制定公共数据分类规则和标准，明确不同类别公共数据的管理要求，对公共数据采取差异化管理措施、落实差异化措施。

公共管理和服务机构应当遵循合法、必要、正当的原则，采集各类数据；没有法律、法规依据，不得采集公民、法人和其他组织的相关数据；采集公共数据应当符合公共管理和服务需要。 可以通过共享方式获取的公共数据，不得重复收集。国家另有规定或者自然人同意的除外。

本市建立统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据，以及依法委托第三方收集和产生的数据，应当纳入公共数据目录。 市大数据主管部门负责制定公共数据目录编制规范。公共数据责任主体应当按照数据与业务对应的原则，编制本系统、行业公共数据目录，明确公共数据的来源、更新频率、安全等级、共享开放属性等要素。

公共管理和服务机构应当及时向公共数据共享平台归集公共数据。纳入到公共数据目录中的公共数据可以按照逻辑集中、物理分散的方式实施归集。 市大数据主管部门根据公共数据分类管理要求负责推动对相关数据实施统一归集，公共管理和服务机构应当保障数据向数据平台归集的实时性、完整性和准确性。 公共数据应当在本市政务云统一存储、备份保护。

公共管理和服务机构之间共享公共数据，应当以共享为原则，不共享为例外。 市、县级市（区）大数据主管部门应当建立以清单制为基础的公共数据共享机制和管理机制。

建立工作监督检查机制、定期组织考核评价

公共数据开放，是指公共管理和服务机构通过公共数据开放平台向社会提供可机器读取的公共数据活动。公共数据开放以需求为导向，坚持公平、透明、安全的原则。

不予开放

有条件开放

无条件开放

公共管理和服务机构履行下列公共数据开放责任： （一）制定公共数据开放计划和开放目录； （二）通过统一的公共数据开放平台，及时、准确地开放公共数据，不得以其他途径、渠道向公众开放； （三）建立公共数据开放范围的动态调整机制； （四）组织开展对拟开放公共数据的审查，对开放的公共数据负有安全管理和质量控制责任； （五）建立已开放公共数据的版本保存和利用档案制度； （六）法律、法规和规章规定的与公共数据开放有关的其他事项。 公共管理和服务机构之间对具体公共数据的开放主体产生争议的，由争议各方协商解决；协商不成的，由同级大数据主管部门征求有关专家意见后，报本级人民政府确定。

市大数据主管部门应当制定透明化、可审计、可追溯的公共数据开放平台管理机制，并向社会公布。 市大数据主管部门统筹规划建设公共数据开放平台，统一向社会开放公共数据。市公共数据开放平台是实施全市公共数据开放的唯一通道。市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台、共享和开放渠道；已经建成的，应当按照有关规定进行整合。因特殊原因不能通过公共数据开放平台开放的，应当事先向市大数据主管部门备案。 公共数据开放平台应当根据开放数据类型，提供数据下载、应用程序接口等多种数据开放方式，或提供安全可信的数据综合开发利用环境。

自然人、法人和非法人组织可以通过公共数据开放平台获取、利用无条件开放类公共数据，鼓励自然人、法人和非法人组织对无条件开放类公共数据进行深度加工和增值利用。自然人、法人和非法人组织提出有条件开放类公共数据利用需求的，应当明确应用场景，并承诺其真实性、合规性、安全性，不得以任何形式提供给第三方，也不得用于其他任何目的。

培育公平、诚信的数据要素市场，发挥市场的作用，共享、开放、交易、合作。

市统计主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南

以自贸片区为载体，制订低风险跨境流动数据的标准和目录，促进数据跨境安全、有序流动。

设立数据交易中心并试点运营。鼓励市场主体依法通过数据交易中心进行交易

规范透明、安全可控、可追溯，采取措施保护个人隐私、个人信息和商业秘密。

支持数据交易服务机构有序发展，为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。

有下列情形之一的，不得交易： （一）危害国家安全、公共利益，侵害个人隐私和商业秘密的； （二）未经合法权利人授权同意的； （三）法律、法规禁止交易的其他情形。

从事数据交易活动的市场主体可以依法自主定价。 市价格主管部门应当组织相关行业协会等制订数据交易价格评估导则，构建交易价格评估指标。

自然人、法人和非法人组织可以通过合法、正当的方式收集数据。收集已公开的数据，不得违反法律、行政法规的规定或者侵犯他人的合法权益。法律、行政法规对数据收集的目的和范围有规定的，应当在法律、行政法规规定的目的和范围内收集。 自然人、法人和非法人组织对其合法取得的数据，可以依法加工和利用。法律、行政法规另有规定或者当事人另有约定的除外。 自然人、法人和非法人组织可以依法开展数据交易活动。法律、法规另有规定的除外。

自然人、法人和非法人组织开展数据处理活动、行使相关数据权益，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德，诚实守信，不得危害国家安全和公共利益，不得损害他人的合法权益。

保护自然人、法人和非法人组织在收集、加工、利用等数据处理活动中形成的法定或者约定的财产权益。

保护自然人、法人和非法人组织基于合法合规数据交易所获得的各类数据权益，法律、法规另有规定或者协议另有约定的除外。

除法律、行政法规另有规定外，各类数据的采集、归集、加工、流通和利用等环节中，凡是处理个人信息的，应当取得个人同意。 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明示作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。 处理个人自行公开或者其他已经合法公开的个人信息，应当依法在合理的范围内进行；个人明确拒绝的除外。处理已公开的个人信息，对个人权益有重大影响的，应当依法取得个人同意。 处理者在提供产品或者服务时，不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

市、县级市（区）人民政府和有关部门可以依法要求相关自然人、法人和非法人组织提供突发事件处置工作所必需的数据。 要求自然人、法人和非法人组织提供数据的，应当在其履行法定职责的范围内依照法定的条件和程序进行，并明确数据使用的目的、范围、方式、期限。收集的数据不得用于与突发事件处置工作无关的事项。对在履行职责中知悉的个人隐私、商业秘密等应当依法予以保密，不得泄露或者非法向他人提供。 突发事件应对结束后，公共管理和服务机构应当对从其他单位和个人获得的公共数据进行分类评估，将其中涉及国家秘密、商业秘密和个人隐私的公共数据进行封存或者销毁等安全处理，并关停相关数据应用。法律、法规另有规定的，从其规定。

在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。 所收集的个人图像、身份识别信息，只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。 本条第一款规定的公共场所或者区域，不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式，采集的图像信息和个人身份识别信息应当合法合理，设置保存期限。

处理自然人生物识别信息的，应当具有特定的目的和充分的必要性，并采取严格的保护措施。处理生物识别信息应当取得个人的单独同意；法律、行政法规另有规定的，从其规定。

利用个人信息所进行的自动化决策和智能化推荐等，应当遵循合法、正当、必要、公平、诚信的原则。

实行数据安全责任制，数据处理者是数据安全责任主体。 数据同时存在多个处理者的，各数据处理者承担相应的安全责任。 数据处理者发生变更的，由新的数据处理者承担数据安全责任。

开展数据处理活动，应当履行以下义务，保障数据安全： （一）建立数据安全管理制度和技术保护机制； （二）组织开展数据安全教育培训； （三）采取相应的技术措施和其他的必要措施，确保数据安全，防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用； （四）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施； （五）发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告； （六）利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务； （七）法律、法规规定的其他数据安全保护义务。

依法建立数据安全风险评估、报告、信息共享、监测预警机制，加强本地区数据安全风险信息的获取、分析、研判和预警工作。 依法建立数据安全应急处置机制。发生数据安全事件，市网信部门应当会同有关部门依照相关应急预案，采取应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。