深圳经济特区数据条例

深圳市第七届人民代表大会常务委员会公告第十号

《深圳经济特区数据条例》经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过，现予公布，自2022年1月1日起施行。

深圳市人民代表大会常务委员会

2021年7月6日

深圳经济特区数据条例

（2021年6月29日深圳市第七届人民代表大会常务委员会第二次会议通过）

第一章 总则

第一条  为了规范数据处理活动，保护自然人、法人和非法人组织的合法权益，促进数据作为生产要素开放流动和开发利用，加快建设数字经济、数字社会、数字政府，根据有关法律、行政法规的基本原则，结合深圳经济特区实际，制定本条例。

第二条  本条例中下列用语的含义：

（一）数据，是指任何以电子或者其他方式对信息的记录。

（二）个人数据，是指载有可识别特定自然人信息的数据，不包括匿名化处理后的数据。

（三）敏感个人数据，是指一旦泄露、非法提供或者滥用，可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据，具体范围依照法律、行政法规的规定确定。

（四）生物识别数据，是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据，包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。

（五）公共数据，是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。

（六）数据处理，是指数据的收集、存储、使用、加工、传输、提供、开放等活动。

（七）匿名化，是指个人数据经过处理无法识别特定自然人且不能复原的过程。

（八）用户画像，是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动，包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。

（九）公共管理和服务机构，是指本市国家机关、事业单位和其他依法管理公共事务的组织，以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织。

第三条  自然人对个人数据享有法律、行政法规及本条例规定的人格权益。

处理个人数据应当具有明确、合理的目的，并遵循最小必要和合理期限原则。

第四条  自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是，不得危害国家安全和公共利益，不得损害他人的合法权益。

第五条  处理公共数据应当遵循依法收集、统筹管理、按需共享、有序开放、充分利用的原则，充分发挥公共数据资源对优化公共管理和服务、提升城市治理现代化水平、促进经济社会发展的积极作用。

第六条  市人民政府应当建立健全数据治理制度和标准体系，统筹推进个人数据保护、公共数据共享开放、数据要素市场培育及数据安全监督管理工作。

第七条  市人民政府设立市数据工作委员会，负责研究、协调本市数据管理工作中的重大事项。市数据工作委员会的日常工作由市政务服务数据管理部门承担。

市数据工作委员会可以设立若干专业委员会。

第八条  市网信部门负责统筹协调本市个人数据保护、网络数据安全、跨境数据流通等相关监督管理工作。

市政务服务数据管理部门负责本市公共数据管理的统筹、指导、协调和监督工作。

市发展改革、工业和信息化、公安、财政、人力资源保障、规划和自然资源、市场监管、审计、国家安全等部门依照有关法律、法规，在各自职责范围内履行数据监督管理相关职能。

市各行业主管部门负责本行业数据管理工作的统筹、指导、协调和监督。

第二章 个人数据

第一节 一般规定

第九条  处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。

第十条  处理个人数据应当符合下列要求：

（一）处理个人数据的目的明确、合理，方式合法、正当；

（二）限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，不得进行与处理目的无关的个人数据处理；

（三）依法告知个人数据处理的种类、范围、目的、方式等，并依法征得同意；

（四）保证个人数据的准确性和必要的完整性，避免因个人数据不准确、不完整给当事人造成损害；

（五）确保个人数据安全，防止个人数据泄露、毁损、丢失、篡改和非法使用。

第十一条  本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，包括但是不限于下列情形：

（一）处理个人数据的种类、范围应当与处理目的有直接关联，不处理该个人数据则处理目的无法实现；

（二）处理个人数据的数量应当为实现处理目的所必需的最少数量；

（三）处理个人数据的频率应当为实现处理目的所必需的最低频率；

（四）个人数据存储期限应当为实现处理目的所必需的最短时间，超出存储期限的，应当对个人数据予以删除或者匿名化，法律、法规另有规定或者经自然人同意的除外；

（五）建立最小授权的访问控制策略，使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据，且仅具备完成职责所需的最少数据处理权限。

第十二条  数据处理者不得以自然人不同意处理个人数据为由，拒绝向其提供相关核心功能或者服务。但是，该个人数据为提供相关核心功能或者服务所必需的除外。

第十三条  市网信部门应当会同市工业和信息化、公安、市场监管等部门以及相关行业主管部门建立健全个人数据保护监督管理联合工作机制，加强对个人数据保护和相关监督管理工作的统筹和指导；建立个人数据保护投诉举报处理机制，依法处理相关投诉举报。

第二节 告知与同意

第十四条  处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项：

（一）数据处理者的姓名或者名称以及联系方式；

（二）处理个人数据的种类和范围；

（三）处理个人数据的目的和方式；

（四）存储个人数据的期限；

（五）处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施；

（六）自然人依法享有的相关权利以及行使权利的方式；

（七）法律、法规规定应当告知的其他事项。

处理敏感个人数据的，应当依照前款规定，以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响。

第十五条  紧急情况下为了保护自然人的人身、财产安全等重大合法权益，无法依照本条例第十四条规定进行事前告知的，应当在紧急情况消除后及时告知。

处理个人数据有法律、行政法规规定应当保密或者无需告知情形的，不适用本条例第十四条规定。

第十六条  数据处理者应当在处理个人数据前，征得自然人的同意，并在其同意范围内处理个人数据，但是法律、行政法规以及本条例另有规定的除外。

前款规定应当征得同意的事项发生变更的，应当重新征得同意。

第十七条  数据处理者不得通过误导、欺骗、胁迫或者其他违背自然人真实意愿的方式获取其同意。

第十八条  处理敏感个人数据的，应当在处理前征得该自然人的明示同意。

第十九条  处理生物识别数据的，应当在征得该自然人明示同意时，提供处理其他非生物识别数据的替代方案。但是，处理生物识别数据为处理个人数据目的所必需，且不能为其他个人数据所替代的除外。

基于特定目的处理生物识别数据的，未经自然人明示同意，不得将该生物识别数据用于其他目的。

生物识别数据具体管理办法由市人民政府另行制定。

第二十条  处理未满十四周岁的未成年人个人数据的，按照处理敏感个人数据的有关规定执行，并应当在处理前征得其监护人的明示同意。

处理无民事行为能力或者限制民事行为能力的成年人个人数据的，应当在处理前征得其监护人的明示同意。

第二十一条  处理个人数据有下列情形之一的，可以在处理前不征得自然人的同意：

（一）处理自然人自行公开或者其他已经合法公开的个人数据，且符合该个人数据公开时的目的；

（二）为了订立或者履行自然人作为一方当事人的合同所必需；

（三）数据处理者因人力资源管理、商业秘密保护所必需，在合理范围内处理其员工个人数据；

（四）公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需；

（五）新闻单位依法进行新闻报道所必需；

（六）法律、行政法规规定的其他情形。

第二十二条  自然人有权撤回部分或者全部其处理个人数据的同意。

自然人撤回同意的，数据处理者不得继续处理该自然人撤回同意范围内的个人数据。但是，不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理。法律、法规另有规定的，从其规定。

第二十三条  处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径，不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件。

第三节 个人数据处理

第二十四条  个人数据不准确或者不完整的，数据处理者应当根据自然人的要求及时补充、更正。

第二十五条  有下列情形之一的，数据处理者应当及时删除个人数据：

（一）法律、法规规定或者约定的存储期限届满；

（二）处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要；

（三）自然人撤回同意且要求删除个人数据；

（四）数据处理者违反法律、法规规定或者双方约定处理数据，自然人要求删除；

（五）法律、法规规定的其他情形。

有前款第一项、第二项规定情形，但是法律、法规另有规定或者经自然人同意的，数据处理者可以保留相关个人数据。

数据处理者根据本条第一款规定删除个人数据的，可以留存告知和同意的证据，但是不得超过其履行法定义务或者处理纠纷需要的必要限度。

第二十六条  数据处理者向他人提供其处理的个人数据，应当对个人数据进行去标识化处理，使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的，数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。

第二十七条  数据处理者向他人提供其处理的个人数据有下列情形之一的，可以不进行去标识化处理：

（一）应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的；

（二）基于自然人的同意向他人提供相关个人数据的；

（三）为了订立或者履行自然人作为一方当事人的合同所必需的；

（四）法律、行政法规规定的其他情形。

第二十八条  自然人可以向数据处理者要求查阅、复制其个人数据，数据处理者应当按照有关规定及时提供，并不得收取费用。

第二十九条  数据处理者基于提升产品或者服务质量的目的，对自然人进行用户画像的，应当向其明示用户画像的具体用途和主要规则。

自然人可以拒绝数据处理者根据前款规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务，数据处理者应当以易获取的方式向其提供拒绝的有效途径。

第三十条  数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是，为了维护其合法权益并征得其监护人明示同意的除外。

第三十一条  数据处理者应当建立自然人行使相关权利和投诉举报的处理机制，并以易获取的方式提供有效途径。

数据处理者收到行使权利要求或者投诉举报的，应当及时受理，并依法采取相应处理措施；拒绝要求事项或者投诉的，应当说明理由。

第三章 公共数据

第一节 一般规定

第三十二条  市数据工作委员会设立公共数据专业委员会，负责研究、协调公共数据管理工作中的重大事项。

市政务服务数据管理部门承担市公共数据专业委员会日常工作，并负责统筹全市公共数据管理工作，建立和完善公共数据资源管理体系，推进公共数据共享、开放和利用。

区政务服务数据管理部门在市政务服务数据管理部门指导下，负责统筹本区公共数据管理工作。

第三十三条  市人民政府应当建立城市大数据中心，建立健全其建设运行管理机制，实现对全市公共数据资源统一、集约、安全、高效管理。

各区人民政府可以按照全市统一规划，建设城市大数据中心分中心，将公共数据资源纳入城市大数据中心统一管理。

城市大数据中心包括公共数据资源和支撑其管理的软硬件基础设施。

第三十四条  市政务服务数据管理部门负责推动公共数据向城市大数据中心汇聚，组织公共管理和服务机构依托城市大数据中心开展公共数据共享、开放和利用。

第三十五条  实行公共数据分类管理制度。

市政务服务数据管理部门负责统筹本市公共数据资源体系整体规划、建设和管理，并会同相关部门建设和管理人口、法人、房屋、自然资源与空间地理、电子证照、公共信用等基础数据库。

各行业主管部门应当按照公共数据资源体系整体规划和相关制度规范要求，规划本行业公共数据资源体系，建设并管理相关主题数据库。

公共管理和服务机构应当按照公共数据资源体系整体规划、行业专项规划和相关制度规范要求，建设、管理本机构业务数据库。

第三十六条  实行公共数据目录管理制度。

市政务服务数据管理部门负责建立全市统一的公共数据资源目录体系，制定公共数据资源目录编制规范，组织公共管理和服务机构按照公共数据资源目录编制规范要求编制目录、处理各类公共数据，明确数据来源部门和管理职责。

公共管理和服务机构应当按照公共数据资源目录编制规范要求，对本机构的公共数据进行目录管理。

第三十七条  公共管理和服务机构收集数据应当符合下列要求：

（一）为依法履行公共管理职责或者提供公共服务所必需，且在其履行的公共管理职责或者提供的公共服务范围内；

（二）收集数据的种类和范围与其依法履行的公共管理职责或者提供的公共服务相适应；

（三）收集程序符合法律、法规相关规定。

公共管理和服务机构可以通过共享方式获得的数据，不得另行向自然人、法人和非法人组织收集。

第三十八条  公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录。

第三十九条  市政务服务数据管理部门应当组织制定公共数据质量管理制度和规范，建立健全质量监测和评估体系，并组织实施。

公共管理和服务机构应当按照公共数据质量管理制度和规范，建立和完善本机构数据质量管理体系，加强数据质量管理，保障数据真实、准确、完整、及时、可用。

市公共数据专业委员会应当定期对公共管理和服务机构数据管理工作进行评价，并向市数据工作委员会报告评价结果。

第四十条  市人民政府应当加强公共数据共享、开放和利用体制机制和技术创新，不断提高公共数据共享、开放和利用的质量与效率。

第二节 公共数据共享

第四十一条  公共数据应当以共享为原则，不共享为例外。

市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据共享需求对接机制和相关管理制度。

第四十二条  纳入公共数据共享目录的公共数据，应当按照有关规定通过城市大数据中心的公共数据共享平台在有需要的公共管理和服务机构之间及时、准确共享，法律、法规另有规定的除外。

公共数据共享目录由市政务服务数据管理部门另行制定，并及时调整。

第四十三条  公共管理和服务机构可以根据依法履行公共管理职责或者提供公共服务的需要提出公共数据共享申请，明确数据使用的依据、目的、范围、方式及相关需求，并按照本级政务服务数据管理部门和数据提供部门的要求，加强共享数据使用管理，不得超出使用范围或者用于其他目的。

公共数据提供部门应当在规定时间内，回应公共数据使用部门的共享需求，并提供必要的数据使用指导和技术支持。

第四十四条  公共管理和服务机构依法履行公共管理职责或者提供公共服务所需要的数据，无法通过公共数据共享平台共享获得的，可以由市人民政府统一对外采购，并按照有关规定纳入公共数据共享目录，具体工作由市政务服务数据管理部门统筹。

第三节 公共数据开放

第四十五条  本条例所称公共数据开放，是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据的活动。

第四十六条  公共数据开放应当遵循分类分级、需求导向、安全可控的原则，在法律、法规允许范围内最大限度开放。

第四十七条  依照法律、法规规定开放公共数据，不得收取任何费用。法律、行政法规另有规定的，从其规定。

第四十八条  公共数据按照开放条件分为无条件开放、有条件开放和不予开放三类。

无条件开放的公共数据，是指应当无条件向自然人、法人和非法人组织开放的公共数据；有条件开放的公共数据，是指按照特定方式向自然人、法人和非法人组织平等开放的公共数据；不予开放的公共数据，是指涉及国家安全、商业秘密和个人隐私,或者法律、法规等规定不得开放的公共数据。

第四十九条  市政务服务数据管理部门应当建立以公共数据资源目录体系为基础的公共数据开放管理制度，编制公共数据开放目录并及时调整。

有条件开放的公共数据，应当在编制公共数据开放目录时明确开放方式、使用要求及安全保障措施等。

第五十条  市政务服务数据管理部门应当依托城市大数据中心建设统一、高效的公共数据开放平台，并组织公共管理和服务机构通过该平台向社会开放公共数据。

公共数据开放平台应当根据公共数据开放类型，提供数据下载、应用程序接口和安全可信的数据综合开发利用环境等多种数据开放服务。

第四节 公共数据利用

第五十一条  市人民政府应当加快推进数字政府建设，深化数据在经济调节、市场监管、社会管理、公共服务、生态环境保护中的应用，建立和完善运用数据管理的制度规则，创新政府决策、监管及服务模式，实现主动、精准、整体式、智能化的公共管理和服务。

第五十二条  市人民政府应当依托城市大数据中心建设基于统一架构的业务中枢、数据中枢和能力中枢，形成统一的城市智能中枢平台体系，为公共管理和服务以及各区域各行业应用提供统一、全面的数字化服务，促进技术融合、业务融合、数据融合。

市人民政府可以依托城市智能中枢平台建设政府管理服务指挥中心，建立和完善运行管理机制，推动政府整体数字化转型，深化跨层级、跨地域、跨系统、跨部门、跨业务的数据共享和业务协同，建立统一指挥、一体联动、智能精准、科学高效的政府运行体系。

各行业主管部门应当依托城市智能中枢平台建设本行业管理服务平台，推动本行业管理服务全面数字化。

各区人民政府应当依托城市智能中枢平台，以服务基层为目标，整合数据资源、优化业务流程、创新管理模式，推进基层治理与服务科学化、精细化、智能化。

第五十三条  市人民政府应当依托城市智能中枢平台，推动业务整合和流程再造，深化前台统一受理、后台协同审批、全市一体运作的整体式政务服务模式创新。

市政务服务数据管理部门应当推动公共管理和服务机构加强公共数据在公共管理和服务过程中的创新应用，精简办事材料、环节，优化办事流程；对于可以通过数据比对作出审批决定的事项，可以开展无人干预智能审批。

第五十四条  市人民政府应当依托城市智能中枢平台，加强监管数据和信用数据归集、共享，充分利用公共数据和各领域监管系统，推行非现场监管、信用监管、风险预警等新型监管模式，提升监管水平。

第五十五条