據國家互聯(lián)網(wǎng)信息辦公室官方微信消息����,國家互聯(lián)網(wǎng)信息辦公室會(huì )同相關(guān)部門(mén)研究起草《網(wǎng)絡(luò )數據安全管理條例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《意見(jiàn)稿》)��,14日起向社會(huì )公開(kāi)征求意見(jiàn)�����?���!兑庖?jiàn)稿》提出�,國家建立數據分類(lèi)分級保護制度����。按照數據對國家安全�、公共利益或者個(gè)人����、組織合法權益的影響和重要程度���,將數據分為一般數據�����、重要數據�、核心數據���,不同級別的數據采取不同的保護措施�����。國家對個(gè)人信息和重要數據進(jìn)行重點(diǎn)保護����,對核心數據實(shí)行嚴格保護����。
《意見(jiàn)稿》全文如下:
網(wǎng)絡(luò )數據安全管理條例
(征求意見(jiàn)稿)
第一章 總則
第一條 為了規范網(wǎng)絡(luò )數據處理活動(dòng)���,保障數據安全����,保護個(gè)人�、組織在網(wǎng)絡(luò )空間的合法權益��,維護國家安全�����、公共利益��,根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律���,制定本條例�����。
第二條 在中華人民共和國境內利用網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)�����,以及網(wǎng)絡(luò )數據安全的監督管理����,適用本條例����。
在中華人民共和國境外處理中華人民共和國境內個(gè)人和組織數據的活動(dòng)�����,有下列情形之一的��,適用本條例:
(一)以向境內提供產(chǎn)品或者服務(wù)為目的�����;
(二)分析�、評估境內個(gè)人��、組織的行為��;
(三)涉及境內重要數據處理���;
(四)法律�����、行政法規規定的其他情形����。
自然人因個(gè)人或者家庭事務(wù)開(kāi)展數據處理活動(dòng)��,不適用本條例��。
第三條 國家統籌發(fā)展和安全����,堅持促進(jìn)數據開(kāi)發(fā)利用與保障數據安全并重�,加強數據安全防護能力建設��,保障數據依法有序自由流動(dòng)��,促進(jìn)數據依法合理有效利用��。
第四條 國家支持數據開(kāi)發(fā)利用與安全保護相關(guān)的技術(shù)����、產(chǎn)品���、服務(wù)創(chuàng )新和人才培養����。
國家鼓勵國家機關(guān)�����、行業(yè)組織�����、企業(yè)����、教育和科研機構��、有關(guān)專(zhuān)業(yè)機構等開(kāi)展數據開(kāi)發(fā)利用和安全保護合作���,開(kāi)展數據安全宣傳教育和培訓��。
第五條 國家建立數據分類(lèi)分級保護制度�����。按照數據對國家安全��、公共利益或者個(gè)人��、組織合法權益的影響和重要程度�,將數據分為一般數據��、重要數據��、核心數據�����,不同級別的數據采取不同的保護措施��。
國家對個(gè)人信息和重要數據進(jìn)行重點(diǎn)保護���,對核心數據實(shí)行嚴格保護���。
各地區�����、各部門(mén)應當按照國家數據分類(lèi)分級要求�����,對本地區��、本部門(mén)以及相關(guān)行業(yè)���、領(lǐng)域的數據進(jìn)行分類(lèi)分級管理���。
第六條 數據處理者對所處理數據的安全負責���,履行數據安全保護義務(wù)���,接受政府和社會(huì )監督�,承擔社會(huì )責任�����。
數據處理者應當按照有關(guān)法律�����、行政法規的規定和國家標準的強制性要求�,建立完善數據安全管理制度和技術(shù)保護機制�����。
第七條 國家推動(dòng)公共數據開(kāi)放�、共享�,促進(jìn)數據開(kāi)發(fā)利用��,并依法對公共數據實(shí)施監督管理���。
國家建立健全數據交易管理制度���,明確數據交易機構設立����、運行標準����,規范數據流通交易行為��,確保數據依法有序流通�����。
第二章 一般規定
第八條 任何個(gè)人和組織開(kāi)展數據處理活動(dòng)應當遵守法律��、行政法規��,尊重社會(huì )公德和倫理���,不得從事以下活動(dòng):
(一)危害國家安全�、榮譽(yù)和利益����,泄露國家秘密和工作秘密�����;
(二)侵害他人名譽(yù)權�����、隱私權����、著(zhù)作權和其他合法權益等���;
(三)通過(guò)竊取或者以其他非法方式獲取數據�����;
(四)非法出售或者非法向他人提供數據���;
(五)制作�、發(fā)布�����、復制����、傳播違法信息���;
(六)法律���、行政法規禁止的其他行為����。
任何個(gè)人和組織知道或者應當知道他人從事前款活動(dòng)的�,不得為其提供技術(shù)支持���、工具��、程序和廣告推廣�����、支付結算等服務(wù)��。
第九條 數據處理者應當采取備份�����、加密��、訪(fǎng)問(wèn)控制等必要措施���,保障數據免遭泄露��、竊取��、篡改�����、毀損���、丟失�����、非法使用��,應對數據安全事件��,防范針對和利用數據的違法犯罪活動(dòng)����,維護數據的完整性�、保密性���、可用性��。
數據處理者應當按照網(wǎng)絡(luò )安全等級保護的要求�����,加強數據處理系統��、數據傳輸網(wǎng)絡(luò )�、數據存儲環(huán)境等安全防護�����,處理重要數據的系統原則上應當滿(mǎn)足三級以上網(wǎng)絡(luò )安全等級保護和關(guān)鍵信息基礎設施安全保護要求���,處理核心數據的系統依照有關(guān)規定從嚴保護����。
數據處理者應當使用密碼對重要數據和核心數據進(jìn)行保護���。
第十條 數據處理者發(fā)現其使用或者提供的網(wǎng)絡(luò )產(chǎn)品和服務(wù)存在安全缺陷���、漏洞��,或者威脅國家安全�����、危害公共利益等風(fēng)險時(shí)�����,應當立即采取補救措施���。
第十一條 數據處理者應當建立數據安全應急處置機制��,發(fā)生數據安全事件時(shí)及時(shí)啟動(dòng)應急響應機制��,采取措施防止危害擴大�,消除安全隱患���。安全事件對個(gè)人����、組織造成危害的�����,數據處理者應當在三個(gè)工作日內將安全事件和風(fēng)險情況���、危害后果�����、已經(jīng)采取的補救措施等以電話(huà)��、短信��、即時(shí)通信工具���、電子郵件等方式通知利害關(guān)系人�����,無(wú)法通知的可采取公告方式告知�,法律���、行政法規規定可以不通知的從其規定���。安全事件涉嫌犯罪的�����,數據處理者應當按規定向公安機關(guān)報案�。
發(fā)生重要數據或者十萬(wàn)人以上個(gè)人信息泄露�、毀損��、丟失等數據安全事件時(shí)����,數據處理者還應當履行以下義務(wù):
(一)在發(fā)生安全事件的八小時(shí)內向設區的市級網(wǎng)信部門(mén)和有關(guān)主管部門(mén)報告事件基本信息�����,包括涉及的數據數量��、類(lèi)型���、可能的影響�����、已經(jīng)或擬采取的處置措施等����;
(二)在事件處置完畢后五個(gè)工作日內向設區的市級網(wǎng)信部門(mén)和有關(guān)主管部門(mén)報告包括事件原因�、危害后果����、責任處理�����、改進(jìn)措施等情況的調查評估報告���。
第十二條 數據處理者向第三方提供個(gè)人信息��,或者共享��、交易�、委托處理重要數據的����,應當遵守以下規定:
(一)向個(gè)人告知提供個(gè)人信息的目的���、類(lèi)型����、方式��、范圍���、存儲期限�、存儲地點(diǎn)�����,并取得個(gè)人單獨同意�����,符合法律���、行政法規規定的不需要取得個(gè)人同意的情形或者經(jīng)過(guò)匿名化處理的除外�;
(二)與數據接收方約定處理數據的目的���、范圍�、處理方式�,數據安全保護措施等����,通過(guò)合同等形式明確雙方的數據安全責任義務(wù)���,并對數據接收方的數據處理活動(dòng)進(jìn)行監督���;
(三)留存個(gè)人同意記錄及提供個(gè)人信息的日志記錄����,共享��、交易�、委托處理重要數據的審批記錄����、日志記錄至少五年�����。
數據接收方應當履行約定的義務(wù)���,不得超出約定的目的����、范圍�����、處理方式處理個(gè)人信息和重要數據���。
第十三條 數據處理者開(kāi)展以下活動(dòng)��,應當按照國家有關(guān)規定�����,申報網(wǎng)絡(luò )安全審查:
(一)匯聚掌握大量關(guān)系國家安全�、經(jīng)濟發(fā)展���、公共利益的數據資源的互聯(lián)網(wǎng)平臺運營(yíng)者實(shí)施合并����、重組�����、分立�,影響或者可能影響國家安全的�����;
(二)處理一百萬(wàn)人以上個(gè)人信息的數據處理者赴國外上市的��;
(三)數據處理者赴香港上市���,影響或者可能影響國家安全的��;
(四)其他影響或者可能影響國家安全的數據處理活動(dòng)���。
大型互聯(lián)網(wǎng)平臺運營(yíng)者在境外設立總部或者運營(yíng)中心�、研發(fā)中心�,應當向國家網(wǎng)信部門(mén)和主管部門(mén)報告����。
第十四條 數據處理者發(fā)生合并����、重組���、分立等情況的���,數據接收方應當繼續履行數據安全保護義務(wù)��,涉及重要數據和一百萬(wàn)人以上個(gè)人信息的���,應當向設區的市級主管部門(mén)報告����;數據處理者發(fā)生解散��、被宣告破產(chǎn)等情況的����,應當向設區的市級主管部門(mén)報告���,按照相關(guān)要求移交或刪除數據�,主管部門(mén)不明確的�����,應當向設區的市級網(wǎng)信部門(mén)報告�。
第十五條 數據處理者從其他途徑獲取的數據���,應當按照本條例的規定履行數據安全保護義務(wù)��。
第十六條 國家機關(guān)應當依照法律����、行政法規的規定和國家標準的強制性要求�,建立健全數據安全管理制度���,落實(shí)數據安全保護責任�����,保障政務(wù)數據安全���。
第十七條 數據處理者在采用自動(dòng)化工具訪(fǎng)問(wèn)�、收集數據時(shí)��,應當評估對網(wǎng)絡(luò )服務(wù)的性能�����、功能帶來(lái)的影響����,不得干擾網(wǎng)絡(luò )服務(wù)的正常功能�。
自動(dòng)化工具訪(fǎng)問(wèn)���、收集數據違反法律��、行政法規或者行業(yè)自律公約��、影響網(wǎng)絡(luò )服務(wù)正常功能���,或者侵犯他人知識產(chǎn)權等合法權益的��,數據處理者應當停止訪(fǎng)問(wèn)�����、收集數據行為并采取相應補救措施����。
第十八條 數據處理者應當建立便捷的數據安全投訴舉報渠道�,及時(shí)受理���、處置數據安全投訴舉報�����。
數據處理者應當公布接受投訴����、舉報的聯(lián)系方式�、責任人信息����,每年公開(kāi)披露受理和收到的個(gè)人信息安全投訴數量�����、投訴處理情況����、平均處理時(shí)間情況��,接受社會(huì )監督��。
第三章 個(gè)人信息保護
第十九條 數據處理者處理個(gè)人信息����,應當具有明確�、合理的目的����,遵循合法���、正當�、必要的原則�?���;趥€(gè)人同意處理個(gè)人信息的�����,應當滿(mǎn)足以下要求:
(一)處理的個(gè)人信息是提供服務(wù)所必需的�����,或者是履行法律��、行政法規規定的義務(wù)所必需的���;
(二)限于實(shí)現處理目的最短周期����、最低頻次�����,采取對個(gè)人權益影響最小的方式�����;
(三)不得因個(gè)人拒絕提供服務(wù)必需的個(gè)人信息以外的信息�,拒絕提供服務(wù)或者干擾個(gè)人正常使用服務(wù)�。
第二十條 數據處理者處理個(gè)人信息��,應當制定個(gè)人信息處理規則并嚴格遵守��。個(gè)人信息處理規則應當集中公開(kāi)展示��、易于訪(fǎng)問(wèn)并置于醒目位置�,內容明確具體����、簡(jiǎn)明通俗��,系統全面地向個(gè)人說(shuō)明個(gè)人信息處理情況����。
個(gè)人信息處理規則應當包括但不限于以下內容:
(一)依據產(chǎn)品或者服務(wù)的功能明確所需的個(gè)人信息���,以清單形式列明每項功能處理個(gè)人信息的目的����、用途��、方式���、種類(lèi)�����、頻次或者時(shí)機�、保存地點(diǎn)等�,以及拒絕處理個(gè)人信息對個(gè)人的影響���;
(二)個(gè)人信息存儲期限或者個(gè)人信息存儲期限的確定方法�����、到期后的處理方式�;
(三)個(gè)人查閱�、復制�、更正����、刪除�����、限制處理�����、轉移個(gè)人信息��,以及注銷(xiāo)賬號�、撤回處理個(gè)人信息同意的途徑和方法��;
(四)以集中展示等便利用戶(hù)訪(fǎng)問(wèn)的方式說(shuō)明產(chǎn)品服務(wù)中嵌入的所有收集個(gè)人信息的第三方代碼��、插件的名稱(chēng)�,以及每個(gè)第三方代碼����、插件收集個(gè)人信息的目的�、方式�����、種類(lèi)����、頻次或者時(shí)機及其個(gè)人信息處理規則����;
(五)向第三方提供個(gè)人信息情形及其目的��、方式�����、種類(lèi)���,數據接收方相關(guān)信息等��;
(六)個(gè)人信息安全風(fēng)險及保護措施��;
(七)個(gè)人信息安全問(wèn)題的投訴�、舉報渠道及解決途徑��,個(gè)人信息保護負責人聯(lián)系方式�����。
第二十一條 處理個(gè)人信息應當取得個(gè)人同意的���,數據處理者應當遵守以下規定:
(一)按照服務(wù)類(lèi)型分別向個(gè)人申請處理個(gè)人信息的同意��,不得使用概括性條款取得同意��;
(二)處理個(gè)人生物識別�����、宗教信仰����、特定身份��、醫療健康�、金融賬戶(hù)�����、行蹤軌跡等敏感個(gè)人信息應當取得個(gè)人單獨同意�;
(三)處理不滿(mǎn)十四周歲未成年人的個(gè)人信息�,應當取得其監護人同意�;
(四)不得以改善服務(wù)質(zhì)量�����、提升用戶(hù)體驗���、研發(fā)新產(chǎn)品等為由����,強迫個(gè)人同意處理其個(gè)人信息����;
(五)不得通過(guò)誤導���、欺詐���、脅迫等方式獲得個(gè)人的同意����;
(六)不得通過(guò)捆綁不同類(lèi)型服務(wù)����、批量申請同意等方式誘導�����、強迫個(gè)人進(jìn)行批量個(gè)人信息同意���;
(七)不得超出個(gè)人授權同意的范圍處理個(gè)人信息�����;
(八)不得在個(gè)人明確表示不同意后���,頻繁征求同意����、干擾正常使用服務(wù)�����。
個(gè)人信息的處理目的���、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的�,數據處理者應當重新取得個(gè)人同意�����,并同步修改個(gè)人信息處理規則��。
對個(gè)人同意行為有效性存在爭議的�,數據處理者負有舉證責任�。
第二十二條 有下列情況之一的���,數據處理者應當在十五個(gè)工作日內刪除個(gè)人信息或者進(jìn)行匿名化處理:
(一)已實(shí)現個(gè)人信息處理目的或者實(shí)現處理目的不再必要��;
(二)達到與用戶(hù)約定或者個(gè)人信息處理規則明確的存儲期限�;
(三)終止服務(wù)或者個(gè)人注銷(xiāo)賬號�;
(四)因使用自動(dòng)化采集技術(shù)等��,無(wú)法避免采集到的非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息�。
刪除個(gè)人信息從技術(shù)上難以實(shí)現���,或者因業(yè)務(wù)復雜等原因��,在十五個(gè)工作日內刪除個(gè)人信息確有困難的�����,數據處理者不得開(kāi)展除存儲和采取必要的安全保護措施之外的處理��,并應當向個(gè)人作出合理解釋�����。
法律�����、行政法規另有規定的從其規定�����。
第二十三條 個(gè)人提出查閱�����、復制����、更正�、補充����、限制處理����、刪除其個(gè)人信息的合理請求的����,數據處理者應當履行以下義務(wù):
(一)提供便捷的支持個(gè)人結構化查詢(xún)本人被收集的個(gè)人信息類(lèi)型����、數量等的方法和途徑�����,不得以時(shí)間���、位置等因素對個(gè)人的合理請求進(jìn)行限制�;
(二)提供便捷的支持個(gè)人復制�、更正��、補充�����、限制處理���、刪除其個(gè)人信息�、撤回授權同意以及注銷(xiāo)賬號的功能����,且不得設置不合理條件��;
(三)收到個(gè)人復制��、更正�����、補充����、限制處理�、刪除本人個(gè)人信息����、撤回授權同意或者注銷(xiāo)賬號申請的���,應當在十五個(gè)工作日內處理并反饋�����。
法律����、行政法規另有規定的從其規定��。
第二十四條 符合下列條件的個(gè)人信息轉移請求���,數據處理者應當為個(gè)人指定的其他數據處理者訪(fǎng)問(wèn)��、獲取其個(gè)人信息提供轉移服務(wù):
(一)請求轉移的個(gè)人信息是基于同意或者訂立����、履行合同所必需而收集的個(gè)人信息�;
(二)請求轉移的個(gè)人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息����;
(三)能夠驗證請求人的合法身份�。
數據處理者發(fā)現接收個(gè)人信息的其他數據處理者有非法處理個(gè)人信息風(fēng)險的���,應當對個(gè)人信息轉移請求做合理的風(fēng)險提示����。
請求轉移個(gè)人信息次數明顯超出合理范圍的�,數據處理者可以收取合理費用���。
第二十五條 數據處理者利用生物特征進(jìn)行個(gè)人身份認證的�����,應當對必要性��、安全性進(jìn)行風(fēng)險評估��,不得將人臉����、步態(tài)�、指紋����、虹膜�、聲紋等生物特征作為唯一的個(gè)人身份認證方式�,以強制個(gè)人同意收集其個(gè)人生物特征信息����。
法律��、行政法規另有規定的從其規定�����。
第二十六條 數據處理者處理一百萬(wàn)人以上個(gè)人信息的��,還應當遵守本條例第四章對重要數據的處理者作出的規定�。
第四章 重要數據安全
第二十七條 各地區�����、各部門(mén)按照國家有關(guān)要求和標準����,組織本地區�、本部門(mén)以及相關(guān)行業(yè)�����、領(lǐng)域的數據處理者識別重要數據和核心數據�,組織制定本地區�、本部門(mén)以及相關(guān)行業(yè)����、領(lǐng)域重要數據和核心數據目錄�����,并報國家網(wǎng)信部門(mén)��。
第二十八條 重要數據的處理者�����,應當明確數據安全負責人��,成立數據安全管理機構�。數據安全管理機構在數據安全負責人的領(lǐng)導下�,履行以下職責:
(一)研究提出數據安全相關(guān)重大決策建議����;
(二)制定實(shí)施數據安全保護計劃和數據安全事件應急預案����;
(三)開(kāi)展數據安全風(fēng)險監測����,及時(shí)處置數據安全風(fēng)險和事件���;
(四)定期組織開(kāi)展數據安全宣傳教育培訓����、風(fēng)險評估�����、應急演練等活動(dòng)��;
(五)受理�����、處置數據安全投訴����、舉報����;
(六)按照要求及時(shí)向網(wǎng)信部門(mén)和主管�����、監管部門(mén)報告數據安全情況��。
數據安全負責人應當具備數據安全專(zhuān)業(yè)知識和相關(guān)管理工作經(jīng)歷�,由數據處理者決策層成員承擔����,有權直接向網(wǎng)信部門(mén)和主管����、監管部門(mén)反映數據安全情況�����。
第二十九條 重要數據的處理者��,應當在識別其重要數據后的十五個(gè)工作日內向設區的市級網(wǎng)信部門(mén)備案���,備案內容包括:
(一)數據處理者基本信息�,數據安全管理機構信息����、數據安全負責人姓名和聯(lián)系方式等��;
(二)處理數據的目的����、規模����、方式�����、范圍����、類(lèi)型����、存儲期限�����、存儲地點(diǎn)等���,不包括數據內容本身�����;
(三)國家網(wǎng)信部門(mén)和主管����、監管部門(mén)規定的其他備案內容��。
處理數據的目的����、范圍���、類(lèi)型及數據安全防護措施等有重大變化的�����,應當重新備案���。
依據部門(mén)職責分工�,網(wǎng)信部門(mén)與有關(guān)部門(mén)共享備案信息�����。
第三十條 重要數據的處理者��,應當制定數據安全培訓計劃��,每年組織開(kāi)展全員數據安全教育培訓����,數據安全相關(guān)的技術(shù)和管理人員每年教育培訓時(shí)間不得少于二十小時(shí)�。
第三十一條 重要數據的處理者��,應當優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)�����。
第三十二條 處理重要數據或者赴境外上市的數據處理者�,應當自行或者委托數據安全服務(wù)機構每年開(kāi)展一次數據安全評估�,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網(wǎng)信部門(mén)�,年度數據安全評估報告的內容包括:
(一)處理重要數據的情況��;
(二)發(fā)現的數據安全風(fēng)險及處置措施���;
(三)數據安全管理制度���,數據備份����、加密�、訪(fǎng)問(wèn)控制等安全防護措施��,以及管理制度實(shí)施情況和防護措施的有效性���;
(四)落實(shí)國家數據安全法律���、行政法規和標準情況��;
(五)發(fā)生的數據安全事件及其處置情況��;
(六)共享�、交易��、委托處理�����、向境外提供重要數據的安全評估情況����;
(七)數據安全相關(guān)的投訴及處理情況����;
(八)國家網(wǎng)信部門(mén)和主管����、監管部門(mén)明確的其他數據安全情況�。
數據處理者應當保留風(fēng)險評估報告至少三年�。
依據部門(mén)職責分工�,網(wǎng)信部門(mén)與有關(guān)部門(mén)共享報告信息����。
數據處理者開(kāi)展共享�����、交易���、委托處理����、向境外提供重要數據的安全評估���,應當重點(diǎn)評估以下內容:
(一)共享�、交易����、委托處理���、向境外提供數據�,以及數據接收方處理數據的目的��、方式����、范圍等是否合法���、正當����、必要�;
(二)共享���、交易����、委托處理�、向境外提供數據被泄露����、毀損����、篡改��、濫用的風(fēng)險��,以及對國家安全�����、經(jīng)濟發(fā)展�����、公共利益帶來(lái)的風(fēng)險���;
(三)數據接收方的誠信狀況��、守法情況���、境外政府機構合作關(guān)系����、是否被中國政府制裁等背景情況�����,承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全�;
(四)與數據接收方訂立的相關(guān)合同中關(guān)于數據安全的要求能否有效約束數據接收方履行數據安全保護義務(wù)���;
(五)在數據處理過(guò)程中的管理和技術(shù)措施等是否能夠防范數據泄露�、毀損等風(fēng)險�。
評估認為可能危害國家安全����、經(jīng)濟發(fā)展和公共利益�����,數據處理者不得共享�、交易�、委托處理�、向境外提供數據���。
第三十三條 數據處理者共享����、交易�����、委托處理重要數據的���,應當征得設區的市級及以上主管部門(mén)同意���,主管部門(mén)不明確的��,應當征得設區的市級及以上網(wǎng)信部門(mén)同意�����。
第三十四條 國家機關(guān)和關(guān)鍵信息基礎設施運營(yíng)者采購的云計算服務(wù)���,應當通過(guò)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)組織的安全評估����。
第五章 數據跨境安全管理
第三十五條 數據處理者因業(yè)務(wù)等需要�����,確需向中華人民共和國境外提供數據的�,應當具備下列條件之一:
(一)通過(guò)國家網(wǎng)信部門(mén)組織的數據出境安全評估�����;
(二)數據處理者和數據接收方均通過(guò)國家網(wǎng)信部門(mén)認定的專(zhuān)業(yè)機構進(jìn)行的個(gè)人信息保護認證��;
(三)按照國家網(wǎng)信部門(mén)制定的關(guān)于標準合同的規定與境外數據接收方訂立合同��,約定雙方權利和義務(wù)�;
(四)法律�、行政法規或者國家網(wǎng)信部門(mén)規定的其他條件��。
數據處理者為訂立���、履行個(gè)人作為一方當事人的合同所必需向境外提供當事人個(gè)人信息的���,或者為了保護個(gè)人生命健康和財產(chǎn)安全而必須向境外提供個(gè)人信息的除外�。
第三十六條 數據處理者向中華人民共和國境外提供個(gè)人信息的���,應當向個(gè)人告知境外數據接收方的名稱(chēng)�、聯(lián)系方式��、處理目的���、處理方式�����、個(gè)人信息的種類(lèi)以及個(gè)人向境外數據接收方行使個(gè)人信息權利的方式等事項��,并取得個(gè)人的單獨同意����。
收集個(gè)人信息時(shí)已單獨就個(gè)人信息出境取得個(gè)人同意����,且按照取得同意的事項出境的���,無(wú)需再次取得個(gè)人單獨同意�����。
第三十七條 數據處理者向境外提供在中華人民共和國境內收集和產(chǎn)生的數據���,屬于以下情形的���,應當通過(guò)國家網(wǎng)信部門(mén)組織的數據出境安全評估:
(一)出境數據中包含重要數據�;
(二)關(guān)鍵信息基礎設施運營(yíng)者和處理一百萬(wàn)人以上個(gè)人信息的數據處理者向境外提供個(gè)人信息����;
(三)國家網(wǎng)信部門(mén)規定的其它情形�。
法律����、行政法規和國家網(wǎng)信部門(mén)規定可以不進(jìn)行安全評估的����,從其規定�。
第三十八條 中華人民共和國締結或者參加的國際條約����、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規定的��,可以按照其規定執行��。
第三十九條 數據處理者向境外提供數據應當履行以下義務(wù):
(一)不得超出報送網(wǎng)信部門(mén)的個(gè)人信息保護影響評估報告中明確的目的��、范圍����、方式和數據類(lèi)型�、規模等向境外提供個(gè)人信息�����;
(二)不得超出網(wǎng)信部門(mén)安全評估時(shí)明確的出境目的����、范圍�����、方式和數據類(lèi)型��、規模等向境外提供個(gè)人信息和重要數據��;
(三)采取合同等有效措施監督數據接收方按照雙方約定的目的���、范圍�、方式使用數據��,履行數據安全保護義務(wù)���,保證數據安全���;
(四)接受和處理數據出境所涉及的用戶(hù)投訴���;
(五)數據出境對個(gè)人�����、組織合法權益或者公共利益造成損害的����,數據處理者應當依法承擔責任�����;
(六)存留相關(guān)日志記錄和數據出境審批記錄三年以上���;
(七)國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)核驗向境外提供個(gè)人信息和重要數據的類(lèi)型��、范圍時(shí)�,數據處理者應當以明文��、可讀方式予以展示����;
(八)國家網(wǎng)信部門(mén)認定不得出境的��,數據處理者應當停止數據出境��,并采取有效措施對已出境數據的安全予以補救�����;
(九)個(gè)人信息出境后確需再轉移的����,應當事先與個(gè)人約定再轉移的條件����,并明確數據接收方履行的安全保護義務(wù)���。
非經(jīng)中華人民共和國主管機關(guān)批準�,境內的個(gè)人��、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據�。
第四十條 向境外提供個(gè)人信息和重要數據的數據處理者�����,應當在每年1月31日前編制數據出境安全報告�,向設區的市級網(wǎng)信部門(mén)報告上一年度以下數據出境情況:
(一)全部數據接收方名稱(chēng)�、聯(lián)系方式���;
(二)出境數據的類(lèi)型��、數量及目的��;
(三)數據在境外的存放地點(diǎn)����、存儲期限����、使用范圍和方式�����;
(四)涉及向境外提供數據的用戶(hù)投訴及處理情況��;
(五)發(fā)生的數據安全事件及其處置情況���;
(六)數據出境后再轉移的情況����;
(七)國家網(wǎng)信部門(mén)明確向境外提供數據需要報告的其他事項�����。
第四十一條 國家建立數據跨境安全網(wǎng)關(guān)�,對來(lái)源于中華人民共和國境外���、法律和行政法規禁止發(fā)布或者傳輸的信息予以阻斷傳播�。
任何個(gè)人和組織不得提供用于穿透���、繞過(guò)數據跨境安全網(wǎng)關(guān)的程序�、工具�����、線(xiàn)路等�,不得為穿透��、繞過(guò)數據跨境安全網(wǎng)關(guān)提供互聯(lián)網(wǎng)接入�����、服務(wù)器托管��、技術(shù)支持�、傳播推廣�����、支付結算��、應用下載等服務(wù)��。
境內用戶(hù)訪(fǎng)問(wèn)境內網(wǎng)絡(luò )的��,其流量不得被路由至境外�。
第四十二條 數據處理者從事跨境數據活動(dòng)應當按照國家數據跨境安全監管要求�����,建立健全相關(guān)技術(shù)和管理措施�。
第六章 互聯(lián)網(wǎng)平臺運營(yíng)者義務(wù)
第四十三條 互聯(lián)網(wǎng)平臺運營(yíng)者應當建立與數據相關(guān)的平臺規則����、隱私政策和算法策略披露制度�,及時(shí)披露制定程序��、裁決程序����,保障平臺規則�、隱私政策����、算法公平公正�。
平臺規則���、隱私政策制定或者對用戶(hù)權益有重大影響的修訂�,互聯(lián)網(wǎng)平臺運營(yíng)者應當在其官方網(wǎng)站���、個(gè)人信息保護相關(guān)行業(yè)協(xié)會(huì )互聯(lián)網(wǎng)平臺面向社會(huì )公開(kāi)征求意見(jiàn)����,征求意見(jiàn)時(shí)長(cháng)不得少于三十個(gè)工作日��,確保用戶(hù)能夠便捷充分表達意見(jiàn)��?��;ヂ?lián)網(wǎng)平臺運營(yíng)者應當充分采納公眾意見(jiàn)���,修改完善平臺規則����、隱私政策���,并以易于用戶(hù)訪(fǎng)問(wèn)的方式公布意見(jiàn)采納情況�,說(shuō)明未采納的理由�,接受社會(huì )監督��。
日活用戶(hù)超過(guò)一億的大型互聯(lián)網(wǎng)平臺運營(yíng)者平臺規則���、隱私政策制定或者對用戶(hù)權益有重大影響的修訂的��,應當經(jīng)國家網(wǎng)信部門(mén)認定的第三方機構評估���,并報省級及以上網(wǎng)信部門(mén)和電信主管部門(mén)同意����。
第四十四條 互聯(lián)網(wǎng)平臺運營(yíng)者應當對接入其平臺的第三方產(chǎn)品和服務(wù)承擔數據安全管理責任���,通過(guò)合同等形式明確第三方的數據安全責任義務(wù)�,并督促第三方加強數據安全管理���,采取必要的數據安全保護措施�����。
第三方產(chǎn)品和服務(wù)對用戶(hù)造成損害的�����,用戶(hù)可以要求互聯(lián)網(wǎng)平臺運營(yíng)者先行賠償�。
移動(dòng)通信終端預裝第三方產(chǎn)品適用本條前兩款規定�。
第四十五條 國家鼓勵提供即時(shí)通信服務(wù)的互聯(lián)網(wǎng)平臺運營(yíng)者從功能設計上為用戶(hù)提供個(gè)人通信和非個(gè)人通信選擇�����。個(gè)人通信的信息按照個(gè)人信息保護要求嚴格保護����,非個(gè)人通信的信息按照公共信息有關(guān)規定進(jìn)行管理����。
第四十六條 互聯(lián)網(wǎng)平臺運營(yíng)者不得利用數據以及平臺規則等從事以下活動(dòng):
(一)利用平臺收集掌握的用戶(hù)數據�,無(wú)正當理由對交易條件相同的用戶(hù)實(shí)施產(chǎn)品和服務(wù)差異化定價(jià)等損害用戶(hù)合法利益的行為���;
(二)利用平臺收集掌握的經(jīng)營(yíng)者數據�����,在產(chǎn)品推廣中實(shí)行最低價(jià)銷(xiāo)售等損害公平競爭的行為�����;
(三)利用數據誤導�����、欺詐�、脅迫用戶(hù)�,損害用戶(hù)對其數據被處理的決定權��,違背用戶(hù)意愿處理用戶(hù)數據�;
(四)在平臺規則����、算法����、技術(shù)��、流量分配等方面設置不合理的限制和障礙��,限制平臺上的中小企業(yè)公平獲取平臺產(chǎn)生的行業(yè)�、市場(chǎng)數據等���,阻礙市場(chǎng)創(chuàng )新�����。
第四十七條 提供應用程序分發(fā)服務(wù)的互聯(lián)網(wǎng)平臺運營(yíng)者���,應當按照有關(guān)法律���、行政法規和國家網(wǎng)信部門(mén)的規定�,建立�、披露應用程序審核規則���,并對應用程序進(jìn)行安全審核�。對不符合法律���、行政法規的規定和國家標準的強制性要求的應用程序�,應當采取拒絕上架��、督促整改����、下架處置等措施���。
第四十八條 互聯(lián)網(wǎng)平臺運營(yíng)者面向公眾提供即時(shí)通信服務(wù)的���,應當按照國務(wù)院電信主管部門(mén)的規定�,為其他互聯(lián)網(wǎng)平臺運營(yíng)者的即時(shí)通信服務(wù)提供數據接口����,支持不同即時(shí)通信服務(wù)之間用戶(hù)數據互通�����,無(wú)正當理由不得限制用戶(hù)訪(fǎng)問(wèn)其他互聯(lián)網(wǎng)平臺以及向其他互聯(lián)網(wǎng)平臺傳輸文件����。
第四十九條 互聯(lián)網(wǎng)平臺運營(yíng)者利用個(gè)人信息和個(gè)性化推送算法向用戶(hù)提供信息的�,應當對推送信息的真實(shí)性�、準確性以及來(lái)源合法性負責���,并符合以下要求:
(一)收集個(gè)人信息用于個(gè)性化推薦時(shí)���,應當取得個(gè)人單獨同意����;
(二)設置易于理解����、便于訪(fǎng)問(wèn)和操作的一鍵關(guān)閉個(gè)性化推薦選項�,允許用戶(hù)拒絕接受定向推送信息��,允許用戶(hù)重置�����、修改�����、調整針對其個(gè)人特征的定向推送參數�;
(三)允許個(gè)人刪除定向推送信息服務(wù)收集產(chǎn)生的個(gè)人信息�,法律���、行政法規另有規定或者與用戶(hù)另有約定的除外��。
第五十條 國家建設網(wǎng)絡(luò )身份認證公共服務(wù)基礎設施���,按照政府引導�����、網(wǎng)民自愿原則�,提供個(gè)人身份認證公共服務(wù)����。
互聯(lián)網(wǎng)平臺運營(yíng)者應當支持并優(yōu)先使用國家網(wǎng)絡(luò )身份認證公共服務(wù)基礎設施提供的個(gè)人身份認證服務(wù)��。
第五十一條 互聯(lián)網(wǎng)平臺運營(yíng)者在為國家機關(guān)提供服務(wù)�����,參與公共基礎設施����、公共服務(wù)系統建設運維管理��,利用公共資源提供服務(wù)過(guò)程中收集�、產(chǎn)生的數據不得用于其他用途��。
第五十二條 國務(wù)院有關(guān)部門(mén)履行法定職責需要調取或者訪(fǎng)問(wèn)互聯(lián)網(wǎng)平臺運營(yíng)者掌握的公共數據����、公共信息���,應當明確調取或者訪(fǎng)問(wèn)的范圍��、類(lèi)型����、用途����、依據���,嚴格限定在履行法定職責范圍內�����,不得將調取或者訪(fǎng)問(wèn)的公共數據�����、公共信息用于履行法定職責之外的目的�����。
互聯(lián)網(wǎng)平臺運營(yíng)者應當對有關(guān)部門(mén)調取或者訪(fǎng)問(wèn)公共數據��、公共信息予以配合�。
第五十三條 大型互聯(lián)網(wǎng)平臺運營(yíng)者應當通過(guò)委托第三方審計方式�����,每年對平臺數據安全情況�����、平臺規則和自身承諾的執行情況�����、個(gè)人信息保護情況��、數據開(kāi)發(fā)利用情況等進(jìn)行年度審計�,并披露審計結果�����。
第五十四條 互聯(lián)網(wǎng)平臺運營(yíng)者利用人工智能�����、虛擬現實(shí)�����、深度合成等新技術(shù)開(kāi)展數據處理活動(dòng)的��,應當按照國家有關(guān)規定進(jìn)行安全評估���。
第七章 監督管理
第五十五條 國家網(wǎng)信部門(mén)負責統籌協(xié)調數據安全和相關(guān)監督管理工作���。
公安機關(guān)��、國家安全機關(guān)等在各自職責范圍內承擔數據安全監管職責�����。
工業(yè)�、電信��、交通����、金融����、自然資源�、衛生健康��、教育����、科技等主管部門(mén)承擔本行業(yè)�、本領(lǐng)域數據安全監管職責�。
主管部門(mén)應當明確本行業(yè)����、本領(lǐng)域數據安全保護工作機構和人員����,編制并組織實(shí)施本行業(yè)����、本領(lǐng)域的數據安全規劃和數據安全事件應急預案�。
主管部門(mén)應當定期組織開(kāi)展本行業(yè)�、本領(lǐng)域的數據安全風(fēng)險評估�,對數據處理者履行數據安全保護義務(wù)情況進(jìn)行監督檢查�,指導督促數據處理者及時(shí)對存在的風(fēng)險隱患進(jìn)行整改����。
第五十六條 國家建立健全數據安全應急處置機制����,完善網(wǎng)絡(luò )安全事件應急預案和網(wǎng)絡(luò )安全信息共享平臺���,將數據安全事件納入國家網(wǎng)絡(luò )安全事件應急響應機制��,加強數據安全信息共享����、數據安全風(fēng)險和威脅監測預警以及數據安全事件應急處置工作��。
第五十七條 有關(guān)主管���、監管部門(mén)可以采取以下措施對數據安全進(jìn)行監督檢查:
(一)要求數據處理者相關(guān)人員就監督檢查事項作出說(shuō)明����;
(二)查閱�����、調取與數據安全有關(guān)的文檔��、記錄���;
(三)按照規定程序��,利用檢測工具或者委托專(zhuān)業(yè)機構對數據安全措施運行情況進(jìn)行技術(shù)檢測��;
(四)核驗數據出境類(lèi)型��、范圍等����;
(五)法律�、行政法規��、規章規定的其他必要方式�。
有關(guān)主管�、監管部門(mén)開(kāi)展數據安全監督檢查��,應當客觀(guān)公正�����,不得向被檢查單位收取費用�。在數據安全監督檢查中獲取的信息只能用于維護數據安全的需要��,不得用于其他用途�����。
數據處理者應當對有關(guān)主管�����、監管部門(mén)的數據安全監督檢查予以配合����,包括對組織運作�、技術(shù)系統��、算法原理�、數據處理程序等進(jìn)行解釋說(shuō)明��,開(kāi)放安全相關(guān)數據訪(fǎng)問(wèn)��、提供必要技術(shù)支持等�。
第五十八條 國家建立數據安全審計制度����。數據處理者應當委托數據安全審計專(zhuān)業(yè)機構定期對其處理個(gè)人信息遵守法律����、行政法規的情況進(jìn)行合規審計�����。
主管����、監管部門(mén)組織開(kāi)展對重要數據處理活動(dòng)的審計����,重點(diǎn)審計數據處理者履行法律�����、行政法規規定的義務(wù)等情況����。
第五十九條 國家支持相關(guān)行業(yè)組織按照章程���,制定數據安全行為規范�����,加強行業(yè)自律�����,指導會(huì )員加強數據安全保護��,提高數據安全保護水平�,促進(jìn)行業(yè)健康發(fā)展��。
國家支持成立個(gè)人信息保護行業(yè)組織���,開(kāi)展以下活動(dòng):
(一)接受個(gè)人信息保護投訴舉報并進(jìn)行調查��、調解��;
(二)向個(gè)人提供信息和咨詢(xún)服務(wù)���,支持個(gè)人依法對損害個(gè)人信息權益的行為提起訴訟�;
(三)曝光損害個(gè)人信息權益的行為���,對個(gè)人信息保護開(kāi)展社會(huì )監督�����;
(四)向有關(guān)部門(mén)反映個(gè)人信息保護情況����、提供咨詢(xún)�、建議�;
(五)違法處理個(gè)人信息��、侵害眾多個(gè)人的權益的行為����,依法向人民法院提起訴訟����。
第八章 法律責任
第六十條 數據處理者不履行第九條�����、第十條�����、第十一條��、第十二條����、第十三條�、第十四條��、第十五條���、第十八條的規定��,由有關(guān)主管部門(mén)責令改正���,給予警告�,可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款�,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款�����;拒不改正或者導致危害數據安全等嚴重后果的��,處五十萬(wàn)元以上二百萬(wàn)元以下罰款�,并可以責令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓�、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照��,對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款�。
第六十一條 數據處理者不履行第十九條���、第二十條��、第二十一條�、第二十二條��、第二十三條�����、第二十四條����、第二十五條規定的數據安全保護義務(wù)的��,由有關(guān)部門(mén)責令改正���,給予警告���,沒(méi)收違法所得��,對違法處理個(gè)人信息的應用程序����,責令暫?��;蛘呓K止提供服務(wù)����;拒不改正的�����,并處一百萬(wàn)元以下罰款��;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款���。
有前款規定的違法行為�,情節嚴重的���,由有關(guān)部門(mén)責令改正�,沒(méi)收違法所得�,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款��,并可以責令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓���、通報有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照��;對直接負責的主管人員和其他直接責任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款�,并可以決定禁止其在一定期限內擔任相關(guān)企業(yè)的董事�、監事��、高級管理人員和個(gè)人信息保護負責人��。
第六十二條 數據處理者不履行第二十八條����、第二十九條����、第三十條����、第三十一條��、第三十二條�����、第三十三條規定的數據安全保護義務(wù)的�����,由有關(guān)部門(mén)責令改正����,給予警告����,對違法處理重要數據的系統及應用����,責令暫?�;蛘呓K止提供服務(wù)���;拒不改正的����,并處二百萬(wàn)元以下罰款�����,對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款���。
有前款規定的違法行為��,情節嚴重的�����,由有關(guān)部門(mén)責令改正����,沒(méi)收違法所得�,并處二百萬(wàn)元以上五百萬(wàn)元以下罰款����,并可以責令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓����、通報有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照���;對直接負責的主管人員和其他直接責任人員處二十萬(wàn)元以上一百萬(wàn)元以下罰款����。
第六十三條 關(guān)鍵信息基礎設施運營(yíng)者違反第三十四條的規定�����,由有關(guān)部門(mén)責令改正����,依照有關(guān)法律�、行政法規的規定予以處罰����。
第六十四條 數據處理者違反第三十五條��、第三十六條��、第三十七條���、第三十九條第一款���、第四十條�����、第四十二條的規定�,由有關(guān)部門(mén)責令改正�����,給予警告���,暫停數據出境���,可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款����,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款�;情節嚴重的�����,處一百萬(wàn)元以上一千萬(wàn)元以下罰款�����,并可以責令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓�、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照����,對直接負責的主管人員和其他直接責任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款����。
第六十五條 違反本條例第三十九條第二款的規定��,未經(jīng)主管機關(guān)批準向外國司法或者執法機構提供數據的�����,由有關(guān)主管部門(mén)給予警告��,可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款����,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款��;造成嚴重后果的����,處一百萬(wàn)元以上五百萬(wàn)元以下罰款��,并可以責令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓��、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照�,對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上五十萬(wàn)元以下罰款��。
第六十六條 個(gè)人和組織違反第四十一條的規定�����,由有關(guān)主管部門(mén)責令改正�����,給予警告�����、沒(méi)收違法所得���;拒不改正的��,處違法所得一倍以上十倍以下的罰款����,沒(méi)有違法所得的����,對直接負責的主管人員和其他直接負責人員����,處五萬(wàn)元以上五十萬(wàn)元以下罰款�;情節嚴重的��,由有關(guān)主管部門(mén)依照相關(guān)法律����、行政法規的規定����,責令其暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓��、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照��;構成犯罪的����,依照相關(guān)法律�����、行政法規的規定處罰�����。
第六十七條 互聯(lián)網(wǎng)平臺運營(yíng)者違反第四十三條�����、第四十四條�����、第四十五條�、第四十七條�����、第五十三條的規定�,由有關(guān)部門(mén)責令改正�,予以警告�;拒不改正�,處五十萬(wàn)元以上五百萬(wàn)元以下罰款���,對直接負責的主管人員和其他直接負責人員���,處五萬(wàn)元以上五十萬(wàn)元以下罰款��;情節嚴重的�����,可以責令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓���、關(guān)閉網(wǎng)站���、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照�����。
第六十八條 互聯(lián)網(wǎng)平臺運營(yíng)者違反第四十六條��、第四十八條����、第五十一條的規定���,由有關(guān)主管部門(mén)責令改正����,給予警告�����;拒不改正的��,處上一年度銷(xiāo)售額百分之一以上百分之五以下的罰款��;情節嚴重的�,由有關(guān)主管部門(mén)依照相關(guān)法律��、行政法規的規定��,責令其暫停相關(guān)業(yè)務(wù)���、停業(yè)整頓���、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照�;構成犯罪的��,依照相關(guān)法律����、行政法規的規定處罰���。
第六十九條 互聯(lián)網(wǎng)平臺運營(yíng)者違反第四十九條�、第五十四條的規定�,由有關(guān)主管部門(mén)責令改正��,予以警告�;拒不改正�����,處五萬(wàn)元以上五十萬(wàn)元以下罰款���,對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款��;情節嚴重的�,可由有關(guān)主管部門(mén)責令暫停相關(guān)業(yè)務(wù)��、停業(yè)整頓���、關(guān)閉網(wǎng)站�、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照�。
第七十條 數據處理者違反本條例規定�����,給他人造成損害的��,依法承擔民事責任����;構成違反治安管理行為的���,依法給予治安管理處罰�;構成犯罪的����,依法追究刑事責任�����。
第七十一條 國家機關(guān)不履行本法規定的數據安全保護義務(wù)的���,由其上級機關(guān)或者履行數據安全管理職責的部門(mén)責令改正�����;對直接負責的主管人員和其他直接責任人員依法給予處分�。
第七十二條 在中華人民共和國境外開(kāi)展數據處理活動(dòng)�,損害中華人民共和國國家安全���、公共利益或者公民��、組織合法權益的��,依法追究法律責任�。
第九章 附則
第七十三條 本條例下列用語(yǔ)的含義:
(一)網(wǎng)絡(luò )數據(簡(jiǎn)稱(chēng)數據)是指任何以電子方式對信息的記錄�。
(二)數據處理活動(dòng)是指數據收集�、存儲���、使用�、加工�、傳輸���、提供����、公開(kāi)����、刪除等活動(dòng)���。
(三)重要數據是指一旦遭到篡改��、破壞��、泄露或者非法獲取��、非法利用����,可能危害國家安全�、公共利益的數據�。包括以下數據:
1.未公開(kāi)的政務(wù)數據�、工作秘密��、情報數據和執法司法數據���;
2.出口管制數據�����,出口管制物項涉及的核心技術(shù)���、設計方案����、生產(chǎn)工藝等相關(guān)的數據�����,密碼�����、生物����、電子信息���、人工智能等領(lǐng)域對國家安全����、經(jīng)濟競爭實(shí)力有直接影響的科學(xué)技術(shù)成果數據���;
3.國家法律�、行政法規�、部門(mén)規章明確規定需要保護或者控制傳播的國家經(jīng)濟運行數據�����、重要行業(yè)業(yè)務(wù)數據���、統計數據等����;
4.工業(yè)�、電信����、能源�����、交通�、水利�、金融�、國防科技工業(yè)����、海關(guān)�����、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)�����、運行的數據����,關(guān)鍵系統組件�����、設備供應鏈數據�;
5.達到國家有關(guān)部門(mén)規定的規?�;蛘呔鹊幕?、地理��、礦產(chǎn)��、氣象等人口與健康����、自然資源與環(huán)境國家基礎數據����;
6.國家基礎設施�����、關(guān)鍵信息基礎設施建設運行及其安全數據��,國防設施�����、軍事管理區����、國防科研生產(chǎn)單位等重要敏感區域的地理位置����、安保情況等數據���;
7.其他可能影響國家政治����、國土���、軍事����、經(jīng)濟��、文化�、社會(huì )�、科技�����、生態(tài)���、資源�����、核設施�、海外利益�、生物�����、太空��、極地���、深海等安全的數據��。
(四)核心數據是指關(guān)系國家安全���、國民經(jīng)濟命脈����、重要民生和重大公共利益等的數據���。
(五)數據處理者是指在數據處理活動(dòng)中自主決定處理目的和處理方式的個(gè)人和組織�����。
(六)公共數據是指國家機關(guān)和法律�、行政法規授權的具有管理公共事務(wù)職能的組織履行公共管理職責或者提供公共服務(wù)過(guò)程中收集����、產(chǎn)生的各類(lèi)數據���,以及其他組織在提供公共服務(wù)中收集���、產(chǎn)生的涉及公共利益的各類(lèi)數據���。
(七)委托處理是指數據處理者委托第三方按照約定的目的和方式開(kāi)展的數據處理活動(dòng)����。
(八)單獨同意是指數據處理者在開(kāi)展具體數據處理活動(dòng)時(shí)���,對每項個(gè)人信息取得個(gè)人同意�,不包括一次性針對多項個(gè)人信息����、多種處理活動(dòng)的同意����。
(九)互聯(lián)網(wǎng)平臺運營(yíng)者是指為用戶(hù)提供信息發(fā)布���、社交����、交易����、支付��、視聽(tīng)等互聯(lián)網(wǎng)平臺服務(wù)的數據處理者�����。
(十)大型互聯(lián)網(wǎng)平臺運營(yíng)者是指用戶(hù)超過(guò)五千萬(wàn)��、處理大量個(gè)人信息和重要數據����、具有強大社會(huì )動(dòng)員能力和市場(chǎng)支配地位的互聯(lián)網(wǎng)平臺運營(yíng)者�����。
(十一)數據跨境安全網(wǎng)關(guān)是指阻斷訪(fǎng)問(wèn)境外反動(dòng)網(wǎng)站和有害信息���、防止來(lái)自境外的網(wǎng)絡(luò )攻擊���、管控跨境網(wǎng)絡(luò )數據傳輸�����、防范偵查打擊跨境網(wǎng)絡(luò )犯罪的重要安全基礎設施�����。
(十二)公共信息是指數據處理者在提供公共服務(wù)過(guò)程中收集�����、產(chǎn)生的具有公共傳播特性的信息�����。包括公開(kāi)發(fā)布信息�����、可轉發(fā)信息�、無(wú)明確接收人信息等�����。
第七十四條 涉及國家秘密信息�、核心數據���、密碼使用的數據處理活動(dòng)�,按照國家有關(guān)規定執行�����。
第七十五條 本條例自 年 月 日起施行����。
0551- 62818875 64280445
行業(yè)動(dòng)態(tài)