第三章 2021 年发布的法律、法规及规范性文件
上海市数据条例(节选)
(2021年11月25日上海市第十五届人民代表大会常务委员会第三十七次会议通过)

  第一章 总则

  第一条 为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好服务和融入新发展格局,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。
  第二条 本条例中下列用语的含义:
  (一)数据,是指任何以电子或者其他方式对信息的记录。
  (二)数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
  (三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
  (四)公共数据,是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。
  第三条 本市坚持促进发展和监管规范并举,统筹推进数据权益保护、数据流通利用、数据安全管理,完善支持数字经济发展的体制机制,充分发挥数据在实现治理体系和治理能力现代化、推动经济社会发展中的作用。
  第四条 市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系,促进公共数据社会化开发利用,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,推动数字经济发展和城市数字化转型。
  区人民政府应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作,创新推广数字化转型应用场景。
  乡镇人民政府、街道办事处应当在基层治理中,推进数据的有效应用,提升治理效能。
  第五条 市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,促进数据综合治理和流通利用,推进、指导、监督全市公共数据工作。
  市发展改革部门负责统筹本市新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。
  市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。
  市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。
  市公安、国家安全机关在各自职责范围内承担数据安全监管职责。
  市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。
  市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。
  第六条 本市实行数据工作与业务工作协同管理,管区域必须管数字化转型、管行业必须管数字化转型,加强运用数字化手段,提升治理能力和治理水平。
  本市鼓励各区、各部门、各企业事业单位建立首席数据官制度。首席数据官由本区域、本部门、本单位相关负责人担任。
  第七条 市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究、评估,为本市数据发展和管理工作提供专业意见。
  第八条 本市加强数字基础设施规划和布局,提升电子政务云、电子政务外网等的服务能力,建设新一代通信网络、数据中心、人工智能平台等重大基础设施,建立完善网络、存储、计算、安全等数字基础设施体系。
  第九条 市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。
  本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。
  第十条 市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。
  市数据标准化技术组织应当推动建立和完善本市数据基础性、通用性地方标准。
  第十一条 本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。

  第二章 数据权益保障

  第一节 一般规定

  第十二条 本市依法保护自然人对其个人信息享有的人格权益。
  本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。
  第十三条 自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。
  第十四条 自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。
  第十五条 自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。
  第十六条 市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。
  要求自然人、法人和非法人组织提供数据的,应当在其履行法定职责的范围内依照法定的条件和程序进行,并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供。
  第十七条 自然人、法人和非法人组织开展数据处理活动、行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。

  第二节 个人信息特别保护

  第十八条 除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
  处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息,对个人权益有重大影响的,应当依法取得个人同意。
  第十九条 基于个人同意处理个人信息的,应当保证个人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得同意。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
  处理者在提供产品或者服务时,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
  第二十条 处理个人信息前,应当向个人告知下列事项:
  (一)处理者的名称或者姓名和联系方式;
  (二)处理个人信息的目的、方式;
  (三)处理的个人信息种类、保存期限;
  (四)个人依法享有的权利以及行使权利的方式和程序;
  (五)法律、行政法规规定应当告知的其他事项。
  处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知前款事项。
  第二十一条 个人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充。
  有下列情形之一的,处理者应当主动删除个人信息;处理者未删除的,个人有权请求删除:
  (一)处理目的已实现、无法实现或者为实现处理目的不再必要;
  (二)处理者停止提供产品或者服务,或者保存期限已届满;
  (三)个人撤回同意;
  (四)处理者违反法律、行政法规或者违反约定处理个人信息;
  (五)法律、行政法规规定的其他情形。
  对属于本条第一款、第二款情形的,处理者应当分别予以更正、补充、删除。法律、行政法规另有规定的,从其规定。
  第二十二条 处理自然人生物识别信息的,应当具有特定的目的和充分的必要性,并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意;法律、行政法规另有规定的,从其规定。
  第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。
  所收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
  本条第一款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
  第二十四条 利用个人信息进行自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
  通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
  通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。

  第八章 数据安全

  第七十八条 本市实行数据安全责任制,数据处理者是数据安全责任主体。
  数据同时存在多个处理者的,各数据处理者承担相应的安全责任。
  数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。
  第七十九条 开展数据处理活动,应当履行以下义务,保障数据安全:
  (一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;
  (二)组织开展数据安全教育培训;
  (三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;
  (四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
  (五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
  (六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;
  (七)法律、法规规定的其他数据安全保护义务。
  第八十条 本市按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。
  本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制,并按照规定报送国家有关部门。
  第八十一条 重要数据处理者应当明确数据安全责任人和管理机构,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。
  处理重要数据应当按照法律、行政法规及国家有关规定执行。
  第八十二条 市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市数据分类分级相关要求对公共数据进行分级,在数据收集、使用和人员管理等业务环节承担安全责任。
  属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据等级采取安全防护措施。
  第八十三条 本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。
  第八十四条 本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
  第八十五条 本市支持数据安全检测评估、认证等专业机构依法开展服务活动。
  本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

  第十章 附则

  第九十条 除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。
  第九十一条 本条例自2022年1月1日起施行。
上一篇:关于推进医院安全秩序管理工作的指导意见    下一篇:广东省平安建设条例