上海市数据条例（2）

　　
　　【颁布机关】上海市人民代表大会常务委员会
　　【发布文号】
　　【发布日期】2021-11-25
　　【实施日期】2022-01-01
　　【效力位阶】地方性法规

　　（2021年11月25日上海市第十五届人民代表大会常务委员会第三十七次会议通过）

　　第八章  数据安全

　　第七十八条  本市实行数据安全责任制，数据处理者是数据安全责任主体。
　　数据同时存在多个处理者的，各数据处理者承担相应的安全责任。
　　数据处理者发生变更的，由新的数据处理者承担数据安全保护责任。
　　第七十九条  开展数据处理活动，应当履行以下义务，保障数据安全：
　　（一）依照法律、法规的规定，建立健全全流程数据安全管理制度和技术保护机制；
　　（二）组织开展数据安全教育培训；
　　（三）采取相应的技术措施和其他的必要措施，确保数据安全，防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用；
　　（四）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；
　　（五）发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告；
　　（六）利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务；
　　（七）法律、法规规定的其他数据安全保护义务。
　　第八十条  本市按照国家要求，建立健全数据分类分级保护制度，推动本地区数据安全治理工作。
　　本市建立重要数据目录管理机制，对列入目录的数据进行重点保护。重要数据的具体目录由市政府办公厅会同市网信等部门编制，并按照规定报送国家有关部门。
　　第八十一条  重要数据处理者应当明确数据安全责任人和管理机构，按照规定定期对其数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告。
　　处理重要数据应当按照法律、行政法规及国家有关规定执行。
　　第八十二条  市级责任部门应当制定本系统、行业公共数据安全管理制度，并根据国家和本市数据分类分级相关要求对公共数据进行分级，在数据收集、使用和人员管理等业务环节承担安全责任。
　　属于市大数据中心实施信息化工作范围的，市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任，并按照数据等级采取安全防护措施。
　　第八十三条  本市按照国家统一部署，建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制，加强本地区数据安全风险信息的获取、分析、研判、预警工作。
　　第八十四条  本市按照国家统一部署，建立健全数据安全应急处置机制。发生数据安全事件，市网信部门应当会同市公安机关依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。
　　第八十五条  本市支持数据安全检测评估、认证等专业机构依法开展服务活动。
　　本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
　　第八十六条  违反本条例规定，法律、行政法规有规定的，从其规定。
　　第八十七条  国家机关、履行公共管理和服务职责的事业单位及其工作人员有下列行为之一的，由本级人民政府或者上级主管部门责令改正；情节严重的，由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分：
　　（一）未按照本条例第十六条第二款规定收集或者使用数据的；
　　（二）违反本条例第二十七条第二款规定，擅自新建跨部门、跨层级的数据资源平台、共享、开放渠道，或者未按规定进行整合的；
　　（三）未按照本条例第二十八条规定编制公共数据目录的；
　　（四）未按照本条例第三十条、第三十三条、第三十八条、第三十九条、第四十条、第四十二条规定收集、归集、共享、开放公共数据的；
　　（五）未按照本条例第三十五条第一款规定履行公共数据质量管理义务的；
　　（六）未通过公共数据开放或者授权运营等法定渠道，擅自将公共数据提供给市场主体的。
　　第八十八条  违反本条例规定，依法受到行政处罚的，相关信息纳入本市公共信用信息服务平台，由有关部门依法开展联合惩戒。
　　第八十九条  违反本条例规定处理个人信息，侵害众多个人的权益的，人民检察院、市消费者权益保护委员会，以及由国家网信部门确定的组织，可以依法向人民法院提起诉讼。
　　第九十条  除本条例第二条第四项规定的公共管理和服务机构外，运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据，参照公共数据的有关规定执行。法律、行政法规另有规定的，从其规定。
　　第九十一条  本条例自2022年1月1日起施行。