《深圳經濟特區數據條例（征求意見稿）》發布！附全文及官方說明

以下是《深圳經濟特區數據條例（征求意見稿）》全文

深圳經濟特區數據條例

（征求意見稿）

第一章  總則

第一條 為了規范數據處理活動，保護自然人、法人和非法人組織的數據權益，促進數據資源開放流動和開發利用，根據有關法律、行政法規的基本原則，結合深圳經濟特區實際，制定本條例。

第二條 本條例所稱數據，是指任何以電子或者非電子形式對信息的記錄。

本條例所稱數據處理，是指數據的收集、存儲、加工、使用、提供、開放、交易等活動。

第三條 自然人對載有其個人信息的數據享有法律、行政法規及本條例規定的人格權益。

自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益。但是，不得危害國家安全和公共利益，不得損害自然人人格權益，不得侵害他人知識產權。

第四條 市人民政府應當建立健全數據治理制度和標準體系，統籌推進個人數據保護、公共數據開放共享利用、數據市場培育發展及數據安全管理工作。

第五條市人民政府設立市數據工作委員會，負責研究、協調本市數據管理工作中的重大事項。

市數據工作委員會下設辦公室，由市政務服務數據管理部門承擔日常工作。

第六條市網信部門負責本市個人數據保護、數據安全、跨境數據流通等工作的指導、協調和監督管理。

市工業和信息化部門負責本市數據產業發展和信息基礎設施建設工作。

市市場監督管理部門負責本市數據市場的監督管理工作。

市政務服務數據管理部門負責本市公共數據管理工作的指導、協調和監督管理。

市各行業主管部門負責本行業數據管理工作的統籌、指導、協調和監督。市發展改革、公安、財政、人力資源保障、規劃和自然資源、審計、國家安全等部門依照有關法律、法規，在各自職責范圍內履行數據資源管理的相關職能。

第七條 市人民政府應當充分發揮數據的基礎資源作用和創新引擎作用，加快構建以數據為關鍵要素的數字經濟，創新運用大數據提升城市治理現代化水平，促進保障和改善民生，并切實保障數據安全。

第二章  個人數據

第一節  一般規定

第八條 本條例所稱個人數據，是指載有自然人個人信息的數據，包括載有個人身份信息、生物特征信息和其他敏感個人信息的數據，但是不包括匿名化處理后的數據。

本條例所稱敏感個人數據，是指一旦泄露、非法提供或者濫用，可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據，包括種族、民族、宗教信仰、生物特征、醫療健康、金融賬戶、個人行蹤等數據。

本條例所稱生物識別數據，是指對自然人的相關身體、生理、行為等生物特征進行技術處理而得出的能夠識別自然人獨特標識的個人數據，包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數據。

本條例所稱匿名化處理，是指通過對個人數據進行技術處理使得個人數據主體無法被識別，且處理后的數據不能被復原的活動。

第九條 處理個人數據應當符合下列要求：

（一）嚴格遵守法律、法規規定，處理個人數據的目的和方式合法、正當；

（二）限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式，不得進行與處理目的無關的個人數據處理；

（三）遵循公開、透明的原則，明示個人數據處理的目的、方式、范圍和規則等；

（四）保證個人數據的準確性和必要的完整性，避免因個人數據不準確、不完整給當事人造成損害；（五）確保個人數據安全，積極維護自然人合法權益。

前款所稱處理個人數據應當限于實現處理目的所必要的最小范圍，采取對個人權益影響最小的方式，具體包括但是不限于下列情形：

（一）處理的個人數據的種類、范圍應當與處理目的有直接關聯，不處理該個人數據則處理目的無法實現；

（二）自動處理個人數據的頻率應當是實現處理目的所必需的最低頻率；

（三）處理個人數據的數量應當是實現處理目的所必需的最少數量；

（四）存儲的期限應當為實現處理目的所必需的最短時間，超出存儲期限的，應當對個人數據進行刪除或者匿名化處理，法律、法規另有規定或者自然人另行同意的除外；

（五）應當建立最小授權的訪問控制策略，使被授權訪問個人數據的人員僅能訪問職責所需的最少的個人數據，且僅具備完成職責所需的最少的數據操作權限。

第十條 公共管理和服務機構處理個人數據，應當僅限于履行法定職責和提供公共服務所必需，并按照規定采取安全保護措施，充分保障數據安全。

本條例所稱公共管理和服務機構，是指本市國家機關和法律、法規授權管理公共事務和提供公共服務的組織。

第十一條 自然人發現數據處理者違反法律、法規規定或者雙方約定處理其個人數據的，可以向市網信部門投訴舉報，市網信部門應當及時依法處理。

自然人認為數據處理者違反法律、法規規定或者雙方約定處理其個人數據并造成損害的，可以依法向人民法院提起訴訟。

第二節  個人數據處理

第十二條 數據處理者應當在處理個人數據前征得自然人或者其監護人的同意，并在其同意范圍內處理其個人數據，但是法律、行政法規以及本條例另有規定的除外。

本條例所稱同意，是指當事人自主、明確地表示允許處理其個人數據的意思表示。

數據處理者不得通過誤導、欺騙、脅迫等違背自然人真實意愿的方式獲取其同意。

第十三條 處理個人數據的種類、范圍、目的和方式變更的，應當重新征得自然人或者其監護人的同意。

第十四條 處理敏感個人數據的，應當在處理前征得該自然人或者其監護人的明示同意。

第十五條 生物識別數據處理者處理生物識別數據應當為處理個人數據的目的所必需，且不能為其他個人數據所替代，并應當具備相應的數據安全防護能力。

生物識別數據處理管理辦法由市政務服務數據管理部門會同市公安機關另行制定。

第十六條 處理未成年人個人數據的，按照處理敏感個人數據的有關規定執行；處理不滿十四周歲的未成年人個人數據的，應當在處理前征得其監護人的明示同意。

處理無民事行為能力或者限制民事行為能力的成年人個人數據的，應當在處理前征得其監護人的明示同意。

第十七條 處理個人數據有下列情形之一的，可以在處理前不征得自然人或者其監護人的同意：

（一）處理自然人自行公開或者其他已經合法公開的個人數據，且符合該個人數據公開時的目的；

（二）為了訂立或者履行自然人作為一方當事人的合同所必需；

（三）公共管理和服務機構為了履行法定職責或者提供服務所必需；

（四）新聞單位依法進行新聞報道所必需；

（五）法律、行政法規規定的其他情形。

第十八條 自然人有權隨時撤回部分或者全部處理其個人數據的同意。

自然人撤回同意的，數據處理者不得繼續處理其個人數據，但是不影響數據處理者在自然人撤回同意前基于同意進行的合法數據處理；法律、法規另有規定的，從其規定。

第十九條 處理個人數據應當采用足以引起注意的特別標識等易獲取的方式提供自然人撤回處理其個人數據的同意的途徑，不得利用服務協議或者技術等手段對其撤回同意進行不合理限制或者附加不合理條件。

第二十條 處理個人數據應當在征得自然人或者其監護人處理其個人數據的同意前以通俗易懂、明確具體、易獲取的方式向其完整、真實、準確地告知下列事項：

（一）數據處理者的姓名或者名稱以及聯系方式；（二）處理個人數據的種類和范圍；

（三）處理個人數據的目的和方式；

（四）存儲個人數據的地點和期限；

（五）處理個人數據可能存在的安全風險以及對其個人數據采取的安全保護措施；

（六）自然人依法享有的權利以及行使權利的方式和程序；

（七）法律、法規規定應當告知的其他事項。

處理敏感個人數據應當依照前款規定，以更加顯著的標識或者突出顯示的形式將處理敏感個人數據的必要性以及對其可能產生的影響進行單獨告知。

第二十一條 處理個人數據有法律、行政法規規定應當保密或者不宜告知的情形的，不適用本條例第二十條的規定。

緊急情況下為了保護自然人的人身、財產安全等重大合法權益，不能按照本條例第二十條的規定進行事前告知的，應當在緊急情況消除后及時告知。

第二十二條 數據處理者向他人提供其處理的個人數據的，應當對數據進行去標識化處理，使得被提供的個人數據在不借助其他數據的情況下無法識別特定的自然人。法律、法規規定或者自然人與數據處理者約定應當進行匿名化處理的，數據處理者應當依照法律、法規規定或者雙方約定進行匿名化處理。

數據處理者向他人提供其處理的個人數據有下列情形之一的，可以不進行去標識化處理：

（一）應公共管理和服務機構履行法定職責需要且書面要求提供的；

（二）基于自然人或者其監護人的同意向他人提供其個人數據的；

（三）法律、行政法規規定的其他情形。

第二十三條 數據處理者可以基于提升產品質量或者服務體驗的目的，對自然人進行用戶畫像，為其推薦個性化的產品或者服務。

本條例所稱用戶畫像，是指為了評估自然人的某些條件而對其個人數據進行的自動化處理，包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等而進行的處理。

第二十四條 數據處理者對自然人進行用戶畫像時，應當向其明示用戶畫像的規則和用途，并采用足以引起注意的特別標識等易獲取的方式向其提供拒絕的途徑。

自然人有權隨時拒絕對其進行的用戶畫像和基于用戶畫像向其進行的個性化產品或者服務推薦。

禁止對未成年人進行用戶畫像以及基于用戶畫像向未成年人推薦個性化的產品或者服務。

第三節  個人數據權益

第二十五條 自然人對其個人數據的處理享有知情權、決定權，有權限制或者拒絕他人處理其個人數據。法律、行政法規另有規定的，從其規定。

第二十六條 自然人有權向數據處理者要求查閱、復制其個人數據，數據處理者應當按照有關規定提供。

第二十七條 自然人發現其個人數據不準確或者不完整的，有權要求數據處理者補充、更正，數據處理者應當予以核實，并及時補充、更正。

第二十八條 有下列情形之一的，自然人有權要求數據處理者刪除其個人數據，數據處理者應當刪除其個人數據：

（一）約定的存儲期限已經屆滿；

（二）處理個人數據的目的已經實現或者處理的個人數據對于處理的目的已經不再必要；

（三）自然人撤回處理其個人數據的同意；

（四）數據處理者違反法律、法規的規定或者雙方約定處理數據；

（五）法律、法規規定的其他情形。

第二十九條 自然人撤回處理其個人數據的同意，要求數據處理者刪除其個人數據的，數據處理者可以留存告知和同意的證據，但是不得超過其履行法定義務、應對訴訟或者糾紛的必要限度。

第三十條 數據處理者應當建立自然人行使權利申請和投訴舉報的受理處理機制，并采用足以引起注意的特別標識等易獲取的方式提供有效的行使權利和投訴舉報的途徑。

數據處理者收到相關行使權利申請或者投訴舉報的，應當及時受理，并依法采取相應處理措施；拒絕申請事項的，應當說明理由。

第三章  公共數據

第一節  一般規定

第三十一條 本條例所稱公共數據，是指公共管理和服務機構在依法履行公共管理和服務職責過程中，產生、處理的各類數據。

第三十二條 市數據工作委員會設立公共數據管理委員會，負責協調、處理公共數據管理工作中的重大事項。

市政務服務數據管理部門承擔市公共數據管理委員會日常工作，并負責統籌全市公共數據管理工作，建立和完善公共數據資源管理體系，推進公共數據共享、開放和綜合利用。

區政務服務數據管理部門在市政務服務數據管理部門指導下，統籌本轄區公共數據管理工作。

第三十三條 市人民政府應當建立城市大數據中心，并依托城市大數據中心建設全市公共數據資源共享平臺和開放平臺，實現對全市公共數據資源統一、集約、安全、高效管理和利用。

市政務服務數據管理部門負責推動公共管理和服務機構將所管理的公共數據資源向城市大數據中心匯聚，組織公共管理和服務機構依托城市大數據中心開展公共數據資源管理和利用。

各區人民政府可以按照全市統一規劃，建設城市大數據中心分中心，將公共數據資源納入城市大數據中心統一管理。

第三十四條 公共數據資源按照基礎數據資源、主題數據資源和業務數據資源實行分類管理制度。

市政務服務數據管理部門負責統籌本市公共數據資源體系整體規劃和建設，并會同相關部門建設和管理人口、法人、房屋、自然資源與空間地理、電子證照、公共信用等基礎數據庫。各行業主管部門應當按照公共數據資源體系整體規劃和相關制度規范要求，規劃本行業公共數據資源體系，建設并管理相關主題數據庫。

公共管理和服務機構應當按照公共數據資源體系整體規劃、行業專項規劃和相關制度規范要求，建設、管理本機構業務數據庫。

第三十五條 公共數據資源實行目錄管理制度。

市政務服務數據管理部門負責建立全市統一的公共數據資源目錄體系，制定公共數據資源目錄編制要求，組織公共管理和服務機構按照公共數據資源目錄規范處理各類公共數據。

公共管理和服務機構應當按照公共數據資源目錄編制要求，對本機構所處理的數據進行目錄管理。

第三十六條 實行公共數據全面共享制度。

公共數據在公共管理和服務機構之間以共享為原則，不共享為例外。

市人民政府應當制定公共數據共享負面清單，并及時進行動態調整。未納入負面清單的公共數據應當共享。

公共數據共享的具體辦法由市人民政府另行制定。

第三十七條 市政務服務數據管理部門應當建立以公共數據資源目錄體系為基礎的公共數據共享需求對接機制和相關管理制度，并組織實施。

公共數據使用部門可以根據履行職責需要提出共享申請，明確數據使用的依據、目的、范圍、方式及相關需求，并按照本級政務服務數據管理部門和數據提供部門要求，加強共享數據使用管理，不得超出范圍使用或者用于其他目的。

公共數據提供部門應當在規定時間內，回應公共數據使用部門的共享需求，并可以對公共數據使用部門提出數據使用要求。

第三十八條 公共管理和服務機構應當通過全市公共數據資源共享平臺開展數據共享。

公共管理和服務機構可以通過共享方式獲得數據的，不得向自然人、法人和非法人組織重復收集。

第三十九條 市政務服務數據管理部門應當組織制定公共數據質量管理制度和規范，建立健全質量監測和評估體系，并組織實施。

公共管理和服務機構應當按照公共數據質量管理制度和規范，建立和完善本機構數據質量管理體系，加強數據質量管控，保障數據真實、準確、完整、及時、可用。

市公共數據管理委員會定期對公共管理和服務機構數據管理工作進行評價，并向市數據工作委員會報告評價結果。

第四十條 公共管理和服務機構履行職責所需的數據無法通過城市大數據中心共享且難以自行收集的，由市人民政府統籌對外采購，具體工作由市政務服務數據管理部門承擔。

公共管理和服務機構所需采購的數據經市政務服務數據管理部門納入公共數據資源目錄后，可以由其自行采購，或者由市政務服務數據管理部門統一采購。采購的數據應當通過城市大數據中心向公共管理和服務機構提供統一服務。

第二節  公共數據開放

第四十一條 本條例所稱公共數據開放，是指公共管理和服務機構依法通過統一的公共數據平臺或者由本單位直接面向社會提供可機器讀取的公共數據的活動。

第四十二條 公共數據開放應當遵循分類分級、需求導向、安全可控的原則，在法律、法規允許范圍內最大限度開放。

公共數據依照法律、法規規定開放，不得收取任何費用；法律、行政法規另有規定的，從其規定。

第四十三條 公共數據按照開放條件分為無條件開放、有條件開放和不予開放三類。

無條件開放公共數據，是指可以無條件提供給自然人、法人和非法人組織的公共數據。

有條件開放公共數據，是指可以部分提供或者需要按照特定條件提供給自然人、法人和非法人組織的公共數據。

不予開放公共數據，是指涉及國家安全、商業秘密和個人隱私,或者法律、法規等規定不得開放的公共數據。

第四十四條 建立以公共數據資源目錄體系為基礎的公共數據開放管理制度，建立公共數據開放清單和調整機制，推動公共管理和服務機構的數據開放工作。

有條件開放的公共數據，應當在編制公共數據開放清單時明確開放條件、使用要求及安全保障措施等。

第四十五條 市政務服務數據管理部門應當依托城市大數據中心建設公共數據開放平臺，統一向社會開放公共數據。

公共數據開放平臺應當根據開放數據類型，提供數據下載、應用程序接口、安全可信的數據綜合開發利用環境等多種數據開放方式。

第四十六條 市人民政府應當通過政策引導、經費支持等方式，支持社會力量對開放的公共數據進行開發利用。

第三節  公共數據利用

第四十七條 市人民政府應當加快推進數字政府改革，深化數據在經濟調節、市場監管、社會管理、公共服務、生態環境保護中的應用，建立和完善運用數據進行管理的制度規則，創新政府決策、監管及服務模式，推動政府數字化轉型，實現主動、精準、整體式、智能化的政府管理和服務。

第四十八條 市人民政府應當依托城市大數據中心建設基于統一架構的業務中樞、數據中樞和能力中樞，形成統一的城市智能中樞平臺體系，為政府管理服務以及各區域各行業應用提供統一、全面的數字化服務，促進技術融合、業務融合、數據融合。

市人民政府依托城市智能中樞平臺建設政府管理服務指揮中心，建立和完善政府管理服務指揮中心的建設和運營管理機制，推動政府整體數字化轉型，深化跨層級、跨地域、跨系統、跨部門、跨業務的數據共享和業務協同，建立統一指揮、一體聯動、智能精準、科學高效的政府運行體系。

各行業主管部門應當依托城市智能中樞平臺建設本行業管理服務平臺，推動本行業管理服務全面數字化。

各區人民政府應當依托城市智能中樞平臺，以服務基層為目標，整合數據資源、優化業務流程、創新管理模式，推進基層治理與服務科學化、精細化、智能化。

第四十九條 市人民政府應當依托城市智能中樞平臺，從服務對象視角推動業務整合和流程再造，深化前臺統一受理、后臺協同審批、全市一體運作的整體式政務服務模式創新。

市政務服務數據管理部門應當推動公共管理和服務機構加強公共數據在政務服務、公共服務過程中的創新應用，精簡辦事材料、環節，優化辦事流程。對于可以通過數據比對作出審批決定的事項，應當開展基于數據的無人干預智能審批，推動政務服務智能高效。

第五十條 市人民政府應當依托城市智能中樞平臺，加強監管數據和信用數據歸集、共享，充分利用公共數據和各領域監管系統，建立全市統一的監管平臺，探索非現場監管、信用監管、風險預警等新型監管模式，提升監管智能化水平。

第五十一條 市政務服務數據管理部門可以組織建設數據融合應用服務平臺，向社會提供安全可信的數據綜合開發利用環境，推動公共管理和服務機構、企業及其他各類社會組織和個人，共同開展智慧城市應用創新。

第四章  數據市場

第一節  一般規定

第五十二條 市人民政府應當科學統籌規劃，加快培育數據市場，推動構建數據資源收集、加工、開放、共享、交易、應用等數據市場體系，促進數據資源有序、高效流動與利用。

第五十三條 市場主體開展數據處理活動，應當建立健全數據治理組織架構和自我評估機制，組織開展數據治理活動，加強數據質量管理，確保數據的真實性、準確性、完整性、時效性，促進數據價值實現。

第五十四條 市場主體對合法處理數據形成的數據產品和服務，可以依法自主使用，通過向他人提供獲得收益，依法進行處分。

第五十五條 市場主體通過開放、共享、交易等方式流通數據、數據產品或者服務的，應當明確各方當事人的權利和義務；超出權利人授權范圍的,應當重新取得相應權利人授權。

第二節  數據交易

第五十六條 市場主體合法處理數據形成的數據產品和服務，可以依法交易，但是具有下列情形之一的除外：

（一）交易的數據產品和服務包含個人數據而未經相關權利人同意的；

（二）交易危害國家安全、公共利益的；

（三）法律、法規規定禁止交易的其他情形。

第五十七條 引導市場主體通過依法設立的數據交易平臺進行數據交易。

第五十八條 數據交易平臺應當建立安全可信、管理可控、可追溯的數據交易環境，制定數據交易、信息披露、自律監管等規則，并采取有效措施保護個人數據、商業秘密和國家規定的重要數據。

第五十九條 支持數據價值評估、數據交易技術研發和數據交易模式創新，拓寬數據交易渠道，促進數據資源高效流通。

第三節  公平競爭

第六十條 市場主體應當遵守公平競爭原則，不得實施下列侵害其他市場主體或者消費者合法權益的行為：（一）使用非法手段破壞其他市場主體所采取的保護數據的技術措施；

（二）違反行業慣例收集或者利用其他市場主體數據；

（三）利用非法收集的他人數據提供替代性產品或者服務；

（四）未經其他市場主體或者消費者同意，將其他市場主體的數據直接進行商業利用；

（五）法律、法規規定禁止侵害其他市場主體或者消費者合法權益的其他行為。

第六十一條 市場主體不得利用數據分析，對交易條件相同的交易相對人實施差別待遇，但是有下列情形之一的除外：

（一）根據交易相對人的實際需求，且符合正當的交易習慣和行業慣例，實行不同交易條件；

（二）針對新用戶在合理期限內開展優惠活動；（三）基于公平、合理、無歧視的規則實施隨機性交易；

（四）法律、法規規定的其他情形。前款所稱交易條件相同，是指交易相對人之間在交易安全、交易成本、信用狀況、所處交易環節、交易持續時間等方面不存在實質性影響交易的差別。

第六十二條 市場主體不得達成壟斷協議，不得濫用在數據市場的支配地位、不得實施經營者集中，不得排除、限制數據市場競爭。

第五章  數據安全管理

第一節  一般規定

第六十三條 數據安全管理遵循政府主導、責任主體負責、積極防御、綜合防范的原則，堅持安全和發展并重，鼓勵研發數據安全技術，保障數據全生命周期安全。

市人民政府應當統籌全市數據安全管理工作，建立和完善數據安全協調治理體系。市網信部門具體負責本市數據安全管理工作的統籌、協調。

第六十四條 數據處理者應當落實數據安全管理責任，按照數據的級別實施必要的安全管理策略和保障措施，不斷提升技術手段，防止數據泄露、毀損、丟失、篡改和非法使用，確保數據安全。

數據處理者因合并、分立、收購等方式變更的，由新的數據處理者繼續落實數據安全管理責任。

第六十五條 處理敏感個人數據或者國家規定的重要數據，應當按照規定設立數據安全管理機構或者明確數據安全管理責任人，并實施特別技術保護。

第二節  數據安全保護

第六十六條 數據處理者應當記錄其收集數據的合法來源，保障數據來源清晰、可追溯。

第六十七條 數據處理者應當依照相關法律、法規規定以及國家標準的要求，對所收集的個人數據進行去標識化或者匿名化處理，并與可恢復識別的個人數據分開存儲。

數據處理者應當針對敏感個人數據、國家規定的重要數據制定去標識化或者匿名化處理安全措施，并對數據去標識化或者匿名化處理過程進行記錄。

第六十八條 數據處理者應當對數據存儲進行分域分級管理，選擇安全性能、防護級別與其安全等級相匹配的存儲載體，對敏感個人數據和國家規定的重要數據還應當進行加密存儲、授權訪問或者采取其他更加嚴格的安全保護措施。

第六十九條 數據處理者應當對數據處理過程實施數據安全技術防護，并建立重要系統和核心數據的容災備份制度。

第七十條 數據處理者開放、共享數據的，應當建立數據開放、共享安全管理制度，建立和完善對外數據接口的安全管理機制。

第七十一條 數據處理者應當建立數據銷毀規程,對需要銷毀的數據實施有效銷毀，并對數據銷毀過程的相關操作予以記錄。

數據處理者終止或者解散，沒有數據承接方的，應當及時有效銷毀其控制的數據；法律、法規另有規定的除外。

第七十二條 數據處理者委托他人代為處理數據的，應當與其訂立數據安全保密合同，明確雙方安全保護責任和義務。受托方完成處理任務后，應當及時有效銷毀其存儲的數據，但是法律、法規另有規定或者雙方另有約定的除外。

第七十三條 數據處理者向境外提供個人數據或者國家規定的重要數據的，應當按照有關規定申請數據出境安全評估。但是，經自然人明示同意，僅為自然人或者其家庭生活目的向境外提供其個人數據的除外。

第七十四條 數據處理者應當落實與數據級別相適應的監測預警措施，對數據泄露、毀損、丟失、篡改等異常情況進行監測和預警。

監測到可能發生數據泄露、毀損、丟失、篡改等數據安全事件的，數據處理者應當立即采取預防補救措施。

第七十五條 數據處理者應當建立應急處置機制，制定數據安全應急預案。數據安全應急預案應當按照數據安全事件的危害程度、影響范圍等因素對數據安全事件進行分級，并規定相應的應急處置措施。

第七十六條 發生數據泄露、毀損、丟失、篡改等數據安全事件的，數據處理者應當立即啟動應急預案，采取相應的應急處置措施，及時告知相關權利人，并按照有關規定向市網信部門和有關行業主管部門報告。

第三節  數據安全監督

第七十七條 市網信部門應當依照有關法律、行政法規以及本條例規定負責統籌協調數據安全和相關監管工作，會同有關部門建立健全數據安全監督機制，組織對數據安全進行監督檢查。

第七十八條 市公安機關應當加強數據安全風險分析、預測、評估，收集相關信息；發現可能導致較大范圍數據泄露、毀損、丟失、篡改等數據安全事件的，應當及時發布預警信息，提出防范應對措施，指導、監督相應主體做好數據安全防范工作。

第七十九條 市網信部門以及其他履行數據安全監督職責的部門可以委托第三方機構，按照法律、法規規定和相關標準要求，對數據處理者開展數據安全管理認證以及數據安全評估工作，并對其進行安全等級評定。

第八十條 市網信部門以及其他履行數據安全監督職責的部門在履行職責中，發現數據處理者未按照規定落實安全管理責任的，應當按照規定約談數據處理者，督促其整改。

第八十一條 市網信部門以及其他依法履行數據安全監督職責的部門及其工作人員，應當對在履行職責過程中知悉的個人數據、商業秘密和技術秘密嚴格保密，不得泄露、出售或者非法向他人提供。

第六章  法律責任

第八十二條 違規處理個人數據，有下列情形之一的，由市網信部門責令立即改正，沒收違法所得，并按照每處理一個自然人的個人數據處以二百元以上一千元以下的罰款：

（一）違反本條例第十二條、第十三條、第十四條、第十六條規定，未經自然人或者其監護人同意處理其個人數據的；

（二）違反本條例第十五條規定，處理自然人生物識別數據的；

（三）違反本條例第十八條規定，自然人撤回同意后繼續處理其個人數據的；

（四）違反本條例第二十條、第二十一條規定，未履行告知義務的；

（五）違反本條例第二十二條規定，向他人提供處理的個人數據的；

（六）違反本條例第二十三條、第二十四條規定，對自然人進行用戶畫像的；

（七）違反本條例第二十七條規定，未及時核實并補充、更正個人數據的；

（八）違反本條例第二十八條、第二十九條規定，未刪除個人數據的；

（九）違反本條例第三十條第二款規定，未依法及時處置相關行使權利申請或者相關投訴舉報的；

（十）違反本條例第五章規定，未對個人數據采取必要安全保護措施的。

前款規定的違法行為，有下列情形之一的，依照前款規定的罰款額度從重處罰，并可以給予暫扣許可證件、降低資質等級、吊銷許可證件，限制開展生產經營活動、責令停產停業、責令關閉、限制從業等處罰；構成犯罪的，依法追究刑事責任：

（一）違法行為造成數據泄露、損毀、丟失、篡改等數據安全事件的；

（二）違法行為涉及敏感個人數據的；

（三）違法行為人為提供基礎性互聯網平臺服務的數據處理者的；

（四）違法行為涉及未成年個人數據的；

（五）法律、法規規定的其他情形。

第八十三條 違規處理個人數據，有下列情形之一的，由市網信部門責令立即改正，給予警告；拒不改正的，處五萬元以上二十萬元以下罰款；情節嚴重的，處二十萬元以上一百萬元以下罰款：

（一）違反本條例第十九條規定，對自然人撤回同意進行不合理限制或者附加不合理條件的；

（二）違反本條例第二十六條規定，未及時提供個人數據的查閱方式，或者未按照規定及時、免費提供個人數據的備份的；

（三）違反本條例第三十條第一款規定，未建立自然人行使權利申請和投訴舉報的受理處理機制的；（四）違反本條例第三十條第一款規定，未采用足以引起注意的特別標識或者其他易獲取的方式提供有效的行使權利和投訴舉報途徑的。

第八十四條 公共管理和服務機構有下列情形之一的，由上級主管部門或者有關主管部門責令改正；拒不改正或者造成嚴重后果的，依法追究法律責任：

（一）未按照規定處理公共數據的；

（二）提供的公共數據不真實、不準確、不完整、不可用的；

（三）向自然人、法人或者非法人組織重復收集可以通過數據共享獲取的公共數據的；

（四）未按照規定編制、更新、報送公共數據資源目錄的；

（五）未依法履行公共數據安全管理職責的的；（六）法律、法規規定的其他情形。

第八十五條 違反本條例第五十六條規定交易數據的，由市市場監督管理部門責令立即改正，沒收違法所得，交易金額不足一萬元的，處五萬元以上二十萬元以下罰款；交易金額一萬元以上的，處二十萬元以上一百萬元以下罰款；并可以給予暫扣許可證件、降低資質等級、吊銷許可證件，限制開展生產經營活動、責令停產停業、責令關閉、限制從業等處罰。

第八十六條 違反本條例第六十條、第六十一條規定，侵害其他市場主體或者消費者合法權益，或者對交易條件相同的交易相對人實施差別待遇的，由市市場監督管理部門責令立即改正，沒收違法所得，違法所得不足一萬元的，并處五萬元以上二十萬元以下罰款；違法所得一萬元以上的，并處二十萬元以上一百萬元以下罰款；情節嚴重或者造成嚴重后果的，由市市場監督管理部門責令立即改正，沒收違法所得，處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以給予暫扣許可證件、降低資質等級、吊銷許可證件，限制開展生產經營活動、責令停產停業、責令關閉、限制從業等處罰。

市場主體有不正當競爭行為或者壟斷行為的，依照反不正當競爭或者反壟斷有關法律、法規的規定處罰。

第八十七條 數據處理者違反本條例第五章規定，未落實數據安全保護責任的，依照有關法律、法規處罰。

第八十八條 國家機關違反本條例規定，不履行或者不正確履行法定職責的，對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

第八十九條 未依照法律、行政法規以及本條例規定落實數據安全保護責任，或者非法處理數據，致使國家利益或者公共利益受到損害的，有關行業組織可以依法提起民事公益訴訟。有關行業組織提起相關民事公益訴訟，人民檢察院認為有必要的，可以支持起訴。

前款規定的行業組織未提起民事公益訴訟的，人民檢察院可以向人民法院提起民事公益訴訟。

人民檢察院在履行職責中發現負有數據領域監督管理職責的行政機關違法行使職權或者不作為，致使國家利益或者公共利益受到損害的，應當向有關行政機關提出監察建議；行政機關不依法履行職責的，人民檢察院可以依法向人民法院提起行政公益訴訟。

第七章  附則

第九十條 本條例自××××年×月×日起施行。

以下是《深圳經濟特區數據條例（征求意見稿）》官方說明

關于《深圳經濟特區數據條例（征求意見稿）》的說明

按照市人大常委會立法計劃工作安排，市人民政府組織起草了《深圳經濟特區數據暫行條例（草案）》。該條例已經市六屆人大常委會第四十六次會議、市七屆人大常委會第一次會議審議。市人大常委會法制工作委員會根據常委會審議意見，對條例進行修改形成了《深圳經濟特區數據條例（征求意見稿）》（以下簡稱《條例（征求意見稿）》），現將有關情況說明如下。

一、立法的必要性

（一）是實施大數據戰略，落實綜合改革實施方案要求的需要

黨的十九屆四中全會作出《關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》，中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》等文件，將數據作為新的生產要素上升到基礎戰略資源地位。2020年10月，中共中央辦公廳、國務院辦公廳又印發了《深圳建設中國特色社會主義先行示范區綜合改革試點實施方案（2020-2025年）》（以下簡稱《綜合改革實施方案》），要求深圳在數據產權制度、數據產權保護和利用新機制、數據隱私保護制度、政府數據開放共享以及數據交易等方面先行探索。為了貫徹中共中央、國務院關于大數據戰略的決策部署，落實《綜合改革實施方案》有關要求，深圳有必要在數據法律制度構建方面先行先試，充分發揮數據的基礎資源作用和創新引擎作用，培育資源配置高效的數據要素市場。

（二）是規范個人數據處理活動，強化個人數據保護的需要

自然人作為數據的重要來源主體之一，其個人數據已經成為經濟社會發展的重要數據資源類型。處理個人數據的技術手段不斷更新迭代，相應的個人數據應用也正迅猛發展。但是由于個人數據保護相關法律規范尚不健全，未經同意收集個人數據，超出必要獲取用戶權限，非法交易個人數據，濫用個人數據等侵權問題屢見不鮮，影響了公民私人生活的安寧，有些甚至嚴重損害公民名譽和人身、財產安全。深圳探索數據立法，正是要通過法規制度建設，規范個人數據處理活動，強化對個人數據的保護，從而有效遏止個人數據侵權行為，切實維護個人數據主體的合法權益。

（三）是推進公共數據資源開放利用，提升政府數據治理能力的需要

近年來，深圳以優化營商環境和提升民生服務為突破口，推出了系列公共數據開放共享、開發利用等方面的創新舉措，取得了突出成效。然而，公共數據仍呈現出“數據總量規模小、數據質量較差、可利用率不高、用戶參與度低”的特點，公共數據的管理規范體系尚未建立，公共數據的共享標準未統一，公共數據的開放不充分等問題亟需解決。有必要通過經濟特區立法，在將公共數據相關改革創新經驗轉化為制度成果的同時，著力解決現有公共數據開放共享的難題瓶頸，提升政府數據治理能力，加快智慧城市和數字政府建設，充分開發利用公共數據資源。

（四）是加快培育數據市場，促進數字經濟發展的需要

深圳作為全球重要的電子信息和數據產業基地，其商貿、金融、物流、通信等數據的生產量處于全國前列，同時匯聚了超過300家大數據企業，基本形成了較為完善的大數據產業鏈，數據催生下的數字經濟新產業、新業態和新模式也正蓬勃發展。但由于現階段相關法律制度的缺失，深圳的數字經濟發展也面臨著巨大挑戰，如數據交易機制不完善、企業間數據不正當競爭糾紛多發等。亟需通過立法，規范數據市場化行為，推動數據的有序流動和數據產業的健康發展，促進數據要素市場的培育和發展。

二、立法指導思想

數據作為生產要素具有高動態性，只有最大范圍的流動和匯聚，形成“大數據”，才能體現其作為戰略性基礎資源的巨大價值，才能推動數字經濟發展，助力城市治理體系和治理能力現代化，促進保障和改善民生。與此同時，隨著自然人、法人和非法人組織的信息最大程度地數字化，數據的流動也對國家安全、商業競爭以及個人隱私提出新的挑戰。如何平衡發展數字經濟與保護個人信息、數據開發利用與數據安全之間的關系，是數據立法的最大難點?！稐l例（征求意見稿）》堅持“保護與發展并重，以保護為基礎，以發展為目標，以保護促發展”的基本指導思想，構建數據治理的具體制度，力圖在確保數據安全，保護個人數據的基礎上，最大程度挖掘、釋放數據的經濟價值，為我市數字產業、數字經濟的發展提供良好的法治環境。

三、《條例（征求意見稿）》的主要內容

（一）關于數據權益

雖然目前公眾對數據權屬問題的認識還不統一，難以在經濟特區法規中旗幟鮮明地創設“數據權”這一新的權利類型，但是“個人數據具有人格權屬性”已經取得普遍共識，而且過往的一些司法判例也認可了“企業對其投入大量智力勞動成果形成的數據產品和服務具有財產性權益”?；谶@一認識，《條例（征求意見稿）》落實《綜合改革實施方案》提出“率先完善數據產權制度，探索數據產權保護和利用新機制”的要求，明確規定自然人對其個人數據享有人格權益，自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益，可以依法自主使用，通過向他人提供獲得收益，依法進行處分。（第三條、第五十四條）

（二）關于個人數據

1.確立處理個人數據的基本原則

《條例（征求意見稿）》參考《個人信息保護法（二次審議稿）》以及國家推薦性標準《信息安全技術 個人信息安全規范》（GB/T 35273—2020）等相關規定，確立了處理個人數據的五項基本原則，即合法正當、最小必要、公開透明、準確完整和確保安全原則；同時，為讓公眾對最小必要原則有更加清晰、確切的認識，《條例（征求意見稿）》進一步明確，“最小必要”即是限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式處理個人數據，并規定了五種符合最小必要原則的具體情形。（第九條）

2.構建以“告知——同意”為核心的個人數據處理規則

為進一步規范個人數據處理活動，《條例（征求意見稿）》借鑒國際主流數據立法的規定，構建了以“告知——同意”為核心的個人數據處理規則，規定處理個人數據應當在處理前告知數據處理者的基本信息，處理個人數據的種類、范圍、目的和方式，存儲個人數據的地點和期限，可能存在的安全風險以及采取的安全保護措施，以及自然人依法享有的權利以及行使權利的方式和程序等事項；處理個人數據還應當征得自然人或者其監護人的同意，在其同意的范圍內處理其個人數據?！稐l例（征求意見稿）》又進一步明確該同意應當是自主、明確地表示允許處理其個人數據的意思表示，數據處理者不得通過誤導、欺騙、脅迫等違背自然人真實意愿的方式獲取同意。（第十二條、第十三條、第二十條、第二十一條）

同時，針對自然人撤回同意的情形，《條例（征求意見稿）》規定數據處理者應當提供撤回同意的途徑，不得對撤回同意進行不合理限制或者附加不合理條件。自然人撤回同意，數據處理者雖不得繼續處理其個人數據，但不影響其在自然人撤回同意前基于同意進行的合法數據處理。（第十八條、第十九條）

此外，考慮到處理個人數據場景的多樣性，《條例（征求意見稿）》還對同意規則的例外情形作出了例外規定。（第十七條）

3.針對特殊類型個人數據提供特別保護

為加強對敏感個人數據、生物識別數據、未成年人以及其他無民事行為能力或者限制民事行為能力的成年人個人數據的保護，《條例（征求意見稿）》對處理這些個人數據作出了更加嚴格的規定。一是針對處理敏感個人數據，要求數據處理者應當在處理前征得自然人或者其監護人的明示同意；除履行一般的告知義務外，還應當以更加顯著的標識或者突出顯示的形式將處理敏感個人數據的必要性以及對其可能產生的影響進行單獨告知。（第十四條、第二十條第二款）二是針對處理生物識別數據，要求不僅要遵守處理敏感個人數據的規定，處理的生物識別數據還不能為其他個人數據所替代；數據處理者也應當具備相應的數據安全防護能力。（第十五條）三是針對處理未成年人的個人數據，將未成年的個人數據視作敏感個人數據，適用敏感個人數據的有關規定，且不得對未成年人進行用戶畫像和個性化推薦。（第十六條第一款、第二十四條第三款）四是針對處理無民事行為能力或者限制民事行為能力的成年人個人數據，要求應當在處理前征得其監護人的明示同意。（第十六條第二款）

4.規范用戶畫像和個性化推薦的應用

用戶畫像和個性化推薦的普遍應用，讓我們享受到了更加精準、個性化的商品和服務，但同時也帶來了一些負面影響，如“信息繭房”。為規制用戶畫像和個性化推薦，在促進新興數據應用技術發展的同時，盡可能的保護個人數據權益，《條例（征求意見稿）》規定，數據處理者可以進行用戶畫像和個性化推薦，但是應當明示用戶畫像的規則和用途，并為被畫像主體提供拒絕的途徑；自然人有權隨時拒絕對其進行的用戶畫像和個性化推薦。（第二十三條第一款，第二十四條第一款、第二款）

5.明確個人數據的各項具體權益

為形成個人數據權益保護閉環，便于自然人維護自身個人數據權益，《條例（征求意見稿）》根據《個人信息保護法（二次審議稿）》，并借鑒《歐盟個人數據保護法》（GDPR）有關規定，明確賦予自然人對其個人數據享有知情決定權、查閱復制權、補充更正權、刪除權。在權利的行使方面，《條例（征求意見稿）》規定，數據處理者應當建立自然人行使權利申請和投訴舉報的受理處理機制，提供有效的行使權利和投訴舉報的途徑，及時受理，并依法采取相應處理措施，拒絕申請事項的，應當說明理由。（第二十五條至第三十條）

（三）關于公共數據

1.建立公共數據治理體系

為加強公共數據統籌管理，構建高質量的公共數據資源體系，《條例（征求意見稿）》從組織架構、基礎設施、管理體系、質量要求等方面，著手設計了公共數據治理的頂層框架。一是確立公共數據管理機構；二是建設以城市大數據中心為核心的公共數據基礎設施；三是建立公共數據資源管理制度，實行公共數據分類管理、目錄管理；四是實行公共數據全面共享，明確公共數據以共享為原則，不共享為例外，不得重復收集可以通過共享方式獲得的數據；五是實行公共數據統籌采購，避免公共數據重復采購。六是嚴格落實公共數據質量管理。（第三十二條至第四十條）

2.最大限度實現公共數據開放

為進一步擴大公共數據開放程度，推動公共數據與社會數據融合應用，釋放公共數據資源價值，《條例（征求意見稿）》規定公共數據開放遵循分類分級、需求導向、安全可控的原則，在法律、法規允許范圍內最大限度開放，不得收取任何費用；并將公共數據按照開放條件分為無條件開放、有條件開放和不予開放三類（第四十二條、第四十三條）。在優化公共數據開放模式，為公眾提供便捷、高效、安全獲取公共數據的渠道方面，《條例（征求意見稿）》規定在編制公共數據開放清單時應當明確有條件開放的公共數據的開放條件、使用要求及安全保障措施等；同時，還細化了公共數據的開放方式，即由市政務服務數據管理部門依托城市大數據中心建設公共數據開放平臺，在該平臺中提供數據下載、應用程序接口、安全可信的數據綜合開發利用環境等多種開放方式，統一向社會開放公共數據。（第四十四條、第四十五條）

（四）關于數據市場

1.規范數據交易秩序

數據的價值在于流動，而數據交易是數據流通的基本方式。為規范數據交易秩序，《條例（征求意見稿）》從兩個方面探索建立數據交易制度：一是明確數據交易范圍。規定可以交易的范圍為“合法處理數據形成的數據產品和服務”，并從反面禁止交易“包含個人數據而未經相關權利人同意或者危害國家安全、公共利益的”數據產品和服務。二是提供數據交易配套支持。引導市場主體通過依法設立的數據交易平臺進行數據交易，要求數據交易平臺建立安全可信、管理可控、可追溯的數據交易環境，制定數據交易、信息披露、自律監管等規則，并采取有效措施保護個人數據、商業秘密和國家規定的重要數據；支持數據價值評估、數據交易技術研發和數據交易模式創新，拓寬數據交易渠道，促進數據資源高效流通。（第五十六條至第五十九條）

2.促進數據市場公平競爭

隨著數字經濟的發展，企業間的不正當數據競爭日益增多，嚴重制約了數據市場的健康發展。為建立有序的數據市場競爭規則，保障市場主體和消費者的合法權益，《條例（征求意見稿）》在《反不正當競爭法》現行規定的基礎上，總結近年來數據市場不正當競爭司法審判實踐，借鑒國務院反壟斷委員會印發的《關于平臺經濟領域的反壟斷指南》，確立了數據公平競爭原則，規定市場主體不得以不正當手段收集或者利用其他市場主體的數據，侵害其他市場主體或者消費者的合法權益；不得通過數據分析，無正當理由對交易條件相同的交易相對人實施差別待遇；不得通過達成壟斷協議、濫用在數據市場的支配地位、實施經營者集中，排除、限制數據市場競爭。（第六十條至第六十二條）

（五）關于數據安全

1.明確數據安全管理責任

《條例（征求意見稿）》明確市人民政府負責統籌數據安全管理工作、市網信部門負責具體統籌、協調的職責，以及數據處理者的數據安全管理責任。同時，為強化對敏感個人數據和重要數據的保護，《條例（征求意見稿）》對敏感個人數據或者重要數據處理者設置了更加嚴格的安全管理責任，要求其按照規定設立數據安全管理機構或者明確數據安全管理責任人，并實施特別技術保護。（第六十三條至第六十五條）

2.落實數據安全保護義務

為保障數據全生命周期安全，《條例（征求意見稿）》要求數據處理者落實在數據收集、加工、存儲、開放共享、銷毀等階段的安全保護義務，并做好數據安全事件的監測、預警和應急處置工作。此外，為了促進跨境數據的合法有序流動，《條例（征求意見稿）》在確保數據安全的前提下，建立相對寬松的個人數據跨境流動制度，允許經自然人明示同意僅為個人或家庭事務向境外提供其個人數據。（第六十六條至第七十六條）

3.加強數據安全監督

保障數據安全不僅要壓實數據處理者的責任，還應當不斷完善數據安全監督機制，加強對數據處理活動的安全監督。因此，《條例（征求意見稿）》明確了數據安全監督部門的職責，通過公安機關開展數據安全預警工作，對數據處理者進行數據安全管理認證和評估，約談違規數據處理者等措施強化數據安全監督，并強調履行數據安全監督職責的部門及其工作人員必須對在履職過程中知悉的個人數據、商業秘密和技術秘密嚴格保密，不得泄露、出售或者非法向他人提供。（第七十七條至第八十一條）

（六）關于法律責任

1.嚴懲個人數據侵權行為

當前，由于缺乏有效的懲處手段，個人數據侵權行為在商業利益的驅使下屢禁不止。為嚴厲打擊個人數據侵權行為，保護個人數據權益，《條例（征求意見稿）》加大對違規處理個人數據或者處理個人數據未采取必要安全保護措施的行為的處罰力度，規定由市網信部門責令立即改正，沒收違法所得，并按照每處理一個自然人的個人數據處以二百元以上一千元以下的罰款。同時，為了避免數據安全事件的發生，體現對未成年人數據和敏感個人數據更加嚴格的保護，壓實提供基礎性互聯網平臺服務的數據處理者的責任，《條例（征求意見稿）》還規定，違法行為造成數據安全事件的，違法行為涉及未成年人數據和敏感個人數據的，或者違法行為人為提供基礎性互聯網平臺服務的數據處理者的，應當從重處罰。而對于一些未對自然人行使數據權益提供途徑，或者限制自然人行使數據權益的違法行為，則由市網信部門責令改正，給予警告；拒不改正的，處五萬元以上二十萬元以下罰款；情節嚴重的，處二十萬元以上一百萬元以下罰款。（第八十二條至第八十三條）

2.建立數據領域公益訴訟制度

現實中，數據侵權行為具有高度隱蔽性，受侵害主體往往難以察覺其數據權益被侵犯，即便察覺，由于取證難，出于時間或經濟成本的考量，也難以實現有效維權。為緩解當前數據維權艱難的現狀，《條例（征求意見稿）》參考2020年9月最高檢出臺《關于積極穩妥拓展公益訴訟案件范圍的指導意見》關于“將個人信息保護作為網絡侵害領域公益訴訟的辦案重點”的意見，確立了數據領域的公益訴訟制度，規定有關行業組織、人民檢察院可以就未落實數據安全保護責任或者非法處理數據致使國家利益或者公共利益受到損害的行為，依法提起民事公益訴訟；人民檢察院還可以對違法行使職權或者不作為致使國家利益或者公共利益受到損害的行政機關，提出監察建議或者提起行政公益訴訟。（第八十九條）

此外，《條例（征求意見稿）》針對違規交易數據、數據不正當競爭也規定了相應的法律責任。（第八十五條、第八十六條）