办事易

深圳经济特区数据条例(征求意见稿)

更新时间:2021-06-04 17:00:58

为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。详见正文

政策原文

       深圳经济特区数据条例(征求意见稿)

  第一章 总则

  第一条为了规范数据处理活动,保护自然人、法人和非法人组织的数据权益,促进数据资源开放流动和开发利用,根据有关法律、行政法规的基本原则,结合深圳经济特区实际,制定本条例。

  第二条本条例所称数据,是指任何以电子或者非电子形式对信息的记录。

  本条例所称数据处理,是指数据的收集、存储、加工、使用、提供、开放、交易等活动。

  第三条自然人对载有其个人信息的数据享有法律、行政法规及本条例规定的人格权益。

  自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害自然人人格权益,不得侵害他人知识产权。

  第四条市人民政府应当建立健全数据治理制度和标准体系,统筹推进个人数据保护、公共数据开放共享利用、数据市场培育发展及数据安全管理工作。

  第五条市人民政府设立市数据工作委员会,负责研究、协调本市数据管理工作中的重大事项。

  市数据工作委员会下设办公室,由市政务服务数据管理部门承担日常工作。

  第六条市网信部门负责本市个人数据保护、数据安全、跨境数据流通等工作的指导、协调和监督管理。

  市工业和信息化部门负责本市数据产业发展和信息基础设施建设工作。

  市市场监督管理部门负责本市数据市场的监督管理工作。

  市政务服务数据管理部门负责本市公共数据管理工作的指导、协调和监督管理。

  市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。

  市发展改革、公安、财政、人力资源保障、规划和自然资源、审计、国家安全等部门依照有关法律、法规,在各自职责范围内履行数据资源管理的相关职能。

  第七条市人民政府应当充分发挥数据的基础资源作用和创新引擎作用,加快构建以数据为关键要素的数字经济,创新运用大数据提升城市治理现代化水平,促进保障和改善民生,并切实保障数据安全。

  第二章 个人数据

  第一节 一般规定

  第八条本条例所称个人数据,是指载有自然人个人信息的数据,包括载有个人身份信息、生物特征信息和其他敏感个人信息的数据,但是不包括匿名化处理后的数据。

  本条例所称敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,包括种族、民族、宗教信仰、生物特征、医疗健康、金融账户、个人行踪等数据。

  本条例所称生物识别数据,是指对自然人的相关身体、生理、行为等生物特征进行技术处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。

  本条例所称匿名化处理,是指通过对个人数据进行技术处理使得个人数据主体无法被识别,且处理后的数据不能被复原的活动。

  第九条处理个人数据应当符合下列要求:

  (一)严格遵守法律、法规规定,处理个人数据的目的和方式合法、正当;

  (二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;

  (三)遵循公开、透明的原则,明示个人数据处理的目的、方式、范围和规则等;

  (四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;

  (五)确保个人数据安全,积极维护自然人合法权益。

   前款所称处理个人数据应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,具体包括但是不限于下列情形:

  (一)处理的个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;

  (二)自动处理个人数据的频率应当是实现处理目的所必需的最低频率;

  (三)处理个人数据的数量应当是实现处理目的所必需的最少数量;

  (四)存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据进行删除或者匿名化处理,法律、法规另有规定或者自然人另行同意的除外;

  (五)应当建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问职责所需的最少的个人数据,且仅具备完成职责所需的最少的数据操作权限。

  第十条公共管理和服务机构处理个人数据,应当仅限于履行法定职责和提供公共服务所必需,并按照规定采取安全保护措施,充分保障数据安全。

  本条例所称公共管理和服务机构,是指本市国家机关和法律、法规授权管理公共事务和提供公共服务的组织。

  第十一条自然人发现数据处理者违反法律、法规规定或者双方约定处理其个人数据的,可以向市网信部门投诉举报,市网信部门应当及时依法处理。

  自然人认为数据处理者违反法律、法规规定或者双方约定处理其个人数据并造成损害的,可以依法向人民法院提起诉讼。

  第二节 个人数据处理

  第十二条数据处理者应当在处理个人数据前征得自然人或者其监护人的同意,并在其同意范围内处理其个人数据,但是法律、行政法规以及本条例另有规定的除外。

  本条例所称同意,是指当事人自主、明确地表示允许处理其个人数据的意思表示。

  数据处理者不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取其同意。

  第十三条处理个人数据的种类、范围、目的和方式变更的,应当重新征得自然人或者其监护人的同意。

  第十四条处理敏感个人数据的,应当在处理前征得该自然人或者其监护人的明示同意。

  第十五条生物识别数据处理者处理生物识别数据应当为处理个人数据的目的所必需,且不能为其他个人数据所替代,并应当具备相应的数据安全防护能力。

  生物识别数据处理管理办法由市政务服务数据管理部门会同市公安机关另行制定。

  第十六条处理未成年人个人数据的,按照处理敏感个人数据的有关规定执行;处理不满十四周岁的未成年人个人数据的,应当在处理前征得其监护人的明示同意。

  处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意。

  第十七条处理个人数据有下列情形之一的,可以在处理前不征得自然人或者其监护人的同意:

  (一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;

  (二)为了订立或者履行自然人作为一方当事人的合同所必需;

  (三)公共管理和服务机构为了履行法定职责或者提供服务所必需;

  (四)新闻单位依法进行新闻报道所必需;

  (五)法律、行政法规规定的其他情形。

  第十八条自然人有权随时撤回部分或者全部处理其个人数据的同意。

  自然人撤回同意的,数据处理者不得继续处理其个人数据,但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理;法律、法规另有规定的,从其规定。

  第十九条处理个人数据应当采用足以引起注意的特别标识等易获取的方式提供自然人撤回处理其个人数据的同意的途径,不得利用服务协议或者技术等手段对其撤回同意进行不合理限制或者附加不合理条件。

  第二十条处理个人数据应当在征得自然人或者其监护人处理其个人数据的同意前以通俗易懂、明确具体、易获取的方式向其完整、真实、准确地告知下列事项:

  (一)数据处理者的姓名或者名称以及联系方式;

  (二)处理个人数据的种类和范围;

  (三)处理个人数据的目的和方式;

  (四)存储个人数据的地点和期限;

  (五)处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;

  (六)自然人依法享有的权利以及行使权利的方式和程序;

  (七)法律、法规规定应当告知的其他事项。

  处理敏感个人数据应当依照前款规定,以更加显著的标识或者突出显示的形式将处理敏感个人数据的必要性以及对其可能产生的影响进行单独告知。

  第二十一条处理个人数据有法律、行政法规规定应当保密或者不宜告知的情形的,不适用本条例第二十条的规定。

  紧急情况下为了保护自然人的人身、财产安全等重大合法权益,不能按照本条例第二十条的规定进行事前告知的,应当在紧急情况消除后及时告知。

  第二十二条数据处理者向他人提供其处理的个人数据的,应当对数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定的自然人。法律、法规规定或者自然人与数据处理者约定应当进行匿名化处理的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。

  数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:

  (一)应公共管理和服务机构履行法定职责需要且书面要求提供的;

  (二)基于自然人或者其监护人的同意向他人提供其个人数据的;

  (三)法律、行政法规规定的其他情形。

  第二十三条数据处理者可以基于提升产品质量或者服务体验的目的,对自然人进行用户画像,为其推荐个性化的产品或者服务。

  本条例所称用户画像,是指为了评估自然人的某些条件而对其个人数据进行的自动化处理,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等而进行的处理。

  第二十四条数据处理者对自然人进行用户画像时,应当向其明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式向其提供拒绝的途径。

  自然人有权随时拒绝对其进行的用户画像和基于用户画像向其进行的个性化产品或者服务推荐。

  禁止对未成年人进行用户画像以及基于用户画像向未成年人推荐个性化的产品或者服务。

  第三节 个人数据权益

  第二十五条自然人对其个人数据的处理享有知情权、决定权,有权限制或者拒绝他人处理其个人数据。法律、行政法规另有规定的,从其规定。

  第二十六条自然人有权向数据处理者要求查阅、复制其个人数据,数据处理者应当按照有关规定提供。

  第二十七条自然人发现其个人数据不准确或者不完整的,有权要求数据处理者补充、更正,数据处理者应当予以核实,并及时补充、更正。

  第二十八条有下列情形之一的,自然人有权要求数据处理者删除其个人数据,数据处理者应当删除其个人数据:

  (一)约定的存储期限已经届满;

  (二)处理个人数据的目的已经实现或者处理的个人数据对于处理的目的已经不再必要;

  (三)自然人撤回处理其个人数据的同意;

  (四)数据处理者违反法律、法规的规定或者双方约定处理数据;

  (五)法律、法规规定的其他情形。

  第二十九条自然人撤回处理其个人数据的同意,要求数据处理者删除其个人数据的,数据处理者可以留存告知和同意的证据,但是不得超过其履行法定义务、应对诉讼或者纠纷的必要限度。

  第三十条数据处理者应当建立自然人行使权利申请和投诉举报的受理处理机制,并采用足以引起注意的特别标识等易获取的方式提供有效的行使权利和投诉举报的途径。

  数据处理者收到相关行使权利申请或者投诉举报的,应当及时受理,并依法采取相应处理措施;拒绝申请事项的,应当说明理由。

  第三章 公共数据

  第一节 一般规定

  第三十一条本条例所称公共数据,是指公共管理和服务机构在依法履行公共管理和服务职责过程中,产生、处理的各类数据。

  第三十二条市数据工作委员会设立公共数据管理委员会,负责协调、处理公共数据管理工作中的重大事项。

  市政务服务数据管理部门承担市公共数据管理委员会日常工作,并负责统筹全市公共数据管理工作,建立和完善公共数据资源管理体系,推进公共数据共享、开放和综合利用。

  区政务服务数据管理部门在市政务服务数据管理部门指导下,统筹本辖区公共数据管理工作。

  第三十三条市人民政府应当建立城市大数据中心,并依托城市大数据中心建设全市公共数据资源共享平台和开放平台,实现对全市公共数据资源统一、集约、安全、高效管理和利用。

  市政务服务数据管理部门负责推动公共管理和服务机构将所管理的公共数据资源向城市大数据中心汇聚,组织公共管理和服务机构依托城市大数据中心开展公共数据资源管理和利用。

  各区人民政府可以按照全市统一规划,建设城市大数据中心分中心,将公共数据资源纳入城市大数据中心统一管理。

  第三十四条公共数据资源按照基础数据资源、主题数据资源和业务数据资源实行分类管理制度。

  市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划和建设,并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。

  各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求,规划本行业公共数据资源体系,建设并管理相关主题数据库。

  公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求,建设、管理本机构业务数据库。

  第三十五条公共数据资源实行目录管理制度。

  市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系,制定公共数据资源目录编制要求,组织公共管理和服务机构按照公共数据资源目录规范处理各类公共数据。

  公共管理和服务机构应当按照公共数据资源目录编制要求,对本机构所处理的数据进行目录管理。

  第三十六条实行公共数据全面共享制度。公共数据在公共管理和服务机构之间以共享为原则,不共享为例外。

  市人民政府应当制定公共数据共享负面清单,并及时进行动态调整。未纳入负面清单的公共数据应当共享。

  公共数据共享的具体办法由市人民政府另行制定。

  第三十七条市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度,并组织实施。

  公共数据使用部门可以根据履行职责需要提出共享申请,明确数据使用的依据、目的、范围、方式及相关需求,并按照本级政务服务数据管理部门和数据提供部门要求,加强共享数据使用管理,不得超出范围使用或者用于其他目的。

  公共数据提供部门应当在规定时间内,回应公共数据使用部门的共享需求,并可以对公共数据使用部门提出数据使用要求。

  第三十八条公共管理和服务机构应当通过全市公共数据资源共享平台开展数据共享。

  公共管理和服务机构可以通过共享方式获得数据的,不得向自然人、法人和非法人组织重复收集。

  第三十九条市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范,建立健全质量监测和评估体系,并组织实施。

  公共管理和服务机构应当按照公共数据质量管理制度和规范,建立和完善本机构数据质量管理体系,加强数据质量管控,保障数据真实、准确、完整、及时、可用。

  市公共数据管理委员会定期对公共管理和服务机构数据管理工作进行评价,并向市数据工作委员会报告评价结果。

  第四十条公共管理和服务机构履行职责所需的数据无法通过城市大数据中心共享且难以自行收集的,由市人民政府统筹对外采购,具体工作由市政务服务数据管理部门承担。

  公共管理和服务机构所需采购的数据经市政务服务数据管理部门纳入公共数据资源目录后,可以由其自行采购,或者由市政务服务数据管理部门统一采购。采购的数据应当通过城市大数据中心向公共管理和服务机构提供统一服务。

  第二节 公共数据开放

  第四十一条本条例所称公共数据开放,是指公共管理和服务机构依法通过统一的公共数据平台或者由本单位直接面向社会提供可机器读取的公共数据的活动。

  第四十二条公共数据开放应当遵循分类分级、需求导向、安全可控的原则,在法律、法规允许范围内最大限度开放。

  公共数据依照法律、法规规定开放,不得收取任何费用;法律、行政法规另有规定的,从其规定。

  第四十三条公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。

  无条件开放公共数据,是指可以无条件提供给自然人、法人和非法人组织的公共数据。

  有条件开放公共数据,是指可以部分提供或者需要按照特定条件提供给自然人、法人和非法人组织的公共数据。

  不予开放公共数据,是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。

  第四十四条建立以公共数据资源目录体系为基础的公共数据开放管理制度,建立公共数据开放清单和调整机制,推动公共管理和服务机构的数据开放工作。

  有条件开放的公共数据,应当在编制公共数据开放清单时明确开放条件、使用要求及安全保障措施等。

  第四十五条市政务服务数据管理部门应当依托城市大数据中心建设公共数据开放平台,统一向社会开放公共数据。

  公共数据开放平台应当根据开放数据类型,提供数据下载、应用程序接口、安全可信的数据综合开发利用环境等多种数据开放方式。

  第四十六条市人民政府应当通过政策引导、经费支持等方式,支持社会力量对开放的公共数据进行开发利用。

  第三节 公共数据利用

  第四十七条市人民政府应当加快推进数字政府改革,深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用,建立和完善运用数据进行管理的制度规则,创新政府决策、监管及服务模式,推动政府数字化转型,实现主动、精准、整体式、智能化的政府管理和服务。

  第四十八条市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢,形成统一的城市智能中枢平台体系,为政府管理服务以及各区域各行业应用提供统一、全面的数字化服务,促进技术融合、业务融合、数据融合。

  市人民政府依托城市智能中枢平台建设政府管理服务指挥中心,建立和完善政府管理服务指挥中心的建设和运营管理机制,推动政府整体数字化转型,深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同,建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。

  各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台,推动本行业管理服务全面数字化。

  各区人民政府应当依托城市智能中枢平台,以服务基层为目标,整合数据资源、优化业务流程、创新管理模式,推进基层治理与服务科学化、精细化、智能化。

  第四十九条市人民政府应当依托城市智能中枢平台,从服务对象视角推动业务整合和流程再造,深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。

  市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在政务服务、公共服务过程中的创新应用,精简办事材料、环节,优化办事流程。对于可以通过数据比对作出审批决定的事项,应当开展基于数据的无人干预智能审批,推动政务服务智能高效。

  第五十条市人民政府应当依托城市智能中枢平台,加强监管数据和信用数据归集、共享,充分利用公共数据和各领域监管系统,建立全市统一的监管平台,探索非现场监管、信用监管、风险预警等新型监管模式,提升监管智能化水平。

  第五十一条市政务服务数据管理部门可以组织建设数据融合应用服务平台,向社会提供安全可信的数据综合开发利用环境,推动公共管理和服务机构、企业及其他各类社会组织和个人,共同开展智慧城市应用创新。

  第四章 数据市场

  第一节 一般规定

  第五十二条市人民政府应当科学统筹规划,加快培育数据市场,推动构建数据资源收集、加工、开放、共享、交易、应用等数据市场体系,促进数据资源有序、高效流动与利用。

  第五十三条市场主体开展数据处理活动,应当建立健全数据治理组织架构和自我评估机制,组织开展数据治理活动,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性,促进数据价值实现。

  第五十四条市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,通过向他人提供获得收益,依法进行处分。

  第五十五条市场主体通过开放、共享、交易等方式流通数据、数据产品或者服务的,应当明确各方当事人的权利和义务;超出权利人授权范围的,应当重新取得相应权利人授权。

  第二节 数据交易

  第五十六条市场主体合法处理数据形成的数据产品和服务,可以依法交易,但是具有下列情形之一的除外:

  (一)交易的数据产品和服务包含个人数据而未经相关权利人同意的;

  (二)交易危害国家安全、公共利益的;

  (三)法律、法规规定禁止交易的其他情形。

  第五十七条引导市场主体通过依法设立的数据交易平台进行数据交易。

  第五十八条数据交易平台应当建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。

  第五十九条支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。

   

  第三节 公平竞争

   

  第六十条市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体或者消费者合法权益的行为:

  (一)使用非法手段破坏其他市场主体所采取的保护数据的技术措施;

  (二)违反行业惯例收集或者利用其他市场主体数据;

  (三)利用非法收集的他人数据提供替代性产品或者服务;

  (四)未经其他市场主体或者消费者同意,将其他市场主体的数据直接进行商业利用;

  (五)法律、法规规定禁止侵害其他市场主体或者消费者合法权益的其他行为。

  第六十一条市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:

  (一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;

  (二)针对新用户在合理期限内开展优惠活动;

  (三)基于公平、合理、无歧视的规则实施随机性交易;

  (四)法律、法规规定的其他情形。

  前款所称交易条件相同,是指交易相对人之间在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别。

  第六十二条市场主体不得达成垄断协议,不得滥用在数据市场的支配地位、不得实施经营者集中,不得排除、限制数据市场竞争。

  第五章 数据安全管理

  第一节 一般规定

  第六十三条数据安全管理遵循政府主导、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全。

  市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全协调治理体系。市网信部门具体负责本市数据安全管理工作的统筹、协调。

  第六十四条数据处理者应当落实数据安全管理责任,按照数据的级别实施必要的安全管理策略和保障措施,不断提升技术手段,防止数据泄露、毁损、丢失、篡改和非法使用,确保数据安全。

  数据处理者因合并、分立、收购等方式变更的,由新的数据处理者继续落实数据安全管理责任。

  第六十五条处理敏感个人数据或者国家规定的重要数据,应当按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。

  第二节 数据安全保护

  第六十六条数据处理者应当记录其收集数据的合法来源,保障数据来源清晰、可追溯。

  第六十七条数据处理者应当依照相关法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可恢复识别的个人数据分开存储。

  数据处理者应当针对敏感个人数据、国家规定的重要数据制定去标识化或者匿名化处理安全措施,并对数据去标识化或者匿名化处理过程进行记录。

  第六十八条数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与其安全等级相匹配的存储载体,对敏感个人数据和国家规定的重要数据还应当进行加密存储、授权访问或者采取其他更加严格的安全保护措施。

  第六十九条数据处理者应当对数据处理过程实施数据安全技术防护,并建立重要系统和核心数据的容灾备份制度。

  第七十条数据处理者开放、共享数据的,应当建立数据开放、共享安全管理制度,建立和完善对外数据接口的安全管理机制。

  第七十一条数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁,并对数据销毁过程的相关操作予以记录。

  数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据;法律、法规另有规定的除外。

  第七十二条数据处理者委托他人代为处理数据的,应当与其订立数据安全保密合同,明确双方安全保护责任和义务。

  受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。

  第七十三条数据处理者向境外提供个人数据或者国家规定的重要数据的,应当按照有关规定申请数据出境安全评估。但是,经自然人明示同意,仅为自然人或者其家庭生活目的向境外提供其个人数据的除外。

  第七十四条数据处理者应当落实与数据级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。

  监测到可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取预防补救措施。

  第七十五条数据处理者应当建立应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照数据安全事件的危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。

  第七十六条发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信部门和有关行业主管部门报告。

  第三节 数据安全监督

  第七十七条市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监管工作,会同有关部门建立健全数据安全监督机制,组织对数据安全进行监督检查。

  第七十八条市公安机关应当加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督相应主体做好数据安全防范工作。

  第七十九条市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。

  第八十条市网信部门以及其他履行数据安全监督职责的部门在履行职责中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。

  第八十一条市网信部门以及其他依法履行数据安全监督职责的部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和技术秘密严格保密,不得泄露、出售或者非法向他人提供。

  第六章 法律责任

  第八十二条违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款:

  (一)违反本条例第十二条、第十三条、第十四条、第十六条规定,未经自然人或者其监护人同意处理其个人数据的;

  (二)违反本条例第十五条规定,处理自然人生物识别数据的;

  (三)违反本条例第十八条规定,自然人撤回同意后继续处理其个人数据的;

  (四)违反本条例第二十条、第二十一条规定,未履行告知义务的;

  (五)违反本条例第二十二条规定,向他人提供处理的个人数据的;

  (六)违反本条例第二十三条、第二十四条规定,对自然人进行用户画像的;

  (七)违反本条例第二十七条规定,未及时核实并补充、更正个人数据的;

  (八)违反本条例第二十八条、第二十九条规定,未删除个人数据的;

  (九)违反本条例第三十条第二款规定,未依法及时处置相关行使权利申请或者相关投诉举报的;

  (十)违反本条例第五章规定,未对个人数据采取必要安全保护措施的。

  前款规定的违法行为,有下列情形之一的,依照前款规定的罚款额度从重处罚,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚;构成犯罪的,依法追究刑事责任:

  (一)违法行为造成数据泄露、损毁、丢失、篡改等数据安全事件的;

  (二)违法行为涉及敏感个人数据的;

  (三)违法行为人为提供基础性互联网平台服务的数据处理者的;

  (四)违法行为涉及未成年个人数据的;

  (五)法律、法规规定的其他情形。

  第八十三条违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款:

  (一)违反本条例第十九条规定,对自然人撤回同意进行不合理限制或者附加不合理条件的;

  (二)违反本条例第二十六条规定,未及时提供个人数据的查阅方式,或者未按照规定及时、免费提供个人数据的备份的;

  (三)违反本条例第三十条第一款规定,未建立自然人行使权利申请和投诉举报的受理处理机制的;

  (四)违反本条例第三十条第一款规定,未采用足以引起注意的特别标识或者其他易获取的方式提供有效的行使权利和投诉举报途径的。

  第八十四条公共管理和服务机构有下列情形之一的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任:

  (一)未按照规定处理公共数据的;

  (二)提供的公共数据不真实、不准确、不完整、不可用的;

  (三)向自然人、法人或者非法人组织重复收集可以通过数据共享获取的公共数据的;

  (四)未按照规定编制、更新、报送公共数据资源目录的;

  (五)未依法履行公共数据安全管理职责的的;

  (六)法律、法规规定的其他情形。

  第八十五条违反本条例第五十六条规定交易数据的,由市市场监督管理部门责令立即改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。

  第八十六条违反本条例第六十条、第六十一条规定,侵害其他市场主体或者消费者合法权益,或者对交易条件相同的交易相对人实施差别待遇的,由市市场监督管理部门责令立即改正,没收违法所得,违法所得不足一万元的,并处五万元以上二十万元以下罚款;违法所得一万元以上的,并处二十万元以上一百万元以下罚款;情节严重或者造成严重后果的,由市市场监督管理部门责令立即改正,没收违法所得,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。

  市场主体有不正当竞争行为或者垄断行为的,依照反不正当竞争或者反垄断有关法律、法规的规定处罚。

  第八十七条数据处理者违反本条例第五章规定,未落实数据安全保护责任的,依照有关法律、法规处罚。

  第八十八条国家机关违反本条例规定,不履行或者不正确履行法定职责的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。

  第八十九条未依照法律、行政法规以及本条例规定落实数据安全保护责任,或者非法处理数据,致使国家利益或者公共利益受到损害的,有关行业组织可以依法提起民事公益诉讼。有关行业组织提起相关民事公益诉讼,人民检察院认为有必要的,可以支持起诉。

  前款规定的行业组织未提起民事公益诉讼的,人民检察院可以向人民法院提起民事公益诉讼。

  人民检察院在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出监察建议;行政机关不依法履行职责的,人民检察院可以依法向人民法院提起行政公益诉

相关资讯
最新阅读
深圳经济特区数据条例(征求意见稿)
关注本地宝
返回首页

反馈 提问