深圳市第七屆人民代表大會常務委員會
公告
第十號
《深圳經濟特區數據條例》經深圳市第七屆人民代表大會常務委員會第二次會議于2021年6月29日通過,現予公布,自2022年1月1日起施行。
深圳市人民代表大會常務委員會
2021年7月6日
深圳經濟特區數據條例
(2021年6月29日深圳市第七屆人民代表大會常務委員會第二次會議通過)
目 錄
第一章 總 則
第二章 個人數據
第一節 一般規定
第二節 告知與同意
第三節 個人數據處理
第三章 公共數據
第一節 一般規定
第二節 公共數據共享
第三節 公共數據開放
第四節 公共數據利用
第四章 數據要素市場
第一節 一般規定
第二節 市場培育
第三節 公平競爭
第五章 數據安全
第一節 一般規定
第二節 數據安全管理
第三節 數據安全監督
第六章 法律責任
第七章 附 則
第一章 總則
第一條 為了規范數據處理活動,保護自然人、法人和非法人組織的合法權益,促進數據作為生產要素開放流動和開發利用,加快建設數字經濟、數字社會、數字政府,根據有關法律、行政法規的基本原則,結合深圳經濟特區實際,制定本條例。
第二條 本條例中下列用語的含義:
(一)數據,是指任何以電子或者其他方式對信息的記錄。
(二)個人數據,是指載有可識別特定自然人信息的數據,不包括匿名化處理后的數據。
(三)敏感個人數據,是指一旦泄露、非法提供或者濫用,可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據,具體范圍依照法律、行政法規的規定確定。
(四)生物識別數據,是指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數據,包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數據。
(五)公共數據,是指公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。
(六)數據處理,是指數據的收集、存儲、使用、加工、傳輸、提供、開放等活動。
(七)匿名化,是指個人數據經過處理無法識別特定自然人且不能復原的過程。
(八)用戶畫像,是指為了評估自然人的某些條件而對個人數據進行自動化處理的活動,包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等進行的自動化處理。
(九)公共管理和服務機構,是指本市國家機關、事業單位和其他依法管理公共事務的組織,以及提供教育、衛生健康、社會福利、供水、供電、供氣、環境保護、公共交通和其他公共服務的組織。
第三條 自然人對個人數據享有法律、行政法規及本條例規定的人格權益。
處理個人數據應當具有明確、合理的目的,并遵循最小必要和合理期限原則。
第四條 自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。但是,不得危害國家安全和公共利益,不得損害他人的合法權益。
第五條 處理公共數據應當遵循依法收集、統籌管理、按需共享、有序開放、充分利用的原則,充分發揮公共數據資源對優化公共管理和服務、提升城市治理現代化水平、促進經濟社會發展的積極作用。
第六條 市人民政府應當建立健全數據治理制度和標準體系,統籌推進個人數據保護、公共數據共享開放、數據要素市場培育及數據安全監督管理工作。
第七條 市人民政府設立市數據工作委員會,負責研究、協調本市數據管理工作中的重大事項。市數據工作委員會的日常工作由市政務服務數據管理部門承擔。
市數據工作委員會可以設立若干專業委員會。
第八條 市網信部門負責統籌協調本市個人數據保護、網絡數據安全、跨境數據流通等相關監督管理工作。
市政務服務數據管理部門負責本市公共數據管理的統籌、指導、協調和監督工作。
市發展改革、工業和信息化、公安、財政、人力資源保障、規劃和自然資源、市場監管、審計、國家安全等部門依照有關法律、法規,在各自職責范圍內履行數據監督管理相關職能。
市各行業主管部門負責本行業數據管理工作的統籌、指導、協調和監督。
第二章 個人數據
第一節 一般規定
第九條 處理個人數據應當充分尊重和保障自然人與個人數據相關的各項合法權益。
第十條 處理個人數據應當符合下列要求:
(一)處理個人數據的目的明確、合理,方式合法、正當;
(二)限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人數據處理;
(三)依法告知個人數據處理的種類、范圍、目的、方式等,并依法征得同意;
(四)保證個人數據的準確性和必要的完整性,避免因個人數據不準確、不完整給當事人造成損害;
(五)確保個人數據安全,防止個人數據泄露、毀損、丟失、篡改和非法使用。
第十一條 本條例第十條第二項所稱限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,包括但是不限于下列情形:
(一)處理個人數據的種類、范圍應當與處理目的有直接關聯,不處理該個人數據則處理目的無法實現;
(二)處理個人數據的數量應當為實現處理目的所必需的最少數量;
(三)處理個人數據的頻率應當為實現處理目的所必需的最低頻率;
(四)個人數據存儲期限應當為實現處理目的所必需的最短時間,超出存儲期限的,應當對個人數據予以刪除或者匿名化,法律、法規另有規定或者經自然人同意的除外;
(五)建立最小授權的訪問控制策略,使被授權訪問個人數據的人員僅能訪問完成職責所需的最少個人數據,且僅具備完成職責所需的最少數據處理權限。
第十二條 數據處理者不得以自然人不同意處理個人數據為由,拒絕向其提供相關核心功能或者服務。但是,該個人數據為提供相關核心功能或者服務所必需的除外。
第十三條 市網信部門應當會同市工業和信息化、公安、市場監管等部門以及相關行業主管部門建立健全個人數據保護監督管理聯合工作機制,加強對個人數據保護和相關監督管理工作的統籌和指導;建立個人數據保護投訴舉報處理機制,依法處理相關投訴舉報。
第二節 告知與同意
第十四條 處理個人數據應當在處理前以通俗易懂、明確具體、易獲取的方式向自然人完整、真實、準確地告知下列事項:
(一)數據處理者的姓名或者名稱以及聯系方式;
(二)處理個人數據的種類和范圍;
(三)處理個人數據的目的和方式;
(四)存儲個人數據的期限;
(五)處理個人數據可能存在的安全風險以及對其個人數據采取的安全保護措施;
(六)自然人依法享有的相關權利以及行使權利的方式;
(七)法律、法規規定應當告知的其他事項。
處理敏感個人數據的,應當依照前款規定,以更加顯著的標識或者突出顯示的形式告知處理敏感個人數據的必要性以及對自然人可能產生的影響。
第十五條 緊急情況下為了保護自然人的人身、財產安全等重大合法權益,無法依照本條例第十四條規定進行事前告知的,應當在緊急情況消除后及時告知。
處理個人數據有法律、行政法規規定應當保密或者無需告知情形的,不適用本條例第十四條規定。
第十六條 數據處理者應當在處理個人數據前,征得自然人的同意,并在其同意范圍內處理個人數據,但是法律、行政法規以及本條例另有規定的除外。
前款規定應當征得同意的事項發生變更的,應當重新征得同意。
第十七條 數據處理者不得通過誤導、欺騙、脅迫或者其他違背自然人真實意愿的方式獲取其同意。
第十八條 處理敏感個人數據的,應當在處理前征得該自然人的明示同意。
第十九條 處理生物識別數據的,應當在征得該自然人明示同意時,提供處理其他非生物識別數據的替代方案。但是,處理生物識別數據為處理個人數據目的所必需,且不能為其他個人數據所替代的除外。
基于特定目的處理生物識別數據的,未經自然人明示同意,不得將該生物識別數據用于其他目的。
生物識別數據具體管理辦法由市人民政府另行制定。
第二十條 處理未滿十四周歲的未成年人個人數據的,按照處理敏感個人數據的有關規定執行,并應當在處理前征得其監護人的明示同意。
處理無民事行為能力或者限制民事行為能力的成年人個人數據的,應當在處理前征得其監護人的明示同意。
第二十一條 處理個人數據有下列情形之一的,可以在處理前不征得自然人的同意:
(一)處理自然人自行公開或者其他已經合法公開的個人數據,且符合該個人數據公開時的目的;
(二)為了訂立或者履行自然人作為一方當事人的合同所必需;
(三)數據處理者因人力資源管理、商業秘密保護所必需,在合理范圍內處理其員工個人數據;
(四)公共管理和服務機構為了依法履行公共管理職責或者提供公共服務所必需;
(五)新聞單位依法進行新聞報道所必需;
(六)法律、行政法規規定的其他情形。
第二十二條 自然人有權撤回部分或者全部其處理個人數據的同意。
自然人撤回同意的,數據處理者不得繼續處理該自然人撤回同意范圍內的個人數據。但是,不影響數據處理者在自然人撤回同意前基于同意進行的合法數據處理。法律、法規另有規定的,從其規定。
第二十三條 處理個人數據應當采用易獲取的方式提供自然人撤回其同意的途徑,不得利用服務協議或者技術等手段對自然人撤回同意進行不合理限制或者附加不合理條件。
第三節 個人數據處理
第二十四條 個人數據不準確或者不完整的,數據處理者應當根據自然人的要求及時補充、更正。
第二十五條 有下列情形之一的,數據處理者應當及時刪除個人數據:
(一)法律、法規規定或者約定的存儲期限屆滿;
(二)處理個人數據的目的已經實現或者處理個人數據對于處理目的已經不再必要;
(三)自然人撤回同意且要求刪除個人數據;
(四)數據處理者違反法律、法規規定或者雙方約定處理數據,自然人要求刪除;
(五)法律、法規規定的其他情形。
有前款第一項、第二項規定情形,但是法律、法規另有規定或者經自然人同意的,數據處理者可以保留相關個人數據。
數據處理者根據本條第一款規定刪除個人數據的,可以留存告知和同意的證據,但是不得超過其履行法定義務或者處理糾紛需要的必要限度。
第二十六條 數據處理者向他人提供其處理的個人數據,應當對個人數據進行去標識化處理,使得被提供的個人數據在不借助其他數據的情況下無法識別特定自然人。法律、法規規定或者自然人與數據處理者約定應當匿名化的,數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。
第二十七條 數據處理者向他人提供其處理的個人數據有下列情形之一的,可以不進行去標識化處理:
(一)應公共管理和服務機構依法履行公共管理職責或者提供公共服務的需要且書面要求提供的;
(二)基于自然人的同意向他人提供相關個人數據的;
(三)為了訂立或者履行自然人作為一方當事人的合同所必需的;
(四)法律、行政法規規定的其他情形。
第二十八條 自然人可以向數據處理者要求查閱、復制其個人數據,數據處理者應當按照有關規定及時提供,并不得收取費用。
第二十九條 數據處理者基于提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當向其明示用戶畫像的具體用途和主要規則。
自然人可以拒絕數據處理者根據前款規定對其進行用戶畫像或者基于用戶畫像推薦個性化產品或者服務,數據處理者應當以易獲取的方式向其提供拒絕的有效途徑。
第三十條 數據處理者不得基于用戶畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。但是,為了維護其合法權益并征得其監護人明示同意的除外。
第三十一條 數據處理者應當建立自然人行使相關權利和投訴舉報的處理機制,并以易獲取的方式提供有效途徑。
數據處理者收到行使權利要求或者投訴舉報的,應當及時受理,并依法采取相應處理措施;拒絕要求事項或者投訴的,應當說明理由。
第三章 公共數據
第一節 一般規定
第三十二條 市數據工作委員會設立公共數據專業委員會,負責研究、協調公共數據管理工作中的重大事項。
市政務服務數據管理部門承擔市公共數據專業委員會日常工作,并負責統籌全市公共數據管理工作,建立和完善公共數據資源管理體系,推進公共數據共享、開放和利用。
區政務服務數據管理部門在市政務服務數據管理部門指導下,負責統籌本區公共數據管理工作。
第三十三條 市人民政府應當建立城市大數據中心,建立健全其建設運行管理機制,實現對全市公共數據資源統一、集約、安全、高效管理。
各區人民政府可以按照全市統一規劃,建設城市大數據中心分中心,將公共數據資源納入城市大數據中心統一管理。
城市大數據中心包括公共數據資源和支撐其管理的軟硬件基礎設施。
第三十四條 市政務服務數據管理部門負責推動公共數據向城市大數據中心匯聚,組織公共管理和服務機構依托城市大數據中心開展公共數據共享、開放和利用。
第三十五條 實行公共數據分類管理制度。
市政務服務數據管理部門負責統籌本市公共數據資源體系整體規劃、建設和管理,并會同相關部門建設和管理人口、法人、房屋、自然資源與空間地理、電子證照、公共信用等基礎數據庫。
各行業主管部門應當按照公共數據資源體系整體規劃和相關制度規范要求,規劃本行業公共數據資源體系,建設并管理相關主題數據庫。
公共管理和服務機構應當按照公共數據資源體系整體規劃、行業專項規劃和相關制度規范要求,建設、管理本機構業務數據庫。
第三十六條 實行公共數據目錄管理制度。
市政務服務數據管理部門負責建立全市統一的公共數據資源目錄體系,制定公共數據資源目錄編制規范,組織公共管理和服務機構按照公共數據資源目錄編制規范要求編制目錄、處理各類公共數據,明確數據來源部門和管理職責。
公共管理和服務機構應當按照公共數據資源目錄編制規范要求,對本機構的公共數據進行目錄管理。
第三十七條 公共管理和服務機構收集數據應當符合下列要求:
(一)為依法履行公共管理職責或者提供公共服務所必需,且在其履行的公共管理職責或者提供的公共服務范圍內;
(二)收集數據的種類和范圍與其依法履行的公共管理職責或者提供的公共服務相適應;
(三)收集程序符合法律、法規相關規定。
公共管理和服務機構可以通過共享方式獲得的數據,不得另行向自然人、法人和非法人組織收集。
第三十八條 公共管理和服務機構應當按照有關規定保存公共數據處理的過程記錄。
第三十九條 市政務服務數據管理部門應當組織制定公共數據質量管理制度和規范,建立健全質量監測和評估體系,并組織實施。
公共管理和服務機構應當按照公共數據質量管理制度和規范,建立和完善本機構數據質量管理體系,加強數據質量管理,保障數據真實、準確、完整、及時、可用。
市公共數據專業委員會應當定期對公共管理和服務機構數據管理工作進行評價,并向市數據工作委員會報告評價結果。
第四十條 市人民政府應當加強公共數據共享、開放和利用體制機制和技術創新,不斷提高公共數據共享、開放和利用的質量與效率。
第二節 公共數據共享
第四十一條 公共數據應當以共享為原則,不共享為例外。
市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制和相關管理制度。
第四十二條 納入公共數據共享目錄的公共數據,應當按照有關規定通過城市大數據中心的公共數據共享平臺在有需要的公共管理和服務機構之間及時、準確共享,法律、法規另有規定的除外。
公共數據共享目錄由市政務服務數據管理部門另行制定,并及時調整。
第四十三條 公共管理和服務機構可以根據依法履行公共管理職責或者提供公共服務的需要提出公共數據共享申請,明確數據使用的依據、目的、范圍、方式及相關需求,并按照本級政務服務數據管理部門和數據提供部門的要求,加強共享數據使用管理,不得超出使用范圍或者用于其他目的。
公共數據提供部門應當在規定時間內,回應公共數據使用部門的共享需求,并提供必要的數據使用指導和技術支持。
第四十四條 公共管理和服務機構依法履行公共管理職責或者提供公共服務所需要的數據,無法通過公共數據共享平臺共享獲得的,可以由市人民政府統一對外采購,并按照有關規定納入公共數據共享目錄,具體工作由市政務服務數據管理部門統籌。
第三節 公共數據開放
第四十五條 本條例所稱公共數據開放,是指公共管理和服務機構通過公共數據開放平臺向社會提供可機器讀取的公共數據的活動。
第四十六條 公共數據開放應當遵循分類分級、需求導向、安全可控的原則,在法律、法規允許范圍內最大限度開放。
第四十七條 依照法律、法規規定開放公共數據,不得收取任何費用。法律、行政法規另有規定的,從其規定。
第四十八條 公共數據按照開放條件分為無條件開放、有條件開放和不予開放三類。
無條件開放的公共數據,是指應當無條件向自然人、法人和非法人組織開放的公共數據;有條件開放的公共數據,是指按照特定方式向自然人、法人和非法人組織平等開放的公共數據;不予開放的公共數據,是指涉及國家安全、商業秘密和個人隱私,或者法律、法規等規定不得開放的公共數據。
第四十九條 市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據開放管理制度,編制公共數據開放目錄并及時調整。
有條件開放的公共數據,應當在編制公共數據開放目錄時明確開放方式、使用要求及安全保障措施等。
第五十條 市政務服務數據管理部門應當依托城市大數據中心建設統一、高效的公共數據開放平臺,并組織公共管理和服務機構通過該平臺向社會開放公共數據。
公共數據開放平臺應當根據公共數據開放類型,提供數據下載、應用程序接口和安全可信的數據綜合開發利用環境等多種數據開放服務。
第四節 公共數據利用
第五十一條 市人民政府應當加快推進數字政府建設,深化數據在經濟調節、市場監管、社會管理、公共服務、生態環境保護中的應用,建立和完善運用數據管理的制度規則,創新政府決策、監管及服務模式,實現主動、精準、整體式、智能化的公共管理和服務。
第五十二條 市人民政府應當依托城市大數據中心建設基于統一架構的業務中樞、數據中樞和能力中樞,形成統一的城市智能中樞平臺體系,為公共管理和服務以及各區域各行業應用提供統一、全面的數字化服務,促進技術融合、業務融合、數據融合。
市人民政府可以依托城市智能中樞平臺建設政府管理服務指揮中心,建立和完善運行管理機制,推動政府整體數字化轉型,深化跨層級、跨地域、跨系統、跨部門、跨業務的數據共享和業務協同,建立統一指揮、一體聯動、智能精準、科學高效的政府運行體系。
各行業主管部門應當依托城市智能中樞平臺建設本行業管理服務平臺,推動本行業管理服務全面數字化。
各區人民政府應當依托城市智能中樞平臺,以服務基層為目標,整合數據資源、優化業務流程、創新管理模式,推進基層治理與服務科學化、精細化、智能化。
第五十三條 市人民政府應當依托城市智能中樞平臺,推動業務整合和流程再造,深化前臺統一受理、后臺協同審批、全市一體運作的整體式政務服務模式創新。
市政務服務數據管理部門應當推動公共管理和服務機構加強公共數據在公共管理和服務過程中的創新應用,精簡辦事材料、環節,優化辦事流程;對于可以通過數據比對作出審批決定的事項,可以開展無人干預智能審批。
第五十四條 市人民政府應當依托城市智能中樞平臺,加強監管數據和信用數據歸集、共享,充分利用公共數據和各領域監管系統,推行非現場監管、信用監管、風險預警等新型監管模式,提升監管水平。
第五十五條 市政務服務數據管理部門可以組織建設數據融合應用服務平臺,向社會提供安全可信的數據綜合開發利用環境,共同開展智慧城市應用創新。
第四章 數據要素市場
第一節 一般規定
第五十六條 市人民政府應當統籌規劃,加快培育數據要素市場,推動構建數據收集、加工、共享、開放、交易、應用等數據要素市場體系,促進數據資源有序、高效流動與利用。
第五十七條 市場主體開展數據處理活動,應當落實數據管理主體責任,建立健全數據治理組織架構、管理制度和自我評估機制,對數據實施分類分級保護和管理,加強數據質量管理,確保數據的真實性、準確性、完整性、時效性。
第五十八條 市場主體對合法處理數據形成的數據產品和服務,可以依法自主使用,取得收益,進行處分。
第五十九條 市場主體向第三方開放或者提供使用個人數據的,應當遵守本條例第二章的有關規定;向特定第三方開放、委托處理、提供使用個人數據的,應當簽訂相關協議。
第六十條 使用、傳輸、受委托處理其他市場主體的數據產品和服務,涉及個人數據的,應當遵守本條例第二章的規定以及相關協議的約定。
第二節 市場培育
第六十一條 市人民政府應當組織制定數據處理活動合規標準、數據產品和服務標準、數據質量標準、數據安全標準、數據價值評估標準、數據治理評估標準等地方標準。
支持數據相關行業組織制定團體標準和行業規范,提供信息、技術、培訓等服務,引導和督促市場主體規范其數據行為,促進行業健康發展。
鼓勵市場主體制定數據相關企業標準,參與制定相關地方標準和團體標準。
第六十二條 數據處理者可以委托第三方機構進行數據質量評估認證;第三方機構應當按照獨立、公開、公正原則,開展數據質量評估認證活動。
第六十三條 鼓勵數據價值評估機構從實時性、時間跨度、樣本覆蓋面、完整性、數據種類級別和數據挖掘潛能等方面,探索構建數據資產定價指標體系,推動制定數據價值評估準則。
第六十四條 市統計部門應當探索建立數據生產要素統計核算制度,明確統計范圍、統計指標和統計方法,準確反映數據生產要素的資產價值,推動將數據生產要素納入國民經濟核算體系。
第六十五條 市人民政府應當推動建立數據交易平臺,引導市場主體通過數據交易平臺進行數據交易。
市場主體可以通過依法設立的數據交易平臺進行數據交易,也可以由交易雙方依法自行交易。
第六十六條 數據交易平臺應當建立安全、可信、可控、可追溯的數據交易環境,制定數據交易、信息披露、自律監管等規則,并采取有效措施保護個人數據、商業秘密和國家規定的重要數據。
第六十七條 市場主體合法處理數據形成的數據產品和服務,可以依法交易。但是,有下列情形之一的除外:
(一)交易的數據產品和服務包含個人數據未依法獲得授權的;
(二)交易的數據產品和服務包含未經依法開放的公共數據的;
(三)法律、法規規定禁止交易的其他情形。
第三節 公平競爭
第六十八條 市場主體應當遵守公平競爭原則,不得實施下列侵害其他市場主體合法權益的行為:
(一)使用非法手段獲取其他市場主體的數據;
(二)利用非法收集的其他市場主體數據提供替代性產品或者服務;
(三)法律、法規規定禁止的其他行為。
第六十九條 市場主體不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,但是有下列情形之一的除外:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同交易條件的;
(二)針對新用戶在合理期限內開展優惠活動的;
(三)基于公平、合理、非歧視規則實施隨機性交易的;
(四)法律、法規規定的其他情形。
前款所稱交易條件相同,是指交易相對人在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別。
第七十條 市場主體不得通過達成壟斷協議、濫用在數據要素市場的支配地位、違法實施經營者集中等方式,排除、限制競爭。
第五章 數據安全
第一節 一般規定
第七十一條 數據安全管理遵循政府監管、責任主體負責、積極防御、綜合防范的原則,堅持安全和發展并重,鼓勵研發數據安全技術,保障數據全生命周期安全。
市人民政府應當統籌全市數據安全管理工作,建立和完善數據安全綜合治理體系。
第七十二條 數據處理者應當依照法律、法規規定,建立健全數據分類分級、風險監測、安全評估、安全教育等安全管理制度,落實保障措施,不斷提升技術手段,確保數據安全。
數據處理者因合并、分立、收購等變更的,由變更后的數據處理者繼續落實數據安全管理責任。
第七十三條 處理敏感個人數據或者國家規定的重要數據的,應當按照有關規定設立數據安全管理機構、明確數據安全管理責任人,并實施特別技術保護。
第七十四條 市網信部門應當統籌協調相關主管部門和行業主管部門按照國家數據分類分級保護制度制定本部門、本行業的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二節 數據安全管理
第七十五條 數據處理者應當對其數據處理全流程進行記錄,保障數據來源合法以及處理全流程清晰、可追溯。
第七十六條 數據處理者應當依照法律、法規規定以及國家標準的要求,對所收集的個人數據進行去標識化或者匿名化處理,并與可用于恢復識別特定自然人的數據分開存儲。
數據處理者應當針對敏感個人數據、國家規定的重要數據制定并實施去標識化或者匿名化處理等安全措施。
第七十七條 數據處理者應當對數據存儲進行分域分級管理,選擇安全性能、防護級別與安全等級相匹配的存儲載體;對敏感個人數據和國家規定的重要數據還應當采取加密存儲、授權訪問或者其他更加嚴格的安全保護措施。
第七十八條 數據處理者應當對數據處理過程實施安全技術防護,并建立重要系統和核心數據的容災備份制度。
第七十九條 數據處理者共享、開放數據的,應當建立數據共享、開放安全管理制度,建立和完善對外數據接口的安全管理機制。
第八十條 數據處理者應當建立數據銷毀規程,對需要銷毀的數據實施有效銷毀。
數據處理者終止或者解散,沒有數據承接方的,應當及時有效銷毀其控制的數據。法律、法規另有規定的除外。
第八十一條 數據處理者委托他人代為處理數據的,應當與其訂立數據安全保護合同,明確雙方安全保護責任。
受托方完成處理任務后,應當及時有效銷毀其存儲的數據,但是法律、法規另有規定或者雙方另有約定的除外。
第八十二條 數據處理者向境外提供個人數據或者國家規定的重要數據,應當按照有關規定申請數據出境安全評估,進行國家安全審查。
第八十三條 數據處理者應當落實與數據安全防護級別相適應的監測預警措施,對數據泄露、毀損、丟失、篡改等異常情況進行監測和預警。
監測到發生或者可能發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即采取補救、預防措施。
第八十四條 處理敏感個人數據或者國家規定的重要數據,應當按照有關規定定期開展風險評估,并向有關主管部門報送風險評估報告。
第八十五條 數據處理者應當建立數據安全應急處置機制,制定數據安全應急預案。數據安全應急預案應當按照危害程度、影響范圍等因素對數據安全事件進行分級,并規定相應的應急處置措施。
第八十六條 發生數據泄露、毀損、丟失、篡改等數據安全事件的,數據處理者應當立即啟動應急預案,采取相應的應急處置措施,及時告知相關權利人,并按照有關規定向市網信、公安部門和有關行業主管部門報告。
第三節 數據安全監督
第八十七條 市網信部門應當依照有關法律、行政法規以及本條例規定負責統籌協調數據安全和相關監督工作,并會同市公安、國家安全等部門和有關行業主管部門建立健全數據安全監督機制,組織數據安全監督檢查。
第八十八條 市網信部門應當會同有關主管部門加強數據安全風險分析、預測、評估,收集相關信息;發現可能導致較大范圍數據泄露、毀損、丟失、篡改等數據安全事件的,應當及時發布預警信息,提出防范應對措施,指導、監督數據處理者做好數據安全保護工作。
第八十九條 市網信部門以及其他履行數據安全監督職責的部門可以委托第三方機構,按照法律、法規規定和相關標準要求,對數據處理者開展數據安全管理認證以及數據安全評估工作,并對其進行安全等級評定。
第九十條 市網信部門以及其他履行數據安全監督職責的部門在履行職責過程中,發現數據處理者未按照規定落實安全管理責任的,應當按照規定約談數據處理者,督促其整改。
第九十一條 市網信部門以及其他數據監督管理部門及其工作人員,應當對在履行職責過程中知悉的個人數據、商業秘密和需要保守秘密的其他數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六章 法律責任
第九十二條 違反本條例規定處理個人數據的,依照個人信息保護有關法律、法規規定處罰。
第九十三條 公共管理和服務機構違反本條例有關規定的,由上級主管部門或者有關主管部門責令改正;拒不改正或者造成嚴重后果的,依法追究法律責任;因此給自然人、法人、非法人組織造成損失的,應當依法承擔賠償責任。
第九十四條 違反本條例第六十七條規定交易數據的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得,交易金額不足一萬元的,處五萬元以上二十萬元以下罰款;交易金額一萬元以上的,處二十萬元以上一百萬元以下罰款;并可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
第九十五條 違反本條例第六十八條、第六十九條規定,侵害其他市場主體、消費者合法權益的,由市市場監督管理部門或者相關行業主管部門按照職責責令改正,沒收違法所得;拒不改正的,處五萬元以上五十萬元以下罰款;情節嚴重的,處上一年度營業額百分之五以下罰款,最高不超過五千萬元;并可以依法給予法律、行政法規規定的其他行政處罰。法律、行政法規另有規定的,從其規定。
市場主體違反本條例第七十條規定,有不正當競爭行為或者壟斷行為的,依照反不正當競爭或者反壟斷有關法律、法規規定處罰。
第九十六條 數據處理者違反本條例規定,未履行數據安全保護責任的,依照數據安全有關法律、法規規定處罰。
第九十七條 履行數據監督管理職責的部門以及公共管理和服務機構不履行或者不正確履行本條例規定職責的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。
第九十八條 違反本條例規定處理數據,致使國家利益或者公共利益受到損害的,法律、法規規定的組織可以依法提起民事公益訴訟。法律、法規規定的組織提起民事公益訴訟,人民檢察院認為有必要的,可以支持起訴。
法律、法規規定的組織未提起民事公益訴訟的,人民檢察院可以依法提起民事公益訴訟。
人民檢察院發現履行數據監督管理職責的部門違法行使職權或者不作為,致使國家利益或者公共利益受到損害的,應當向有關行政機關提出檢察建議;行政機關不依法履行職責的,人民檢察院可以依法提起行政公益訴訟。
第九十九條 數據處理者違反本條例規定處理數據,給他人造成損害的,應當依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七章 附則
第一百條 本條例自2022年1月1日起施行。
《深圳經濟特區數據條例》解讀
市人大常委會法工委
《深圳經濟特區數據條例》(以下簡稱《條例》)經深圳市第七屆人民代表大會常務委員會第二次會議于2021年6月29日通過,自2022年1月1日起施行。現將有關情況解讀如下。
一、立法的必要性
(一)是全面實施大數據戰略,落實綜合改革實施方案要求的需要
黨的十九屆四中全會作出《關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現代化若干重大問題的決定》,中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》等文件,將數據作為新的生產要素上升到基礎戰略資源地位。2020年10月,中共中央辦公廳、國務院辦公廳又印發了《深圳建設中國特色社會主義先行示范區綜合改革試點實施方案(2020-2025年)》(以下簡稱《綜合改革試點實施方案》),要求深圳在數據產權制度、數據產權保護和利用新機制、數據隱私保護制度、政府數據共享開放以及數據交易等方面先行探索。為了貫徹中共中央、國務院關于大數據戰略的決策部署,落實《綜合改革實施方案》有關要求,有必要在數據法律制度構建方面先行先試,通過立法,充分發揮數據的基礎資源作用和創新引擎作用,培育資源配置高效的數據要素市場。
(二)是規范個人數據處理活動,強化個人數據保護的需要
自然人作為數據的重要來源主體之一,其個人數據已經成為經濟社會發展的重要數據資源類型。處理個人數據的技術手段不斷更新迭代,相應的個人數據應用也在迅猛發展。但是由于個人數據保護相關法律規范的缺失,未經個人同意收集個人數據、超出必要獲取用戶權限、非法交易個人數據、濫用個人數據等侵權問題屢見不鮮,嚴重影響公民私人生活的安寧,有的甚至嚴重損害公民名譽和人身、財產安全。為了有效遏止個人數據侵權行為,切實維護個人數據主體的合法權益,有必要通過經濟特區立法,規范個人數據處理活動,強化對個人數據的保護。
(三)是推進公共數據資源開放利用,提升政府數據治理能力的需要
近年來,深圳以優化營商環境和提升民生服務為突破口,不斷推出公共數據共享開放、開發利用等方面的系列創新舉措,取得了卓有成效的成績。然而,公共數據仍呈現出“數據總量規模小、數據質量較差、可利用率不高、用戶參與度低”的特點,公共數據的管理規范體系尚未建立,公共數據的共享標準未統一,公共數據的開放程度不充分等問題亟需解決。有必要通過經濟特區立法,在將公共數據相關改革創新經驗轉化為制度成果的同時,著力解決現有公共數據共享開放的瓶頸難題,充分開發利用公共數據資源,加快智慧城市和數字政府建設,提升政府數據治理能力。
(四)是加快培育數據要素市場,促進數字經濟發展的需要
深圳作為全球重要的電子信息和數據產業基地,其商貿、金融、物流、通信等數據的生產量處于全國前列,同時匯聚了超過300家大數據企業,基本形成了較為完善的大數據產業鏈,在數據催生下的數字經濟新產業、新業態和新模式也正蓬勃發展。但由于現階段相關法律制度的不健全,深圳的數字經濟發展也面臨著巨大挑戰,如數據交易機制不完善阻礙了數據交易的規模擴張、企業間數據不正當競爭糾紛多發等,亟需通過立法,規范數據要素市場化行為,推動數據的有序流動和數據產業的健康發展,促進數據要素市場的培育和發展。
二、主要內容和制度創新
不同于數據相關法律以及其他省市地方性法規、規章從涉及數據的某個具體領域制定單項、專門性數據規范的做法,《條例》內容涵蓋了個人數據、公共數據、數據要素市場、數據安全等方面,是國內數據領域首部基礎性、綜合性立法。《條例》堅持“保護與發展并重,以保護為基礎,以發展為目標,以保護促發展”的基本指導思想,著力平衡發展數字經濟與保護個人數據、數據開發利用與數據安全之間的關系,構建數據治理的具體制度,力圖在確保數據安全,保護個人數據的基礎上,最大程度激發、釋放數據作為生產要素的經濟價值,為我市數字產業、數字經濟的發展提供良好的法治環境。
(一)探索數據相關權益范圍和類型
《綜合改革試點實施方案》提出深圳要“率先完善數據產權制度,探索數據產權保護和利用新機制”。雖然目前就數據權屬問題還未形成統一認識,難以通過地方性法規旗幟鮮明地創設“數據權”這一新的權利類型,但是對于“個人數據具有人格權屬性”“企業對其投入大量智力勞動成果形成的數據產品和服務具有財產性權益”已經取得普遍共識。基于這一認識,《條例》率先在立法中探索數據相關權益范圍和類型,明確自然人對個人數據依法享有人格權益,包括知情同意、補充更正、刪除、查閱復制等權益;自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及條例規定的財產權益,可以依法自主使用,取得收益,進行處分。
(二)強化個人數據保護
1.明確處理個人數據的基本原則
《條例》參考《中華人民共和國個人信息保護法(二次審議稿)》(以下簡稱《個人信息保護法(二稿)》)以及國家推薦性標準《信息安全技術 個人信息安全規范》(GB/T 35273—2020)(以下簡稱《個人信息安全規范》)等相關規定確立了處理個人數據的基本原則,即處理個人數據應當具有明確、合理的目的,并遵循最小必要和合理期限原則;同時,針對公眾普遍關注的最小必要原則的具體內涵,《條例》進一步明確,即限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式處理個人數據,并例舉了五種符合最小必要原則的具體情形。
2.確立以“告知——同意”為前提的個人數據處理規則
為進一步規范個人數據處理活動,《條例》借鑒國際主流個人數據立法的規定,確立了以“告知——同意”為基礎的個人數據處理規則:一是處理個人數據具有告知義務,應當在處理前向自然人告知數據處理者的基本信息,處理個人數據的種類、范圍、目的和方式,存儲個人數據的期限,可能存在的安全風險、采取的安全保護措施,以及自然人依法享有的權利、行使權利的方式等事項。二是處理個人數據應當征得自然人的同意,在其同意的范圍內處理其個人數據,不得通過誤導、欺騙、脅迫等違背自然人真實意愿的方式獲取同意,并對同意規則的例外情形作出了規定。三是針對自然人撤回同意的情形,規定數據處理者應當提供撤回同意的途徑,不得對撤回同意進行不合理限制或者附加不合理條件;并在立法中首次認可了數據處理者在自然人撤回同意前基于同意進行的合法數據處理的有效性。
3.合理限制生物識別數據的處理
“人臉識別”“指紋驗證”“聲音解鎖”“虹膜識別”等生物識別技術在刑偵、治安、金融、醫療、交通、學校、支付等場景大范圍使用,深刻改變了人們的生產生活方式。但是由于生物識別數據具有唯一性、終生性、不可更改性,一旦泄露或者被濫用,將造成較一般個人數據更為嚴重的損害后果。為了在拓展生物識別技術應用的同時,避免生物識別數據的濫用,《條例》對處理生物識別數據作出了較處理其他數據更加嚴格的規定,要求處理生物識別數據時,除該生物識別數據為處理個人數據目的所必需,且不能為其他非生物識別數據所替代的情形外,應當同時提供處理其他非生物識別數據的替代方案。
4.規范用戶畫像和個性化推薦的應用
用戶畫像和個性化推薦的應用,為人們提供了更加精準、個性化的商品和服務,但同時也帶來了一些負面影響,如“信息繭房”。為了在盡可能尊重和保障自然人對處理其個人數據的決定權的同時,不阻礙用戶畫像和個性化推薦等新興數據應用技術的發展,《條例》首創性地規定,數據處理者基于提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當明示用戶畫像的主要規則和用途;自然人有權拒絕數據處理者對其進行上述用戶畫像和基于用戶畫像進行的個性化推薦,數據處理者應當為其提供拒絕的途徑。
5.強化對未成年人個人數據的保護
為加強對未成年人個人數據的保護,在數字時代為其創造更有利的成長環境,《條例》借鑒《個人信息安全規范》關于“十四歲以下兒童的個人信息屬于敏感個人信息”的規定,并與《中華人民共和國未成年人保護法》以及國家網信辦《兒童個人信息網絡保護規定》均將十四周歲作為加強未成年人個人信息保護臨界年齡的規定保持一致,將未滿十四周歲未成年的個人數據視作敏感個人數據,適用敏感個人數據的有關規定。
此外,針對未成年人用戶畫像問題,雖然未成年人用戶畫像有諸多有益應用,如在線教育APP針對不同特征的學生有的放矢地制定相應的教學方案,但由于未成年人缺乏基本的辨識認知能力,難以辨別對其進行的個性化推薦是否符合其自身利益,因此,《條例》首次在國內立法中明確,除為了維護未滿十四周歲未成年人的合法權益并征得其監護人明示同意外,不得向其進行個性化推薦。
(三)提升公共數據治理水平
1.建立公共數據治理體系
為加強公共數據統籌管理,構建高質量的公共數據資源體系,《條例》從提升公共數據質量、促進公共數據共享開放等方面,設計了公共數據治理的頂層框架。一是構建公共數據管理體系,建設以城市大數據中心為核心的公共數據運行管理機制。二是建立公共數據資源管理制度,實行公共數據分類管理、目錄管理。三是確立公共數據收集的基本原則,實行公共數據統籌采購,并要求對于可通過共享方式獲得的數據不得再另行收集。四是明確公共數據以共享為原則,不共享為例外,建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制。五是建立公共數據開放管理制度,建立公共數據開放目錄和調整機制。
2.推動公共數據最大限度開放利用
根據習近平總書記在2017年12月8日在中共中央政治局實施國家大數據戰略第二次集體學習中的講話精神,公共數據資源是公共資源,治理公共數據最終目標是推動公共數據資源的開放利用。立法應當將公共數據資源開放納入公共服務,減少政府對于公共數據開發利用的干預,充分發揮市場對公共數據資源的高效配置作用,由市場主體對開放的公共數據進行開發利用,將公共數據資源轉化為生產要素和生產力,從而最大程度地實現公共數據的價值。《條例》就公共數據開放確立了分類分級、需求導向、安全可控的原則,要求公共數據應當在法律、法規允許范圍內最大限度開放。一是最大限度界定公共數據范圍,規定公共管理和服務機構在依法履行公共管理職責或者提供公共服務過程中,產生、處理的數據均屬于公共數據。明確將提供教育、衛生健康、社會福利、供水、供電、供氣、環境保護、公共交通和其他公共服務的組織納入公共管理和服務機構范圍。二是建設統一、高效的公共數據開放平臺,組織公共管理和服務機構通過平臺向社會開放公共數據。三是公共數據依照法律、法規規定開放,不得收取任何費用。
(四)探索培育數據要素市場
1.促進數據要素價值實現
為促進市場主體實現數據要素價值,《條例》從五個方面探索培育數據要素市場,并填補目前數據交易相關法律規范的空白:一是建立健全數據標準體系,支持制定相關各類地方標準、行業標準、團體標準和企業標準。二是推動數據質量評估認證和數據價值評估。三是探索建立數據要素統計核算制度,準確反映數據生產要素的資產價值,推動將數據生產要素納入國民經濟核算體系。四是拓寬數據交易渠道,充分尊重市場主體的自由意志,允許市場主體通過依法設立的數據交易平臺進行數據交易或者依法自行交易。五是明確數據交易范圍為“合法處理數據形成的數據產品和服務”,并從反面禁止交易包含個人數據未經相關權利人同意的數據產品和服務,以及包含未經依法開放的公共數據的數據產品和服務。
2.促進數據要素市場公平競爭
隨著數字經濟的發展,企業間的不正當數據競爭日益增多,嚴重制約了數據要素市場的培育和發展。為建立有序的數據要素市場競爭規則,保障市場主體和消費者的合法權益,《條例》在《中華人民共和國反不正當競爭法》的基礎上,總結近年來數據要素市場不正當競爭司法案例的審判經驗,借鑒國務院反壟斷委員會《關于平臺經濟領域的反壟斷指南》,在國內立法中首次確立數據公平競爭有關制度,針對數據要素市場“搭便車”“不勞而獲”“大數據殺熟”等競爭亂象,創新性規定市場主體不得以非法手段獲取其他市場主體的數據,或者利用非法收集的其他市場主體數據提供替代性產品或者服務,侵害其他市場主體的合法權益;不得利用數據分析,無正當理由對交易條件相同的交易相對人實施差別待遇;不得通過達成壟斷協議、濫用在數據要素市場的支配地位、違法實施經營者集中,排除、限制數據要素市場競爭;并對數據不正當競爭行為規定了相應的法律責任。
(五)保護數據全生命周期安全
《中華人民共和國數據安全法》(以下簡稱《數據安全法》)已于2021年6月10日通過,并將于9月1日起實施,《數據安全法》已就數據安全保護作出了較為完善的制度安排,特區立法不宜再行突破。因此,《條例》在國家立法的基礎上進一步細化數據安全保護的相關內容:一是明確市人民政府負責統籌數據安全管理工作。二是明確數據處理者的數據安全管理責任,要求數據處理者落實在數據收集、加工、存儲、共享開放、銷毀、委托處理、出境等階段的安全管理義務,并做好數據安全事件的監測、預警和應急處置工作。三是明確數據安全監督部門通過開展數據安全預警工作、對數據處理者進行數據安全管理認證和評估、約談違規數據處理者等措施強化數據安全監督,并強調數據監督管理部門及其工作人員必須對在履職過程中知悉的個人數據、商業秘密和需要保守秘密的其他數據嚴格保密,不得泄露、出售或者非法向他人提供。
此外,為強化對敏感個人數據和重要數據的保護,《條例》一是對敏感個人數據或者重要數據處理者設置了更加嚴格的安全管理責任,要求數據處理者按照規定設立數據安全管理機構、明確數據安全管理責任人,并實施特別技術保護。二是要求市網信部門統籌協調相關主管部門和行業主管部門對重要數據進行重點保護。三是要求數據處理者針對敏感個人數據和重要數據制定去標識化或者匿名化處理安全措施。四是要求敏感個人數據或者重要數據處理者定期開展風險評估,并向有關主管部門報送風險評估報告。
(六)建立數據領域公益訴訟制度
現實中,數據侵權具有較高的隱秘性,即便被侵權人察覺,由于取證困難,出于時間或經濟成本的考量,也難以實現有效維權。為緩解當前數據維權艱難的現狀,《條例》參考2020年9月最高檢出臺《關于積極穩妥拓展公益訴訟案件范圍的指導意見》關于“將個人信息保護作為網絡侵害領域公益訴訟的辦案重點”的意見,在地方立法中首次確立了數據領域的公益訴訟制度,規定人民檢察院和法律、法規規定的組織可以就違規定處理數據致使國家利益或者公共利益受到損害的行為,依法提起民事公益訴訟;人民檢察院還可以對違法行使職權或者不作為致使國家利益或者公共利益受到損害的行政機關,提出檢察建議或者提起行政公益訴訟。
(七)關于違反條例相關規定的法律責任
目前《中華人民共和國個人信息保護法》仍在制定過程中,為保持對違規處理個人數據處罰的統一性,避免與上位法規定不一致,《條例》規定違反本條例規定處理個人數據的,依照個人信息保護有關法律、法規規定處罰。同時,鑒于《條例》關于數據安全的規定主要是對《數據安全法》相關規定的細化,無需在上位法規定之外另設法律責任,《條例》規定數據處理者違反本條例規定,未履行數據安全保護責任的,依照數據安全有關法律、法規規定處罰。
