《深圳經濟特區數據條例》 是為了規範數據處理活動,保護自然人、法人和非法人組織的合法權益,根據有關法律、行政法規的基本原則,結合深圳經濟特區實際,制定的條例。
2021年7月6日,經深圳市第七屆人民代表大會常務委員會第二次會議於2021年6月29日通過,深圳市第七屆人民代表大會常務委員會公告(第十號)公布《深圳經濟特區數據條例》,自2022年1月1日起施行。
《條例》內容涵蓋了個人數據、公共數據、數據要素市場、數據安全等方面,是國內數據領域首部基礎性、綜合性立法。
基本介紹
- 中文名:深圳經濟特區數據條例
- 實施時間:2022年1月1日
- 通過時間:2021年6月29日
- 發文字號:深圳市第七屆人民代表大會常務委員會公告(第十號)
條例發布,條例全文,內容解讀,成果發布,
條例發布
深圳市第七屆人民代表大會常務委員會 公告
第十號
《深圳經濟特區數據條例》經深圳市第七屆人民代表大會常務委員會第二次會議於2021年6月29日通過,現予公布,自2022年1月1日起施行。
2021年7月6日
條例全文
《深圳經濟特區數據條例》
(2021年6月29日深圳市第七屆人民代表大會常務委員會第二次會議通過)
目 錄
第一章 總 則
第二章 個人數據
第一節 一般規定
第二節 告知與同意
第三節 個人數據處理
第三章 公共數據
第一節 一般規定
第二節 公共數據共享
第三節 公共數據開放
第四節 公共數據利用
第四章 數據要素市場
第一節 一般規定
第二節 市場培育
第三節 公平競爭
第五章 數據安全
第一節 一般規定
第二節 數據安全管理
第三節 數據安全監督
第六章 法律責任
第七章 附 則
第一章 總則
第一條 為了規範數據處理活動,保護自然人、法人和非法人組織的合法權益,促進數據作為生產要素開放流動和開發利用,加快建設數字經濟、數字社會、數字政府,根據有關法律、行政法規的基本原則,結合深圳經濟特區實際,制定本條例。
第二條 本條例中下列用語的含義:
(一)數據,是指任何以電子或者其他方式對信息的記錄。
(二)個人數據,是指載有可識別特定自然人信息的數據,不包括匿名化處理後的數據。
(三)敏感個人數據,是指一旦泄露、非法提供或者濫用,可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據,具體範圍依照法律、行政法規的規定確定。
(四)生物識別數據,是指對自然人的身體、生理、行為等生物特徵進行處理而得出的能夠識別自然人獨特標識的個人數據,包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等數據。
(五)公共數據,是指公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。
(六)數據處理,是指數據的收集、存儲、使用、加工、傳輸、提供、開放等活動。
(七)匿名化,是指個人數據經過處理無法識別特定自然人且不能復原的過程。
(八)用戶畫像,是指為了評估自然人的某些條件而對個人數據進行自動化處理的活動,包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等進行的自動化處理。
(九)公共管理和服務機構,是指本市國家機關、事業單位和其他依法管理公共事務的組織,以及提供教育、衛生健康、社會福利、供水、供電、供氣、環境保護、公共運輸和其他公共服務的組織。
第三條 自然人對個人數據享有法律、行政法規及本條例規定的人格權益。
處理個人數據應當具有明確、合理的目的,並遵循最小必要和合理期限原則。
第四條 自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。但是,不得危害國家安全和公共利益,不得損害他人的合法權益。
第五條 處理公共數據應當遵循依法收集、統籌管理、按需共享、有序開放、充分利用的原則,充分發揮公共數據資源對最佳化公共管理和服務、提升城市治理現代化水平、促進經濟社會發展的積極作用。
第六條 市人民政府應當建立健全數據治理制度和標準體系,統籌推進個人數據保護、公共數據共享開放、數據要素市場培育及數據安全監督管理工作。
第七條 市人民政府設立市數據工作委員會,負責研究、協調本市數據管理工作中的重大事項。市數據工作委員會的日常工作由市政務服務數據管理部門承擔。
市數據工作委員會可以設立若干專業委員會。
第八條 市網信部門負責統籌協調本市個人數據保護、網路數據安全、跨境數據流通等相關監督管理工作。
市政務服務數據管理部門負責本市公共數據管理的統籌、指導、協調和監督工作。
市發展改革、工業和信息化、公安、財政、人力資源保障、規劃和自然資源、市場監管、審計、國家安全等部門依照有關法律、法規,在各自職責範圍內履行數據監督管理相關職能。
市各行業主管部門負責本行業數據管理工作的統籌、指導、協調和監督。
第二章 個人數據
第一節 一般規定
第九條 處理個人數據應當充分尊重和保障自然人與個人數據相關的各項合法權益。
第十條 處理個人數據應當符合下列要求:
(一)處理個人數據的目的明確、合理,方式合法、正當;
(二)限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,不得進行與處理目的無關的個人數據處理;
(三)依法告知個人數據處理的種類、範圍、目的、方式等,並依法徵得同意;
(四)保證個人數據的準確性和必要的完整性,避免因個人數據不準確、不完整給當事人造成損害;
(五)確保個人數據安全,防止個人數據泄露、毀損、丟失、篡改和非法使用。
第十一條 本條例第十條第二項所稱限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式,包括但是不限於下列情形:
(一)處理個人數據的種類、範圍應當與處理目的有直接關聯,不處理該個人數據則處理目的無法實現;
(二)處理個人數據的數量應當為實現處理目的所必需的最少數量;
(三)處理個人數據的頻率應當為實現處理目的所必需的最低頻率;
(四)個人數據存儲期限應當為實現處理目的所必需的最短時間,超出存儲期限的,應當對個人數據予以刪除或者匿名化,法律、法規另有規定或者經自然人同意的除外;
(五)建立最小授權的訪問控制策略,使被授權訪問個人數據的人員僅能訪問完成職責所需的最少個人數據,且僅具備完成職責所需的最少數據處理許可權。
第十二條 數據處理者不得以自然人不同意處理個人數據為由,拒絕向其提供相關核心功能或者服務。但是,該個人數據為提供相關核心功能或者服務所必需的除外。
第十三條 市網信部門應當會同市工業和信息化、公安、市場監管等部門以及相關行業主管部門建立健全個人數據保護監督管理聯合工作機制,加強對個人數據保護和相關監督管理工作的統籌和指導;建立個人數據保護投訴舉報處理機制,依法處理相關投訴舉報。
第二節 告知與同意
第十四條 處理個人數據應當在處理前以通俗易懂、明確具體、易獲取的方式向自然人完整、真實、準確地告知下列事項:
(一)數據處理者的姓名或者名稱以及聯繫方式;
(二)處理個人數據的種類和範圍;
(三)處理個人數據的目的和方式;
(四)存儲個人數據的期限;
(五)處理個人數據可能存在的安全風險以及對其個人數據採取的安全保護措施;
(六)自然人依法享有的相關權利以及行使權利的方式;
(七)法律、法規規定應當告知的其他事項。
處理敏感個人數據的,應當依照前款規定,以更加顯著的標識或者突出顯示的形式告知處理敏感個人數據的必要性以及對自然人可能產生的影響。
第十五條 緊急情況下為了保護自然人的人身、財產安全等重大合法權益,無法依照本條例第十四條規定進行事前告知的,應當在緊急情況消除後及時告知。
處理個人數據有法律、行政法規規定應當保密或者無需告知情形的,不適用本條例第十四條規定。
第十六條 數據處理者應當在處理個人數據前,徵得自然人的同意,並在其同意範圍內處理個人數據,但是法律、行政法規以及本條例另有規定的除外。
前款規定應當徵得同意的事項發生變更的,應當重新徵得同意。
第十七條 數據處理者不得通過誤導、欺騙、脅迫或者其他違背自然人真實意願的方式獲取其同意。
第十八條 處理敏感個人數據的,應當在處理前徵得該自然人的明示同意。
第十九條 處理生物識別數據的,應當在徵得該自然人明示同意時,提供處理其他非生物識別數據的替代方案。但是,處理生物識別數據為處理個人數據目的所必需,且不能為其他個人數據所替代的除外。
基於特定目的處理生物識別數據的,未經自然人明示同意,不得將該生物識別數據用於其他目的。
生物識別數據具體管理辦法由市人民政府另行制定。
第二十條 處理未滿十四周歲的未成年人個人數據的,按照處理敏感個人數據的有關規定執行,並應當在處理前徵得其監護人的明示同意。
處理無民事行為能力或者限制民事行為能力的成年人個人數據的,應當在處理前徵得其監護人的明示同意。
第二十一條 處理個人數據有下列情形之一的,可以在處理前不徵得自然人的同意:
(一)處理自然人自行公開或者其他已經合法公開的個人數據,且符合該個人數據公開時的目的;
(二)為了訂立或者履行自然人作為一方當事人的契約所必需;
(三)數據處理者因人力資源管理、商業秘密保護所必需,在合理範圍內處理其員工個人數據;
(四)公共管理和服務機構為了依法履行公共管理職責或者提供公共服務所必需;
(五)新聞單位依法進行新聞報導所必需;
(六)法律、行政法規規定的其他情形。
第二十二條 自然人有權撤回部分或者全部其處理個人數據的同意。
自然人撤回同意的,數據處理者不得繼續處理該自然人撤回同意範圍內的個人數據。但是,不影響數據處理者在自然人撤回同意前基於同意進行的合法數據處理。法律、法規另有規定的,從其規定。
第二十三條 處理個人數據應當採用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協定或者技術等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
第三節 個人數據處理
第二十四條 個人數據不準確或者不完整的,數據處理者應當根據自然人的要求及時補充、更正。
第二十五條 有下列情形之一的,數據處理者應當及時刪除個人數據:
(一)法律、法規規定或者約定的存儲期限屆滿;
(二)處理個人數據的目的已經實現或者處理個人數據對於處理目的已經不再必要;
(三)自然人撤回同意且要求刪除個人數據;
(四)數據處理者違反法律、法規規定或者雙方約定處理數據,自然人要求刪除;
(五)法律、法規規定的其他情形。
有前款第一項、第二項規定情形,但是法律、法規另有規定或者經自然人同意的,數據處理者可以保留相關個人數據。
數據處理者根據本條第一款規定刪除個人數據的,可以留存告知和同意的證據,但是不得超過其履行法定義務或者處理糾紛需要的必要限度。
第二十六條 數據處理者向他人提供其處理的個人數據,應當對個人數據進行去標識化處理,使得被提供的個人數據在不藉助其他數據的情況下無法識別特定自然人。法律、法規規定或者自然人與數據處理者約定應當匿名化的,數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。
第二十七條 數據處理者向他人提供其處理的個人數據有下列情形之一的,可以不進行去標識化處理:
(一)應公共管理和服務機構依法履行公共管理職責或者提供公共服務的需要且書面要求提供的;
(二)基於自然人的同意向他人提供相關個人數據的;
(三)為了訂立或者履行自然人作為一方當事人的契約所必需的;
(四)法律、行政法規規定的其他情形。
第二十八條 自然人可以向數據處理者要求查閱、複製其個人數據,數據處理者應當按照有關規定及時提供,並不得收取費用。
第二十九條 數據處理者基於提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當向其明示用戶畫像的具體用途和主要規則。
自然人可以拒絕數據處理者根據前款規定對其進行用戶畫像或者基於用戶畫像推薦個性化產品或者服務,數據處理者應當以易獲取的方式向其提供拒絕的有效途徑。
第三十條 數據處理者不得基於用戶畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。但是,為了維護其合法權益並徵得其監護人明示同意的除外。
第三十一條 數據處理者應當建立自然人行使相關權利和投訴舉報的處理機制,並以易獲取的方式提供有效途徑。
數據處理者收到行使權利要求或者投訴舉報的,應當及時受理,並依法採取相應處理措施;拒絕要求事項或者投訴的,應當說明理由。
第三章 公共數據
第一節 一般規定
第三十二條 市數據工作委員會設立公共數據專業委員會,負責研究、協調公共數據管理工作中的重大事項。
市政務服務數據管理部門承擔市公共數據專業委員會日常工作,並負責統籌全市公共數據管理工作,建立和完善公共數據資源管理體系,推進公共數據共享、開放和利用。
區政務服務數據管理部門在市政務服務數據管理部門指導下,負責統籌本區公共數據管理工作。
第三十三條 市人民政府應當建立城市大數據中心,建立健全其建設運行管理機制,實現對全市公共數據資源統一、集約、安全、高效管理。
各區人民政府可以按照全市統一規劃,建設城市大數據中心分中心,將公共數據資源納入城市大數據中心統一管理。
城市大數據中心包括公共數據資源和支撐其管理的軟硬體基礎設施。
第三十四條 市政務服務數據管理部門負責推動公共數據向城市大數據中心匯聚,組織公共管理和服務機構依託城市大數據中心開展公共數據共享、開放和利用。
第三十五條 實行公共數據分類管理制度。
市政務服務數據管理部門負責統籌本市公共數據資源體系整體規劃、建設和管理,並會同相關部門建設和管理人口、法人、房屋、自然資源與空間地理、電子證照、公共信用等基礎資料庫。
各行業主管部門應當按照公共數據資源體系整體規劃和相關制度規範要求,規劃本行業公共數據資源體系,建設並管理相關主題資料庫。
公共管理和服務機構應當按照公共數據資源體系整體規劃、行業專項規劃和相關制度規範要求,建設、管理本機構業務資料庫。
第三十六條 實行公共數據目錄管理制度。
市政務服務數據管理部門負責建立全市統一的公共數據資源目錄體系,制定公共數據資源目錄編制規範,組織公共管理和服務機構按照公共數據資源目錄編制規範要求編制目錄、處理各類公共數據,明確數據來源部門和管理職責。
公共管理和服務機構應當按照公共數據資源目錄編制規範要求,對本機構的公共數據進行目錄管理。
第三十七條 公共管理和服務機構收集數據應當符合下列要求:
(一)為依法履行公共管理職責或者提供公共服務所必需,且在其履行的公共管理職責或者提供的公共服務範圍內;
(二)收集數據的種類和範圍與其依法履行的公共管理職責或者提供的公共服務相適應;
(三)收集程式符合法律、法規相關規定。
公共管理和服務機構可以通過共享方式獲得的數據,不得另行向自然人、法人和非法人組織收集。
第三十八條 公共管理和服務機構應當按照有關規定保存公共數據處理的過程記錄。
第三十九條 市政務服務數據管理部門應當組織制定公共數據質量管理制度和規範,建立健全質量監測和評估體系,並組織實施。
公共管理和服務機構應當按照公共數據質量管理制度和規範,建立和完善本機構數據質量管理體系,加強數據質量管理,保障數據真實、準確、完整、及時、可用。
市公共數據專業委員會應當定期對公共管理和服務機構數據管理工作進行評價,並向市數據工作委員會報告評價結果。
第四十條 市人民政府應當加強公共數據共享、開放和利用體制機制和技術創新,不斷提高公共數據共享、開放和利用的質量與效率。
第二節 公共數據共享
第四十一條 公共數據應當以共享為原則,不共享為例外。
市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制和相關管理制度。
第四十二條 納入公共數據已分享資料夾的公共數據,應當按照有關規定通過城市大數據中心的公共數據共享平台在有需要的公共管理和服務機構之間及時、準確共享,法律、法規另有規定的除外。
公共數據已分享資料夾由市政務服務數據管理部門另行制定,並及時調整。
第四十三條 公共管理和服務機構可以根據依法履行公共管理職責或者提供公共服務的需要提出公共數據共享申請,明確數據使用的依據、目的、範圍、方式及相關需求,並按照本級政務服務數據管理部門和數據提供部門的要求,加強共享數據使用管理,不得超出使用範圍或者用於其他目的。
公共數據提供部門應當在規定時間內,回應公共數據使用部門的共享需求,並提供必要的數據使用指導和技術支持。
第四十四條 公共管理和服務機構依法履行公共管理職責或者提供公共服務所需要的數據,無法通過公共數據共享平台共享獲得的,可以由市人民政府統一對外採購,並按照有關規定納入公共數據已分享資料夾,具體工作由市政務服務數據管理部門統籌。
第三節 公共數據開放
第四十五條 本條例所稱公共數據開放,是指公共管理和服務機構通過公共數據開放平台向社會提供可機器讀取的公共數據的活動。
第四十六條 公共數據開放應當遵循分類分級、需求導向、安全可控的原則,在法律、法規允許範圍內最大限度開放。
第四十七條 依照法律、法規規定開放公共數據,不得收取任何費用。法律、行政法規另有規定的,從其規定。
第四十八條 公共數據按照開放條件分為無條件開放、有條件開放和不予開放三類。
無條件開放的公共數據,是指應當無條件向自然人、法人和非法人組織開放的公共數據;有條件開放的公共數據,是指按照特定方式向自然人、法人和非法人組織平等開放的公共數據;不予開放的公共數據,是指涉及國家安全、商業秘密和個人隱私,或者法律、法規等規定不得開放的公共數據。
第四十九條 市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據開放管理制度,編制公共數據開放目錄並及時調整。
有條件開放的公共數據,應當在編制公共數據開放目錄時明確開放方式、使用要求及安全保障措施等。
第五十條 市政務服務數據管理部門應當依託城市大數據中心建設統一、高效的公共數據開放平台,並組織公共管理和服務機構通過該平台向社會開放公共數據。
公共數據開放平台應當根據公共數據開放類型,提供數據下載、應用程式接口和安全可信的數據綜合開發利用環境等多種數據開放服務。
第四節 公共數據利用
第五十一條 市人民政府應當加快推進數字政府建設,深化數據在經濟調節、市場監管、社會管理、公共服務、生態環境保護中的套用,建立和完善運用數據管理的制度規則,創新政府決策、監管及服務模式,實現主動、精準、整體式、智慧型化的公共管理和服務。
第五十二條 市人民政府應當依託城市大數據中心建設基於統一架構的業務中樞、數據中樞和能力中樞,形成統一的城市智慧型中樞平台體系,為公共管理和服務以及各區域各行業套用提供統一、全面的數位化服務,促進技術融合、業務融合、數據融合。
市人民政府可以依託城市智慧型中樞平台建設政府管理服務指揮中心,建立和完善運行管理機制,推動政府整體數位化轉型,深化跨層級、跨地域、跨系統、跨部門、跨業務的數據共享和業務協同,建立統一指揮、一體聯動、智慧型精準、科學高效的政府運行體系。
各行業主管部門應當依託城市智慧型中樞平台建設本行業管理服務平台,推動本行業管理服務全面數位化。
各區人民政府應當依託城市智慧型中樞平台,以服務基層為目標,整合數據資源、最佳化業務流程、創新管理模式,推進基層治理與服務科學化、精細化、智慧型化。
第五十三條 市人民政府應當依託城市智慧型中樞平台,推動業務整合和流程再造,深化前台統一受理、後台協同審批、全市一體運作的整體式政務服務模式創新。
市政務服務數據管理部門應當推動公共管理和服務機構加強公共數據在公共管理和服務過程中的創新套用,精簡辦事材料、環節,最佳化辦事流程;對於可以通過數據比對作出審批決定的事項,可以開展無人干預智慧型審批。
第五十四條 市人民政府應當依託城市智慧型中樞平台,加強監管數據和信用數據歸集、共享,充分利用公共數據和各領域監管系統,推行非現場監管、信用監管、風險預警等新型監管模式,提升監管水平。
第五十五條 市政務服務數據管理部門可以組織建設數據融合套用服務平台,向社會提供安全可信的數據綜合開發利用環境,共同開展智慧城市套用創新。
第四章 數據要素市場
第一節 一般規定
第五十六條 市人民政府應當統籌規劃,加快培育數據要素市場,推動構建數據收集、加工、共享、開放、交易、套用等數據要素市場體系,促進數據資源有序、高效流動與利用。
第五十七條 市場主體開展數據處理活動,應當落實數據管理主體責任,建立健全數據治理組織架構、管理制度和自我評估機制,對數據實施分類分級保護和管理,加強數據質量管理,確保數據的真實性、準確性、完整性、時效性。
第五十八條 市場主體對合法處理數據形成的數據產品和服務,可以依法自主使用,取得收益,進行處分。
第五十九條 市場主體向第三方開放或者提供使用個人數據的,應當遵守本條例第二章的有關規定;向特定第三方開放、委託處理、提供使用個人數據的,應當簽訂相關協定。
第六十條 使用、傳輸、受委託處理其他市場主體的數據產品和服務,涉及個人數據的,應當遵守本條例第二章的規定以及相關協定的約定。
第二節 市場培育
第六十一條 市人民政府應當組織制定數據處理活動合規標準、數據產品和服務標準、數據質量標準、數據安全標準、數據價值評估標準、數據治理評估標準等地方標準。
支持數據相關行業組織制定團體標準和行業規範,提供信息、技術、培訓等服務,引導和督促市場主體規範其數據行為,促進行業健康發展。
鼓勵市場主體制定數據相關企業標準,參與制定相關地方標準和團體標準。
第六十二條 數據處理者可以委託第三方機構進行數據質量評估認證;第三方機構應當按照獨立、公開、公正原則,開展數據質量評估認證活動。
第六十三條 鼓勵數據價值評估機構從實時性、時間跨度、樣本覆蓋面、完整性、數據種類級別和數據挖掘潛能等方面,探索構建數據資產定價指標體系,推動制定數據價值評估準則。
第六十四條 市統計部門應當探索建立數據生產要素統計核算制度,明確統計範圍、統計指標和統計方法,準確反映數據生產要素的資產價值,推動將數據生產要素納入國民經濟核算體系。
第六十五條 市人民政府應當推動建立數據交易平台,引導市場主體通過數據交易平台進行數據交易。
市場主體可以通過依法設立的數據交易平台進行數據交易,也可以由交易雙方依法自行交易。
第六十六條 數據交易平台應當建立安全、可信、可控、可追溯的數據交易環境,制定數據交易、信息披露、自律監管等規則,並採取有效措施保護個人數據、商業秘密和國家規定的重要數據。
第六十七條 市場主體合法處理數據形成的數據產品和服務,可以依法交易。但是,有下列情形之一的除外:
(一)交易的數據產品和服務包含個人數據未依法獲得授權的;
(二)交易的數據產品和服務包含未經依法開放的公共數據的;
(三)法律、法規規定禁止交易的其他情形。
第三節 公平競爭
第六十八條 市場主體應當遵守公平競爭原則,不得實施下列侵害其他市場主體合法權益的行為:
(一)使用非法手段獲取其他市場主體的數據;
(二)利用非法收集的其他市場主體數據提供替代性產品或者服務;
(三)法律、法規規定禁止的其他行為。
第六十九條 市場主體不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,但是有下列情形之一的除外:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同交易條件的;
(二)針對新用戶在合理期限內開展優惠活動的;
(三)基於公平、合理、非歧視規則實施隨機性交易的;
(四)法律、法規規定的其他情形。
前款所稱交易條件相同,是指交易相對人在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別。
第七十條 市場主體不得通過達成壟斷協定、濫用在數據要素市場的支配地位、違法實施經營者集中等方式,排除、限制競爭。
第五章 數據安全
第一節 一般規定
第七十一條 數據安全管理遵循政府監管、責任主體負責、積極防禦、綜合防範的原則,堅持安全和發展並重,鼓勵研發數據安全技術,保障數據全生命周期安全。
市人民政府應當統籌全市數據安全管理工作,建立和完善數據安全綜合治理體系。
第七十二條 數據處理者應當依照法律、法規規定,建立健全數據分類分級、風險監測、安全評估、安全教育等安全管理制度,落實保障措施,不斷提升技術手段,確保數據安全。
數據處理者因合併、分立、收購等變更的,由變更後的數據處理者繼續落實數據安全管理責任。
第七十三條 處理敏感個人數據或者國家規定的重要數據的,應當按照有關規定設立數據安全管理機構、明確數據安全管理責任人,並實施特別技術保護。
第七十四條 市網信部門應當統籌協調相關主管部門和行業主管部門按照國家數據分類分級保護制度制定本部門、本行業的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二節 數據安全管理
第七十五條 數據處理者應當對其數據處理全流程進行記錄,保障數據來源合法以及處理全流程清晰、可追溯。
第七十六條 數據處理者應當依照法律、法規規定以及國家標準的要求,對所收集的個人數據進行去標識化或者匿名化處理,並與可用於恢復識別特定自然人的數據分開存儲。
數據處理者應當針對敏感個人數據、國家規定的重要數據制定並實施去標識化或者匿名化處理等安全措施。
第七十七條 數據處理者應當對數據存儲進行分域分級管理,選擇安全性能、防護級別與安全等級相匹配的存儲載體;對敏感個人數據和國家規定的重要數據還應當採取加密存儲、授權訪問或者其他更加嚴格的安全保護措施。
第七十八條 數據處理者應當對數據處理過程實施安全技術防護,並建立重要系統和核心數據的容災備份制度。
第七十九條 數據處理者共享、開放數據的,應當建立數據共享、開放安全管理制度,建立和完善對外數據接口的安全管理機制。
第八十條 數據處理者應當建立數據銷毀規程,對需要銷毀的數據實施有效銷毀。
數據處理者終止或者解散,沒有數據承接方的,應當及時有效銷毀其控制的數據。法律、法規另有規定的除外。
第八十一條 數據處理者委託他人代為處理數據的,應當與其訂立數據安全保護契約,明確雙方安全保護責任。
受託方完成處理任務後,應當及時有效銷毀其存儲的數據,但是法律、法規另有規定或者雙方另有約定的除外。
第八十二條 數據處理者向境外提供個人數據或者國家規定的重要數據,應當按照有關規定申請數據出境安全評估,進行國家安全審查。
第八十三條 數據處理者應當落實與數據安全防護級別相適應的監測預警措施,對數據泄露、毀損、丟失、篡改等異常情況進行監測和預警。
監測到發生或者可能發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即採取補救、預防措施。
第八十四條 處理敏感個人數據或者國家規定的重要數據,應當按照有關規定定期開展風險評估,並向有關主管部門報送風險評估報告。
第八十五條 數據處理者應當建立數據安全應急處置機制,制定數據安全應急預案。數據安全應急預案應當按照危害程度、影響範圍等因素對數據安全事件進行分級,並規定相應的應急處置措施。
第八十六條 發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即啟動應急預案,採取相應的應急處置措施,及時告知相關權利人,並按照有關規定向市網信、公安部門和有關行業主管部門報告。
第三節 數據安全監督
第八十七條 市網信部門應當依照有關法律、行政法規以及本條例規定負責統籌協調數據安全和相關監督工作,並會同市公安、國家安全等部門和有關行業主管部門建立健全數據安全監督機制,組織數據安全監督檢查。
第八十八條 市網信部門應當會同有關主管部門加強數據安全風險分析、預測、評估,收集相關信息;發現可能導致較大範圍數據泄露、毀損、丟失、篡改等數據安全事件的,應當及時發布預警信息,提出防範應對措施,指導、監督數據處理者做好數據安全保護工作。
第八十九條 市網信部門以及其他履行數據安全監督職責的部門可以委託第三方機構,按照法律、法規規定和相關標準要求,對數據處理者開展數據安全管理認證以及數據安全評估工作,並對其進行安全等級評定。
第九十條 市網信部門以及其他履行數據安全監督職責的部門在履行職責過程中,發現數據處理者未按照規定落實安全管理責任的,應當按照規定約談數據處理者,督促其整改。
第九十一條 市網信部門以及其他數據監督管理部門及其工作人員,應當對在履行職責過程中知悉的個人數據、商業秘密和需要保守秘密的其他數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六章 法律責任
第九十二條 違反本條例規定處理個人數據的,依照個人信息保護有關法律、法規規定處罰。
第九十三條 公共管理和服務機構違反本條例有關規定的,由上級主管部門或者有關主管部門責令改正;拒不改正或者造成嚴重後果的,依法追究法律責任;因此給自然人、法人、非法人組織造成損失的,應當依法承擔賠償責任。
第九十四條 違反本條例第六十七條規定交易數據的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得,交易金額不足一萬元的,處五萬元以上二十萬元以下罰款;交易金額一萬元以上的,處二十萬元以上一百萬元以下罰款;並可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
第九十五條 違反本條例第六十八條、第六十九條規定,侵害其他市場主體、消費者合法權益的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得;拒不改正的,處五萬元以上五十萬元以下罰款;情節嚴重的,處上一年度營業額百分之五以下罰款,最高不超過五千萬元;並可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
市場主體違反本條例第七十條規定,有不正當競爭行為或者壟斷行為的,依照反不正當競爭或者反壟斷有關法律、法規規定處罰。
第九十六條 數據處理者違反本條例規定,未履行數據安全保護責任的,依照數據安全有關法律、法規規定處罰。
第九十七條 履行數據監督管理職責的部門以及公共管理和服務機構不履行或者不正確履行本條例規定職責的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。
第九十八條 違反本條例規定處理數據,致使國家利益或者公共利益受到損害的,法律、法規規定的組織可以依法提起民事公益訴訟。法律、法規規定的組織提起民事公益訴訟,人民檢察院認為有必要的,可以支持起訴。
法律、法規規定的組織未提起民事公益訴訟的,人民檢察院可以依法提起民事公益訴訟。
人民檢察院發現履行數據監督管理職責的部門違法行使職權或者不作為,致使國家利益或者公共利益受到損害的,應當向有關行政機關提出檢察建議;行政機關不依法履行職責的,人民檢察院可以依法提起行政公益訴訟。
第九十九條 數據處理者違反本條例規定處理數據,給他人造成損害的,應當依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七章 附則
第一百條 本條例自2022年1月1日起施行。
內容解讀
2021年7月6日,深圳落實綜合改革試點又一成果落地 ——《深圳經濟特區數據條例》在市人大常委會網站公布,並將於2022年1月1日起實施,這是國內數據領域首部基礎性、綜合性立法。
《數據條例》近2萬字,主要涵蓋個人數據保護、公共數據共享開放、數據要素市場培育和數據安全四個方面。可以說,每一個部分都觸碰到了當下數據領域最核心的部分。對普通公眾來說,大家最關心的,應該還是個人信息保護。
在個人數據保護方面,是跟國家的個人信息保護法,正在審議過程中的個人信息保護法二稿,保持相銜接。同時結合現實中一些反映比較突出的問題,重點解決了一個機制,這個機制就是所有處理個人數據的一個基本原則,它是基於告知同意的基本原則。
《數據條例》確立以“告知-同意”為前提的個人數據處理規則,即處理個人信息,應當在事先充分告知的前提下取得個人同意,數據處理者應當提供撤回同意的途徑,不得對撤回同意進行不合理限制或者附加不合理條件。
《數據條例》還強調,不得濫用人臉識別數據,用戶有權拒絕數據處理者對其進行個性化推薦。
針對“大數據殺熟” 處罰設上限5000萬元
《數據條例》還涉及到了數據要素市場的培育,在填補目前數據交易相關法律規範空白的同時,也首次確立數據公平競爭有關制度。例如針對數據要素市場“大數據殺熟”等競爭亂象,該條例明確規定,處罰上限設為5000萬元。
成果發布
2021年11月26日,《深圳經濟特區數據條例》成果發布明確提出“數據權益”。
