第二章 数据权益保障

　　第一节 一般规定

　　第十二条 本市依法保护自然人对其个人信息享有的人格权益。

　　本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益，以及在数字经济发展中有关数据创新活动取得的合法财产权益。

　　第十三条 自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据，不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的，应当在法律、行政法规规定的目的和范围内收集。

　　第十四条 自然人、法人和非法人组织对其合法取得的数据，可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。

　　第十五条 自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。

　　第十六条 市、区人民政府及其有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。

　　要求自然人、法人和非法人组织提供数据的，应当在其履行法定职责的范围内依照法定的条件和程序进行，并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供。

　　第十七条 自然人、法人和非法人组织开展数据处理活动、行使相关数据权益，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德，诚实守信，不得危害国家安全和公共利益，不得损害他人的合法权益。

　　第二节 个人信息特别保护

　　第十八条 除法律、行政法规另有规定外，处理个人信息的，应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

　　处理个人自行公开或者其他已经合法公开的个人信息，应当依法在合理的范围内进行；个人明确拒绝的除外。处理已公开的个人信息，对个人权益有重大影响的，应当依法取得个人同意。

　　第十九条 基于个人同意处理个人信息的，应当保证个人在充分知情的前提下自愿、明确作出同意，不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得同意。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

　　处理者在提供产品或者服务时，不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

　　第二十条 处理个人信息前，应当向个人告知下列事项：

　　（一）处理者的名称或者姓名和联系方式；

　　（二）处理个人信息的目的、方式；

　　（三）处理的个人信息种类、保存期限；

　　（四）个人依法享有的权利以及行使权利的方式和程序；

　　（五）法律、行政法规规定应当告知的其他事项。

　　处理者应当以显著方式、清晰易懂的语言真实、准确、完整地告知前款事项。

　　第二十一条 个人发现其个人信息不准确或者不完整的，有权请求处理者更正、补充。

　　有下列情形之一的，处理者应当主动删除个人信息；处理者未删除的，个人有权请求删除：

　　（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

　　（二）处理者停止提供产品或者服务，或者保存期限已届满；

　　（三）个人撤回同意；

　　（四）处理者违反法律、行政法规或者违反约定处理个人信息；

　　（五）法律、行政法规规定的其他情形。

　　对属于本条第一款、第二款情形的，处理者应当分别予以更正、补充、删除。法律、行政法规另有规定的，从其规定。

　　第二十二条 处理自然人生物识别信息的，应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意；法律、行政法规另有规定的，从其规定。

　　第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著标识。

　　所收集的个人图像、身份识别信息，只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

　　本条第一款规定的公共场所或者区域，不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。

　　第二十四条 利用个人信息进行自动化决策，应当遵循合法、正当、必要、诚信的原则，保证决策的透明度和结果的公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

　　通过自动化决策方式向个人进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

　　通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求处理者予以说明，并有权拒绝处理者仅通过自动化决策的方式作出决定。

　　第八章 数据安全

　　第七十八条 本市实行数据安全责任制，数据处理者是数据安全责任主体。

　　数据同时存在多个处理者的，各数据处理者承担相应的安全责任。

　　数据处理者发生变更的，由新的数据处理者承担数据安全保护责任。

　　第七十九条 开展数据处理活动，应当履行以下义务，保障数据安全：

　　（一）依照法律、法规的规定，建立健全全流程数据安全管理制度和技术保护机制；

　　（二）组织开展数据安全教育培训；

　　（三）采取相应的技术措施和其他的必要措施，确保数据安全，防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用；

　　（四）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；

　　（五）发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告；

　　（六）利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务；

　　（七）法律、法规规定的其他数据安全保护义务。

　　第八十条 本市按照国家要求，建立健全数据分类分级保护制度，推动本地区数据安全治理工作。

　　本市建立重要数据目录管理机制，对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制，并按照规定报送国家有关部门。

　　第八十一条 重要数据处理者应当明确数据安全责任人和管理机构，按照规定定期对其数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告。

　　处理重要数据应当按照法律、行政法规及国家有关规定执行。

　　第八十二条 市级责任部门应当制定本系统、行业公共数据安全管理制度，并根据国家和本市数据分类分级相关要求对公共数据进行分级，在数据收集、使用和人员管理等业务环节承担安全责任。

　　属于市大数据中心实施信息化工作范围的，市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任，并按照数据等级采取安全防护措施。

　　第八十三条 本市按照国家统一部署，建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制，加强本地区数据安全风险信息的获取、分析、研判、预警工作。

　　第八十四条 本市按照国家统一部署，建立健全数据安全应急处置机制。发生数据安全事件，市网信部门应当会同市公安机关依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

　　第八十五条 本市支持数据安全检测评估、认证等专业机构依法开展服务活动。

　　本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

　　第十章 附则

　　第九十条 除本条例第二条第四项规定的公共管理和服务机构外，运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据，参照公共数据的有关规定执行。法律、行政法规另有规定的，从其规定。

　　第九十一条 本条例自2022年1月1日起施行。