《深圳经济特区数据条例》经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,现予公布,自2022年1月1日起施行。
数据安全管理遵循政府监管、责任主体负责、积极防御、综合防范的原则,坚持安全和发展并重,鼓励研发数据安全技术,保障数据全生命周期安全,重视数据销毁。
市人民政府应当统筹全市数据安全管理工作,建立和完善数据安全综合治理体系。
数据处理者应当依照法律、法规规定,建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施,不断提升技术手段,确保数据安全。
数据处理者因合并、分立、收购等变更的,由变更后的数据处理者继续落实数据安全管理责任。
处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。
市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录,对列入目录的数据进行重点保护。
数据安全管理
数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施。
数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度。
数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。
数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外。
数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。
受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外。
数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查。
数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。
监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施。
处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告。
数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
数据安全监督
市网信部门应当依照有关法律、行政法规以及本条例规定负责统筹协调数据安全和相关监督工作,并会同市公安、国家安全等部门和有关行业主管部门建立健全数据安全监督机制,组织数据安全监督检查。
市网信部门应当会同有关主管部门加强数据安全风险分析、预测、评估,收集相关信息;发现可能导致较大范围数据泄露、毁损、丢失、篡改等数据安全事件的,应当及时发布预警信息,提出防范应对措施,指导、监督数据处理者做好数据安全保护工作。
市网信部门以及其他履行数据安全监督职责的部门可以委托第三方机构,按照法律、法规规定和相关标准要求,对数据处理者开展数据安全管理认证以及数据安全评估工作,并对其进行安全等级评定。
市网信部门以及其他履行数据安全监督职责的部门在履行职责过程中,发现数据处理者未按照规定落实安全管理责任的,应当按照规定约谈数据处理者,督促其整改。
市网信部门以及其他数据监督管理部门及其工作人员,应当对在履行职责过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
《深圳经济特区数据条例》近2万字,主要涵盖个人数据保护、公共数据共享开放、数据要素市场培育和数据安全四个方面。可以说,每一个部分都触碰到了当下数据领域最核心的部分。对普通公众来说,大家最关心的,应该还是个人信息保护。
在个人数据保护方面,是跟国家的个人信息保护法,正在审议过程中的个人信息保护法二稿,保持相衔接。同时结合现实中一些反映比较突出的问题,重点解决了一个机制,这个机制就是所有处理个人数据的一个基本原则,它是基于告知同意的基本原则。
《深圳经济特区数据条例》确立以“告知-同意”为前提的个人数据处理规则,即处理个人信息,应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。
《深圳经济特区数据条例》还强调,不得滥用人脸识别数据,用户有权拒绝数据处理者对其进行个性化推荐。
针对“大数据杀熟” 处罚设上限5000万元
《深圳经济特区数据条例》还涉及到了数据要素市场的培育,在填补目前数据交易相关法律规范空白的同时,也首次确立数据公平竞争有关制度。例如针对数据要素市场“大数据杀熟”等竞争乱象,该条例明确规定,处罚上限设为5000万元。
为了解决社会对数据管理人才的紧迫需求,规范化数字要素市场,满足《深圳经济特区数据条例》中推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护三项要求,DAMA中国特就决定建立一个长期的“数据人才”成长计划,面向个人开展培训认证。
Comments