5月24日下午，杭州互聯網法院在“中國數谷”舉行數據要素產業(yè)生態(tài)共建活動，并現場發(fā)布《引導企業(yè)數據健康發(fā)展行為指引》（以下簡稱《行為指引》）。

《行為指引》有什么特點？

《行為指引》堅持政治引領、問題導向，聚焦市場主體在大數據產業(yè)發(fā)展中的熱點和難點問題，具有積極推動企業(yè)數據賦能、不斷強化企業(yè)數據合規(guī)管理、有效應對當前數據安全形勢的特點。

《行為指引》的主要內容是什么？

《行為指引》共分為數據收集與存儲、數據開發(fā)利用與加工處理、數據交易、數據出境、數據風險識別與安全保護、附則六大部分內容。

第一部分著眼于數據處理全流程的起點，明確了數據收集與存儲的原則及方式；

第二部分引導企業(yè)挖掘和提升數據價值，穩(wěn)步推動數據資源到數字資產的躍遷；

第三部分探索企業(yè)數據授權使用新模式、數據交易服務體系，強調合法性審查問題，發(fā)揮數據要素的乘數效應；

第四部分瞄準企業(yè)數據出境行為及申報流程合規(guī)問題，促進企業(yè)合理有序進行數據跨境流動；

第五部分聚焦數據安全風險防控問題，明確企業(yè)應當建立數據分類分級保護制度及履行數據安全保護義務；

第六部分闡釋《行為指引》多處用語含義并明晰適用性。

《引導企業(yè)數據健康發(fā)展行為指引》

一、數據收集與存儲

（一）企業(yè)應當遵循合法、正當、必要的原則收集數據，可以適度使用其他經營者控制的具有商業(yè)價值的數據。

法律、法規(guī)對收集、使用數據的目的、范圍有規(guī)定的，應當在規(guī)定的目的和范圍內收集、使用數據。

（二）企業(yè)應當按照個人授權范圍依法依規(guī)收集個人數據，法律、法規(guī)規(guī)定收集數據應當取得個人單獨同意或書面同意的，從其規(guī)定。

企業(yè)應當對所收集的個人數據進行去標識化或者匿名化處理，記錄數據處理全流程，不得泄露或者篡改收集的個人數據，不得違反法律、法規(guī)規(guī)定和雙方約定收集、使用個人數據，并應當依照法律、法規(guī)規(guī)定和雙方約定，處理其保存的個人數據。

（三）企業(yè)在經營管理過程中向第三方獲取數據時，還應對第三方收集數據的方式是否合法、合規(guī)進行審查。

（四）企業(yè)不得非法收集、利用、交易涉及國家安全、公共安全、個人隱私、商業(yè)秘密、軍工科研生產等數據。

企業(yè)收集數據不得損害被收集人和他人的合法權益。

（五）企業(yè)不得實施下列行為，不正當獲取或者使用其他經營者的商業(yè)數據，損害其他經營者和消費者的合法權益，擾亂市場公平競爭秩序：

1.以盜竊、脅迫、欺詐、電子侵入等方式，破壞技術管理措施，不正當獲取其他經營者的商業(yè)數據，不合理地增加其他經營者的運營成本、影響其他經營者的正常經營；

2.違反約定或者合理、正當的數據抓取協議，獲取和使用他人商業(yè)數據，并足以實質性替代其他經營者提供的相關產品或者服務，影響其他經營者的正常經營；

3.披露、轉讓或者使用以不正當手段獲取的其他經營者的商業(yè)數據，并足以實質性替代其他經營者提供的相關產品或者服務；

4.以違反誠實信用和商業(yè)道德的其他方式不正當獲取和使用他人商業(yè)數據，嚴重損害其他經營者和消費者的合法權益，擾亂市場公平競爭秩序。

（六）企業(yè)應當對數據存儲進行分域分級管理，選擇安全性能、防護級別與安全等級相匹配的存儲載體。對敏感個人數據和國家規(guī)定的重要數據還應當采取加密存儲、授權訪問或者其他更加嚴格的安全保護措施。

二、數據開發(fā)利用與加工處理

（七）企業(yè)可以依法使用、加工合法取得的數據，并對依法通過實質性加工和創(chuàng)新性勞動形成的數據產品和服務獲取收益。

企業(yè)在使用、加工等數據處理活動中形成的法定或者約定的財產權益，以及在數字經濟發(fā)展的有關數據創(chuàng)新活動取得的合法權益受法律保護。

（八）鼓勵企業(yè)依法采集生產經營活動各環(huán)節(jié)的數據，開展數據基礎研究和關鍵核心技術攻關， 對非公共數據開展分析發(fā)掘和增值利用，促進市場主體開展多樣化數據處理活動，提升非公共數據質量和價值。結合開放的公共數據，堅持市場和服務導向，開發(fā)行業(yè)大數據產品，利用數據資源發(fā)展新產業(yè)、新業(yè)態(tài)、新模式，發(fā)揮數據資源的經濟價值和社會效益。

（九）鼓勵探索企業(yè)數據授權使用新模式，發(fā)揮國有企業(yè)帶頭作用，引導行業(yè)龍頭企業(yè)、互聯網平臺企業(yè)發(fā)揮帶動作用，促進與中小微企業(yè)雙向公平授權，共同合理使用數據，賦能中小微企業(yè)數字化轉型。

支持第三方機構、中介服務組織加強數據采集和質量評估標準制定，推動數據產品標準化，發(fā)展數據分析、數據服務等產業(yè)。

（十）鼓勵企業(yè)依法通過省級一體化大數據中心或其他平臺共享開放其合法收集的非公共數據和自有商業(yè)數據，法律、法規(guī)規(guī)定不得共享開放的除外。

（十一）企業(yè)進行數據開發(fā)利用應當遵守反壟斷、反不正當競爭、消費者權益保護等相關法律、法規(guī)的規(guī)定，遵守商業(yè)道德和職業(yè)道德，尊重社會公德和倫理，不得利用市場支配地位從事操縱市場、設置排他性合作條款等活動，不得濫用大數據分析等技術手段，基于個人消費數據和消費偏好設置不公平交易條件或者誘導用戶沉迷、過度消費的數據服務規(guī)則，侵犯消費者合法權益。

（十二）企業(yè)開展數據加工處理活動，應當遵守法律法規(guī)和強制性國家標準，遵守公序良俗，并對數據處理全流程進行記錄，保障數據來源合法以及處理全流程清晰、可追溯。

企業(yè)處理個人信息等數據應當遵循合法、正當、 必要和誠信的原則。企業(yè)處理生物識別數據的，應當在征得相關自然人明示同意時，提供處理其他非生物識別數據的替代方案，但處理生物識別數據為處理個人數據目的所必需且不能為其他個人數據所替代的除外。

（十三）企業(yè)進行數據加工處理時不得實施以下行為：

1.危害國家安全、榮譽和利益，泄露國家秘密；

2.侵害他人人格權、知識產權和其他合法權益等；

3.通過竊取或者其他非法方式獲取數據；

4.非法出售或者以其他非法方式向他人提供數據；

5.制作、發(fā)布、復制、傳播違法信息；

6.法律、法規(guī)禁止的其他行為。

任何個人和組織知道或者應當知道他人從事前款活動的，不得為其提供技術支持、工具、程序和廣告推廣、支付結算等服務。

三、數據交易

（十四）企業(yè)依法獲取的數據經過處理無法識別特定個人且不能復原的，或者取得特定數據提供者明確授權的，可以交易、交換或者以其他方式開發(fā)利用。

企業(yè)應當審慎對待原始數據的流轉交易行為。

（十五）企業(yè)應積極參與數據要素市場的建設，針對數據的收集、加工整理、共享利用、交易流通等方面，依法承擔相應責任。

在數據交易過程中，企業(yè)應當強化自我約束，向數據商及第三方專業(yè)服務機構提供流通交易聲明和數據安全承諾書。

（十六）企業(yè)可以通過依法設立的數據交易所或者數據交易中心進行數據交易撮合、簽訂合同、業(yè)務結算等活動，也可以依法自行交易。

從事數據交易活動的市場主體可以依法自主定價。

（十七）企業(yè)參與數據交易，應保證數據來源符合法律規(guī)定，通過授權獲得的數據，應有主體明確的授權同意，不存在侵害國家、公共利益和其他組織、個人合法權益的情形。

企業(yè)應保障交易數據內容的合法真實有效性、完整性，應與交易相對方簽訂數據交易使用協議，明確數據交易的目的、使用范圍、方式等事項，以及發(fā)生爭議的解決途徑。對于數據交易前超出可預見范圍和技術控制能力的數據瑕疵，在采取必要補救措施后仍造成相關損失的，應允許企業(yè)通過事前約定等方式減輕或免除相關責任。

（十八）企業(yè)合法處理數據形成的數據產品和服務可以依法交易，有下列情形之一的除外：

1.危害國家安全、公共利益，侵犯他人合法權益、個人隱私的；

2.未經合法權利人授權同意的；

3.法律、法規(guī)禁止的其他情形。

（十九）企業(yè)不得根據交易相對人的偏好、交易習慣等特征，利用數據分析對交易條件相同的交易相對人實施不合理的差別待遇等違法行為，有下列情形之一的除外：

1.根據交易相對人的實際需求，且符合正當的交易習慣和行業(yè)慣例，實行不同交易條件的；

2.針對新用戶在合理期限內開展優(yōu)惠活動的；

3.基于公平、合理、非歧視規(guī)則實施隨機性交易的；

4.法律、法規(guī)規(guī)定的其他情形。

前款所稱交易條件相同，是指交易相對人在交易安全、交易成本、信用狀況、交易環(huán)節(jié)、交易持續(xù)時間等方面不存在實質性差別。

四、數據出境

（二十）企業(yè)的數據出境行為包括以下情形：

1.企業(yè)將在我國境內運營中收集和產生的數據傳輸、存儲至境外；

2.企業(yè)收集和產生的數據存儲在我國境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；

3.國家網信部門規(guī)定的其他數據出境行為。

非經國家主管機關批準，我國境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于我國境內的數據。

（二十一）企業(yè)向境外提供個人數據時，應符合《個人信息保護法》第四十條規(guī)定，并按照國家網信部門規(guī)定經個人信息保護認證。

企業(yè)應向個人告知境外接收方的名稱、聯系方式、處理目的、個人信息的種類等，并應經過個人單獨同意。企業(yè)應進行個人信息保護影響評估，并對處理情況進行記錄。

（二十二）企業(yè)向境外提供重要數據及符合《數據出境安全評估辦法》第四條規(guī)定的數據處理者等提供個人信息的，應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

企業(yè)應當對所提交材料的真實性負責，故意提交虛假材料的，按照評估不通過處理，并依法追究相應法律責任。

企業(yè)對于數據出境安全評估結果有異議的，應根據國家相關規(guī)定申請復評，復評結果為最終結論。

（二十三）企業(yè)在申報數據出境安全評估前，應自行就境外接收方處理數據的目的、范圍、方式以及出境數據的規(guī)模、種類、敏感程度等進行數據出境風險評估，在評估的基礎上采取必要的安全保護措施，并向省級網信部門提交申報書、數據自評估報告、與境外接收方擬定的法律文件和其他材料，申請數據出境風險評估。企業(yè)應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務。

企業(yè)向境外提供個人信息前，應當開展個人信息保護影響評估，除上述第一款規(guī)定的評估內容外，還應重點評估下列內容：

1.境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全；

2.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險，個人信息權益維護的渠道是否通暢等；

3.境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響；

4.其他可能影響個人信息出境安全的事項。

（二十四）企業(yè)應當建立數據出境安全監(jiān)測機制及數據出境應急響應機制，對數據出境情況進行實時監(jiān)測，發(fā)現數據出境活動存在較大風險或者發(fā)生安全事件的，應當及時進行整改消除隱患，并參照本指引第五部分規(guī)定進行處理。

五、數據風險識別與安全保護

（二十五）鼓勵企業(yè)實行數據安全責任制。數據處理者是數據安全責任主體，同時存在多個數據處理者的，分別承擔各自安全責任。企業(yè)因合并、分立、收購等變更的，由變更后的企業(yè)繼續(xù)落實數據安全管理責任。

（二十六）企業(yè)應當建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度進行分類分級，針對不同類別級別的數據采取相應的安全保護措施，制定相應的合規(guī)政策與制度。

（二十七）企業(yè)開展數據處理活動應當依法履行下列數據安全保護義務：

1.建立健全全流程數據安全管理制度；

2.組織開展數據安全教育培訓；

3.制定數據安全應急預案，開展應急演練；

4.加強風險監(jiān)測，對數據分類分級保護、數據安全措施、數據處理合規(guī)情況等進行動態(tài)實時監(jiān)管評估，發(fā)現數據安全缺陷、漏洞等風險以及侵犯個人信息、 非法獲取計算機信息系統數據、傳播違法信息、侵犯知識產權、非法跨境提供數據等刑事犯罪風險時，立即采取補救措施；

5.發(fā)生數據安全事件時，立即采取處置措施，啟動應急預案，及時告知可能受到影響的用戶，并按照規(guī)定向有關主管部門報告；

6.采取安全保護技術措施，防止數據丟失、篡改、破壞和泄露，保障數據安全；

7.利用互聯網等信息網絡開展數據處理活動時，落實網絡安全等級保護制度，保障數據安全；

8.法律、法規(guī)規(guī)定的其他安全保護義務。

（二十八）企業(yè)在處理重要數據或敏感個人數據時應當明確數據安全責任人和管理機構，在處理重要數據時還應當定期對數據處理活動開展風險評估，并依法向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

企業(yè)對可能損害用戶合法權益的數據安全事件，應當及時告知用戶，并提供減輕危害措施。

企業(yè)開展影響或者可能影響國家安全的數據處理活動，應當按照國家有關規(guī)定，申報網絡安全審查。

六、附則

（二十九）本指引所稱的用語含義如下：

1.數據，是指以容量大、類型多、存取速度快、應用價值高為主要特征的，由經營者依法收集、具有商業(yè)價值并采取相應技術管理措施的數據集合。

2.重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全等的數據。

3.個人數據，是指載有以電子或者其他方式記錄的與已識別或者可識別的自然人信息的數據，不包括匿名化處理后的數據。

4.敏感個人數據，是指一旦泄露、非法提供或者濫用，可能導致自然人受到歧視或者人身、財產安全受到嚴重危害的個人數據，具體范圍依照法律、法規(guī)的規(guī)定確定。

5.生物識別數據，是指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數據，包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數據。

6.數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

7.數據出境，是指數據處理者向境外提供在我國境內運營中收集和產生的重要數據和個人信息。

8.數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

（三十）本指引不具有強制性，法律、法規(guī)對數據產業(yè)發(fā)展另有專門規(guī)定的，從其規(guī)定。

聲明：本文來自杭州互聯網法院，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在于傳遞更多信息。如有侵權，請聯系 anquanneican@163.com。

相關知識

杭州互聯網法院發(fā)布行為指引助企業(yè)數據健康發(fā)展
探索健康助企模式 杭州實踐經驗亮相健康企業(yè)建設發(fā)展大會
互聯網+醫(yī)療健康行業(yè)報告
關注車內健康，倡導健康出行 中國汽車健康指數引領汽車行業(yè)加速發(fā)展
《清華城市健康指數2024》成果發(fā)布
互聯網醫(yī)院及健康醫(yī)療大數據合規(guī)分析
健康醫(yī)療大數據行業(yè)發(fā)展分析報告
衛(wèi)健委發(fā)文！互聯網+診后疾病管理助力護理事業(yè)高質量發(fā)展
以法制為引領促進煙草行業(yè)健康發(fā)展
發(fā)展“互聯網+醫(yī)療健康”?醫(yī)藥電商當有更大作為

網址: 杭州互聯網法院發(fā)布《引導企業(yè)數據健康發(fā)展行為指引》 http://www.gysdgmq.cn/newsview142977.html