图文详解丨《数据流通禁止清单》&《流通数据处理准则》&《个人数据保护原则》

▌ Part❶上海数据交易中心发布《数据流通禁止清单》：保护数据流通安全 （后附图解）

9月7日，上海数据交易中心正式对外发布《数据流通禁止清单》，上海数据交易中心合伙人申翔宇介绍，上海数据交易中心针对现行的法律法规等文件中，关于禁止流通数据类型的部分进行了全面系统的整理，并加以完善，在符合当前法律法规的前提下，尽量规避流通数据类型可能出现的灰色地带，并发布了《数据流通禁止清单》。

内容如下所示：

▼

根据国家有关法律法规，含有下列内容的数据禁止进行制作、复制、发布、传播。

第一条 危害国家安全和社会稳定的

1) 反对宪法所确定的基本原则的；

2) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

3) 损害国家荣誉和利益的；

4) 煽动民族仇恨、民族歧视，破坏民族团结的；

5) 破坏国家宗教政策，宣扬邪教和封建迷信的；

6) 散布谣言，扰乱社会秩序，破坏社会稳定的；

7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

8) 涉及枪支弹药、爆炸物品、剧毒化学品、易制爆危险化学品和其他危险化学品、放射性物品、核材料、管制器具等能够危及人身安全和财产安全的危险物品的；

9) 宣扬吸毒、销售毒品以及传播毒品制造配方的；

10) 涉及传销、非法集资和非法经营等活动的；

11) 含有法律、行政法规禁止的其他内容的。

▼

第二条 涉及特定个人权益的

1) 侮辱或者诽谤他人的；

2) 捏造损害他人名誉的；

3) 可直接识别到特定个人的身份数据，包括：

a）公民身份号码、社保号、驾驶证、护照/台胞证等有效证件号码；

b）电话、微信、QQ等即时通信账号、E-mail地址等。

4) 可直接识别到特定个人的敏感数据，包括：

a）姓名、性别、民族、出生日期或年龄、本人相片；

b）婚姻状况、工作单位、学历、履历等个人数据；

c）常住户口所在地住址或家庭地址；

d）指纹、健康疾病等生物数据。

5) 可直接识别到特定个人的财产数据，包括：

a）收入和支付记录；

b）银行卡账号；

c）证券账户数据；

d）房屋登记数据；

e）保险单等。

▼

第三条 涉及特定企业权益的

1) 企业客户数据；

2) 涉及企业商业秘密的，包括：

a）财务数据；

b）产销数据；

c）货源数据；

d）工艺配方；

e）技术方法；

f）计算机程序等。

▼

附注：相关法律法规引用：

1.《刑法修正案(九)》；

2.《中华人民共和国消费者权益保护法》；

3.《全国人民代表大会常务委员会关于加强网络信息保护的决定》；

4.《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》；

5.《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》；

6.《中华人民共和国电信条例》；

7.《互联网信息服务管理办法》；

8.《互联网危险物品信息发布管理规定》；

9.《电信和互联网用户个人信息保护规定》；

10.《电话用户真实身份信息登记规定》；

11.《互联网电子邮件服务管理办法》；

12.《侵害消费者权益行为处罚办法》。

▌ Part❷上海 数据交易 中心发布《个人数据保护原则》：保障数据主体合法权益 （后附图解）

为确保合法、公正、透明地处理个人数据，上海数据交易中心对外发布了《个人数据保护原则》，意在保障数据主体的合法权益，构建安全有序的数据交易环境。该原则是上海数据交易中心继参与建立大数据安全流通公约之后，在数据流通安全方面，结合实际应用进行探索的成果之一。

▼

《个人数据保护原则》规定，一切开展数据交易业务的个人与组织（包括服务提供方），在收集、使用个人信息时，都应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围。在保证数据的收集、使用合法的基础上，《个人数据保护原则》强调了对数据主体的身份保护，确保进行共享和流通的数据已经去除可识别身份标识，在任何情况下都不允许交易方擅自公开或向第三人提供带有身份标识的个人数据。

▼

为确保个人数据在有效时间和特定场景的合法使用，《个人数据保护原则》要求所有进入流通的个人数据都是为特定应用或特定目的而处理的。并且数据接受人只能按合同限定的目的、范围、方式和期限使用个人数据，不能够对个人数据再识别。当数据按照合同约定被使用完毕后，数据使用人应当将合同所涉及的个人数据销毁处理。

▼

针对数据交易中最敏感的隐私问题，《个人数据保护原则》坚持公开、安全的原则，要求数据持有人制定并公开有关个人数据处理行为和操作规则的隐私政策，建立隐私风险内控制度和合规审计制度，并须注意防范未经授权的访问、修改和泄露等风险。当数据处理行为可能会对个人的隐私和其他权益产生高风险时，数据持有人应当在处理前对该处理行为进行隐私风险评估。为保证隐私保护的有效执行，大规模个人数据的数据持有人和数据处理者应当指定一名隐私保护专员，负责内部数据管理和外部联络事务，并公开其有效联系方式。

▼

在维权和责任归属的方面，《个人数据保护原则》指出，数据持有人应具备隐私风险投诉响应机制，积极处理数据主体提出的个人隐私风险和侵害的投诉。一旦出现个人数据泄露事故，数据持有人应当及时通知有关个人并采取补救措施；若当事人的隐私权益无法恢复，则应给予适当赔偿。同时，数据持有人应当对其所有的个人数据处理和流通行为的合规性负责。

▼

在信息时代， 大数据应用 既是一项新兴产业，又是产业转型升级和经济创新的引擎。而目前中国数据交易市场尚处于探索阶段，上海数据交易中心致力于通过规范数据的流通和利用，保护数据主体的权利，探索推动数据流通交易市场合规有序健康发展。

▌Part ❸综合图解：《流通数据处理准则》&《个人数据保护原则》

 

注：本文系数据观综合自上海数据交易中心，版权著作权属原创者所有，以上内容不代表数据观观点，编辑：Fynlch。数据观微信公众号（ID:cbdioreview），欲了解更多大数据行业相关资讯，可搜索数据观（中国大数据产业观察网www.cbdio.com）进入查看。

责任编辑：王培