國(guó)家互聯網信息辦公室關于《網絡數據安全管理條例(征求意見稿)》公開(kāi)征求意見的通知
2021-11-15
爲落實《中華人民共和國(guó)網絡安全法》《中華人民共和國(guó)數據安全法》《中華人民共和國(guó)個人信息保護法》等法律關于數據安全管理的規定,規範網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國(guó)家安全和公共利益,根據國(guó)務院2021年立法計劃,我辦會同相關部門研究起(qǐ)草《網絡數據安全管理條例(征求意見稿)》,現向(xiàng)社會公開(kāi)征求意見。公衆可通過(guò)以下途徑和方式反饋意見: 1.通過(guò)電子郵件將(jiāng)意見發(fā)送至:shujuju@cac.gov.cn。 2.通過(guò)信函將(jiāng)意見寄至:北京市西城區車公莊大街11号國(guó)家互聯網信息辦公室網絡數據管理局,郵編:100044,并在信封上注明“網絡數據安全管理條例征求意見”。 第一條 爲了規範網絡數據處理活動,保障數據安全,保護個人、組織在網絡空間的合法權益,維護國(guó)家安全、公共利益,根據《中華人民共和國(guó)網絡安全法》《中華人民共和國(guó)數據安全法》《中華人民共和國(guó)個人信息保護法》等法律,制定本條例。 第二條 在中華人民共和國(guó)境内利用網絡開(kāi)展數據處理活動,以及網絡數據安全的監督管理,适用本條例。 在中華人民共和國(guó)境外處理中華人民共和國(guó)境内個人和組織數據的活動,有下列情形之一的,适用本條例: (一)以向(xiàng)境内提供産品或者服務爲目的; 自然人因個人或者家庭事(shì)務開(kāi)展數據處理活動,不适用本條例。 第三條 國(guó)家統籌發(fā)展和安全,堅持促進(jìn)數據開(kāi)發(fā)利用與保障數據安全并重,加強數據安全防護能(néng)力建設,保障數據依法有序自由流動,促進(jìn)數據依法合理有效利用。 第四條 國(guó)家支持數據開(kāi)發(fā)利用與安全保護相關的技術、産品、服務創新和人才培養。 國(guó)家鼓勵國(guó)家機關、行業組織、企業、教育和科研機構、有關專業機構等開(kāi)展數據開(kāi)發(fā)利用和安全保護合作,開(kāi)展數據安全宣傳教育和培訓。 第五條 國(guó)家建立數據分類分級保護制度。按照數據對(duì)國(guó)家安全、公共利益或者個人、組織合法權益的影響和重要程度,將(jiāng)數據分爲一般數據、重要數據、核心數據,不同級别的數據采取不同的保護措施。 國(guó)家對(duì)個人信息和重要數據進(jìn)行重點保護,對(duì)核心數據實行嚴格保護。 各地區、各部門應當按照國(guó)家數據分類分級要求,對(duì)本地區、本部門以及相關行業、領域的數據進(jìn)行分類分級管理。 第六條 數據處理者對(duì)所處理數據的安全負責,履行數據安全保護義務,接受政府和社會監督,承擔社會責任。 數據處理者應當按照有關法律、行政法規的規定和國(guó)家标準的強制性要求,建立完善數據安全管理制度和技術保護機制。 第七條 國(guó)家推動公共數據開(kāi)放、共享,促進(jìn)數據開(kāi)發(fā)利用,并依法對(duì)公共數據實施監督管理。 國(guó)家建立健全數據交易管理制度,明确數據交易機構設立、運行标準,規範數據流通交易行爲,确保數據依法有序流通。 第八條 任何個人和組織開(kāi)展數據處理活動應當遵守法律、行政法規,尊重社會公德和倫理,不得從事(shì)以下活動: (一)危害國(guó)家安全、榮譽和利益,洩露國(guó)家秘密和工作秘密; (二)侵害他人名譽權、隐私權、著作權和其他合法權益等; (三)通過(guò)竊取或者以其他非法方式獲取數據; (四)非法出售或者非法向(xiàng)他人提供數據; 任何個人和組織知道(dào)或者應當知道(dào)他人從事(shì)前款活動的,不得爲其提供技術支持、工具、程序和廣告推廣、支付結算等服務。 第九條 數據處理者應當采取備份、加密、訪問控制等必要措施,保障數據免遭洩露、竊取、篡改、毀損、丢失、非法使用,應對(duì)數據安全事(shì)件,防範針對(duì)和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。 數據處理者應當按照網絡安全等級保護的要求,加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。 數據處理者應當使用密碼對(duì)重要數據和核心數據進(jìn)行保護。 第十條 數據處理者發(fā)現其使用或者提供的網絡産品和服務存在安全缺陷、漏洞,或者威脅國(guó)家安全、危害公共利益等風險時,應當立即采取補救措施。 第十一條 數據處理者應當建立數據安全應急處置機制,發(fā)生數據安全事(shì)件時及時啓動應急響應機制,采取措施防止危害擴大,消除安全隐患。安全事(shì)件對(duì)個人、組織造成(chéng)危害的,數據處理者應當在三個工作日内將(jiāng)安全事(shì)件和風險情況、危害後(hòu)果、已經(jīng)采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可采取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事(shì)件涉嫌犯罪的,數據處理者應當按規定向(xiàng)公安機關報案。 發(fā)生重要數據或者十萬人以上個人信息洩露、毀損、丢失等數據安全事(shì)件時,數據處理者還(hái)應當履行以下義務: (一)在發(fā)生安全事(shì)件的八小時内向(xiàng)設區的市級網信部門和有關主管部門報告事(shì)件基本信息,包括涉及的數據數量、類型、可能(néng)的影響、已經(jīng)或拟采取的處置措施等; (二)在事(shì)件處置完畢後(hòu)五個工作日内向(xiàng)設區的市級網信部門和有關主管部門報告包括事(shì)件原因、危害後(hòu)果、責任處理、改進(jìn)措施等情況的調查評估報告。 第十二條 數據處理者向(xiàng)第三方提供個人信息,或者共享、交易、委托處理重要數據的,應當遵守以下規定: (一)向(xiàng)個人告知提供個人信息的目的、類型、方式、範圍、存儲期限、存儲地點,并取得個人單獨同意,符合法律、行政法規規定的不需要取得個人同意的情形或者經(jīng)過(guò)匿名化處理的除外; (二)與數據接收方約定處理數據的目的、範圍、處理方式,數據安全保護措施等,通過(guò)合同等形式明确雙方的數據安全責任義務,并對(duì)數據接收方的數據處理活動進(jìn)行監督; (三)留存個人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。 數據接收方應當履行約定的義務,不得超出約定的目的、範圍、處理方式處理個人信息和重要數據。 第十三條 數據處理者開(kāi)展以下活動,應當按照國(guó)家有關規定,申報網絡安全審查: (一)彙聚掌握大量關系國(guó)家安全、經(jīng)濟發(fā)展、公共利益的數據資源的互聯網平台運營者實施合并、重組、分立,影響或者可能(néng)影響國(guó)家安全的; (二)處理一百萬人以上個人信息的數據處理者赴國(guó)外上市的; (三)數據處理者赴香港上市,影響或者可能(néng)影響國(guó)家安全的; (四)其他影響或者可能(néng)影響國(guó)家安全的數據處理活動。 大型互聯網平台運營者在境外設立總部或者運營中心、研發(fā)中心,應當向(xiàng)國(guó)家網信部門和主管部門報告。 第十四條 數據處理者發(fā)生合并、重組、分立等情況的,數據接收方應當繼續履行數據安全保護義務,涉及重要數據和一百萬人以上個人信息的,應當向(xiàng)設區的市級主管部門報告;數據處理者發(fā)生解散、被(bèi)宣告破産等情況的,應當向(xiàng)設區的市級主管部門報告,按照相關要求移交或删除數據,主管部門不明确的,應當向(xiàng)設區的市級網信部門報告。 第十五條 數據處理者從其他途徑獲取的數據,應當按照本條例的規定履行數據安全保護義務。 第十六條 國(guó)家機關應當依照法律、行政法規的規定和國(guó)家标準的強制性要求,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。 第十七條 數據處理者在采用自動化工具訪問、收集數據時,應當評估對(duì)網絡服務的性能(néng)、功能(néng)帶來的影響,不得幹擾網絡服務的正常功能(néng)。 自動化工具訪問、收集數據違反法律、行政法規或者行業自律公約、影響網絡服務正常功能(néng),或者侵犯他人知識産權等合法權益的,數據處理者應當停止訪問、收集數據行爲并采取相應補救措施。 第十八條 數據處理者應當建立便捷的數據安全投訴舉報渠道(dào),及時受理、處置數據安全投訴舉報。 數據處理者應當公布接受投訴、舉報的聯系方式、責任人信息,每年公開(kāi)披露受理和收到的個人信息安全投訴數量、投訴處理情況、平均處理時間情況,接受社會監督。 第十九條 數據處理者處理個人信息,應當具有明确、合理的目的,遵循合法、正當、必要的原則。基于個人同意處理個人信息的,應當滿足以下要求: (一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的; (二)限于實現處理目的最短周期、最低頻次,采取對(duì)個人權益影響最小的方式; (三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者幹擾個人正常使用服務。 第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開(kāi)展示、易于訪問并置于醒目位置,内容明确具體、簡明通俗,系統全面(miàn)地向(xiàng)個人說明個人信息處理情況。 (一)依據産品或者服務的功能(néng)明确所需的個人信息,以清單形式列明每項功能(néng)處理個人信息的目的、用途、方式、種(zhǒng)類、頻次或者時機、保存地點等,以及拒絕處理個人信息對(duì)個人的影響; (二)個人信息存儲期限或者個人信息存儲期限的确定方法、到期後(hòu)的處理方式; (三)個人查閱、複制、更正、删除、限制處理、轉移個人信息,以及注銷賬号、撤回處理個人信息同意的途徑和方法; (四)以集中展示等便利用戶訪問的方式說明産品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種(zhǒng)類、頻次或者時機及其個人信息處理規則; (五)向(xiàng)第三方提供個人信息情形及其目的、方式、種(zhǒng)類,數據接收方相關信息等; (七)個人信息安全問題的投訴、舉報渠道(dào)及解決途徑,個人信息保護負責人聯系方式。 第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定: (一)按照服務類型分别向(xiàng)個人申請處理個人信息的同意,不得使用概括性條款取得同意; (二)處理個人生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等敏感個人信息應當取得個人單獨同意; (三)處理不滿十四周歲未成(chéng)年人的個人信息,應當取得其監護人同意; (四)不得以改善服務質量、提升用戶體驗、研發(fā)新産品等爲由,強迫個人同意處理其個人信息; (五)不得通過(guò)誤導、欺詐、脅迫等方式獲得個人的同意; (六)不得通過(guò)捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進(jìn)行批量個人信息同意; (八)不得在個人明确表示不同意後(hòu),頻繁征求同意、幹擾正常使用服務。 個人信息的處理目的、處理方式和處理的個人信息種(zhǒng)類發(fā)生變更的,數據處理者應當重新取得個人同意,并同步修改個人信息處理規則。 對(duì)個人同意行爲有效性存在争議的,數據處理者負有舉證責任。 第二十二條 有下列情況之一的,數據處理者應當在十五個工作日内删除個人信息或者進(jìn)行匿名化處理: (一)已實現個人信息處理目的或者實現處理目的不再必要; (二)達到與用戶約定或者個人信息處理規則明确的存儲期限; (四)因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息。 删除個人信息從技術上難以實現,或者因業務複雜等原因,在十五個工作日内删除個人信息确有困難的,數據處理者不得開(kāi)展除存儲和采取必要的安全保護措施之外的處理,并應當向(xiàng)個人作出合理解釋。 第二十三條 個人提出查閱、複制、更正、補充、限制處理、删除其個人信息的合理請求的,數據處理者應當履行以下義務: (一)提供便捷的支持個人結構化查詢本人被(bèi)收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對(duì)個人的合理請求進(jìn)行限制; (二)提供便捷的支持個人複制、更正、補充、限制處理、删除其個人信息、撤回授權同意以及注銷賬号的功能(néng),且不得設置不合理條件; (三)收到個人複制、更正、補充、限制處理、删除本人個人信息、撤回授權同意或者注銷賬号申請的,應當在十五個工作日内處理并反饋。 第二十四條 符合下列條件的個人信息轉移請求,數據處理者應當爲個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務: (一)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息; (二)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意願的他人信息; 數據處理者發(fā)現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對(duì)個人信息轉移請求做合理的風險提示。 請求轉移個人信息次數明顯超出合理範圍的,數據處理者可以收取合理費用。 第二十五條 數據處理者利用生物特征進(jìn)行個人身份認證的,應當對(duì)必要性、安全性進(jìn)行風險評估,不得將(jiāng)人臉、步态、指紋、虹膜、聲紋等生物特征作爲唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。 第二十六條 數據處理者處理一百萬人以上個人信息的,還(hái)應當遵守本條例第四章對(duì)重要數據的處理者作出的規定。 第二十七條 各地區、各部門按照國(guó)家有關要求和标準,組織本地區、本部門以及相關行業、領域的數據處理者識别重要數據和核心數據,組織制定本地區、本部門以及相關行業、領域重要數據和核心數據目錄,并報國(guó)家網信部門。 第二十八條 重要數據的處理者,應當明确數據安全負責人,成(chéng)立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下,履行以下職責: (二)制定實施數據安全保護計劃和數據安全事(shì)件應急預案; (三)開(kāi)展數據安全風險監測,及時處置數據安全風險和事(shì)件; (四)定期組織開(kāi)展數據安全宣傳教育培訓、風險評估、應急演練等活動; (六)按照要求及時向(xiàng)網信部門和主管、監管部門報告數據安全情況。 數據安全負責人應當具備數據安全專業知識和相關管理工作經(jīng)曆,由數據處理者決策層成(chéng)員承擔,有權直接向(xiàng)網信部門和主管、監管部門反映數據安全情況。 第二十九條 重要數據的處理者,應當在識别其重要數據後(hòu)的十五個工作日内向(xiàng)設區的市級網信部門備案,備案内容包括: (一)數據處理者基本信息,數據安全管理機構信息、數據安全負責人姓名和聯系方式等; (二)處理數據的目的、規模、方式、範圍、類型、存儲期限、存儲地點等,不包括數據内容本身; (三)國(guó)家網信部門和主管、監管部門規定的其他備案内容。 處理數據的目的、範圍、類型及數據安全防護措施等有重大變化的,應當重新備案。 依據部門職責分工,網信部門與有關部門共享備案信息。 第三十條 重要數據的處理者,應當制定數據安全培訓計劃,每年組織開(kāi)展全員數據安全教育培訓,數據安全相關的技術和管理人員每年教育培訓時間不得少于二十小時。 第三十一條 重要數據的處理者,應當優先采購安全可信的網絡産品和服務。 第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開(kāi)展一次數據安全評估,并在每年1月31日前將(jiāng)上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的内容包括: (三)數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性; (四)落實國(guó)家數據安全法律、行政法規和标準情況; (五)發(fā)生的數據安全事(shì)件及其處置情況; (六)共享、交易、委托處理、向(xiàng)境外提供重要數據的安全評估情況; (八)國(guó)家網信部門和主管、監管部門明确的其他數據安全情況。 依據部門職責分工,網信部門與有關部門共享報告信息。 數據處理者開(kāi)展共享、交易、委托處理、向(xiàng)境外提供重要數據的安全評估,應當重點評估以下内容: (一)共享、交易、委托處理、向(xiàng)境外提供數據,以及數據接收方處理數據的目的、方式、範圍等是否合法、正當、必要; (二)共享、交易、委托處理、向(xiàng)境外提供數據被(bèi)洩露、毀損、篡改、濫用的風險,以及對(duì)國(guó)家安全、經(jīng)濟發(fā)展、公共利益帶來的風險; (三)數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被(bèi)中國(guó)政府制裁等背景情況,承諾承擔的責任以及履行責任的能(néng)力等是否能(néng)夠有效保障數據安全; (四)與數據接收方訂立的相關合同中關于數據安全的要求能(néng)否有效約束數據接收方履行數據安全保護義務; (五)在數據處理過(guò)程中的管理和技術措施等是否能(néng)夠防範數據洩露、毀損等風險。 評估認爲可能(néng)危害國(guó)家安全、經(jīng)濟發(fā)展和公共利益,數據處理者不得共享、交易、委托處理、向(xiàng)境外提供數據。 第三十三條 數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明确的,應當征得設區的市級及以上網信部門同意。 第三十四條 國(guó)家機關和關鍵信息基礎設施運營者采購的雲計算服務,應當通過(guò)國(guó)家網信部門會同國(guó)務院有關部門組織的安全評估。 第三十五條 數據處理者因業務等需要,确需向(xiàng)中華人民共和國(guó)境外提供數據的,應當具備下列條件之一: (一)通過(guò)國(guó)家網信部門組織的數據出境安全評估; (二)數據處理者和數據接收方均通過(guò)國(guó)家網信部門認定的專業機構進(jìn)行的個人信息保護認證; (三)按照國(guó)家網信部門制定的關于标準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務; (四)法律、行政法規或者國(guó)家網信部門規定的其他條件。 數據處理者爲訂立、履行個人作爲一方當事(shì)人的合同所必需向(xiàng)境外提供當事(shì)人個人信息的,或者爲了保護個人生命健康和财産安全而必須向(xiàng)境外提供個人信息的除外。 第三十六條 數據處理者向(xiàng)中華人民共和國(guó)境外提供個人信息的,應當向(xiàng)個人告知境外數據接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種(zhǒng)類以及個人向(xiàng)境外數據接收方行使個人信息權利的方式等事(shì)項,并取得個人的單獨同意。 收集個人信息時已單獨就個人信息出境取得個人同意,且按照取得同意的事(shì)項出境的,無需再次取得個人單獨同意。 第三十七條 數據處理者向(xiàng)境外提供在中華人民共和國(guó)境内收集和産生的數據,屬于以下情形的,應當通過(guò)國(guó)家網信部門組織的數據出境安全評估: (二)關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數據處理者向(xiàng)境外提供個人信息; 法律、行政法規和國(guó)家網信部門規定可以不進(jìn)行安全評估的,從其規定。 第三十八條 中華人民共和國(guó)締結或者參加的國(guó)際條約、協定對(duì)向(xiàng)中華人民共和國(guó)境外提供個人信息的條件等有規定的,可以按照其規定執行。 第三十九條 數據處理者向(xiàng)境外提供數據應當履行以下義務: (一)不得超出報送網信部門的個人信息保護影響評估報告中明确的目的、範圍、方式和數據類型、規模等向(xiàng)境外提供個人信息; (二)不得超出網信部門安全評估時明确的出境目的、範圍、方式和數據類型、規模等向(xiàng)境外提供個人信息和重要數據; (三)采取合同等有效措施監督數據接收方按照雙方約定的目的、範圍、方式使用數據,履行數據安全保護義務,保證數據安全; (五)數據出境對(duì)個人、組織合法權益或者公共利益造成(chéng)損害的,數據處理者應當依法承擔責任; (六)存留相關日志記錄和數據出境審批記錄三年以上; (七)國(guó)家網信部門會同國(guó)務院有關部門核驗向(xiàng)境外提供個人信息和重要數據的類型、範圍時,數據處理者應當以明文、可讀方式予以展示; (八)國(guó)家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對(duì)已出境數據的安全予以補救; (九)個人信息出境後(hòu)确需再轉移的,應當事(shì)先與個人約定再轉移的條件,并明确數據接收方履行的安全保護義務。 非經(jīng)中華人民共和國(guó)主管機關批準,境内的個人、組織不得向(xiàng)外國(guó)司法或者執法機構提供存儲于中華人民共和國(guó)境内的數據。 第四十條 向(xiàng)境外提供個人信息和重要數據的數據處理者,應當在每年1月31日前編制數據出境安全報告,向(xiàng)設區的市級網信部門報告上一年度以下數據出境情況: (三)數據在境外的存放地點、存儲期限、使用範圍和方式; (四)涉及向(xiàng)境外提供數據的用戶投訴及處理情況; (五)發(fā)生的數據安全事(shì)件及其處置情況; (七)國(guó)家網信部門明确向(xiàng)境外提供數據需要報告的其他事(shì)項。 第四十一條 國(guó)家建立數據跨境安全網關,對(duì)來源于中華人民共和國(guó)境外、法律和行政法規禁止發(fā)布或者傳輸的信息予以阻斷傳播。 任何個人和組織不得提供用于穿透、繞過(guò)數據跨境安全網關的程序、工具、線路等,不得爲穿透、繞過(guò)數據跨境安全網關提供互聯網接入、服務器托管、技術支持、傳播推廣、支付結算、應用下載等服務。 境内用戶訪問境内網絡的,其流量不得被(bèi)路由至境外。 第四十二條 數據處理者從事(shì)跨境數據活動應當按照國(guó)家數據跨境安全監管要求,建立健全相關技術和管理措施。 第四十三條 互聯網平台運營者應當建立與數據相關的平台規則、隐私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平台規則、隐私政策、算法公平公正。 平台規則、隐私政策制定或者對(duì)用戶權益有重大影響的修訂,互聯網平台運營者應當在其官方網站、個人信息保護相關行業協會互聯網平台面(miàn)向(xiàng)社會公開(kāi)征求意見,征求意見時長(cháng)不得少于三十個工作日,确保用戶能(néng)夠便捷充分表達意見。互聯網平台運營者應當充分采納公衆意見,修改完善平台規則、隐私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。 日活用戶超過(guò)一億的大型互聯網平台運營者平台規則、隐私政策制定或者對(duì)用戶權益有重大影響的修訂的,應當經(jīng)國(guó)家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。 第四十四條 互聯網平台運營者應當對(duì)接入其平台的第三方産品和服務承擔數據安全管理責任,通過(guò)合同等形式明确第三方的數據安全責任義務,并督促第三方加強數據安全管理,采取必要的數據安全保護措施。 第三方産品和服務對(duì)用戶造成(chéng)損害的,用戶可以要求互聯網平台運營者先行賠償。 移動通信終端預裝第三方産品适用本條前兩(liǎng)款規定。 第四十五條 國(guó)家鼓勵提供即時通信服務的互聯網平台運營者從功能(néng)設計上爲用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關規定進(jìn)行管理。 第四十六條 互聯網平台運營者不得利用數據以及平台規則等從事(shì)以下活動: (一)利用平台收集掌握的用戶數據,無正當理由對(duì)交易條件相同的用戶實施産品和服務差異化定價等損害用戶合法利益的行爲; (二)利用平台收集掌握的經(jīng)營者數據,在産品推廣中實行最低價銷售等損害公平競争的行爲; (三)利用數據誤導、欺詐、脅迫用戶,損害用戶對(duì)其數據被(bèi)處理的決定權,違背用戶意願處理用戶數據; (四)在平台規則、算法、技術、流量分配等方面(miàn)設置不合理的限制和障礙,限制平台上的中小企業公平獲取平台産生的行業、市場數據等,阻礙市場創新。 第四十七條 提供應用程序分發(fā)服務的互聯網平台運營者,應當按照有關法律、行政法規和國(guó)家網信部門的規定,建立、披露應用程序審核規則,并對(duì)應用程序進(jìn)行安全審核。對(duì)不符合法律、行政法規的規定和國(guó)家标準的強制性要求的應用程序,應當采取拒絕上架、督促整改、下架處置等措施。 第四十八條 互聯網平台運營者面(miàn)向(xiàng)公衆提供即時通信服務的,應當按照國(guó)務院電信主管部門的規定,爲其他互聯網平台運營者的即時通信服務提供數據接口,支持不同即時通信服務之間用戶數據互通,無正當理由不得限制用戶訪問其他互聯網平台以及向(xiàng)其他互聯網平台傳輸文件。 第四十九條 互聯網平台運營者利用個人信息和個性化推送算法向(xiàng)用戶提供信息的,應當對(duì)推送信息的真實性、準确性以及來源合法性負責,并符合以下要求: (一)收集個人信息用于個性化推薦時,應當取得個人單獨同意; (二)設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項,允許用戶拒絕接受定向(xiàng)推送信息,允許用戶重置、修改、調整針對(duì)其個人特征的定向(xiàng)推送參數; (三)允許個人删除定向(xiàng)推送信息服務收集産生的個人信息,法律、行政法規另有規定或者與用戶另有約定的除外。 第五十條 國(guó)家建設網絡身份認證公共服務基礎設施,按照政府引導、網民自願原則,提供個人身份認證公共服務。 互聯網平台運營者應當支持并優先使用國(guó)家網絡身份認證公共服務基礎設施提供的個人身份認證服務。 第五十一條 互聯網平台運營者在爲國(guó)家機關提供服務,參與公共基礎設施、公共服務系統建設運維管理,利用公共資源提供服務過(guò)程中收集、産生的數據不得用于其他用途。 第五十二條 國(guó)務院有關部門履行法定職責需要調取或者訪問互聯網平台運營者掌握的公共數據、公共信息,應當明确調取或者訪問的範圍、類型、用途、依據,嚴格限定在履行法定職責範圍内,不得將(jiāng)調取或者訪問的公共數據、公共信息用于履行法定職責之外的目的。 互聯網平台運營者應當對(duì)有關部門調取或者訪問公共數據、公共信息予以配合。 第五十三條 大型互聯網平台運營者應當通過(guò)委托第三方審計方式,每年對(duì)平台數據安全情況、平台規則和自身承諾的執行情況、個人信息保護情況、數據開(kāi)發(fā)利用情況等進(jìn)行年度審計,并披露審計結果。 第五十四條 互聯網平台運營者利用人工智能(néng)、虛拟現實、深度合成(chéng)等新技術開(kāi)展數據處理活動的,應當按照國(guó)家有關規定進(jìn)行安全評估。 第五十五條 國(guó)家網信部門負責統籌協調數據安全和相關監督管理工作。 公安機關、國(guó)家安全機關等在各自職責範圍内承擔數據安全監管職責。 工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。 主管部門應當明确本行業、本領域數據安全保護工作機構和人員,編制并組織實施本行業、本領域的數據安全規劃和數據安全事(shì)件應急預案。 主管部門應當定期組織開(kāi)展本行業、本領域的數據安全風險評估,對(duì)數據處理者履行數據安全保護義務情況進(jìn)行監督檢查,指導督促數據處理者及時對(duì)存在的風險隐患進(jìn)行整改。 第五十六條 國(guó)家建立健全數據安全應急處置機制,完善網絡安全事(shì)件應急預案和網絡安全信息共享平台,將(jiāng)數據安全事(shì)件納入國(guó)家網絡安全事(shì)件應急響應機制,加強數據安全信息共享、數據安全風險和威脅監測預警以及數據安全事(shì)件應急處置工作。 第五十七條 有關主管、監管部門可以采取以下措施對(duì)數據安全進(jìn)行監督檢查: (一)要求數據處理者相關人員就監督檢查事(shì)項作出說明; (三)按照規定程序,利用檢測工具或者委托專業機構對(duì)數據安全措施運行情況進(jìn)行技術檢測; 有關主管、監管部門開(kāi)展數據安全監督檢查,應當客觀公正,不得向(xiàng)被(bèi)檢查單位收取費用。在數據安全監督檢查中獲取的信息隻能(néng)用于維護數據安全的需要,不得用于其他用途。 數據處理者應當對(duì)有關主管、監管部門的數據安全監督檢查予以配合,包括對(duì)組織運作、技術系統、算法原理、數據處理程序等進(jìn)行解釋說明,開(kāi)放安全相關數據訪問、提供必要技術支持等。 第五十八條 國(guó)家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對(duì)其處理個人信息遵守法律、行政法規的情況進(jìn)行合規審計。 主管、監管部門組織開(kāi)展對(duì)重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況。 第五十九條 國(guó)家支持相關行業組織按照章程,制定數據安全行爲規範,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進(jìn)行業健康發(fā)展。 國(guó)家支持成(chéng)立個人信息保護行業組織,開(kāi)展以下活動: (一)接受個人信息保護投訴舉報并進(jìn)行調查、調解; (二)向(xiàng)個人提供信息和咨詢服務,支持個人依法對(duì)損害個人信息權益的行爲提起(qǐ)訴訟; (三)曝光損害個人信息權益的行爲,對(duì)個人信息保護開(kāi)展社會監督; (四)向(xiàng)有關部門反映個人信息保護情況、提供咨詢、建議; (五)違法處理個人信息、侵害衆多個人的權益的行爲,依法向(xiàng)人民法院提起(qǐ)訴訟。 第六十條 數據處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規定,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對(duì)直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者導緻危害數據安全等嚴重後(hòu)果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對(duì)直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。 第六十一條 數據處理者不履行第十九條、第二十條、第二十一條、第二十二條、第二十三條、第二十四條、第二十五條規定的數據安全保護義務的,由有關部門責令改正,給予警告,沒(méi)收違法所得,對(duì)違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對(duì)直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 有前款規定的違法行爲,情節嚴重的,由有關部門責令改正,沒(méi)收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對(duì)直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限内擔任相關企業的董事(shì)、監事(shì)、高級管理人員和個人信息保護負責人。 第六十二條 數據處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規定的數據安全保護義務的,由有關部門責令改正,給予警告,對(duì)違法處理重要數據的系統及應用,責令暫停或者終止提供服務;拒不改正的,并處二百萬元以下罰款,對(duì)直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。 有前款規定的違法行爲,情節嚴重的,由有關部門責令改正,沒(méi)收違法所得,并處二百萬元以上五百萬元以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對(duì)直接負責的主管人員和其他直接責任人員處二十萬元以上一百萬元以下罰款。 第六十三條 關鍵信息基礎設施運營者違反第三十四條的規定,由有關部門責令改正,依照有關法律、行政法規的規定予以處罰。 第六十四條 數據處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規定,由有關部門責令改正,給予警告,暫停數據出境,可以并處十萬元以上一百萬元以下罰款,對(duì)直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對(duì)直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。 第六十五條 違反本條例第三十九條第二款的規定,未經(jīng)主管機關批準向(xiàng)外國(guó)司法或者執法機構提供數據的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對(duì)直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成(chéng)嚴重後(hòu)果的,處一百萬元以上五百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對(duì)直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。 第六十六條 個人和組織違反第四十一條的規定,由有關主管部門責令改正,給予警告、沒(méi)收違法所得;拒不改正的,處違法所得一倍以上十倍以下的罰款,沒(méi)有違法所得的,對(duì)直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成(chéng)犯罪的,依照相關法律、行政法規的規定處罰。 第六十七條 互聯網平台運營者違反第四十三條、第四十四條、第四十五條、第四十七條、第五十三條的規定,由有關部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對(duì)直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。 第六十八條 互聯網平台運營者違反第四十六條、第四十八條、第五十一條的規定,由有關主管部門責令改正,給予警告;拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成(chéng)犯罪的,依照相關法律、行政法規的規定處罰。 第六十九條 互聯網平台運營者違反第四十九條、第五十四條的規定,由有關主管部門責令改正,予以警告;拒不改正,處五萬元以上五十萬元以下罰款,對(duì)直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,可由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。 第七十條 數據處理者違反本條例規定,給他人造成(chéng)損害的,依法承擔民事(shì)責任;構成(chéng)違反治安管理行爲的,依法給予治安管理處罰;構成(chéng)犯罪的,依法追究刑事(shì)責任。 第七十一條 國(guó)家機關不履行本法規定的數據安全保護義務的,由其上級機關或者履行數據安全管理職責的部門責令改正;對(duì)直接負責的主管人員和其他直接責任人員依法給予處分。 第七十二條 在中華人民共和國(guó)境外開(kāi)展數據處理活動,損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。 (一)網絡數據(簡稱數據)是指任何以電子方式對(duì)信息的記錄。 (二)數據處理活動是指數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)、删除等活動。 (三)重要數據是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能(néng)危害國(guó)家安全、公共利益的數據。包括以下數據: 1.未公開(kāi)的政務數據、工作秘密、情報數據和執法司法數據; 2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生産工藝等相關的數據,密碼、生物、電子信息、人工智能(néng)等領域對(duì)國(guó)家安全、經(jīng)濟競争實力有直接影響的科學(xué)技術成(chéng)果數據; 3.國(guó)家法律、行政法規、部門規章明确規定需要保護或者控制傳播的國(guó)家經(jīng)濟運行數據、重要行業業務數據、統計數據等; 4.工業、電信、能(néng)源、交通、水利、金融、國(guó)防科技工業、海關、稅務等重點行業和領域安全生産、運行的數據,關鍵系統組件、設備供應鏈數據; 5.達到國(guó)家有關部門規定的規模或者精度的基因、地理、礦産、氣象等人口與健康、自然資源與環境國(guó)家基礎數據; 6.國(guó)家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國(guó)防設施、軍事(shì)管理區、國(guó)防科研生産單位等重要敏感區域的地理位置、安保情況等數據; 7.其他可能(néng)影響國(guó)家政治、國(guó)土、軍事(shì)、經(jīng)濟、文化、社會、科技、生态、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。 (四)核心數據是指關系國(guó)家安全、國(guó)民經(jīng)濟命脈、重要民生和重大公共利益等的數據。 (五)數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織。 (六)公共數據是指國(guó)家機關和法律、行政法規授權的具有管理公共事(shì)務職能(néng)的組織履行公共管理職責或者提供公共服務過(guò)程中收集、産生的各類數據,以及其他組織在提供公共服務中收集、産生的涉及公共利益的各類數據。 (七)委托處理是指數據處理者委托第三方按照約定的目的和方式開(kāi)展的數據處理活動。 (八)單獨同意是指數據處理者在開(kāi)展具體數據處理活動時,對(duì)每項個人信息取得個人同意,不包括一次性針對(duì)多項個人信息、多種(zhǒng)處理活動的同意。 (九)互聯網平台運營者是指爲用戶提供信息發(fā)布、社交、交易、支付、視聽等互聯網平台服務的數據處理者。 (十)大型互聯網平台運營者是指用戶超過(guò)五千萬、處理大量個人信息和重要數據、具有強大社會動員能(néng)力和市場支配地位的互聯網平台運營者。 (十一)數據跨境安全網關是指阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防範偵查打擊跨境網絡犯罪的重要安全基礎設施。 (十二)公共信息是指數據處理者在提供公共服務過(guò)程中收集、産生的具有公共傳播特性的信息。包括公開(kāi)發(fā)布信息、可轉發(fā)信息、無明确接收人信息等。 第七十四條 涉及國(guó)家秘密信息、核心數據、密碼使用的數據處理活動,按照國(guó)家有關規定執行。
聯系我們
-
地址:黑龍江省哈爾濱市南崗區學(xué)府路251号
-
聯系郵箱:work@hljcsia.org.cn
