上海发布数据领域综合性地方法规《上海市数据条例》:10章91条统筹推进数据权益保护、数据流通利用、数据安全管理,设立“浦东新区数据改革、长三角区域数据合作”专章

2021年11月底,上海市正式发布《上海市数据条例》,该条例于2022年1月1日起施行。

上海市人民代表大会常务委员会公告

《上海市数据条例》已由上海市第十五届人民代表大会常务委员会第三十七次会议于2021年11月25日通过,现予公布,自2022年1月1日起施行。

上海市人民代表大会常务委员会

2021年11月25日

上海市数据条例

(2021年11月25日上海市第十五届人民代表大会常务委员会第三十七次会议通过)

第一章  总则

第一条  为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好服务和融入新发展格局,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。

第二条  本条例中下列用语的含义:

(一)数据,是指任何以电子或者其他方式对信息的记录。

(二)数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

(三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

(四)公共数据,是指本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织(以下统称公共管理和服务机构),在履行公共管理和服务职责过程中收集和产生的数据。

第三条  本市坚持促进发展和监管规范并举,统筹推进数据权益保护、数据流通利用、数据安全管理,完善支持数字经济发展的体制机制,充分发挥数据在实现治理体系和治理能力现代化、推动经济社会发展中的作用。

第四条  市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系,促进公共数据社会化开发利用,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,推动数字经济发展和城市数字化转型。

区人民政府应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作,创新推广数字化转型应用场景。

乡镇人民政府、街道办事处应当在基层治理中,推进数据的有效应用,提升治理效能。

第五条  市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,促进数据综合治理和流通利用,推进、指导、监督全市公共数据工作。

市发展改革部门负责统筹本市新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。

市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。

市网信部门负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。

市公安、国家安全机关在各自职责范围内承担数据安全监管职责。

市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。

市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。

第六条  本市实行数据工作与业务工作协同管理,管区域必须管数字化转型、管行业必须管数字化转型,加强运用数字化手段,提升治理能力和治理水平。

本市鼓励各区、各部门、各企业事业单位建立首席数据官制度。首席数据官由本区域、本部门、本单位相关负责人担任。

第七条  市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究、评估,为本市数据发展和管理工作提供专业意见。

第八条  本市加强数字基础设施规划和布局,提升电子政务云、电子政务外网等的服务能力,建设新一代通信网络、数据中心、人工智能平台等重大基础设施,建立完善网络、存储、计算、安全等数字基础设施体系。

第九条  市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。

本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。

第十条  市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。

市数据标准化技术组织应当推动建立和完善本市数据基础性、通用性地方标准。

第十一条  本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。

第二章  数据权益保障

第一节  一般规定

第十二条  本市依法保护自然人对其个人信息享有的人格权益。

本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。

第十三条  自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据,不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的,应当在法律、行政法规规定的目的和范围内收集。

第十四条  自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。

第十五条  自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。

第十六条  市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。

要求自然人、法人和非法人组织提供数据的,应当在其履行法定职责的范围内依照法定的条件和程序进行,并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供。

第十七条  自然人、法人和非法人组织开展数据处理活动、行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。

第二节  个人信息特别保护

第十八条  除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息,对个人权益有重大影响的,应当依法取得个人同意。

第十九条  基于个人同意处理个人信息的,应当保证个人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得同意。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

处理者在提供产品或者服务时,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

第二十条  处理个人信息前,应当向个人告知下列事项:

(一)处理者的名称或者姓名和联系方式;

(二)处理个人信息的目的、方式;

(三)处理的个人信息种类、保存期限;

(四)个人依法享有的权利以及行使权利的方式和程序;

(五)法律、行政法规规定应当告知的其他事项。

处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知前款事项。

第二十一条  个人发现其个人信息不准确或者不完整的,有权请求处理者更正、补充。

有下列情形之一的,处理者应当主动删除个人信息;处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

对属于本条第一款、第二款情形的,处理者应当分别予以更正、补充、删除。法律、行政法规另有规定的,从其规定。

第二十二条  处理自然人生物识别信息的,应当具有特定的目的和充分的必要性,并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意;法律、行政法规另有规定的,从其规定。

第二十三条  在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。

所收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

本条第一款规定的公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。

第二十四条  利用个人信息进行自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。

第三章  公共数据

第一节  一般规定

第二十五条  本市健全公共数据资源体系,加强公共数据治理,提高公共数据共享效率,扩大公共数据有序开放,构建统一协调的公共数据运营机制,推进公共数据和其他数据融合应用,充分发挥公共数据在推动城市数字化转型和促进经济社会发展中的驱动作用。

第二十六条  负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。

区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。

第二十七条  市大数据资源平台和区大数据资源分平台(以下统称大数据资源平台)是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施,由市大数据中心负责统一规划。

本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台、共享和开放渠道;已经建成的,应当按照有关规定进行整合。

第二十八条  本市建立全市统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据,以及依法委托第三方收集和产生的数据,应当纳入公共数据目录。

市政府办公厅负责制定目录编制规范。市级责任部门应当按照数据与业务对应的原则,编制本系统、行业公共数据目录,明确公共数据的来源、更新频率、安全等级、共享开放属性等要素。区公共数据主管部门可以根据实际需要,对未纳入市级责任部门公共数据目录的公共数据编制区域补充目录。

第二十九条  本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施。

市级责任部门应当按照公共数据分类规则和标准确定公共数据类别,落实差异化管理措施。

第三十条  公共管理和服务机构收集数据应当符合本单位法定职责,遵循合法、正当、必要的原则。可以通过共享方式获取的公共数据,不得重复收集。

需要依托区有关部门收集的视频、物联等数据量大、实时性强的公共数据,由区公共数据主管部门根据市级责任部门需求统筹开展收集,并依托区大数据资源分平台存储。

第三十一条  通过市大数据资源平台治理的公共数据,可以按照数据的区域属性回传至大数据资源分平台,支持各区开展数据应用。

第三十二条  本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,市大数据中心负责统一实施。区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。

第三十三条  本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集,但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集。

市大数据中心根据公共数据分类管理要求对相关数据实施统一归集,保障数据向大数据资源平台归集的实时性、完整性和准确性。

已归集的公共数据发生变更、失效等情形的,公共管理和服务机构应当及时更新。

第三十四条  市大数据中心应当统筹规划并组织实施自然人、法人、自然资源和空间地理等基础数据库建设。

市级责任部门应当按照本市公共数据管理要求,规划和建设本系统、行业业务应用专题库,并会同相关部门规划和建设重点行业领域主题库。

第三十五条  市级责任部门应当建立健全本系统、行业公共数据质量管理体系,加强数据质量管控。

市大数据中心应当按照市政府办公厅明确的监督管理规则,组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。

第三十六条  市政府办公厅应当建立日常公共数据管理工作监督检查机制,对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。

市政府办公厅应当对市级责任部门和各区开展公共数据工作的成效情况定期组织考核评价,考核评价结果纳入各级领导班子和领导干部年度绩效考核。

第三十七条  本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费,纳入市、区财政预算。

第二节  公共数据共享和开放

第三十八条  公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。

公共管理和服务机构应当根据履职需要,提出数据需求清单;根据法定职责,明确本单位可以共享的数据责任清单;对法律、法规明确规定不能共享的数据,经市政府办公厅审核后,列入负面清单。

市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。

第三十九条  公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。

公共管理和服务机构超出依法履行职责的必要范围,通过大数据资源平台获取其他机构共享数据的,市大数据中心应当在发现后立即停止其获取超出必要范围的数据。

第四十条  公共管理和服务机构向自然人、法人和非法人组织提供服务时,需要使用其他部门数据的,应当使用大数据资源平台提供的最新数据。

公共管理和服务机构应当建立共享数据管理机制,通过共享获取的公共数据,应当用于本单位依法履行职责的需要,不得以任何形式提供给第三方,也不得用于其他任何目的。

第四十一条  本市以需求导向、分级分类、公平公开、安全可控、统一标准、便捷高效为原则,推动公共数据面向社会开放,并持续扩大公共数据开放范围。

公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。

非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。对有条件开放类公共数据,自然人、法人和非法人组织可以通过市大数据资源平台提出数据开放请求,相关公共管理和服务机构应当按照规定处理。

第四十二条  本市依托市大数据资源平台向社会开放公共数据。

市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,在公共数据目录范围内制定公共数据开放清单,明确数据的开放范围、开放类型、开放条件和更新频率等,并动态调整。

公共数据开放具体规则,由市经济信息化部门制定。

第四十三条  本市制定相关政策,组织开展公共数据开放和开发利用的创新试点,鼓励自然人、法人和非法人组织对公共数据进行深度加工和增值使用。

第三节  公共数据授权运营

第四十四条  本市建立公共数据授权运营机制,提高公共数据社会化开发利用水平。

市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权主体,授权条件、程序、数据范围,运营平台的服务和使用机制,运营行为规范,以及运营评价和退出情形等内容。市大数据中心应当根据公共数据授权运营管理办法对被授权运营主体实施日常监督管理。

第四十五条  被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务。

市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。

授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。

市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。

第四十六条  通过公共数据授权运营形成的数据产品和服务,可以依托公共数据运营平台进行交易撮合、合同签订、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。

第四章  数据要素市场

第一节  一般规定

第四十七条  市人民政府应当按照国家要求,深化数据要素市场化配置改革,制定促进政策,培育公平、开放、有序、诚信的数据要素市场,建立资产评估、登记结算、交易撮合、争议解决等市场运营体系,促进数据要素依法有序流动。

第四十八条  市政府办公厅应当制定政策,鼓励和引导市场主体依法开展数据共享、开放、交易、合作,促进跨区域、跨行业的数据流通利用。

第四十九条  本市制定政策,培育数据要素市场主体,鼓励研发数据技术、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务。

第五十条  本市探索构建数据资产评估指标体系,建立数据资产评估制度,开展数据资产凭证试点,反映数据要素的资产价值。

第五十一条  市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南,科学评价各区、各部门、各领域的数据对经济社会发展的贡献度。

第五十二条  市场主体应当加强数据质量管理,确保数据真实、准确、完整。

市场主体对数据的使用应当遵守反垄断、反不正当竞争、消费者权益保护等法律、法规的规定。

第二节  数据交易

第五十三条  本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。

本市建立健全数据交易服务机构管理制度,加强对服务机构的监管,规范服务人员的执业行为。

第五十四条  数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。

第五十五条  本市鼓励数据交易活动,有下列情形之一的,不得交易:

(一)危害国家安全、公共利益,侵害个人隐私的;

(二)未经合法权利人授权同意的;

(三)法律、法规规定禁止交易的其他情形。

第五十六条  市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。

第五十七条  从事数据交易活动的市场主体可以依法自主定价。

市相关主管部门应当组织相关行业协会等制订数据交易价格评估导则,构建交易价格评估指标。

第五章  数据资源开发和应用

第五十八条  本市支持数据资源开发和应用,发挥海量数据和丰富应用场景优势,鼓励和引导全社会参与经济、生活、治理等领域全面数字化转型,提升城市软实力。

第五十九条  本市通过标准制定、政策支持等方式,支持数据基础研究和关键核心技术攻关,发展高端数据产品和服务。

本市培育壮大数据收集存储、加工处理、交易流通等数据核心产业,发展大数据、云计算、人工智能、区块链、高端软件、物联网等产业。

第六十条  本市促进数据技术与实体经济深度融合,推动数据赋能经济数字化转型,支持传统产业转型升级,催生新产业、新业态、新模式。本市鼓励各类企业开展数据融合应用,加快生产制造、科技研发、金融服务、商贸流通、航运物流、农业等领域的数据赋能,推动产业互联网和消费互联网贯通发展。

第六十一条  本市促进数据技术和服务业深度融合,推动数据赋能生活数字化转型,提高公共卫生、医疗、教育、养老、就业等基本民生领域和商业、文娱、体育、旅游等质量民生领域的数字化水平。本市制定政策,支持网站、手机应用程序、智慧终端设施、各类公共服务设施面向残疾人和老年人开展适应性数字化改造。

第六十二条  本市促进数据技术与政府管理、服务、运行深度融合,推动数据赋能治理数字化转型,深化政务服务“一网通办”、城市运行“一网统管”建设,推进经济治理、社会治理、城市治理领域重点综合场景应用体系构建,通过治理数字化转型驱动超大城市治理模式创新。

第六十三条  本市鼓励重点领域产业大数据枢纽建设,融合数据、算法、算力,建设综合性创新平台和行业数据中心。

本市推动国家和地方大数据实验室、产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等建设。

第六十四条  本市建设数字化转型示范区,支持新城等重点区域同步规划关键信息基础设施,完善产业空间、生活空间、城市空间等领域数据资源的全生命周期管理机制。

市、区人民政府应当根据本市产业功能布局,推动园区整体数字化转型,发展智能制造、在线新经济、大数据、人工智能等数字产业园区。

第六章  浦东新区数据改革

第六十五条  本市支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。

第六十六条  本市支持浦东新区探索与海关、统计、税务、人民银行、银保监等国家有关部门建立数据共享使用机制,对浦东新区相关的公共数据实现实时共享。

浦东新区应当结合重大风险防范、营商环境提升、公共服务优化等重大改革创新工作,明确数据应用场景需求。

浦东新区应当健全各区级公共管理和服务机构之间的公共数据共享机制。

第六十七条  本市按照国家要求,在浦东新区设立数据交易所并运营。

数据交易所应当按照相关法律、行政法规和有关主管部门的规定,为数据交易提供场所与设施,组织和监管数据交易。

数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。

浦东新区鼓励和引导市场主体依法通过数据交易所进行交易。

第六十八条  本市根据国家部署,推进国际数据港建设,聚焦中国(上海)自由贸易试验区临港新片区(以下简称临港新片区),构建国际互联网数据专用通道、功能型数据中心等新型基础设施,打造全球数据汇聚流转枢纽平台。

第六十九条  本市依照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。在临港新片区内依法开展跨境数据活动的自然人、法人和非法人组织,应当按照要求报送相关信息。

第七十条  本市按照国家相关要求,采取措施,支持浦东新区培育国际化数据产业,引进相关企业和项目。

本市支持浦东新区建立算法评价标准体系,推动算法知识产权保护。

本市支持在浦东新区建设行业性数据枢纽,打造基础设施和平台,促进重大产业链供应链数据互联互通。

第七十一条  本市支持浦东新区加强数据交易相关的数字信任体系建设,创新融合大数据、区块链、零信任等技术,构建数字信任基础设施,保障可信数据交易服务。

第七章  长三角区域数据合作

第七十二条  本市按照国家部署,协同长三角区域其他省建设全国一体化大数据中心体系长三角国家枢纽节点,优化数据中心和存算资源布局,引导数据中心集约化、规模化、绿色化发展,推动算力、数据、应用资源集约化和服务化创新,全面支撑长三角区域各行业数字化升级和产业数字化转型。

第七十三条  本市与长三角区域其他省共同开展长三角区域数据标准化体系建设,按照区域数据共享需要,共同建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等基础性标准和规范,促进数据资源共享和利用。

第七十四条  本市依托全国一体化政务服务平台建设长三角数据共享交换平台,支撑长三角区域数据共享共用、业务协同和场景应用建设,推动数据有效流动和开发利用。

本市与长三角区域其他省共同推动建立以需求清单、责任清单和共享数据资源目录为基础的长三角区域数据共享机制。

第七十五条  本市与长三角区域其他省共同推动建立跨区域数据异议核实与处理、数据对账机制,确保各省级行政区域提供的数据与长三角数据共享交换平台数据的一致性,实现数据可对账、可校验、可稽核,问题可追溯、可处理。

第七十六条  本市与长三角区域其他省共同促进数字认证体系、电子证照等的跨区域互认互通,支撑政务服务和城市运行管理跨区域协同。

第七十七条  本市与长三角区域其他省共同推动区块链、隐私计算等数据安全流通技术的利用,建立跨区域的数据融合开发利用机制,发挥数据在跨区域协同发展中的创新驱动作用。

第八章  数据安全

第七十八条  本市实行数据安全责任制,数据处理者是数据安全责任主体。

数据同时存在多个处理者的,各数据处理者承担相应的安全责任。

数据处理者发生变更的,由新的数据处理者承担数据安全保护责任。

第七十九条  开展数据处理活动,应当履行以下义务,保障数据安全:

(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;

(二)组织开展数据安全教育培训;

(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;

(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;

(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;

(七)法律、法规规定的其他数据安全保护义务。

第八十条  本市按照国家要求,建立健全数据分类分级保护制度,推动本地区数据安全治理工作。

本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制,并按照规定报送国家有关部门。

第八十一条  重要数据处理者应当明确数据安全责任人和管理机构,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。

处理重要数据应当按照法律、行政法规及国家有关规定执行。

第八十二条  市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市数据分类分级相关要求对公共数据进行分级,在数据收集、使用和人员管理等业务环节承担安全责任。

属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据等级采取安全防护措施。

第八十三条  本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。

第八十四条  本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

第八十五条  本市支持数据安全检测评估、认证等专业机构依法开展服务活动。

本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

第九章  法律责任

第八十六条  违反本条例规定,法律、行政法规有规定的,从其规定。

第八十七条  国家机关、履行公共管理和服务职责的事业单位及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分:

(一)未按照本条例第十六条第二款规定收集或者使用数据的;

(二)违反本条例第二十七条第二款规定,擅自新建跨部门、跨层级的数据资源平台、共享、开放渠道,或者未按规定进行整合的;

(三)未按照本条例第二十八条规定编制公共数据目录的;

(四)未按照本条例第三十条、第三十三条、第三十八条、第三十九条、第四十条、第四十二条规定收集、归集、共享、开放公共数据的;

(五)未按照本条例第三十五条第一款规定履行公共数据质量管理义务的;

(六)未通过公共数据开放或者授权运营等法定渠道,擅自将公共数据提供给市场主体的。

第八十八条  违反本条例规定,依法受到行政处罚的,相关信息纳入本市公共信用信息服务平台,由有关部门依法开展联合惩戒。

第八十九条  违反本条例规定处理个人信息,侵害众多个人的权益的,人民检察院、市消费者权益保护委员会,以及由国家网信部门确定的组织,可以依法向人民法院提起诉讼。

第十章  附则

第九十条  除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。

第九十一条  本条例自2022年1月1日起施行。

来源:上海人大


征求意见稿

上海市人大常委会办公厅日前发布《上海市数据条例(草案)》进行征求意见,征求意见稿共十章九十一条,分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则。

part-00252-1995

上海市人大常委会办公厅公告

上海市第十五届人大常委会第三十五次会议对《上海市数据条例(草案)》进行了审议。为进一步发扬立法民主,现将条例草案征求意见稿及相关说明在解放日报、上海法治报、东方网(www.eastday.com)、新民网(www.xinmin.cn)、上海人大网、“上海人大”微信公众号上全文公布,向社会广泛征求意见,以便进一步研究修改,再提请以后的常委会会议审议。现将有关事项告知如下:

一、公开征求意见的时间

2021年9月30日至10月20日

二、反映意见的方式

(一)来信地址:上海市人民大道200号,市人大常委会法制工作委员会立法二处;邮政编码:200003

(二)电子邮件:fgwlfec@126.com

(三)传    真:63586583

上海市人大常委会办公厅

2021年9月30日

 

关于《上海市数据条例(草案)》(征求意见稿)征求意见有关事项的说明

 

一、起草背景

中华人民共和国数据安全法》《中华人民共和国个人信息保护法》陆续出台,对规范数据处理活动,保障数据安全,促进数据开发利用等作出了明确规定。

数据作为一种新型生产要素,对于推动经济高质量发展,促进全面数字化转型的重要作用日益凸显。当前,上海制定一部数据领域的综合性地方法规,是落实体现国家政策和上位法精神,固化数字改革创新经验,为上海全面推进城市数字化转型提供基础性制度保障的重要举措。

二、主要内容

征求意见稿共十章九十一条,分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则。主要内容如下:

(一)关于数据发展和管理体系

明确各级政府、市相关部门在数据开发利用和数据保护等方面的职责,还明确了建立数据专家委员会,加强人才保障等工作。(第四条至第六条、第八条)

(二)关于数据权益保障

从数据权益保障的角度出发,确认了各类主体的数据权益保护机制:一是保障自然人、法人和非法人组织与数据相关的权益;二是设立专节加强个人信息保护;三是规定突发事件中的数据收集。(第十二条至第二十三条)

(三)关于公共数据

对公共数据采集、整合、共享、开放、应用的全生命周期治理体系作了进一步优化,并创设了公共数据授权运营机制。(第二十四条至第四十五条)

(四)关于数据要素市场

为激发数据要素在推动产业发展方面发挥更大的作用,征求意见稿聚焦数据要素市场培育,健全数据要素生产、流通、应用、收益分配机制,以数据流动牵引资金、人才、技术、知识等要素的全球化配置,促进数据价值最大化发掘。(第四十六条至第五十五条)

(五)关于数据资源开放和应用

明确了数据资源开发与应用规划、数据资源设施和平台建设、数字产业化和产业数字化发展、数据赋能生活、治理等数字化转型的内容。(第五十六条至第六十二条)

(六)关于浦东新区数据改革

设置“浦东新区数据改革”专章,支持浦东新区在公共数据深度共享、数据交易所、国际数据港建设、数据跨境流动、产业发展和数字信任体系等方面发挥创新引领作用。(第六十三条至第六十九条)

(七)关于长三角区域数据合作

明确长三角建立统一的数据标准体系和共享开放机制,推动建立跨区域数据异议核实与处理机制、数据对账机制,推进数字认证体系和电子证照等的互认互通,支撑政务服务和城市运行管理跨区域协同等。(第七十条至第七十五条)

(八)关于数据安全

征求意见稿在《中华人民共和国数据安全法》等上位法的框架下,结合本市实际,建立了全面的数据安全治理体系。(第七十六条至第八十三条)

此外,征求意见稿设置“法律责任”一章。(第八十四条至第八十九条)

三、征求意见的重点

1.对数据财产权益、数据交易权益的意见建议;

2.对公共数据共享、开放、授权运营的意见建议;

3.对数字经济发展和城市数字化转型的意见建议;

4.其他意见建议。

上海市数据条例(草案)

(征求意见稿)

第一章   总  则

第一条(立法目的)

为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育和数字经济发展,根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。

第二条(基本定义)

本条例中下列用语的含义:

(一)数据,是指任何以电子或者其他方式对信息的记录。

(二)数据处理,是指数据的收集、存储、使用、加工、传输、共享、开放、流通等。

(三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

(四)公共数据,是指本市国家机关,事业单位,经依法授权具有管理公共事务职能的组织,以及提供供水、供电、供气、公共交通等公共服务的组织(以下统称公共管理和服务机构)在履行公共管理和服务职责过程中,收集和产生的各类数据。

第三条(总体要求和基本原则)

本市统筹推进数据权益保护、数据流通利用、数据安全管理,充分发挥数据在城市治理、优化营商环境和推动经济社会发展中的作用。

本市遵循数据资源开发与保护并举,统筹安全与发展、坚持创新突破与包容审慎监管并举的原则,促进数据开放应用,实施分类分级保护,突出公共利益优先,强化个人信息保护。

第四条(政府职责)

市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,促进以数据为关键要素的数字经济发展,推动城市数字化转型。

区人民政府和乡镇人民政府、街道办事处应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作。

第五条(部门职责)

市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,推进、指导、监督全市公共数据工作。

市发展改革部门负责统筹本市数字新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。

市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施建设、推动产业数字化、数字产业化等工作。

市网信部门负责统筹协调本市网络数据安全和相关监管工作。

市公安、国家安全机关依法在各自职责范围内承担数据安全监管职责。

市财政、人力资源社会保障、市场监管、统计、物价等部门依照有关法律、法规,在各自职责范围内履行相关职责。

市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。

第六条(专家委员会)

市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究,为本市数据发展和管理工作提供专业意见。

第七条(基础设施建设)

本市加强和完善数字基础设施规划和布局,提升电子政务云、电子政务外网等政务基础设施能力,建设新一代通信网络、数据中心、人工智能平台、智能终端等新型基础设施建立完善网络、存储、计算、安全等数字基础设施体系,推动数字基础设施共建共享、互联互通。

第八条(人才保障与宣传教育)

市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。

本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。

第九条(行业组织)

本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员企业合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。

第十条(数据标准化)

市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。

市数据标准化技术组织应当借鉴国际标准,运用国家标准和行业标准,推动建立和完善本市数据基础性、通用性地方标准。

第十一条首席数据官

鼓励各区、各部门、各企业事业单位建立首席数据官制度。

首席数据官由本区域、本部门、本单位相关负责人担任,首席数据官应当加强本区域、本部门、本单位数据工作与业务工作的协同管理。

第二章   数据权益保障

第一节   一般规定

第十二条(通用原则)

自然人对涉及其个人信息的数据,依法享有人格权益。

自然人、法人和非法人组织对其以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,依法享有财产权益。

自然人、法人和非法人组织行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。

第十三条(数据收集权益)

自然人、法人和非法人组织可以收集个人自行公开或者其他已经合法公开的数据,但不得违反法律、行政法规的规定或者侵犯他人的合法权益。

自然人、法人和非法人组织可以依法通过约定或者其他合法、正当的方式收集其他数据,但应当在法律、行政法规规定的目的和范围内,不得超过必要的限度。

第十四条(数据使用、加工权益)

自然人、法人和非法人组织对其依法收集和自身产生的数据,可以依法使用、加工。

第十五条(数据交易权益)

自然人、法人和非法人组织对其以合法方式获取的数据,以及经过合法处理数据形成的数据产品和服务,可以依法进行交易。

本市依法保护自然人、法人和非法人组织通过数据交易获取的财产权益。

第十六条(突发事件中的数据收集)

为了应对自然灾害、事故灾难、公共卫生事件和社会安全事件等突发事件,市、区人民政府以及有关部门可以依法要求自然人、法人和非法人组织提供突发事件处置工作所必需的数据。

相关部门要求自然人、法人和非法人组织提供数据时,应当明确数据使用的目的、范围、方式。获取的数据不得用于与突发事件处置工作无关的事项;未经数据提供方同意,不得向第三方提供。

第二节   个人信息特别保护

第十七条(知情和同意)

收集、使用、加工、交易涉及自然人个人信息的数据的,应当依法保障自然人的知情权。

收集自然人非公开数据的,应当以有效方式告知自然人,并取得其同意。处理涉及自然人公开的个人信息数据的,应当符合该数据被公开时的用途,超出与该用途相关的合理范围的,应当取得自然人同意。但法律、行政法规另有规定的除外。

第十八条(更正和删除)

自然人发现其信息不准确或者不完整的,有权请求数据处理者进行更正、补充;数据处理者应当核实并及时处理。

自然人发现数据处理者违反法律、法规规定或者约定处理涉及其个人信息的数据的,有权请求数据处理者进行删除;数据处理者应当在核实确定后立即予以删除。法律、行政法规另有规定的,从其规定。

第十九条(禁止过度收集)

取得自然人的同意的,可以收集涉及个人信息的数据。数据处理者应当保证自然人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得。

有下列情形的,可以不需自然人的同意依法收集涉及个人信息的数据:

(一)为订立、履行自然人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(二)为履行法定职责或者法定义务所必需;

(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(四)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(五)依照国家法律规定在合理的范围内处理自然人自行公开或者其他已经合法公开的个人信息。

没有法律、行政法规规定和前两款情形的,不得收集涉及个人信息的数据。

数据处理者在处理涉及个人信息的数据时,不得以自然人不同意为由拒绝提供相关产品或服务,除非该个人信息为提供产品或服务所必需。

第二十条(数据处理者的有效告知义务)

数据处理者在处理涉及个人信息的数据时,应当向自然人告知下列事项:

(一)数据处理者的名称或者姓名和联系方式;

(二)处理个人信息的目的、方式;

(三)处理的个人信息种类、保存期限;

(四)自然人依法享有的权利以及行使权利的方式和程序;

(五)法律、行政法规规定应当告知的其他事项。

数据处理者在向自然人告知前款事项时,不得使用晦涩难懂、冗长繁琐、难以理解的文字。通过网络方式进行告知的,应当提供简体中文版,文字大小、颜色、清晰度等设置应当便于阅读,访问路径应当便捷。

第二十一条(生物识别信息保护)

处理涉及自然人生物识别信息的数据的,应当具有特定的目的和充分的必要性,并取得自然人的单独同意。

处理涉及自然人生物识别信息的数据的,应当同时提供实现该处理目的的其他替代方案,以充分保障自然人的选择权。

第二十二条(人脸识别技术运用规范)

数据处理者在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装人脸识别设备的,应当为维护公共安全所必需。

在公共场所及相关区域安装人脸识别设备的,应当充分保障自然人的知情权,设置显著标识,并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。

处理通过人脸识别技术获取生物识别信息的,应当限于告知范围,不得超出范围自行或者委托第三方进行。

第二十三条(自动化决策规范)

数据处理者开展用户画像、算法推荐等自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和处理结果的公平、公正。

不得通过计算机程序自动分析、评估自然人的行为习惯、兴趣爱好或者经济、健康、信用状况等,对自然人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策向自然人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向自然人提供便捷的拒绝方式。

第三章    公共数据

第一节    一般规定

第二十四条(责任部门)

负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。

区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。

第二十五条(大数据资源平台)

市大数据资源平台和区大数据资源分平台(以下统称大数据资源平台)是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施,由市大数据中心负责统一规划。

本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台和共享开放渠道;已经建成的,应当按照有关规定进行整合。

第二十六条(公共数据目录)

本市建立全市统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务过程中收集和产生的数据,以及依法委托第三方收集和产生的数据,应当纳入公共数据目录。

市政府办公厅负责制定目录编制规范。市级责任部门应当按照数据与业务对应的原则,编制本系统、行业公共数据目录,明确公共数据的来源、更新频率、安全分级、共享开放属性等要素。区公共数据主管部门可以根据实际需要,对未纳入市级责任部门公共数据目录的公共数据进行梳理,编制区域补充目录。

第二十七条(公共数据分类管理)

本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施。

市级责任部门应当按照公共数据分类规则和标准确定公共数据类别,落实差异化管理措施。

第二十八条(公共数据收集和存储)

公共管理和服务机构收集数据应当符合本单位法定职责,遵循合法、正当、必要原则。可以通过共享方式获得的公共数据,不得重复收集。

需要依托区有关部门收集的视频、物联等数据量大、实时性强的公共数据,由区公共数据主管部门根据市级责任部门需求统筹开展收集,并依托区大数据资源分平台存储。

第二十九条(公共数据回传)

通过市大数据资源平台治理的公共数据,可以按照数据的区域属性回传至大数据资源分平台,支持各区开展数据应用。

第三十条(数据采购)

本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。

市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,由市大数据中心负责统一实施。市大数据中心通过大数据资源平台对采购的非公共数据进行目录编制,并共享给有需求的部门和单位。

区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。

第三十一条(公共数据归集)

本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集,但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集。

市大数据中心根据公共数据分类管理要求对相关数据实施统一归集,保障数据向大数据资源平台归集的实时性、完整性和准确性。

已归集的公共数据发生变更、失效等情形的,公共管理和服务机构应当及时更新。

第三十二条(数据库建设)

市大数据中心应当统筹规划并组织实施自然人、法人、自然资源和空间地理等基础数据库建设。

市级责任部门应当按照本市公共数据管理要求,规划和建设本系统、行业业务应用专题库,并会同相关部门规划和建设重点行业领域主题库。

第三十三条(质量管理)

市大数据中心应当组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。

市级责任部门应当建立健全本系统、行业公共数据质量管理体系,加强数据质量管控。

第三十四条(监督检查和考核评价)

市政府办公厅应当建立日常公共数据管理工作监督检查机制,对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。

市政府办公厅应当对市级责任部门和各区开展公共数据工作的成效情况定期组织考核评价,考核评价结果纳入各级领导班子和领导干部年度绩效考核。

第三十五条(经费保障)

本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费,纳入市、区财政预算。

第二节   公共数据共享和开放

第三十六条(共享原则和机制)

公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。

公共管理和服务机构应当根据履职需要,提出数据需求清单;根据法定职责,明确本单位可以共享的数据责任清单;对法律、法规明确规定不能共享的数据,经市政府办公厅审核后,列入负面清单。

市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。

第三十七条(便捷共享)

公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。

公共管理和服务机构超出依法履行职责的必要范围共享其他机构数据的,市大数据中心应当立即停止其共享超出必要范围的数据。

第三十八条(共享数据的使用)

公共管理和服务机构向自然人、法人和非法人组织提供服务时,需要使用其他部门数据的,应当使用大数据资源平台提供的最新数据。

公共管理和服务机构应当建立共享数据管理机制,对通过共享获得的公共数据应当用于本单位依法履行职责的需要,不得以任何形式提供给第三方,也不得用于其他任何目的。

第三十九条(分类开放)

本市依托市大数据资源平台向社会开放公共数据。

公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及商业秘密、个人隐私、能识别到具体自然人的个人信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。

非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。

第四十条(开放清单)

市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,应当在公共数据目录范围内,制定公共数据开放清单,明确数据的开放范围、开放类型、开放条件和更新频率等,并通过市大数据资源平台予以公布。

第三节   公共数据授权运营

第四十一条(授权运营机制)

本市建立公共数据授权运营机制。市政府办公厅采用竞争方式确定被授权运营主体,授权其在一定期限和范围内以市场化方式运营公共数据,提供数据产品、数据服务并获得收益。授权运营应当签订授权协议,约定相关权利义务。

市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权标准、条件和具体程序要求,建立授权运营评价和退出机制。市大数据中心应当根据公共数据授权运营管理办法实施日常监督管理。

授权运营的数据包含个人信息的,处理该数据应当符合法律、行政法规和本条例第十七条的规定。数据包含的信息经匿名化处理后不构成个人信息的除外。

第四十二条(开发利用规范)

被授权运营主体根据市场需求规划应用场景,经市政府办公厅组织相关行业主管部门和数据专家委员会评估后,实施公共数据开发利用。开发利用活动应当符合公共数据授权运营管理办法规定和授权协议约定的行为规范。

第四十三条(数据开发利用和产品服务提供)

数据产品和服务供需双方可以通过公共数据运营平台进行交易撮合、签订合同、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。

第四十四条(数据产品和服务定价)

市政府办公厅应当组织数据专家委员会编制数据产品和服务的价格评估导则,被授权运营主体应当根据价格评估导则,合理确定数据产品和服务的价格。

第四十五条(平台服务费)

被授权运营主体使用市大数据资源平台提供服务的,应当向平台建设方支付相应的平台服务费。收费办法由市有关主管部门另行制定。

第四章   数据要素市场

第一节   一般规定

第四十六条(建设目标)

市人民政府应当按照国家要求深化数据要素市场化配置改革,制定促进政策,培育公平、开放、有序、诚信的数据要素市场,建立资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,促进数据要素依法有序流动。

第四十七条(数据流通利用)

市政府办公厅应当制定政策,鼓励和引导市场主体依法开展数据共享、开放、交易、合作,促进跨区域、跨行业的数据流通利用。

第四十八条(市场主体培育)

本市制定相关政策,鼓励和引导自然人、法人和非法人组织参与数据要素市场建设,促进数据采集、清洗、挖掘、应用、资产管理、数据治理、合规咨询、安全评估等全产业链环节数据要素市场主体的发展。

本市鼓励市场主体研发数据技术、加强数据交流合作、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务。

第四十九条(数据资产评估)

本市探索构建数据资产评估指标体系,建立数据资产评估制度,开展数据资产凭证试点,准确反映数据要素的资产价值。

第五十条(数据生产要素统计核算)

市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南,科学评价各区、各部门、各领域的数据对经济社会发展的贡献度。

第五十一条(市场主体义务)

市场主体应当加强数据质量管理,确保数据真实、准确、完整。

市场主体对数据的使用应当遵循公平竞争原则,不得利用数据垄断地位从事操纵市场、设置排他性合作条款等活动;不得滥用大数据分析等技术手段,基于个人消费数据和消费偏好设置不公平交易条件,侵犯消费者合法权益。

第二节   数据交易

第五十二条(数据交易服务体系)

本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。

本市建立健全数据交易服务机构管理制度,加强对服务机构的监管,规范服务人员的执业行为。

第五十三条(数据交易服务机构要求)

数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度以及机构自律规则,并采取有效措施保护个人隐私、商业秘密、重要数据和国家核心数据。

第五十四条(数据交易内容)

市场主体以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,可以依法交易,但有下列情形之一的除外:

(一)包含未依法获得授权的个人信息;

(二)包含未经依法开放的公共数据;

(三)法律、法规规定禁止交易的其他情形。

第五十五条(交易定价)

从事数据交易活动的市场主体可以依法自主定价。

市相关主管部门应当组织相关行业协会等制订数据交易价格评估导则,构建交易价格评估指标。

第五章   数据资源开发和应用

第五十六条(数据资源开发与应用规划)

市人民政府应当结合数字化转型工作推进,编制全社会数据资源开发与应用的发展规划,明确政策举措。区人民政府应当将数据资源开发应用纳入本区国民经济和社会发展规划。

第五十七条(数据资源设施和平台建设)

本市鼓励重点领域产业大数据基础设施建设,布局数据、算法和算力一体的综合性创新平台,构建行业数据中心,促进产业链供应链数据互联互通。

本市推动国家和地方大数据实验室建设,发展以数据资源开发应用为导向的产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等创新载体。

第五十八条(数据技术与数字产业创新发展)

本市通过政策扶持、标准制定等方式,支持数据基础研究和关键技术攻关,打造高质量数据集,发展高端数据产品和服务。

本市培育壮大数据采集存储、数据加工处理、数据交易流通等数据核心产业,发展云计算、人工智能、区块链、高端软件、物联网、量子通信等数据关联产业,支持数字贸易、数字医疗、数字办公等在线新经济发展,提升数据资源开发应用对数字产业的贡献度和辐射力。

第五十九条(数据赋能产业数字化转型)

本市推进数据技术与实体经济深度融合,鼓励各类企业数据的融合应用,加快生产制造、科技研发、金融服务、商贸流通、航运物流、农业等领域的模式创新,推动产业互联网和消费互联网贯通发展。

本市建立面向各类市场主体的数据双向开放赋能机制,推动公共数据与企业数据的融合应用创新,促进企业数字化转型,推进降本提质增效。

第六十条(数据赋能生活数字化转型)

本市促进数据技术和服务业深度融合,推动公共卫生、医疗、教育、养老、就业等基本民生领域的数据资源深度开发和应用,以数字化促进公共服务均衡、精准、充分发展。

本市加强政府、企业、社会等各领域的数据融合应用,促进商业、文娱、体育、旅游等质量民生领域的数字化转型,创新业态模式,提升高品质、个性化的数字生活体验。

本市设立支持政策,推动消除“数字鸿沟”。支持网站、手机应用程序、公共场所智慧终端设施等面向残疾人群体和适老化数字改造。

第六十一条(数据赋能治理数字化转型)

本市依托全社会数据资源的开发应用,推动建立科学化、精细化、智能化的经济治理、社会治理、城市治理体系。

本市推动治理大系统大平台整体规划,推动数字技术在企业全周期服务、综合经济运行、综合监管等领域的深度应用,提升基层治理、个人服务、法治建设的数字化能力,建设涵盖城市规划、建设、管理、运行的数字化综合应用体系。

第六十二条(空间载体)

本市建设数字化转型示范区,创新数据资源综合利用的业态模式,重塑城市经济、生活、治理的新型空间载体,引领打造具有全球影响力的“国际数字之都”。

支持新城等重点区域同步规划关键信息基础设施,完善城市空间、产业空间、生活空间等领域数据资源的全生命周期管理机制,组织实施“全域感知、全数融通、全时响应、全景赋能”的建设指引,推动区域整体性转变。

市、区人民政府应当根据本市产业功能布局,推动特色园区整体数字化转型,鼓励开展数据产业集聚区规划,发展人工智能、智能制造、在线新经济、大数据等数字产业特色园区。

第六章   浦东新区数据改革

第六十三条(创新探索)

本市支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。

第六十四条(公共数据深度共享)

本市支持浦东新区探索与海关、统计、税务、人民银行、银保监、证监等国家有关部门建立数据共享使用机制,通过接口调用等方式实现浦东新区公共数据的实时共享。浦东新区应当结合重大风险防范、营商环境提升、公共服务优化等重大改革创新工作,提出数据应用场景需求清单。

浦东新区应当健全各个区级公共管理和服务机构之间的公共数据共享机制。

第六十五条数据交易所

本市按照国家要求在浦东新区设立数据交易所,开展实质化运营。

数据交易所应当按照相关法律、行政法规和有关主管部门的规定,为数据集中交易提供场所与设施,组织和监管数据交易。

数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型大数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。

浦东新区鼓励和引导自然人、法人和非法人组织依法通过数据交易所进行交易。

浦东新区政府部门和国有企业应当通过数据交易所进行数据采购和流通交易。

第六十六条(国际数据港建设)

本市根据国家部署,推进国际数据港建设,聚焦中国(上海)自由贸易试验区临港新片区(以下简称临港新片区),构建国际互联网数据专用通道、功能型数据中心等新型基础设施,打造全球数据汇聚流转枢纽平台。

第六十七条(数据跨境流动)

本市按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。

在临港新片区依法开展跨境数据活动的自然人、法人和非法人组织,应当按照要求报送相关信息。

本市在临港新片区建设离岸数据中心,按照国际协定和法律规定引进境外数据,支持企业开展相关数据处理活动。

第六十八条(产业发展)

本市按照国家相关要求,采取相关措施,支持浦东新区培育国际化数据产业,引进相关企业和项目。

本市支持浦东新区加强应用基础研究,有序放宽应用领域数据开发和利用的限制,促进浦东新区特色产业发展。

本市支持浦东新区建立算法评价标准体系,推动算法知识产权保护。

本市支持在浦东新区建设行业性数据枢纽,打造基础设施和平台,促进重大产业链供应链数据互联互通。

第六十九条(数字信任体系)

本市支持浦东新区建立数据交易的数字信任体系,创新融合大数据、区块链、零信任等数字化技术,构建数字信任基础设施,保障可信数据交易服务。

第七章  长三角区域数据合作

第七十条(建设全国一体化大数据中心体系长三角国家枢纽节点)

本市按照国家部署,协同长三角区域其他省建设全国一体化大数据中心体系长三角国家枢纽节点,优化数据中心和存算资源布局,引导数据中心集约化、规模化、绿色化发展,推动算力、数据、应用资源集约化和服务化创新,全面支撑长三角区域各行业数字化升级和产业数字化转型。

第七十一条(长三角区域数据标准规范体系)

本市会同长三角区域其他省加强长三角区域数据标准化体系建设,按照区域数据共享需要,共同建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等基础性标准和规范,促进数据资源共享和利用。

第七十二条(长三角区域数据共享)

本市依托全国一体化政务服务平台建设长三角一体化数据共享交换平台,支撑长三角区域数据共享共用、业务协同和场景应用建设,推动数据有效流动和开发利用。

本市会同长三角区域其他省推动建立以需求清单、责任清单和共享数据资源目录为基础的长三角区域数据共享机制。

第七十三条(长三角区域数据质量管理)

本市会同长三角区域其他省推动建立跨区域数据异议核实与处理、数据对账机制,确保各省级行政区域提供的数据与长三角数据共享交换平台数据的一致性,实现数据可对账、可校验、可稽核,问题可追溯、可处理。

第七十四条(数字认证等跨区域协同)

本市会同长三角区域其他省促进数字认证体系、电子证照等的跨区域互认互通,支撑政务服务和城市运行管理跨区域协同。

第七十五条(长三角区域数字发展合作)

本市会同长三角区域其他省推动区块链、隐私计算等数据安全流通技术的利用,建立跨区域的数据融合开发利用机制,发挥数据在跨区域协同发展中的创新驱动作用。

第八章   数据安全

第七十六条(数据安全责任主体)

本市实行数据安全责任制,数据处理者是数据安全责任主体。

数据同时存在多个处理者的,各数据处理者分别承担各自的安全责任。

数据处理者因合并、分立、并购等方式变更的,由新的数据处理者继续承担数据安全保护责任。

第七十七条(数据安全保护义务)

开展数据处理活动,应当履行以下义务,保障数据安全:

(一)依照法律、法规的规定,建立健全全流程数据安全管理制度;

(二)组织开展数据安全教育培训;

(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据泄露、篡改、丢失;

(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;

(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;

(七)法律、法规规定的其他数据安全保护义务。

第七十八条(数据分类分级保护制度)

本市按照国家要求建立健全数据分类分级保护制度,推动本地区数据安全治理工作。

本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。具体目录由市政府办公厅会同有关部门编制。

第七十九条(重要数据安全)

重要数据处理者应当明确数据安全责任人和管理机构,定期对其数据处理活动开展风险评估,并向行业主管部门、市网信部门和公安机关报送风险评估报告。

处理重要数据应当按照法律、行政法规及国家有关规定执行。

第八十条(公共数据安全管理的特别规定)

市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市相关标准规范对公共数据进行安全分级,在数据收集、使用和人员管理等业务环节承担安全责任。

属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据安全等级提供安全防护措施。

第八十一条(监测预警)

本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。

数据处理者应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。

第八十二条(安全事件的应急处置)

本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

第八十三条(安全检测评估与认证)

本市支持数据安全检测评估、认证等专业机构依法开展服务活动。

本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

第九章   法律责任

第八十四条(指引规定)

违反本条例规定,法律、行政法规有规定的,从其规定。

第八十五条(公共管理和服务机构的法律责任)

国家机关、履行公共管理和服务职能的事业单位及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分:

(一)未按照本条例第十六条规定明确突发事件处置所需数据的使用目的、范围和方式或者使用数据的;

(二)违反本条例第二十五条第二款规定,擅自新建跨部门、跨层级的数据资源平台、共享交换和开放渠道,或者未按规定进行整合的;

(三)未按照本条例第二十六条规定编制公共数据目录的;

(四)未按照本条例第二十八条、第三十一条、第三十六条、第三十七条、第三十八条、第四十条规定收集、归集、共享、开放公共数据的;

(五)未按照本条例第三十三条第二款规定履行公共数据质量管理义务的;

(六)未通过公共数据开放或者授权运营等法定渠道,擅自将公共数据提供给市场主体的。

第八十六条(设置不公平交易条件的处罚)

市场主体违反本条例第五十一条第二款的规定,滥用技术手段设置不公平交易条件,侵害消费者合法权益,由市市场监督管理部门责令改正,没收违法所得;拒不改正的,处十万元以上一百万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最低不低于一百万元,最高不超过五千万元。

第八十七条(违反规定交易数据的处罚)

市场主体违反本条例第五十四条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照各自职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款。

第八十八条(信用惩戒)

对侵犯个人信息、构成数据垄断等违反本条例禁止性规定行为的,相关信息纳入本市公共信用信息服务平台,由有关部门依法开展联动惩戒。

第八十九条(公益诉讼)

对于数据处理者违反本条例规定处理个人信息,侵害众多个人权益的,人民检察院、市消费者权益保护委员会,以及由网信部门确定的组织,可以依法向人民法院提起诉讼。

第十章   附  则

第九十条(参照执行)

除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。

第九十一条(施行日期)

本条例自   年 月 日起施行。

来源:上海人大

【END】

为您推荐

发表回复