匯聚、共享、回流公共數據。

第二十三條【一體化數據資源服務平台】自治區數據管理機構應當推動構建全區一體化數據資源服務平台，為公共數據匯聚、存儲、治理、共享、開放和安全管理等提供支撐。

政務部門和公共服務組織不得新建跨部門、跨層級的自治區級政務數據共享交換通道。

第二十四條【公共數據目錄化管理】公共數據實行目錄化管理。自治區人民政府各部門應當統籌本部門、本系統、本領域內公共數據目錄的編制工作。自治區數據管理機構制定統一的目錄編制指南，統籌組織編制、發布全區公共數據目錄並動態更新。

縣級以上地方人民政府數據管理機構應當按照統一標準，組織編制本級公共數據子目錄，報上一級數據管理機構審核。

政務部門和公共服務組織應當按照統一標準，編制和更新本單位公共數據目錄。不得將涉密數據編入目錄，涉密數據另行按相關保密、密碼管理要求，另行編制涉密數據目錄並按保密要求嚴格管理。

第二十五條【一數一源一標準】 政務部門和公共服務組織應當按照一項數據有且只有一個法定數源部門的原則，依照法定的許可權、程式和標準規範收集公共數據，不得超出履行法定職責所必需的範圍和限度。

第二十六條【圖像及個人身份識別】在商場、超市、公園、景區、公共文化體育場館、賓館等公共場所，以及居住小區、商務樓宇等公共區域，安裝圖像收集、個人身份識別設備，應當遵守國家有關規定，並設定顯著標識，不得以圖像採集、個人身份識別技術作為出入該場所或者區域的唯一驗證方式。

在公共場所安裝圖像採集、個人身份識別設備的建設、使用運行維護單位，對獲取的個人圖像、身份識別信息負有保密義務，不得非法泄露或者對外提供。所收集的個人圖像、身份識別信息應當依法採取網路安全、數據安全密碼保護措施，除取得個人明確授權外，只能用於維護公共安全的目的。

第二十七條【公共數據治理工作機制】 自治區數據管理機構會同有關部門建立健全以下公共數據治理工作機制：

（一）建立公共數據資源普查制度，編制公共數據資源清單，實現公共數據資源統一管理；

（二）會同標準化行政主管部門建立公共數據系列標準體系，協調各政務部門和公共服務組織按照標準體系加強公共數據收集、共享、存儲、銷毀等標準化管理；

（三）各級數據管理機構發現數據不準確、不完整或者提供的數據不一致的，由本級數據管理機構通知數據收集、提供單位限期校核，數據收集、提供單位應當在期限內校核完畢；

（四）建立公共數據使用情況統計反饋制度，由自治區數據管理機構統計並定期向數據來源部門反饋公共數據的歸集、使用、交易等情況。

第二十八條【企業數據管理】縣級以上人民政府及其有關部門應當鼓勵和引導企業提升數據管理能力，規範企業數據的採集匯聚、共享開放、開發套用等工作，促進企業數據科學管理。

支持數據服務提供商、數據服務龍頭企業發展，為企業提升數據管理能力提供服務。

第二十九條【個人信息管理】在符合法律、法規的前提下鼓勵自然人聚合來源於多個途徑的個人信息數據，並在保障安全、基於授權的前提下，參與數據創新套用，實現數據價值。

第三十條【突發事件應急處置的數據提供與管理】為了應對突發事件，政務部門和公共服務組織可以依法要求自然人、法人和非法人組織提供突發事件應急處置所必需的數據；除了依法共享和開放外，不得非法泄露或者向他人提供相關數據。

突發事件應急處置工作結束後，政務部門和公共服務組織應當對相關數據進行分類評估，採取封存、銷毀等方式將涉及國家秘密、商業秘密、個人信息和隱私的數據進行安全處理，並關停相關數據套用。

第四章 數據流通

第三十一條【公共數據共享分類】 公共數據以共享為原則、不共享為例外。

公共數據共享分為無條件共享、有條件共享、不予共享三種情形。政務部門和公共服務組織應按照規定對公共數據共享進行評估，科學合理地確定公共數據共享情形，並定期更新。

政務部門和公共服務組織對列入有條件共享的公共數據，應當說明理由並明確共享條件；對列入不子共享數據的公共數據，應當提供相關法律或政策依據。

第三十二條【公共數據共享要求】對已發布於數據資源平台的數據，政務部門和公共服務組織可以直接申請共享，但不得超出依法履行職責的必要範圍，不得以任何形式提供給第三方，也不得用於其他任何目的。超出法定職責範圍獲取數據的，數據資源平台運維管理單位和數據提供部門應當在發現後立即停止其繼續獲取數據。

對未發布於數據資源平台的數據，政務部門和公共服務組織可以提出共享請求。數據提供部門應當在五個工作日內回復，不同意共享的，應說明理由。

第三十三條【公共數據開放原則】自治區人民政府應當以需求導向、分類分級、公平公開、便捷高效、安全可控為原則，推動公共數據面向社會開放，並持續擴大公共數據開放範圍。

第三十四條【公共數據開放分類】政務部門和公共服務組織向社會開放公共數據分為無條件開放、有條件開放、不予開放三種情形。

不予開放，是指法律規定不得開放以及開放後可能危及國家安全、危害公共利益、損害民事權益的情形；有條件開放，是指需要依法授權向特定自然人、法人和非法人組織開放的情形；不予開放和有條件開放以外的其他情形屬於無條件開放，但法律，行政法規另有規定的除外。

政務部門和公共服務組織應當按照國家和自治區有關規定對收集、產生的公共數據進行評估，科學合理確定開放屬性，並定期更新。

第三十五條【公共數據使用要求】向政務部門和公共服務組織提出有條件開放公共數據要求的申請人，應當明確公共數據套用場景，並承諾其真實性、安全性、合規性。

申請人不得將獲取的公共數據用於規定使用範圍之外的其他用途，不得篡改、破壞、泄露所獲取的公共數據，不得以獲取的公共數據危害國家安全、侵犯商業秘密或者個人隱私。

第三十六條【公共數據授權運營】自治區人民政府應當組織制定公共數據授權運營管理辦法，明確授權條件、授權程式授權範圍、運營模式，運營期限、運營平台的服務和使用機制運營行為規範、收益分配辦法，以及安全監管、運營評價和退出情形等內容。

自治區數據管理機構應當會同網路安全與信息化主管部門、公安機關、國家安全機關等有關部門評估數據擬套用場景的合規性和安全性，並監督運營主體具體行為。

第三十七條【企業數據流通使用】鼓勵產業鏈上下游企業加強數據協作，共建安全可信的數據空問，建立互利共贏的數據流通體系。

支持企業建設相關數據服務平台，開展數據匯聚和融合套用，形成數據產品和服務，開展數據交易，促進數據合規高效流通使用。

第三十八條【個人信息流通使用】 個人信息的流通使用應當遵守相關法律、行政法規規定，任何組織和個人不得侵害自然人的個人信息權益。

數據處理者向他人提供其處理的個人數據，應當對個人數據進行去標識化處理，使得被提供的個人數據在不藉助其他數據的情況下無法識別特定自然人。法律、法規規定或者自然人與數據處理者約定應當匿名化的，數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。

數據處理者基於提升產品或者服務質量的目的，對自然人進行用戶畫像的，應當向其明示用戶畫像的具體用途和主要規則。

第三十九條【數據交易管理】 自治區數據管理機構會同有關部門建立數據交易管理制度，規範數據交易行為，建立資產評估、登記結算、交易撮合、爭議解決等數據要素市場運營體系。

第四十條【數據交易服務機構】自治區人民政府應當推動依法設立數據交易服務機構，鼓勵和引導市場主體在數據交易服務機構開展數據交易活動。

數據交易服務機構應當制定交易服務流程、內部管理制度以及機構自律規則，採取有效措施保護個人隱私、個人信息、商業秘密、保密商務信息等數據，建立規範透明、安全可控、可追湖的數據交易服務環境。

數據交易服務機構在提供交易服務過程中應當遵守以下規定：

（一）要求數據提供方說明數據來源；

（二）審核數據交易雙方的身份；

（三）留存相關審核、交易記錄；

（四）監督數據交易、結算和交付；

（五）採取必要技術手段確保數據交易安全；

（六）法律、法規的其他相關規定。

第四十一條【數據交易原則】數據交易活動應當遵循自願，平等、公平和誠實守信原則，遵守法律法規和商業道德，履行數據安全保護、個人信息保護、智慧財產權保護等方面的義務。

有下列情形之一的，不得交易：

（一）危害國家安全、公共利益，侵害個人隱私的；

（二）未經合法權利人授權同意的；

（三）法律、法規規定禁止交易的其他情形。

第四十二條【數據交易途徑】市場主體可以通過依法設立的數據交易所進行數據交易，也可以依法自行交易。

第四十三條【數據交易定價】從事數據交易活動的市場主體可以依法自主定價。

第五章 數據開發利用

第四十四條【數據權益】 自然人、法人和非法人組織可以依法處理合法取得的數據，並獲取收益。

自然人、法人和非法人組織在使用、加工等數據處理活動中形成的法定或者約定的財產權益，以及在有關數據創新活動中取得的合法權益受法律保護。

自然人、法人和非法人組織使用、加工數據，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德，誠實守信，不得危害國家安全和公共利益，不得損害他人的合法權益。

第四十五條【數據權益保障】自然人、法人和非法人組織應當依法開展數據交易、流通、合作等活動，並對數據實施有效保護和管理。

自然人、法人和非法人組織依法獲取的個人信息經過處理無法識別特定個人且不能復原的，或者取得特定數據提供者明確授權的，可以交易、交換或者以其他方式開發利用。

自然人、法人和非法人組織對數據的使用應當遵守反壟斷反不正當競爭、消費者權益保護等法律、法規規定，不得利用市場支配地位從事操縱市場、設定排他性合作條款等活動；不得濫用大數據分析等技術手段，基於個人消費數據和消費偏好設定不公平交易條件，或者設定誘導用戶沉迷、過度消費的數據服務規則，侵犯消費者合法權益。

第四十六條【數據開發利用方向】縣級以上人民政府應當支持並引導數據開發利用，推進數據要素價值轉化，促進數位技術與實體經濟、社會治理、維護穩定、生活服務深度融合，全面提升數據資源在各行業的套用效果。

鼓勵自然人、法人和非法人組織在數據領域開展創新活動，法律、法規等明確禁止的事項除外。

第四十七條【數位技術與實體經濟融合】，縣級以上人民政府應當促進數位技術與實體經濟深度融合，推動數據賦能經濟數位化轉型，支持傳統產業轉型升級，催生新產業、新業態、新模式。鼓勵各類企業開展數據融合套用，加快農業、能源、生產製造、科技研發、金融服務、商貿流通等領域的數據賦能。

第四十八條【數位技術與社會治理融合】縣級以上人民政府應當促進數位技術與社會治理深度融合，推動數據賦能治理數位化轉型，深化政務服務“一網通辦”，社會治理“一網統管”，支撐公共衛生、交通管理、公共安全、生態環境、基層治理等各領域場景套用，通過治理數位化轉型驅動社會治理模式創新。

第四十九條【數位技術和生活服務融合】縣級以上人民政府應當促進數位技術和生活服務深度融合，推動數據賦能生活數位化轉型，提高公共衛生、醫療、教育、養老、就業等基本民生領域和商業、文娛、體育、旅遊等質量民生領域的數位化水平。

第六章 數據安全

第五十條【數據安全責任】 數據處理者是數據安全責任主體。同時存在多個處理者的，各數據處理者承擔各自相應的安全責任。數據處理者發生變更的，由變更後的數據處理者承擔數據安全責任。

數據處理者委託他人代為處理數據的，應當與其簽訂安全協定，明確數據安全保護責任。受託方不得擅自留存、使用、泄露或者向他人提供數據，法律、法規另有規定或者雙方另有約定的除外。

第五十一條【數據安全義務】開展數據處理活動應當依法履行下列數據安全保護義務：

（一）建立健全全流程數據安全管理制度；

（二）組織開展數據安全教育培訓；

（三）制定數據安全應急預案，開展應急演練；

（四）發生數據安全事件時，立即採取處置措施，啟動應急預案，及時告知可能受到影響的用戶，並按照規定向有關主管部門報告；

（五）加強風險監測，發現數據安全缺陷、漏洞等風險時，立即採取補救措施；

（六）採取安全保護技術措施，對數據進行分類分級管理，防止數據丟失、篡改、破壞和泄露，保障數據安全；

（七）法律、法規規定的其他安全保護義務。

第五十二條【數據智慧財產權保護】 縣級以上人民政府及其市場監督管理、智慧財產權、公安等主管部門應當加強數字經濟領域智慧財產權保護，培育智慧財產權交易市場，探索建立智慧財產權保護規則和快速維權體系，依法打擊智慧財產權侵權行為。

第五十三條【數據質量管控】政務部門和公共服務組織應當建立健全數據質量管控體系，加強數據質量全流程監督檢查，保證數據質量管控及時、準確、完整，實現問題數據可追溯、可定責。

第五十四條【數據安全監督】網路安全和信息化主管部門、公安機關、國家安全機關等有關部門應當建立數據安全監督檢查機制，依法處理數據安全事件。

網路安全和信息化主管部門、公安機關、國家安全機關等有關部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照法定許可權和程式對有關組織、個人進行約談，並要求有關組織、個人採取措施進行整改，及時消除隱患。

第五十五條【數據安全保護技術創新】鼓勵數據保護關鍵技術和安全監管技術創新研究，支持教育科研機構和企業開展數據安全關鍵技術攻關，推動政府、行業、企業數據信息共享及風險共治。

第七章 區域協同

第五十六條【區域數據合作】 自治區人民政府加強與其他省、自治區、直轄市的數據領域合作，推動區域數據共享交換，促進數據資源有序流動，發揮數據在跨區域協同發展中的創新驅動作用。

加強兵地融合發展，統籌推進兵團和地方數據平台互聯互通，數據資源共享開放。

第五十七條【數據跨境流動】 自治區人民政府以及有關部門應當在參與“一帶一路”建設等對外合作中，加強與“一帶一路”沿線國家、地區以及其他省份在數據領域的交流合作，促進人才、技術、資本、數據等市場要素相互融通、有序流動、高效配置。鼓勵和支持中國（新疆）自由貿易試驗區探索數據跨境安全有序流動。

政務部門和公共服務組織以及其他數據處理者從事跨境數據活動，應當按照國家數據出境安全監管要求，建立健全相關技術和管理措施，防範數據出境安全風險。向境外提供個人信息或者重要數據的，應當按照有關規定進行數據出境安全評估和個人信息出境標準契約備案；法律法規另有規定的，依照其規定。

第八章 法律責任

第五十八條【法律適用原則】 違反本條例規定的行為，法行政法規已有法律責任規定的，適用其規定。

第五十九條【不按規定使用公共數據的處罰】自然人、法人或者非法人組織有下列情形之一，政務部門和履行公共管理職責的事業單位應當按照職責責令改正，並暫時關閉其獲取相關公共數據的許可權；未按照要求改正的，對其終止開放相關公共數據：

（一）未按照數據開放相關承諾採取安全保障措施的；

（二）超出授權範圍實施數據開發利用的；

（三）嚴重違反公共數據平台安全管理規範的；

（四）其他未按照規定使用公共數據的。

第六十條【政務部門和公共服務組織及其工作人員的處罰】政務部門和公共服務組織及其工作人員違反本條例規定，有下列行為之一的，由本級人民政府或者上級主管部門責令改正；情節嚴重的，對負有責任的領導人員和直接責任人員依法給予處分；造成損失的，依法承擔賠償責任；構成犯罪的，依法追究刑事責任：

（一）未按照規定收集、共享、開放、交易公共數據的：

（二）未按照規定開展公共數據目錄編制、公共數據普查、質量管控工作的；

（三）違反規定，擅自新建跨部門、跨層級、跨區域的數據平台，或者未按規定進行整合的；

（四）未履行個人信息保護義務，違規處理、使用、泄露公民個人信息及隱私的；

（五）未按照規定及時處理自然人、法人和非法人組織的數據校核申請的；

（六）非法向境外組織提供數據的；

（七）未依法履行數據安全監管職責的；

（八）篡改、偽造、破壞、泄露公共數據的；

（九）違反法律、行政法規和本條例規定的其他情形。

第九章 附 則

第六十一條【施行日期】本條例自 年月日起施行。