宁夏回族自治区数据条例（草案）

（征求意见稿）

第一章 总则

第一条 为了加快推动数据资源化、资产化、价值化，促进数据要素高效流通利用，培育壮大数据产业生态，保障数据安全，推动数据赋能高质量发展，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、行政法规，结合自治区实际，制定本条例。

第二条 自治区行政区域内的数据资源管理和开发利用、数据交易、数据产业发展及其相关数据安全等活动，适用本条例。

第三条 数据发展和安全坚持中国共产党的领导，遵循统筹规划、科学发展、共享共用、依法管理、保障安全的原则。

第四条 自治区坚持促进发展和监管规范并举，统筹推进数据权益保护、流通利用、安全管理，深化数据要素市场化配置改革，培育发展数据产业，充分实现数据要素价值，促进全社会共享数字经济发展红利。

第五条 县级以上人民政府应当加强对数据工作的领导，将数据发展和安全纳入国民经济和社会发展规划，建立健全数据工作协调机制、评价机制和人才保障机制，制定完善政策措施，研究解决数据发展和安全中的重大问题。

第六条 自治区人民政府数据管理部门负责全区数据管理工作，统筹推进数据基础制度建设、数据基础设施建设、数据资源汇聚治理和开发利用、数据要素市场建设等工作。

设区的市、县（市）区人民政府数据管理部门负责本行政区域内数据管理工作。

县级以上人民政府各行业主管部门在各自职责范围内做好本行业、本领域的数据相关工作。

第七条 自治区人民政府标准化主管部门应当会同数据管理部门和有关部门加强数据标准应用和管理工作，完善并推广数据基础设施、资源、技术、流通、融合应用和安全等标准规范。

第八条 县级以上人民政府应当结合实际按照国家和自治区有关规划政策统筹安排资金支持数据产业发展，重点支持基础设施建设、关键技术攻关、产业链构建、市场主体培育等。

鼓励以市场化方式设立数据领域的创业投资基金，支持金融机构创新金融产品和金融服务，引导数据企业进入多层次资本市场进行融资，拓宽融资渠道。

第九条 县级以上人民政府及其有关部门应当加强数据领域人才队伍建设，建立完善数据领域人才引进、培育、激励和评价制度机制，培养数据管理型、技术型、应用型人才。

鼓励高校、科研院所与企业通过各种形式合作开展数据人才培养。

第十条 县级以上人民政府及其有关部门应当加强数据管理工作，由本行政区域或者本部门相关负责人担任数据管理工作责任人，负责统筹本行业或者本部门数据管理工作，推动数据汇聚治理、共享开放和开发利用。

鼓励企事业单位建立首席数据官制度，发挥首席数据官在数据资源汇聚治理、开发利用、数据资产管理、人才培育、安全防护等方面的统筹管理作用，挖掘数据价值，提高数据产品和服务质量。

第十一条 县级以上人民政府及其有关部门应当加强数据领域法律法规和技术知识的宣传解读和教育培训，提高全社会数据认知能力和应用水平，提升全民数字素养和数字技能。

第十二条 对在数据工作中做出突出贡献的单位和个人，按照国家和自治区有关规定给予表彰、奖励。

第二章 数据资源管理

第十三条 自治区建立健全统一的数据资源体系，依法推动数据资源采集汇聚、加工处理、共享开放、创新应用。

第十四条 公共管理和服务机构应当在各自职责范围内负责本机构和本领域公共数据资源汇聚治理、采集编目、共享开放、应用推广和安全防护等工作。

公共数据管理涉及多个机构或者责任不明确的，由本级数据管理部门根据实际情况会同机构编制管理部门确定责任机构。对确定责任机构有异议的，由本级人民政府指定。

第十五条 自治区建立全区统一的数据平台，实现公共数据资源的汇聚、治理、登记、共享和开放。

自治区人民政府数据管理部门应当负责自治区数据平台的规划、建设和管理，指定专门的部门负责自治区数据平台的设计、运行和维护。

财政资金保障运行的公共管理和服务机构不得在自治区数据平台之外新建跨部门、跨层级、跨地区的数据平台；已经建成的，应当按照有关规定整合归并、互联互通或者共享共用。

第十六条 公共数据资源实行统一目录管理，公共数据资源目录应当明确公共数据的来源、更新频率、安全等级、共享开放属性等要素。

自治区人民政府数据管理部门应当统筹推进自治区、设区的市、县（市）区三级公共数据资源目录一体化建设，制定统一的公共数据资源目录编制指南和动态调整机制，统筹组织编制、发布自治区公共数据资源目录。

设区的市、县（市）区人民政府数据管理部门应当按照目录编制指南，组织编制本级公共数据资源子目录，报上一级数据管理部门审核，并将本级公共数据资源子目录纳入自治区公共数据资源目录。

公共管理和服务机构应当按照目录编制指南，编制和更新本机构公共数据资源目录，报同级数据管理部门审核，并按照公共数据资源目录和应用需求，完整、准确、及时向自治区数据平台汇聚数据。

鼓励企业参照公共数据资源目录编制指南，编制和更新本单位企业数据资源目录。

第十七条 自治区人民政府数据管理部门应当根据国家和自治区有关规定加强公共数据资源登记管理，推进登记服务标准化。

自治区人民政府及其行业主管部门应当对纳入授权运营范围的公共数据资源进行登记，鼓励对未纳入授权运营范围的公共数据资源进行登记。

鼓励自然人、法人和非法人组织对依法享有的数据资源及加工形成的数据产品和服务进行登记。

第十八条 县级以上人民政府数据管理部门应当会同有关部门依法定期组织开展数据资源统计调查，严格落实统计调查主体责任。

公共管理和服务机构以及有关企业应当配合开展数据资源情况统计调查工作，确保数据资源统计结果的完整性、准确性、一致性。

第十九条 县级以上人民政府数据管理部门会同有关部门加强公共数据资源质量管理，建立健全质量监督管理制度，定期开展质量评估，加强过程监管和结果运用。

自治区人民政府有关部门应当建立完善自治区基础数据库及主题数据库，推动建设跨区域、跨行业、跨领域高质量数据集。

自然人、法人和非法人组织发现公共数据资源存在错误、遗漏或者侵害其合法权益的，有权向县级以上人民政府数据管理部门或数据提供单位提出申诉，受理部门或单位应当按照有关规定及时处置并反馈结果。

第二十条 县级以上人民政府数据管理部门应当会同有关部门指导企业建立数据资源管理制度，落实国家数据管理标准，开展数据治理能力评估，强化质量管理能力建设，引导企业加快向数据驱动的经营模式转型。相关行业协会依照章程为会员提供指导和服务。

自治区支持企业依法开展数据全流程、标准化收集和治理，开发和使用智能化工具，建立覆盖研发、生产、销售、服务、管理等各环节的数据资源体系。

第二十一条 自治区人民政府财政部门应当会同数据管理等有关部门建立数据资产管理制度，推进数据资产全过程管理。

推动公共管理和服务机构以及企业按照国家会计制度对数据资源进行会计处理，在编制资产负债表时对数据资源进行列示，对数据资源相关会计信息进行披露。

第二十二条 县级以上人民政府各行业主管部门通过垂直管理业务信息系统收集的公共数据资源，应当按照本行业管理要求和属地原则，按需向下级政府部门提供。

第三章 数据资源开发利用

第二十三条 自治区人民政府数据管理部门应当会同有关部门建立健全数据资源开发利用制度，提高开发利用水平，扩大公共数据资源供给规模，充分发挥数据要素赋能作用。

支持企业开放数据，促进个人信息相关数据合理利用。

第二十四条 公共数据资源共享应当以共享为原则、不共享为例外，无法律、法规、规章依据的，不得拒绝共享。

公共数据资源按照共享属性分为无条件共享、有条件共享和不予共享三种类型。

公共管理和服务机构通过共享获得的数据资源，仅限用于本机构履行法定职责、提供公共服务需要，不得以任何形式提供给第三方，也不得用于其他目的。

第二十五条 公共管理和服务机构需要获取无条件共享公共数据资源的，可以通过自治区数据平台直接获取；需要获取有条件共享公共数据资源的，应当通过自治区数据平台向数据提供单位提出共享申请，并明示理由、依据、用途等。

数据提供单位应当自收到申请之日起十个工作日内依据公共数据资源共享类型和条件予以答复，可共享的，应当予以共享；不可共享的，应当说明理由并提供依据；不能确定能否共享的，应当向同级数据管理部门报告，共同研究确定是否共享。

公共管理和服务机构对共享获取的公共数据资源有异议或者发现错误的，应当自发现问题之日起五个工作日内反馈数据提供单位予以校核，数据提供单位应当及时处理回复。

第二十六条 公共数据资源开放应当遵循公正、公平、便民、无偿的原则，依法最大限度向社会开放。

公共数据资源按照开放属性分为无条件开放、有条件开放和不予开放三种类型。

自然人、法人和非法人组织需要获取无条件开放公共数据资源的，可以通过认证身份和明示获取用途后开放。

自然人、法人和非法人组织需要获取有条件开放公共数据资源的，可以通过自治区数据平台向数据提供单位提出开放申请。公共数据资源开放申请程序按照本条例第二十五条第二款规定进行。

第二十七条 自然人、法人和非法人组织申请有条件开放公共数据资源的，应当签订公共数据资源开放利用协议。

公共数据资源开放利用协议范本由自治区人民政府数据管理部门会同有关部门制定。公共数据资源开放利用协议应当明确拟使用数据的清单、用途、应用场景、安全保障措施、使用期限以及期满后公共数据资源的处置、数据使用情况反馈等内容。

第二十八条 自治区建立健全公共数据资源授权运营机制。

公共数据运营机构由自治区人民政府按照国家和自治区有关规定确定，公共数据资源授权运营由自治区人民政府数据管理部门及其相关行业主管部门按照职责组织实施。

自治区人民政府数据管理部门应当会同有关部门对公共数据运营机构运营情况实施监督管理。

第二十九条 公共数据运营机构应当按照国家和自治区有关规定在授权范围内开展业务，定期向社会披露公共数据资源使用情况。符合申请条件的市场主体应在授权范围内对公共数据资源进行再开发。

公共数据产品和服务用于公共治理、公益事业的，实行有条件无偿使用；用于行业发展、产业发展的，可收取公共数据运营服务费。公共数据运营服务费实行政府指导价管理。

自治区发展改革部门应当制定公共数据运营服务费收费标准，确有必要的，可以授权设区的市级人民政府制定。

第三十条 公共数据实施机构、运营机构应当履行数据安全主体责任，加强内控管理、技术管理和人员管理。公共数据实施机构应当监督和指导运营机构对授权范围内的公共数据资源进行脱密、脱敏处理，严防数据加工、处理、运营、服务等环节发生数据安全风险。

公共数据运营机构不得直接或间接参与已交付公共数据产品和服务再开发，不得通过与其他市场主体达成垄断协议或者滥用市场支配地位等实施垄断行为，不得利用数据、算法、技术、资本优势等从事不正当竞争。

第三十一条 自治区人民政府数据管理部门应当会同有关部门建立企业数据融合开发机制，鼓励和支持各类市场主体将其依法收集、产生、持有的数据和公共数据进行整合，融合开发数据产品和服务。

鼓励产业链上下游企业间数据共享，支持行业龙头企业、互联网平台企业与中小企业双向公平授权，建立互利共赢的合作机制。鼓励面向中小企业提供公益性数据服务，降低中小企业治数用数成本。

第三十二条 鼓励个人汇聚其来源于多个途径的本人个人信息相关数据，通过自治区数据平台向相关市场主体授权的方式参与数据创新应用，发挥个人信息相关数据的价值。

第四章 数据交易

第三十三条 自治区人民政府应当按照国家有关规定深化数据要素市场化配置改革，培育公平、开放、有序、诚信、安全的数据要素市场，建立多层次的市场交易体系。

鼓励、支持自然人、法人和非法人组织参与数据要素市场建设，依法依规采取开放、合作、交易等方式发挥数据资源效益。

第三十四条 自治区人民政府数据管理部门会同有关部门建立数据交易管理制度，规范数据交易行为，建立资产评估、登记结算、交易撮合、争议解决等数据要素市场运营制度。

自治区人民政府数据管理部门应当会同市场监督管理等部门建立健全数据纠纷多元化解决机制，有效化解数据交易活动中的争议纠纷。

第三十五条 自治区依法保护数据生产、流通、使用过程中各参与方享有的合法权利，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。

自然人、法人和非法人组织对数据权益进行约定和分配时，应当遵循合法、自愿、公平、诚信的原则。

自然人、法人和非法人组织对通过合法途径收集、获取的数据，依法享有数据持有权益，可以自主管控其持有的数据。

自然人、法人和非法人组织对合法持有的数据，依法或者依约定享有数据使用权益，包括对数据进行清洗、变换、归集、标注、训练、分析等，合法持有在此过程中所形成的衍生数据。

自然人、法人和非法人组织对合法持有的数据以及通过加工、分析等合法形成的数据产品和服务，依法或者依约定享有数据经营权益，可以对其进行交易。

第三十六条 数据处理者对其在自身或者共同参与的生产经营活动中，不违反法律、法规和合同约定前提下收集、产生的数据，享有持有、使用和经营权益，有权获取或者复制转移由其促成产生的数据。

数据处理者委托他人处理数据的，受托方对委托处理的原始数据、过程数据、结果数据等，均不享有数据持有、使用、经营权益。法律、行政法规另有规定或者合同另有约定的除外。

第三十七条 支持企业依法依规加工数据，形成数据产品和服务，开展数据交易，促进数据高效流通使用。

企业对其合法处理形成的数据产品和服务，可以参照公共数据运营服务费收费标准和市场供需关系自主定价。

第三十八条 自治区人民政府数据管理部门应当会同有关部门推动依法设立数据交易场所，鼓励和引导企业在数据交易场所开展数据交易活动。

数据交易场所应当制定交易服务流程、内部管理制度以及机构自律规则等，采取有效措施保护个人隐私、个人信息、商业秘密、保密商务信息，建立规范透明、安全可控、可追溯的数据交易服务环境。

县级以上人民政府数据管理部门应当会同公安、网信、市场监督管理等相关部门加强数据交易场所外数据交易的监督管理。

第三十九条 自然人、法人和非法人组织应当依法开展数据交易活动，遵循自愿、平等、公平和诚实守信原则，遵守法律法规和商业道德，履行数据安全保护、个人信息保护等义务，有下列情形之一的，不得交易：

（一）危害国家安全、社会公共利益的；

（二）侵害他人合法权益、个人隐私的；

（三）未经合法权利人授权同意的；

（四）法律、法规禁止交易的其他情形。

第四十条 自治区人民政府数据管理部门负责统筹全区数据要素市场社会信用体系建设，制定统一信用评价标准、信息共享和联合奖惩机制，依法对相关主体实施信用监管。

第五章 数据产业发展

第四十一条 自治区人民政府应当制定数据产业发展规划，培育发展数据汇聚处理、流通交易、安全治理等相关产业，强化要素保障，推动构建大中小企业融通发展、产业链上下游协同创新的数据产业生态体系。

第四十二条 鼓励有条件的地方因地制宜建设数据产业集聚区，引导行业龙头企业、互联网平台企业带动数据产业高质量发展。

第四十三条 县级以上人民政府应当立足产业基础和资源禀赋，培育和引进数据资源、技术、服务、应用、安全、基础设施等企业，构建数据产业生态。

鼓励企业、个人发起设立或者参与组建数据企业，创新数据业务与商业模式，提供多元化数据产品和服务。

第四十四条 县级以上人民政府应当加强政策引导，培育数据领域专业服务机构，提供数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、质量评估、资产评估、风险评估、人才培训、争议仲裁等服务。

第四十五条 自治区人民政府及其有关部门应当推动数据领域科学实验室、技术创新中心、企业技术中心等数据领域科技创新平台建设，支持企业与高校、科研院所等单位建立创新联合体，优化产学研协作机制，合作开展数据领域关键技术攻关，构建科技创新生态体系。

第四十六条 县级以上人民政府及其有关部门应当围绕现代煤化工、新型材料、清洁能源、特色农牧业、文化旅游等自治区特色优势产业，引导和支持企业建设高质量数据集，促进数据多场景应用、多主体复用。

各行业主管部门应当根据自治区数据产业发展规划及行业发展需要，提出数据要素应用项目推荐目录和应用场景需求清单，培育数据应用的新模式、新产品和新业态。

第四十七条 设区的市级以上人民政府应当加快推动数据汇聚治理、流通利用、安全防护等数据基础设施建设，为数据共享、开放、交易提供安全可靠环境。

第四十八条 自治区探索建立数据出境安全评估绿色通道，为企业开展数据跨境流通业务合作提供便利。

鼓励跨国企业依托自治区数据基础设施建设数据运营平台。

第六章 数据安全

第四十九条 自治区应发挥数据安全工作协调机制作用，加强全区数据安全管理，健全数据安全治理体系，强化数据安全技术支撑，将安全贯穿数据汇聚治理、开发开放和流通利用全过程，以数据安全保障数据开发利用和产业发展。

县级以上网信部门依照有关法律法规的规定，负责统筹协调网络数据安全、个人信息保护和相关监管工作。

县级以上人民政府公安机关负责网络安全等级保护工作和关键信息基础设施安全保护工作的监督管理。

县级以上国家安全、公安、保密、通信、密码管理等部门依照有关法律法规的规定，在各自职责范围内承担数据安全监管职责。

其他有关部门负责本行业、本领域数据安全相关监督管理。

第五十条 自治区按照国家有关规定，完善落实数据分类分级保护制度和数据安全风险评估、报告、信息共享、监测预警、应急处置等机制，提高数据安全保障能力。

各地区、各部门应当按照国家规定制定重要数据目录，建立健全重要数据处理活动的风险评估和报送机制，加强对重要数据的保护。

公共管理和服务机构应当按照分类分级保护要求，采取身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等技术措施，提高数据安全保障能力。

第五十一条 数据处理者开展数据处理活动应当符合法律、法规的规定，建立数据安全常态化运行管理机制，履行以下数据安全保护义务：

（一）依法建立健全全流程数据安全管理制度；

（二）实行管理岗位责任制，配备安全管理人员和专业技术人员；

（三）组织开展数据安全教育培训；

（四）加强数据安全日常管理和检查，对复制、导出、脱敏、销毁数据等可能影响数据安全的行为，以及可能影响个人信息保护的行为进行监督；

（五）制定数据安全应急预案，开展应急演练；

（六）发生数据安全事件时，立即采取有效处置措施，启动应急预案，及时告知可能受到影响的用户，并按照规定向有关主管部门报告；

（七）加强风险监测，防范数据汇聚、关联引发的安全风险，发现数据安全缺陷、漏洞等风险时，立即采取补救措施；

（八）采取安全保护技术措施，对数据进行分类分级管理，识别、申报重要数据，防止数据丢失、篡改、破坏和泄露，依法申报重要数据出境安全评估，保障数据安全；

（九）法律、法规规定的其他安全保护义务。

第五十二条 数据处理者可以通过合法、正当的方式收集企业数据和个人数据，不得过度收集或者使用窃取等非法手段获取数据，不得侵害他人合法权益。

收集个人信息应当限于实现处理目的的最小范围。处理敏感个人信息应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

数据处理者对涉及个人信息的数据应当依法采取脱敏、加密保护等措施，不得采取一揽子授权、强制同意等方式过度收集个人信息，不得擅自变更数据授权用途，法律、行政法规另有规定的，从其规定。

数据处理者因合并、分立、解散、被宣告破产等主体资格变化，或者因合同解除、终止等因素，需要转移个人信息数据的，应当履行告知义务；接收方应当继续履行数据处理者的义务，需变更原先的处理目的、处理方式的，应当重新取得个人同意。

第五十三条 自治区支持数据安全检测评估、认证等专业服务机构依法开展数据安全相关服务。支持有关部门、高等学校、科研机构、企业、行业协会、专业服务机构等在数据安全风险评估、防范、处置等方面开展协作。

第七章 法律责任

第五十四条 违反本条例规定的行为，法律、法规已有法律责任规定的，从其规定。

第五十五条 自然人、法人和非法人组织违反本条例规定，未按照公共数据资源开放利用协议明确的用途、应用场景开发利用数据的，由县级以上人民政府数据管理部门责令限期改正；逾期未改正或者造成严重后果的，处一万元以上十万元以下的罚款。

第五十六条 公共管理和服务机构及其工作人员违反本条例规定，未依法履行职责的，由有权机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。

第五十七条 公共管理和服务机构及其工作人员在数据工作先行先试中履职尽责但因客观原因出现失误偏差能够及时纠正并消除负面影响的，依照有关规定免除相关责任或者从轻减轻处理。

第八章 附则

第五十八条 本条例中下列用语的含义：

（一）数据，是指任何以电子或者其他方式对信息的记录；

（二）数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等；

（三）数据处理者，是指在数据处理活动中自主决定处理目的和处理方式的个人或者组织；

（四）公共数据，是指各级党政机关、企事业单位（本条例统称公共管理和服务机构）依法履职或提供公共服务过程中产生的数据；

（五）公共数据资源共享，是指公共管理和服务机构为履行法定职责或者提供公共服务需要，依法使用其他公共管理和服务机构的公共数据资源，以及为其他政务部门和公共服务组织提供公共数据资源的行为；

（六）公共数据资源开放，是指公共管理和服务机构向社会依法提供公共数据资源的行为；

（七）公共数据资源授权运营，是指将公共管理和服务机构持有的公共数据资源，按照法律法规和相关要求，授权符合条件的公共数据运营机构进行治理、开发，并面向市场公平提供数据产品和服务的活动；

（八）公共数据实施机构，是指由自治区人民政府或自治区人民政府各行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位；

（九）公共数据运营机构，是指按照规范程序获得授权，对授权范围内的公共数据资源进行开发运营的法人组织；

（十）企业数据，是指各类经营主体在生产经营活动中形成或合法获取、持有的数据；

（十一）个人数据，是指以电子方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

第五十九条 中央国家机关派驻自治区的机关或者派出机构在宁开展数据相关活动，参照本条例有关规定执行。法律、法规和国家另有规定的，从其规定。

第六十条 本条例自  年  月  日起施行。