《上海市数据条例》

隐私政策定制与审核

app合规审核与开发意见

个保体系建设与合规培训

数据出境与GDPR合规


上海市数据条例

(2021 年 11 月 25 日上海市第十五届人民代表大会常务委员会第三十七次会议通过)


第一章 总则


第一条 为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好服务和融入新发展格局,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。


第二条 本条例中下列用语的含义:

(一)数据,是指任何以电子或者其他方式对信息的记录。

(二)数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

(三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

(四)公共数据,是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。


第三条本市坚持促进发展和监管规范并举,统筹推进数据权益保护、数据流通利用、数据安全管理,完善支持数字经济发展的体制机制,充分发挥数据在实现治理体系和治理能力现代化、推动经济社会发展中的作用。


第四条 市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系, 促进公共数据社会化开发利用,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,推动数字经济发展和城市数字化转型。

区人民政府应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作,创新推广数字化转型应用场景。

乡镇人民政府、街道办事处应当在基层治理中,推进数据的有效应用,提升治理效能。


第五条 市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,促进数据综合治理和流通利用,推进、指导、监督全市公共数据工作。

市发展改革部门负责统筹本市新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。

市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。

市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。

市公安、国家安全机关在各自职责范围内承担数据安全监管职责。

市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。

市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。


第六条 本市实行数据工作与业务工作协同管理,管区域必须管数字化转型、管行业必须管数字化转型,加强运用数字化手段,提升治理能力和治理水平。

本市鼓励各区、各部门、各企业事业单位建立首席数据官制度。首席数据官由本区域、本部门、本单位相关负责人担任。


第七条 市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究、评估,为本市数据发展和管理工作提供专业意见。


第八条 本市加强数字基础设施规划和布局,提升电子政务云、电子政务外网等的服务能力,建设新一代通信网络、数据中心、人工智能平台等重大基础设施,建立完善网络、存储、计算、安全等数字基础设施体系。


第九条 市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。

本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。


第十条 市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。

市数据标准化技术组织应当推动建立和完善本市数据基础性、通用性地方标准。


第十一条 本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。


第二章 数据权益保障


第一节 一般规定


第十二条 本市依法保护自然人对其个人信息享有的人格权益。

本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。


第十三条 自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。


第十四条 自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。


第十五条 自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。


第十六条 市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。


要求自然人、法人和非法人组织提供数据的,应当在其履行法定职责的范围内依照法定的条件和程序进行,并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供。


第十七条 自然人、法人和非法人组织开展数据处理活动、行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。


第二节 个人信息特别保护


第十八条 除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息, 对个人权益有重大影响的,应当依法取得个人同意。


第十九条 基于个人同意处理个人信息的,应当保证个人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得同意。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

处理者在提供产品或者服务时,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。


第二十条 处理个人信息前,应当向个人告知下列事项:

(一)处理者的名称或者姓名和联系方式;

(二)处理个人信息的目的、方式;

(三)处理的个人信息种类、保存期限;

(四)个人依法享有的权利以及行使权利的方式和程序;

(五)法律、行政法规规定应当告知的其他事项。

处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知前款事项。


第二十一条 个人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充。

有下列情形之一的,处理者应当主动删除个人信息;处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

对属于本条第一款、第二款情形的,处理者应当分别予以更正、补充、删除。法律、行政法规另有规定的,从其规定。


第二十二条 处理自然人生物识别信息的,应当具有特定的目的和充分的必要性,并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意;法律、行政法规另有规定的,从其规定。


第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定, 并设置显著标识。

所收集的个人图像、身份识别信息,只能用于维护公共安全的目的, 不得用于其他目的;取得个人单独同意的除外。

本条第一款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。


第二十四条 利用个人信息进行自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。


第三章 公共数据


第一节 一般规定


第二十五条 本市健全公共数据资源体系,加强公共数据治理,提高公共数据共享效率,扩大公共数据有序开放,构建统一协调的公共数据运营机制,推进公共数据和其他数据融合应用,充分发挥公共数据在推动城市数字化转型和促进经济社会发展中的驱动作用。


第二十六条 负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。

区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。


第二十七条 市大数据资源平台和区大数据资源分平台(以下统称大数据资源平台)是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施,由市大数据中心负责统一规划。

本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台、共享和开放渠道;已经建成的,应当按照有关规定进行整合。


第二十八条 本市建立全市统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据, 以及依法委托第三方收集和产生的数据,应当纳入公共数据目录。

市政府办公厅负责制定目录编制规范。市级责任部门应当按照数据与业务对应的原则,编制本系统、行业公共数据目录,明确公共数据的来源、更新频率、安全等级、共享开放属性等要素。区公共数据主管部门可以根据实际需要,对未纳入市级责任部门公共数据目录的公共数据编制区域补充目录。


第二十九条 本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施。

市级责任部门应当按照公共数据分类规则和标准确定公共数据类别, 落实差异化管理措施。


第三十条 公共管理和服务机构收集数据应当符合本单位法定职责, 遵循合法、正当、必要的原则。可以通过共享方式获取的公共数据, 不得重复收集。

需要依托区有关部门收集的视频、物联等数据量大、实时性强的公共数据,由区公共数据主管部门根据市级责任部门需求统筹开展收集, 并依托区大数据资源分平台存储。


第三十一条 通过市大数据资源平台治理的公共数据,可以按照数据的区域属性回传至大数据资源分平台,支持各区开展数据应用。


第三十二条 本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,市大数据中心负责统一实施。区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。


第三十三条 本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集,但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集。

市大数据中心根据公共数据分类管理要求对相关数据实施统一归集, 保障数据向大数据资源平台归集的实时性、完整性和准确性。

已归集的公共数据发生变更、失效等情形的,公共管理和服务机构应当及时更新。


第三十四条 市大数据中心应当统筹规划并组织实施自然人、法人、自然资源和空间地理等基础数据库建设。

市级责任部门应当按照本市公共数据管理要求,规划和建设本系统、行业业务应用专题库,并会同相关部门规划和建设重点行业领域主题库。


第三十五条 市级责任部门应当建立健全本系统、行业公共数据质量管理体系,加强数据质量管控。

市大数据中心应当按照市政府办公厅明确的监督管理规则,组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。


第三十六条 市政府办公厅应当建立日常公共数据管理工作监督检查机制,对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。

市政府办公厅应当对市级责任部门和各区开展公共数据工作的成效情况定期组织考核评价,考核评价结果纳入各级领导班子和领导干部年度绩效考核。


第三十七条 本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费,纳入市、区财政预算。


第二节 公共数据共享和开放


第三十八条 公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。

公共管理和服务机构应当根据履职需要,提出数据需求清单;根据法定职责,明确本单位可以共享的数据责任清单;对法律、法规明确规定不能共享的数据,经市政府办公厅审核后,列入负面清单。

市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。


第三十九条 公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。

公共管理和服务机构超出依法履行职责的必要范围,通过大数据资源平台获取其他机构共享数据的,市大数据中心应当在发现后立即停止其获取超出必要范围的数据。


第四十条 公共管理和服务机构向自然人、法人和非法人组织提供服务时,需要使用其他部门数据的,应当使用大数据资源平台提供的最新数据。

公共管理和服务机构应当建立共享数据管理机制,通过共享获取的公共数据,应当用于本单位依法履行职责的需要,不得以任何形式提供给第三方,也不得用于其他任何目的。


第四十一条 本市以需求导向、分级分类、公平公开、安全可控、统一标准、便捷高效为原则,推动公共数据面向社会开放,并持续扩大公共数据开放范围。

公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。

非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。对有条件开放类公共数据,自然人、法人和非法人组织可以通过市大数据资源平台提出数据开放请求,相关公共管理和服务机构应当按照规定处理。


第四十二条 本市依托市大数据资源平台向社会开放公共数据。

市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,在公共数据目录范围内制定公共数据开放清单,明确数据的开放范围、开放类型、开放条件和更新频率等,并动态调整。

公共数据开放具体规则,由市经济信息化部门制定。


第四十三条 本市制定相关政策,组织开展公共数据开放和开发利用的创新试点,鼓励自然人、法人和非法人组织对公共数据进行深度加工和增值使用。


第三节 公共数据授权运营


第四十四条 本市建立公共数据授权运营机制,提高公共数据社会化开发利用水平。

市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权主体,授权条件、程序、数据范围,运营平台的服务和使用机制,运营行为规范,以及运营评价和退出情形等内容。市大数据中心应当根据公共数据授权运营管理办法对被授权运营主体实施日常监督管理。


第四十五条 被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务。

市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。

授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。

市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。


第四十六条 通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。


第四章 数据要素市场


第一节 一般规定


第四十七条 市人民政府应当按照国家要求,深化数据要素市场化配置改革,制定促进政策,培育公平、开放、有序、诚信的数据要素市场,建立资产评估、登记结算、交易撮合、争议解决等市场运营体系, 促进数据要素依法有序流动。


第四十八条 市政府办公厅应当制定政策,鼓励和引导市场主体依法开展数据共享、开放、交易、合作,促进跨区域、跨行业的数据流通利用。


第四十九条 本市制定政策,培育数据要素市场主体,鼓励研发数据技术、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务。


第五十条 本市探索构建数据资产评估指标体系,建立数据资产评估制度,开展数据资产凭证试点,反映数据要素的资产价值。


第五十一条 市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南,科学评价各区、各部门、各领域的数据对经济社会发展的贡献度。


第五十二条 市场主体应当加强数据质量管理,确保数据真实、准确、完整。

市场主体对数据的使用应当遵守反垄断、反不正当竞争、消费者权益保护等法律、法规的规定。


第二节 数据交易


第五十三条 本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。

本市建立健全数据交易服务机构管理制度,加强对服务机构的监管, 规范服务人员的执业行为。


第五十四条 数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。


第五十五条本市鼓励数据交易活动,有下列情形之一的,不得交易:

(一)危害国家安全、公共利益,侵害个人隐私的;

(二)未经合法权利人授权同意的;

(三)法律、法规规定禁止交易的其他情形。


第五十六条市场主体可以通过依法设立的数据交易所进行数据交易, 也可以依法自行交易。


第五十七条 从事数据交易活动的市场主体可以依法自主定价。

市相关主管部门应当组织相关行业协会等制订数据交易价格评估导则,构建交易价格评估指标。


第五章 数据资源开发和应用


第五十八条 本市支持数据资源开发和应用,发挥海量数据和丰富应用场景优势,鼓励和引导全社会参与经济、生活、治理等领域全面数字化转型,提升城市软实力。


第五十九条 本市通过标准制定、政策支持等方式,支持数据基础研究和关键核心技术攻关,发展高端数据产品和服务。

本市培育壮大数据收集存储、加工处理、交易流通等数据核心产业, 发展大数据、云计算、人工智能、区块链、高端软件、物联网等产业。


第六十条 本市促进数据技术与实体经济深度融合,推动数据赋能经济数字化转型,支持传统产业转型升级,催生新产业、新业态、新模式。本市鼓励各类企业开展数据融合应用,加快生产制造、科技研发、金融服务、商贸流通、航运物流、农业等领域的数据赋能,推动产业互联网和消费互联网贯通发展。


第六十一条 本市促进数据技术和服务业深度融合,推动数据赋能生活数字化转型,提高公共卫生、医疗、教育、养老、就业等基本民生领域和商业、文娱、体育、旅游等质量民生领域的数字化水平。本市制定政策,支持网站、手机应用程序、智慧终端设施、各类公共服务设施面向残疾人和老年人开展适应性数字化改造。


第六十二条 本市促进数据技术与政府管理、服务、运行深度融合, 推动数据赋能治理数字化转型,深化政务服务“一网通办”、城市运行“一网统管”建设,推进经济治理、社会治理、城市治理领域重点综合场景应用体系构建,通过治理数字化转型驱动超大城市治理模式创新。


第六十三条 本市鼓励重点领域产业大数据枢纽建设,融合数据、算法、算力,建设综合性创新平台和行业数据中心。

本市推动国家和地方大数据实验室、产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等建设。


第六十四条 本市建设数字化转型示范区,支持新城等重点区域同步规划关键信息基础设施,完善产业空间、生活空间、城市空间等领域数据资源的全生命周期管理机制。

市、区人民政府应当根据本市产业功能布局,推动园区整体数字化转型,发展智能制造、在线新经济、大数据、人工智能等数字产业园区。


第六章 浦东新区数据改革


第六十五条 本市支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。


第六十六条本市支持浦东新区探索与海关、统计、税务、人民银行、银保监等国家有关部门建立数据共享使用机制,对浦东新区相关的公共数据实现实时共享。

浦东新区应当结合重大风险防范、营商环境提升、公共服务优化等重大改革创新工作,明确数据应用场景需求。

浦东新区应当健全各区级公共管理和服务机构之间的公共数据共享机制。


第六十七条本市按照国家要求,在浦东新区设立数据交易所并运营。

数据交易所应当按照相关法律、行政法规和有关主管部门的规定, 为数据交易提供场所与设施,组织和监管数据交易。

数据交易所应当制订数据交易规则和其他有关业务规则,探索建立

分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。

浦东新区鼓励和引导市场主体依法通过数据交易所进行交易。


第六十八条 本市根据国家部署,推进国际数据港建设,聚焦中国(上海)自由贸易试验区临港新片区(以下简称临港新片区),构建国际互联网数据专用通道、功能型数据中心等新型基础设施,打造全球数据汇聚流转枢纽平台。


第六十九条 本市依照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。

在临港新片区内依法开展跨境数据活动的自然人、法人和非法人组织, 应当按照要求报送相关信息。


第七十条 本市按照国家相关要求,采取措施,支持浦东新区培育国际化数据产业,引进相关企业和项目。

本市支持浦东新区建立算法评价标准体系,推动算法知识产权保护。

本市支持在浦东新区建设行业性数据枢纽,打造基础设施和平台, 促进重大产业链供应链数据互联互通。


第七十一条 本市支持浦东新区加强数据交易相关的数字信任体系建设,创新融合大数据、区块链、零信任等技术,构建数字信任基础设施,保障可信数据交易服务。


第七章 长三角区域数据合作


第七十二条 本市按照国家部署,协同长三角区域其他省建设全国一体化大数据中心体系长三角国家枢纽节点,优化数据中心和存算资源布局,引导数据中心集约化、规模化、绿色化发展,推动算力、数据、应用资源集约化和服务化创新,全面支撑长三角区域各行业数字化升级和产业数字化转型。


第七十三条 本市与长三角区域其他省共同开展长三角区域数据标准化体系建设,按照区域数据共享需要,共同建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等基础性标准和规范,促进数据资源共享和利用。


第七十四条 本市依托全国一体化政务服务平台建设长三角数据共享交换平台,支撑长三角区域数据共享共用、业务协同和场景应用建设, 推动数据有效流动和开发利用。

本市与长三角区域其他省共同推动建立以需求清单、责任清单和共享数据资源目录为基础的长三角区域数据共享机制。


第七十五条 本市与长三角区域其他省共同推动建立跨区域数据异议核实与处理、数据对账机制,确保各省级行政区域提供的数据与长三角数据共享交换平台数据的一致性,实现数据可对账、可校验、可稽核,问题可追溯、可处理。


第七十六条 本市与长三角区域其他省共同促进数字认证体系、电子证照等的跨区域互认互通,支撑政务服务和城市运行管理跨区域协同。


第七十七条 本市与长三角区域其他省共同推动区块链、隐私计算等数据安全流通技术的利用,建立跨区域的数据融合开发利用机制,发挥数据在跨区域协同发展中的创新驱动作用。


第八章 数据安全


第七十八条 本市实行数据安全责任制,数据处理者是数据安全责任主体。

数据同时存在多个处理者的,各数据处理者承担相应的安全责任。

数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。第七十九条开展数据处理活动,应当履行以下义务,保障数据安全:

(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;

(二)组织开展数据安全教育培训;

(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;

(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;

(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;

(七)法律、法规规定的其他数据安全保护义务。


第八十条 本市按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。

本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制,并按照规定报送国家有关部门。


第八十一条 重要数据处理者应当明确数据安全责任人和管理机构, 按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。

处理重要数据应当按照法律、行政法规及国家有关规定执行。


第八十二条 市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市数据分类分级相关要求对公共数据进行分级, 在数据收集、使用和人员管理等业务环节承担安全责任。

属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据等级采取安全防护措施。


第八十三条 本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。


第八十四条 本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。


第八十五条 本市支持数据安全检测评估、认证等专业机构依法开展服务活动。

本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。


第九章 法律责任


第八十六条违反本条例规定,法律、行政法规有规定的,从其规定。


第八十七条 国家机关、履行公共管理和服务职责的事业单位及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分:

(一)未按照本条例第十六条第二款规定收集或者使用数据的;

(二)违反本条例第二十七条第二款规定,擅自新建跨部门、跨层级的数据资源平台、共享、开放渠道,或者未按规定进行整合的;

(三)未按照本条例第二十八条规定编制公共数据目录的;

(四)未按照本条例第三十条、第三十三条、第三十八条、第三十九条、第四十条、第四十二条规定收集、归集、共享、开放公共数据的;

(五)未按照本条例第三十五条第一款规定履行公共数据质量管理义务的;

(六)未通过公共数据开放或者授权运营等法定渠道,擅自将公共数据提供给市场主体的。


第八十八条 违反本条例规定,依法受到行政处罚的,相关信息纳入本市公共信用信息服务平台,由有关部门依法开展联合惩戒。


第八十九条违反本条例规定处理个人信息,侵害众多个人的权益的, 人民检察院、市消费者权益保护委员会,以及由国家网信部门确定的组织,可以依法向人民法院提起诉讼。


第十章 附则


第九十条 除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。


第九十一条 本条例自 2022 年 1 月 1 日起施行。