第一条 为加强杭州健康码开发运行以及数据安全规范管理,依据《中华人民共和国传染病防治法》《中华人民共和国网络安全法》等法律法规的有关规定,结合我市实际,制定本办法。
第二条 杭州健康码是市政府基于实现新冠肺炎疫情防控与恢复生产生活秩序现实需要,在全国率先运用大数据手段建立的数字化公众健康风险防控措施,同时也是数字赋能“健康杭州”建设的综合性平台。
第三条 市政府统一组织实施杭州健康码的开发运行管理。市数据资源管理部门负责杭州健康码的开发维护,市卫生健康部门负责杭州健康码的日常运行管理。
市数据资源管理部门应当与杭州健康码项目开发运行的政府部门和受委托进行技术开发的单位(以下统称有关部门和单位)签订协议或备忘录,明确各自职责,对杭州健康码项目涉及的应用范围、数据来源、数据安全、个人隐私保护以及相关权利归属等内容进行明确清晰的约定,确保项目依法依规有序推进。
有关部门和单位在杭州健康码项目开发运行中进行数据收集、应用、管理等行为,适用本办法。
第四条 杭州健康码以市民群众个人自行申报、个人授权且经过脱敏处理后的真实数据为基础。数据的收集、使用应遵循正当、合法、必要和授权同意的基本原则,并公开收集、使用的规则,明示收集、使用数据的目的、方式和范围。杭州健康码项目数据的管理应遵循“依法有序、分级管控、安全可靠”的基本原则,并建立职责清晰、公开透明的管理机制。
第五条 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第六条 申领杭州健康码的信息主体,在填报相关申请信息时,应确保信息准确、真实、完整,否则将承担相应的法律责任。同时,对申领杭州健康码的信息主体,应明确告知其信息数据的收集及应用范围,并取得信息主体的明示同意。
第七条 有关部门和单位不得收集与杭州健康码项目提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、处理、使用个人信息;不得泄露、篡改、毁损其收集的个人信息;未经信息主体同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的信息除外。
第八条 杭州健康码项目开发运行中涉及个人隐私信息的,应遵循隐私权保护的有关规定。对于个人信息的处理,应检验其合法合规程度,判断其对信息主体合法权益造成损害的各种风险,评估用于保护信息主体的各项措施的有效性。使用个人信息时应采取脱敏处理等方式消除明确身份指向,避免识别到特定个人,但是与国家安全、公共安全、重大公共利益等直接相关的除外。
第九条 鼓励高校、科研单位及有资质的企业依法开发利用杭州健康码相关资源,提供便捷高效的健康服务产品。未经信息主体同意,任何单位和个人不得将开发应用中的个人信息授权他人使用,但是经过处理无法识别特定个人且不能复原的除外。
第十条 有关部门和单位依法履行数据安全保护义务,采取技术措施和其他必要措施,确保数据安全,防止数据泄露、毁损、丢失,保障数据的完整性、保密性和可用性。建立数据安全管理责任和评价考核制度,制定数据安全计划,明确数据安全责任人,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,组织数据安全教育、培训,及时处置安全事件。
第十一条 有关部门和单位应按照数据分级保护管理规范的要求,与从事数据处理岗位上的相关人员签署保密协议,严格执行数据安全技术和管理措施;相关人员必须对知悉的数据严格保密,不得泄露、出售或者非法向他人提供。
第十二条 为确保数据的存储、管理安全,杭州健康码项目数据应存储在“政务云”平台上,新冠肺炎疫情期间项目数据亦应及时迁移至“政务云”平台。
第十三条 杭州健康码平台接入具备收集个人信息功能的第三方产品或服务时,应遵循“安全、稳定、高效、合法”的处理原则,设置接入条件,明确双方数据共享内容、安全责任及信息应用相关安全管理措施。发现第三方未落实安全管理要求和责任的,应及时督促整改,必要时停止接入。
第十四条 信息主体发现个人信息、个人隐私在杭州健康码项目中被不当收集、使用的,可按规定向市政府相关部门提出申诉要求,相关部门应及时核实处理申诉事宜。
第十五条 建立知识产权保护制度和知识产权法律顾问机制。杭州健康码项目知识产权权属,应严格按签署的协议或备忘录执行,有关部门和单位应确保不侵害他人知识产权权利。加强知识产权保护意识,对杭州健康码项目的名称等标识应及时申请商标等知识产权保护;对项目开发、应用形成的技术应分门别类进行保护。
第十六条 违反本办法规定,使公民、法人或者其他组织的合法利益受到侵害的,依法承担民事、行政责任;构成犯罪的,依法追究刑事责任。
第十七条 本办法自2020年6月15日起施行,由市数据资源局、市卫生健康委员会负责组织实施并解释。