為落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律關(guān)于數(shù)據(jù)安全管理的規(guī)定,規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動,保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益,維護國家安全和公共利益,根據(jù)國務(wù)院2021年立法計劃,我辦會同相關(guān)部門研究起草《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》,現(xiàn)向社會公開征求意見。公眾可通過以下途徑和方式反饋意見:

1.通過電子郵件將意見發(fā)送至:shujuju@cac.gov.cn。

2.通過信函將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局,郵編:100044,并在信封上注明“網(wǎng)絡(luò)數(shù)據(jù)安全管理條例征求意見”。

意見反饋截止時間為2021年12月13日。

附件:《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》

國家互聯(lián)網(wǎng)信息辦公室

2021年11月14日

網(wǎng)絡(luò)數(shù)據(jù)安全管理條例

(征求意見稿)

第一章 總則

第一條為了規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益,維護國家安全、公共利益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律,制定本條例。

第二條在中華人民共和國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,以及網(wǎng)絡(luò)數(shù)據(jù)安全的監(jiān)督管理,適用本條例。

在中華人民共和國境外處理中華人民共和國境內(nèi)個人和組織數(shù)據(jù)的活動,有下列情形之一的,適用本條例:

(一)以向境內(nèi)提供產(chǎn)品或者服務(wù)為目的;

(二)分析、評估境內(nèi)個人、組織的行為;

(三)涉及境內(nèi)重要數(shù)據(jù)處理;

(四)法律、行政法規(guī)規(guī)定的其他情形。

自然人因個人或者家庭事務(wù)開展數(shù)據(jù)處理活動,不適用本條例。

第三條國家統(tǒng)籌發(fā)展和安全,堅持促進數(shù)據(jù)開發(fā)利用與保障數(shù)據(jù)安全并重,加強數(shù)據(jù)安全防護能力建設(shè),保障數(shù)據(jù)依法有序自由流動,促進數(shù)據(jù)依法合理有效利用。

第四條國家支持數(shù)據(jù)開發(fā)利用與安全保護相關(guān)的技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新和人才培養(yǎng)。

國家鼓勵國家機關(guān)、行業(yè)組織、企業(yè)、教育和科研機構(gòu)、有關(guān)專業(yè)機構(gòu)等開展數(shù)據(jù)開發(fā)利用和安全保護合作,開展數(shù)據(jù)安全宣傳教育和培訓(xùn)。

第五條國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),不同級別的數(shù)據(jù)采取不同的保護措施。

國家對個人信息和重要數(shù)據(jù)進行重點保護,對核心數(shù)據(jù)實行嚴格保護。

各地區(qū)、各部門應(yīng)當按照國家數(shù)據(jù)分類分級要求,對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進行分類分級管理。

第六條數(shù)據(jù)處理者對所處理數(shù)據(jù)的安全負責(zé),履行數(shù)據(jù)安全保護義務(wù),接受政府和社會監(jiān)督,承擔(dān)社會責(zé)任。

數(shù)據(jù)處理者應(yīng)當按照有關(guān)法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,建立完善數(shù)據(jù)安全管理制度和技術(shù)保護機制。

第七條國家推動公共數(shù)據(jù)開放、共享,促進數(shù)據(jù)開發(fā)利用,并依法對公共數(shù)據(jù)實施監(jiān)督管理。

國家建立健全數(shù)據(jù)交易管理制度,明確數(shù)據(jù)交易機構(gòu)設(shè)立、運行標準,規(guī)范數(shù)據(jù)流通交易行為,確保數(shù)據(jù)依法有序流通。

第二章 一般規(guī)定

第八條任何個人和組織開展數(shù)據(jù)處理活動應(yīng)當遵守法律、行政法規(guī),尊重社會公德和倫理,不得從事以下活動:

(一)危害國家安全、榮譽和利益,泄露國家秘密和工作秘密;

(二)侵害他人名譽權(quán)、隱私權(quán)、著作權(quán)和其他合法權(quán)益等;

(三)通過竊取或者以其他非法方式獲取數(shù)據(jù);

(四)非法出售或者非法向他人提供數(shù)據(jù);

(五)制作、發(fā)布、復(fù)制、傳播違法信息;

(六)法律、行政法規(guī)禁止的其他行為。

任何個人和組織知道或者應(yīng)當知道他人從事前款活動的,不得為其提供技術(shù)支持、工具、程序和廣告推廣、支付結(jié)算等服務(wù)。

第九條數(shù)據(jù)處理者應(yīng)當采取備份、加密、訪問控制等必要措施,保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用,應(yīng)對數(shù)據(jù)安全事件,防范針對和利用數(shù)據(jù)的違法犯罪活動,維護數(shù)據(jù)的完整性、保密性、可用性。

數(shù)據(jù)處理者應(yīng)當按照網(wǎng)絡(luò)安全等級保護的要求,加強數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲環(huán)境等安全防護,處理重要數(shù)據(jù)的系統(tǒng)原則上應(yīng)當滿足三級以上網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求,處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴保護。

數(shù)據(jù)處理者應(yīng)當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。

第十條數(shù)據(jù)處理者發(fā)現(xiàn)其使用或者提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞,或者威脅國家安全、危害公共利益等風(fēng)險時,應(yīng)當立即采取補救措施。

第十一條數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)安全應(yīng)急處置機制,發(fā)生數(shù)據(jù)安全事件時及時啟動應(yīng)急響應(yīng)機制,采取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數(shù)據(jù)處理者應(yīng)當在三個工作日內(nèi)將安全事件和風(fēng)險情況、危害后果、已經(jīng)采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關(guān)系人,無法通知的可采取公告方式告知,法律、行政法規(guī)規(guī)定可以不通知的從其規(guī)定。安全事件涉嫌犯罪的,數(shù)據(jù)處理者應(yīng)當按規(guī)定向公安機關(guān)報案。

發(fā)生重要數(shù)據(jù)或者十萬人以上個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時,數(shù)據(jù)處理者還應(yīng)當履行以下義務(wù):

(一)在發(fā)生安全事件的八小時內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門和有關(guān)主管部門報告事件基本信息,包括涉及的數(shù)據(jù)數(shù)量、類型、可能的影響、已經(jīng)或擬采取的處置措施等;

(二)在事件處置完畢后五個工作日內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門和有關(guān)主管部門報告包括事件原因、危害后果、責(zé)任處理、改進措施等情況的調(diào)查評估報告。

第十二條數(shù)據(jù)處理者向第三方提供個人信息,或者共享、交易、委托處理重要數(shù)據(jù)的,應(yīng)當遵守以下規(guī)定:

(一)向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點,并取得個人單獨同意,符合法律、行政法規(guī)規(guī)定的不需要取得個人同意的情形或者經(jīng)過匿名化處理的除外;

(二)與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍、處理方式,數(shù)據(jù)安全保護措施等,通過合同等形式明確雙方的數(shù)據(jù)安全責(zé)任義務(wù),并對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進行監(jiān)督;

(三)留存?zhèn)€人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數(shù)據(jù)的審批記錄、日志記錄至少五年。

數(shù)據(jù)接收方應(yīng)當履行約定的義務(wù),不得超出約定的目的、范圍、處理方式處理個人信息和重要數(shù)據(jù)。

第十三條數(shù)據(jù)處理者開展以下活動,應(yīng)當按照國家有關(guān)規(guī)定,申報網(wǎng)絡(luò)安全審查:

(一)匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;

(二)處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的;

(三)數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的;

(四)其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。

大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心,應(yīng)當向國家網(wǎng)信部門和主管部門報告。

第十四條數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的,數(shù)據(jù)接收方應(yīng)當繼續(xù)履行數(shù)據(jù)安全保護義務(wù),涉及重要數(shù)據(jù)和一百萬人以上個人信息的,應(yīng)當向設(shè)區(qū)的市級主管部門報告;數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況的,應(yīng)當向設(shè)區(qū)的市級主管部門報告,按照相關(guān)要求移交或刪除數(shù)據(jù),主管部門不明確的,應(yīng)當向設(shè)區(qū)的市級網(wǎng)信部門報告。

第十五條數(shù)據(jù)處理者從其他途徑獲取的數(shù)據(jù),應(yīng)當按照本條例的規(guī)定履行數(shù)據(jù)安全保護義務(wù)。

第十六條國家機關(guān)應(yīng)當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,建立健全數(shù)據(jù)安全管理制度,落實數(shù)據(jù)安全保護責(zé)任,保障政務(wù)數(shù)據(jù)安全。

第十七條數(shù)據(jù)處理者在采用自動化工具訪問、收集數(shù)據(jù)時,應(yīng)當評估對網(wǎng)絡(luò)服務(wù)的性能、功能帶來的影響,不得干擾網(wǎng)絡(luò)服務(wù)的正常功能。

自動化工具訪問、收集數(shù)據(jù)違反法律、行政法規(guī)或者行業(yè)自律公約、影響網(wǎng)絡(luò)服務(wù)正常功能,或者侵犯他人知識產(chǎn)權(quán)等合法權(quán)益的,數(shù)據(jù)處理者應(yīng)當停止訪問、收集數(shù)據(jù)行為并采取相應(yīng)補救措施。

第十八條數(shù)據(jù)處理者應(yīng)當建立便捷的數(shù)據(jù)安全投訴舉報渠道,及時受理、處置數(shù)據(jù)安全投訴舉報。

數(shù)據(jù)處理者應(yīng)當公布接受投訴、舉報的聯(lián)系方式、責(zé)任人信息,每年公開披露受理和收到的個人信息安全投訴數(shù)量、投訴處理情況、平均處理時間情況,接受社會監(jiān)督。

第三章 個人信息保護

第十九條數(shù)據(jù)處理者處理個人信息,應(yīng)當具有明確、合理的目的,遵循合法、正當、必要的原則?;趥€人同意處理個人信息的,應(yīng)當滿足以下要求:

(一)處理的個人信息是提供服務(wù)所必需的,或者是履行法律、行政法規(guī)規(guī)定的義務(wù)所必需的;

(二)限于實現(xiàn)處理目的最短周期、最低頻次,采取對個人權(quán)益影響最小的方式;

(三)不得因個人拒絕提供服務(wù)必需的個人信息以外的信息,拒絕提供服務(wù)或者干擾個人正常使用服務(wù)。

第二十條數(shù)據(jù)處理者處理個人信息,應(yīng)當制定個人信息處理規(guī)則并嚴格遵守。個人信息處理規(guī)則應(yīng)當集中公開展示、易于訪問并置于醒目位置,內(nèi)容明確具體、簡明通俗,系統(tǒng)全面地向個人說明個人信息處理情況。

個人信息處理規(guī)則應(yīng)當包括但不限于以下內(nèi)容:

(一)依據(jù)產(chǎn)品或者服務(wù)的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;

(二)個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式;

(三)個人查閱、復(fù)制、更正、刪除、限制處理、轉(zhuǎn)移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法;

(四)以集中展示等便利用戶訪問的方式說明產(chǎn)品服務(wù)中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規(guī)則;

(五)向第三方提供個人信息情形及其目的、方式、種類,數(shù)據(jù)接收方相關(guān)信息等;

(六)個人信息安全風(fēng)險及保護措施;

(七)個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責(zé)人聯(lián)系方式。

第二十一條處理個人信息應(yīng)當取得個人同意的,數(shù)據(jù)處理者應(yīng)當遵守以下規(guī)定:

(一)按照服務(wù)類型分別向個人申請?zhí)幚韨€人信息的同意,不得使用概括性條款取得同意;

(二)處理個人生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應(yīng)當取得個人單獨同意;

(三)處理不滿十四周歲未成年人的個人信息,應(yīng)當取得其監(jiān)護人同意;

(四)不得以改善服務(wù)質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品等為由,強迫個人同意處理其個人信息;

(五)不得通過誤導(dǎo)、欺詐、脅迫等方式獲得個人的同意;

(六)不得通過捆綁不同類型服務(wù)、批量申請同意等方式誘導(dǎo)、強迫個人進行批量個人信息同意;

(七)不得超出個人授權(quán)同意的范圍處理個人信息;

(八)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務(wù)。

個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,數(shù)據(jù)處理者應(yīng)當重新取得個人同意,并同步修改個人信息處理規(guī)則。

對個人同意行為有效性存在爭議的,數(shù)據(jù)處理者負有舉證責(zé)任。

第二十二條有下列情況之一的,數(shù)據(jù)處理者應(yīng)當在十五個工作日內(nèi)刪除個人信息或者進行匿名化處理:

(一)已實現(xiàn)個人信息處理目的或者實現(xiàn)處理目的不再必要;

(二)達到與用戶約定或者個人信息處理規(guī)則明確的存儲期限;

(三)終止服務(wù)或者個人注銷賬號;

(四)因使用自動化采集技術(shù)等,無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息。

刪除個人信息從技術(shù)上難以實現(xiàn),或者因業(yè)務(wù)復(fù)雜等原因,在十五個工作日內(nèi)刪除個人信息確有困難的,數(shù)據(jù)處理者不得開展除存儲和采取必要的安全保護措施之外的處理,并應(yīng)當向個人作出合理解釋。

法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

第二十三條個人提出查閱、復(fù)制、更正、補充、限制處理、刪除其個人信息的合理請求的,數(shù)據(jù)處理者應(yīng)當履行以下義務(wù):

(一)提供便捷的支持個人結(jié)構(gòu)化查詢本人被收集的個人信息類型、數(shù)量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;

(二)提供便捷的支持個人復(fù)制、更正、補充、限制處理、刪除其個人信息、撤回授權(quán)同意以及注銷賬號的功能,且不得設(shè)置不合理條件;

(三)收到個人復(fù)制、更正、補充、限制處理、刪除本人個人信息、撤回授權(quán)同意或者注銷賬號申請的,應(yīng)當在十五個工作日內(nèi)處理并反饋。

法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

第二十四條符合下列條件的個人信息轉(zhuǎn)移請求,數(shù)據(jù)處理者應(yīng)當為個人指定的其他數(shù)據(jù)處理者訪問、獲取其個人信息提供轉(zhuǎn)移服務(wù):

(一)請求轉(zhuǎn)移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;

(二)請求轉(zhuǎn)移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;

(三)能夠驗證請求人的合法身份。

數(shù)據(jù)處理者發(fā)現(xiàn)接收個人信息的其他數(shù)據(jù)處理者有非法處理個人信息風(fēng)險的,應(yīng)當對個人信息轉(zhuǎn)移請求做合理的風(fēng)險提示。

請求轉(zhuǎn)移個人信息次數(shù)明顯超出合理范圍的,數(shù)據(jù)處理者可以收取合理費用。

第二十五條數(shù)據(jù)處理者利用生物特征進行個人身份認證的,應(yīng)當對必要性、安全性進行風(fēng)險評估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。

法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

第二十六條數(shù)據(jù)處理者處理一百萬人以上個人信息的,還應(yīng)當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。

第四章 重要數(shù)據(jù)安全

第二十七條各地區(qū)、各部門按照國家有關(guān)要求和標準,組織本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)處理者識別重要數(shù)據(jù)和核心數(shù)據(jù),組織制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)目錄,并報國家網(wǎng)信部門。

第二十八條重要數(shù)據(jù)的處理者,應(yīng)當明確數(shù)據(jù)安全負責(zé)人,成立數(shù)據(jù)安全管理機構(gòu)。數(shù)據(jù)安全管理機構(gòu)在數(shù)據(jù)安全負責(zé)人的領(lǐng)導(dǎo)下,履行以下職責(zé):

(一)研究提出數(shù)據(jù)安全相關(guān)重大決策建議;

(二)制定實施數(shù)據(jù)安全保護計劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案;

(三)開展數(shù)據(jù)安全風(fēng)險監(jiān)測,及時處置數(shù)據(jù)安全風(fēng)險和事件;

(四)定期組織開展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險評估、應(yīng)急演練等活動;

(五)受理、處置數(shù)據(jù)安全投訴、舉報;

(六)按照要求及時向網(wǎng)信部門和主管、監(jiān)管部門報告數(shù)據(jù)安全情況。

數(shù)據(jù)安全負責(zé)人應(yīng)當具備數(shù)據(jù)安全專業(yè)知識和相關(guān)管理工作經(jīng)歷,由數(shù)據(jù)處理者決策層成員承擔(dān),有權(quán)直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。

第二十九條重要數(shù)據(jù)的處理者,應(yīng)當在識別其重要數(shù)據(jù)后的十五個工作日內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門備案,備案內(nèi)容包括:

(一)數(shù)據(jù)處理者基本信息,數(shù)據(jù)安全管理機構(gòu)信息、數(shù)據(jù)安全負責(zé)人姓名和聯(lián)系方式等;

(二)處理數(shù)據(jù)的目的、規(guī)模、方式、范圍、類型、存儲期限、存儲地點等,不包括數(shù)據(jù)內(nèi)容本身;

(三)國家網(wǎng)信部門和主管、監(jiān)管部門規(guī)定的其他備案內(nèi)容。

處理數(shù)據(jù)的目的、范圍、類型及數(shù)據(jù)安全防護措施等有重大變化的,應(yīng)當重新備案。

依據(jù)部門職責(zé)分工,網(wǎng)信部門與有關(guān)部門共享備案信息。

第三十條重要數(shù)據(jù)的處理者,應(yīng)當制定數(shù)據(jù)安全培訓(xùn)計劃,每年組織開展全員數(shù)據(jù)安全教育培訓(xùn),數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時間不得少于二十小時。

第三十一條重要數(shù)據(jù)的處理者,應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

第三十二條處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者,應(yīng)當自行或者委托數(shù)據(jù)安全服務(wù)機構(gòu)每年開展一次數(shù)據(jù)安全評估,并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設(shè)區(qū)的市級網(wǎng)信部門,年度數(shù)據(jù)安全評估報告的內(nèi)容包括:

(一)處理重要數(shù)據(jù)的情況;

(二)發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險及處置措施;

(三)數(shù)據(jù)安全管理制度,數(shù)據(jù)備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;

(四)落實國家數(shù)據(jù)安全法律、行政法規(guī)和標準情況;

(五)發(fā)生的數(shù)據(jù)安全事件及其處置情況;

(六)共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估情況;

(七)數(shù)據(jù)安全相關(guān)的投訴及處理情況;

(八)國家網(wǎng)信部門和主管、監(jiān)管部門明確的其他數(shù)據(jù)安全情況。

數(shù)據(jù)處理者應(yīng)當保留風(fēng)險評估報告至少三年。

依據(jù)部門職責(zé)分工,網(wǎng)信部門與有關(guān)部門共享報告信息。

數(shù)據(jù)處理者開展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估,應(yīng)當重點評估以下內(nèi)容:

(一)共享、交易、委托處理、向境外提供數(shù)據(jù),以及數(shù)據(jù)接收方處理數(shù)據(jù)的目的、方式、范圍等是否合法、正當、必要;

(二)共享、交易、委托處理、向境外提供數(shù)據(jù)被泄露、毀損、篡改、濫用的風(fēng)險,以及對國家安全、經(jīng)濟發(fā)展、公共利益帶來的風(fēng)險;

(三)數(shù)據(jù)接收方的誠信狀況、守法情況、境外政府機構(gòu)合作關(guān)系、是否被中國政府制裁等背景情況,承諾承擔(dān)的責(zé)任以及履行責(zé)任的能力等是否能夠有效保障數(shù)據(jù)安全;

(四)與數(shù)據(jù)接收方訂立的相關(guān)合同中關(guān)于數(shù)據(jù)安全的要求能否有效約束數(shù)據(jù)接收方履行數(shù)據(jù)安全保護義務(wù);

(五)在數(shù)據(jù)處理過程中的管理和技術(shù)措施等是否能夠防范數(shù)據(jù)泄露、毀損等風(fēng)險。

評估認為可能危害國家安全、經(jīng)濟發(fā)展和公共利益,數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)。

第三十三條數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的,應(yīng)當征得設(shè)區(qū)的市級及以上主管部門同意,主管部門不明確的,應(yīng)當征得設(shè)區(qū)的市級及以上網(wǎng)信部門同意。

第三十四條國家機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購的云計算服務(wù),應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。

第五章 數(shù)據(jù)跨境安全管理

第三十五條數(shù)據(jù)處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供數(shù)據(jù)的,應(yīng)當具備下列條件之一:

(一)通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估;

(二)數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認定的專業(yè)機構(gòu)進行的個人信息保護認證;

(三)按照國家網(wǎng)信部門制定的關(guān)于標準合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同,約定雙方權(quán)利和義務(wù);

(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

數(shù)據(jù)處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產(chǎn)安全而必須向境外提供個人信息的除外。

第三十六條數(shù)據(jù)處理者向中華人民共和國境外提供個人信息的,應(yīng)當向個人告知境外數(shù)據(jù)接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外數(shù)據(jù)接收方行使個人信息權(quán)利的方式等事項,并取得個人的單獨同意。

收集個人信息時已單獨就個人信息出境取得個人同意,且按照取得同意的事項出境的,無需再次取得個人單獨同意。

第三十七條數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù),屬于以下情形的,應(yīng)當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估:

(一)出境數(shù)據(jù)中包含重要數(shù)據(jù);

(二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;

(三)國家網(wǎng)信部門規(guī)定的其它情形。

法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的,從其規(guī)定。

第三十八條中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。

第三十九條數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當履行以下義務(wù):

(一)不得超出報送網(wǎng)信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息;

(二)不得超出網(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù);

(三)采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù),履行數(shù)據(jù)安全保護義務(wù),保證數(shù)據(jù)安全;

(四)接受和處理數(shù)據(jù)出境所涉及的用戶投訴;

(五)數(shù)據(jù)出境對個人、組織合法權(quán)益或者公共利益造成損害的,數(shù)據(jù)處理者應(yīng)當依法承擔(dān)責(zé)任;

(六)存留相關(guān)日志記錄和數(shù)據(jù)出境審批記錄三年以上;

(七)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門核驗向境外提供個人信息和重要數(shù)據(jù)的類型、范圍時,數(shù)據(jù)處理者應(yīng)當以明文、可讀方式予以展示;

(八)國家網(wǎng)信部門認定不得出境的,數(shù)據(jù)處理者應(yīng)當停止數(shù)據(jù)出境,并采取有效措施對已出境數(shù)據(jù)的安全予以補救;

(九)個人信息出境后確需再轉(zhuǎn)移的,應(yīng)當事先與個人約定再轉(zhuǎn)移的條件,并明確數(shù)據(jù)接收方履行的安全保護義務(wù)。

非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的個人、組織不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

第四十條向境外提供個人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者,應(yīng)當在每年1月31日前編制數(shù)據(jù)出境安全報告,向設(shè)區(qū)的市級網(wǎng)信部門報告上一年度以下數(shù)據(jù)出境情況:

(一)全部數(shù)據(jù)接收方名稱、聯(lián)系方式;

(二)出境數(shù)據(jù)的類型、數(shù)量及目的;

(三)數(shù)據(jù)在境外的存放地點、存儲期限、使用范圍和方式;

(四)涉及向境外提供數(shù)據(jù)的用戶投訴及處理情況;

(五)發(fā)生的數(shù)據(jù)安全事件及其處置情況;

(六)數(shù)據(jù)出境后再轉(zhuǎn)移的情況;

(七)國家網(wǎng)信部門明確向境外提供數(shù)據(jù)需要報告的其他事項。

第四十一條國家建立數(shù)據(jù)跨境安全網(wǎng)關(guān),對來源于中華人民共和國境外、法律和行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒂枰宰钄鄠鞑ァ?/p>

任何個人和組織不得提供用于穿透、繞過數(shù)據(jù)跨境安全網(wǎng)關(guān)的程序、工具、線路等,不得為穿透、繞過數(shù)據(jù)跨境安全網(wǎng)關(guān)提供互聯(lián)網(wǎng)接入、服務(wù)器托管、技術(shù)支持、傳播推廣、支付結(jié)算、應(yīng)用下載等服務(wù)。

境內(nèi)用戶訪問境內(nèi)網(wǎng)絡(luò)的,其流量不得被路由至境外。

第四十二條數(shù)據(jù)處理者從事跨境數(shù)據(jù)活動應(yīng)當按照國家數(shù)據(jù)跨境安全監(jiān)管要求,建立健全相關(guān)技術(shù)和管理措施。

第六章 互聯(lián)網(wǎng)平臺運營者義務(wù)

第四十三條互聯(lián)網(wǎng)平臺運營者應(yīng)當建立與數(shù)據(jù)相關(guān)的平臺規(guī)則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規(guī)則、隱私政策、算法公平公正。

平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂,互聯(lián)網(wǎng)平臺運營者應(yīng)當在其官方網(wǎng)站、個人信息保護相關(guān)行業(yè)協(xié)會互聯(lián)網(wǎng)平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見?;ヂ?lián)網(wǎng)平臺運營者應(yīng)當充分采納公眾意見,修改完善平臺規(guī)則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監(jiān)督。

日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂的,應(yīng)當經(jīng)國家網(wǎng)信部門認定的第三方機構(gòu)評估,并報省級及以上網(wǎng)信部門和電信主管部門同意。

第四十四條互聯(lián)網(wǎng)平臺運營者應(yīng)當對接入其平臺的第三方產(chǎn)品和服務(wù)承擔(dān)數(shù)據(jù)安全管理責(zé)任,通過合同等形式明確第三方的數(shù)據(jù)安全責(zé)任義務(wù),并督促第三方加強數(shù)據(jù)安全管理,采取必要的數(shù)據(jù)安全保護措施。

第三方產(chǎn)品和服務(wù)對用戶造成損害的,用戶可以要求互聯(lián)網(wǎng)平臺運營者先行賠償。

移動通信終端預(yù)裝第三方產(chǎn)品適用本條前兩款規(guī)定。

第四十五條國家鼓勵提供即時通信服務(wù)的互聯(lián)網(wǎng)平臺運營者從功能設(shè)計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關(guān)規(guī)定進行管理。

第四十六條互聯(lián)網(wǎng)平臺運營者不得利用數(shù)據(jù)以及平臺規(guī)則等從事以下活動:

(一)利用平臺收集掌握的用戶數(shù)據(jù),無正當理由對交易條件相同的用戶實施產(chǎn)品和服務(wù)差異化定價等損害用戶合法利益的行為;

(二)利用平臺收集掌握的經(jīng)營者數(shù)據(jù),在產(chǎn)品推廣中實行最低價銷售等損害公平競爭的行為;

(三)利用數(shù)據(jù)誤導(dǎo)、欺詐、脅迫用戶,損害用戶對其數(shù)據(jù)被處理的決定權(quán),違背用戶意愿處理用戶數(shù)據(jù);

(四)在平臺規(guī)則、算法、技術(shù)、流量分配等方面設(shè)置不合理的限制和障礙,限制平臺上的中小企業(yè)公平獲取平臺產(chǎn)生的行業(yè)、市場數(shù)據(jù)等,阻礙市場創(chuàng)新。

第四十七條提供應(yīng)用程序分發(fā)服務(wù)的互聯(lián)網(wǎng)平臺運營者,應(yīng)當按照有關(guān)法律、行政法規(guī)和國家網(wǎng)信部門的規(guī)定,建立、披露應(yīng)用程序?qū)徍艘?guī)則,并對應(yīng)用程序進行安全審核。對不符合法律、行政法規(guī)的規(guī)定和國家標準的強制性要求的應(yīng)用程序,應(yīng)當采取拒絕上架、督促整改、下架處置等措施。

第四十八條互聯(lián)網(wǎng)平臺運營者面向公眾提供即時通信服務(wù)的,應(yīng)當按照國務(wù)院電信主管部門的規(guī)定,為其他互聯(lián)網(wǎng)平臺運營者的即時通信服務(wù)提供數(shù)據(jù)接口,支持不同即時通信服務(wù)之間用戶數(shù)據(jù)互通,無正當理由不得限制用戶訪問其他互聯(lián)網(wǎng)平臺以及向其他互聯(lián)網(wǎng)平臺傳輸文件。

第四十九條互聯(lián)網(wǎng)平臺運營者利用個人信息和個性化推送算法向用戶提供信息的,應(yīng)當對推送信息的真實性、準確性以及來源合法性負責(zé),并符合以下要求:

(一)收集個人信息用于個性化推薦時,應(yīng)當取得個人單獨同意;

(二)設(shè)置易于理解、便于訪問和操作的一鍵關(guān)閉個性化推薦選項,允許用戶拒絕接受定向推送信息,允許用戶重置、修改、調(diào)整針對其個人特征的定向推送參數(shù);

(三)允許個人刪除定向推送信息服務(wù)收集產(chǎn)生的個人信息,法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。

第五十條國家建設(shè)網(wǎng)絡(luò)身份認證公共服務(wù)基礎(chǔ)設(shè)施,按照政府引導(dǎo)、網(wǎng)民自愿原則,提供個人身份認證公共服務(wù)。

互聯(lián)網(wǎng)平臺運營者應(yīng)當支持并優(yōu)先使用國家網(wǎng)絡(luò)身份認證公共服務(wù)基礎(chǔ)設(shè)施提供的個人身份認證服務(wù)。

第五十一條互聯(lián)網(wǎng)平臺運營者在為國家機關(guān)提供服務(wù),參與公共基礎(chǔ)設(shè)施、公共服務(wù)系統(tǒng)建設(shè)運維管理,利用公共資源提供服務(wù)過程中收集、產(chǎn)生的數(shù)據(jù)不得用于其他用途。

第五十二條國務(wù)院有關(guān)部門履行法定職責(zé)需要調(diào)取或者訪問互聯(lián)網(wǎng)平臺運營者掌握的公共數(shù)據(jù)、公共信息,應(yīng)當明確調(diào)取或者訪問的范圍、類型、用途、依據(jù),嚴格限定在履行法定職責(zé)范圍內(nèi),不得將調(diào)取或者訪問的公共數(shù)據(jù)、公共信息用于履行法定職責(zé)之外的目的。

互聯(lián)網(wǎng)平臺運營者應(yīng)當對有關(guān)部門調(diào)取或者訪問公共數(shù)據(jù)、公共信息予以配合。

第五十三條大型互聯(lián)網(wǎng)平臺運營者應(yīng)當通過委托第三方審計方式,每年對平臺數(shù)據(jù)安全情況、平臺規(guī)則和自身承諾的執(zhí)行情況、個人信息保護情況、數(shù)據(jù)開發(fā)利用情況等進行年度審計,并披露審計結(jié)果。

第五十四條互聯(lián)網(wǎng)平臺運營者利用人工智能、虛擬現(xiàn)實、深度合成等新技術(shù)開展數(shù)據(jù)處理活動的,應(yīng)當按照國家有關(guān)規(guī)定進行安全評估。

第七章 監(jiān)督管理

第五十五條國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作。

公安機關(guān)、國家安全機關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。

工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。

主管部門應(yīng)當明確本行業(yè)、本領(lǐng)域數(shù)據(jù)安全保護工作機構(gòu)和人員,編制并組織實施本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應(yīng)急預(yù)案。

主管部門應(yīng)當定期組織開展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險評估,對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務(wù)情況進行監(jiān)督檢查,指導(dǎo)督促數(shù)據(jù)處理者及時對存在的風(fēng)險隱患進行整改。

第五十六條國家建立健全數(shù)據(jù)安全應(yīng)急處置機制,完善網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和網(wǎng)絡(luò)安全信息共享平臺,將數(shù)據(jù)安全事件納入國家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制,加強數(shù)據(jù)安全信息共享、數(shù)據(jù)安全風(fēng)險和威脅監(jiān)測預(yù)警以及數(shù)據(jù)安全事件應(yīng)急處置工作。

第五十七條有關(guān)主管、監(jiān)管部門可以采取以下措施對數(shù)據(jù)安全進行監(jiān)督檢查:

(一)要求數(shù)據(jù)處理者相關(guān)人員就監(jiān)督檢查事項作出說明;

(二)查閱、調(diào)取與數(shù)據(jù)安全有關(guān)的文檔、記錄;

(三)按照規(guī)定程序,利用檢測工具或者委托專業(yè)機構(gòu)對數(shù)據(jù)安全措施運行情況進行技術(shù)檢測;

(四)核驗數(shù)據(jù)出境類型、范圍等;

(五)法律、行政法規(guī)、規(guī)章規(guī)定的其他必要方式。

有關(guān)主管、監(jiān)管部門開展數(shù)據(jù)安全監(jiān)督檢查,應(yīng)當客觀公正,不得向被檢查單位收取費用。在數(shù)據(jù)安全監(jiān)督檢查中獲取的信息只能用于維護數(shù)據(jù)安全的需要,不得用于其他用途。

數(shù)據(jù)處理者應(yīng)當對有關(guān)主管、監(jiān)管部門的數(shù)據(jù)安全監(jiān)督檢查予以配合,包括對組織運作、技術(shù)系統(tǒng)、算法原理、數(shù)據(jù)處理程序等進行解釋說明,開放安全相關(guān)數(shù)據(jù)訪問、提供必要技術(shù)支持等。

第五十八條國家建立數(shù)據(jù)安全審計制度。數(shù)據(jù)處理者應(yīng)當委托數(shù)據(jù)安全審計專業(yè)機構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

主管、監(jiān)管部門組織開展對重要數(shù)據(jù)處理活動的審計,重點審計數(shù)據(jù)處理者履行法律、行政法規(guī)規(guī)定的義務(wù)等情況。

第五十九條國家支持相關(guān)行業(yè)組織按照章程,制定數(shù)據(jù)安全行為規(guī)范,加強行業(yè)自律,指導(dǎo)會員加強數(shù)據(jù)安全保護,提高數(shù)據(jù)安全保護水平,促進行業(yè)健康發(fā)展。

國家支持成立個人信息保護行業(yè)組織,開展以下活動:

(一)接受個人信息保護投訴舉報并進行調(diào)查、調(diào)解;

(二)向個人提供信息和咨詢服務(wù),支持個人依法對損害個人信息權(quán)益的行為提起訴訟;

(三)曝光損害個人信息權(quán)益的行為,對個人信息保護開展社會監(jiān)督;

(四)向有關(guān)部門反映個人信息保護情況、提供咨詢、建議;

(五)違法處理個人信息、侵害眾多個人的權(quán)益的行為,依法向人民法院提起訴訟。

第八章 法律責(zé)任

第六十條數(shù)據(jù)處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規(guī)定,由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款;拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

第六十一條數(shù)據(jù)處理者不履行第十九條、第二十條、第二十一條、第二十二條、第二十三條、第二十四條、第二十五條規(guī)定的數(shù)據(jù)安全保護義務(wù)的,由有關(guān)部門責(zé)令改正,給予警告,沒收違法所得,對違法處理個人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù);拒不改正的,并處一百萬元以下罰款;對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為,情節(jié)嚴重的,由有關(guān)部門責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人。

第六十二條數(shù)據(jù)處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規(guī)定的數(shù)據(jù)安全保護義務(wù)的,由有關(guān)部門責(zé)令改正,給予警告,對違法處理重要數(shù)據(jù)的系統(tǒng)及應(yīng)用,責(zé)令暫?;蛘呓K止提供服務(wù);拒不改正的,并處二百萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

有前款規(guī)定的違法行為,情節(jié)嚴重的,由有關(guān)部門責(zé)令改正,沒收違法所得,并處二百萬元以上五百萬元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;對直接負責(zé)的主管人員和其他直接責(zé)任人員處二十萬元以上一百萬元以下罰款。

第六十三條關(guān)鍵信息基礎(chǔ)設(shè)施運營者違反第三十四條的規(guī)定,由有關(guān)部門責(zé)令改正,依照有關(guān)法律、行政法規(guī)的規(guī)定予以處罰。

第六十四條數(shù)據(jù)處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規(guī)定,由有關(guān)部門責(zé)令改正,給予警告,暫停數(shù)據(jù)出境,可以并處十萬元以上一百萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款;情節(jié)嚴重的,處一百萬元以上一千萬元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。

第六十五條違反本條例第三十九條第二款的規(guī)定,未經(jīng)主管機關(guān)批準向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的,由有關(guān)主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款;造成嚴重后果的,處一百萬元以上五百萬元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上五十萬元以下罰款。

第六十六條個人和組織違反第四十一條的規(guī)定,由有關(guān)主管部門責(zé)令改正,給予警告、沒收違法所得;拒不改正的,處違法所得一倍以上十倍以下的罰款,沒有違法所得的,對直接負責(zé)的主管人員和其他直接負責(zé)人員,處五萬元以上五十萬元以下罰款;情節(jié)嚴重的,由有關(guān)主管部門依照相關(guān)法律、行政法規(guī)的規(guī)定,責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依照相關(guān)法律、行政法規(guī)的規(guī)定處罰。

第六十七條互聯(lián)網(wǎng)平臺運營者違反第四十三條、第四十四條、第四十五條、第四十七條、第五十三條的規(guī)定,由有關(guān)部門責(zé)令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責(zé)的主管人員和其他直接負責(zé)人員,處五萬元以上五十萬元以下罰款;情節(jié)嚴重的,可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

第六十八條互聯(lián)網(wǎng)平臺運營者違反第四十六條、第四十八條、第五十一條的規(guī)定,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款;情節(jié)嚴重的,由有關(guān)主管部門依照相關(guān)法律、行政法規(guī)的規(guī)定,責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依照相關(guān)法律、行政法規(guī)的規(guī)定處罰。

第六十九條互聯(lián)網(wǎng)平臺運營者違反第四十九條、第五十四條的規(guī)定,由有關(guān)主管部門責(zé)令改正,予以警告;拒不改正,處五萬元以上五十萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴重的,可由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

第七十條數(shù)據(jù)處理者違反本條例規(guī)定,給他人造成損害的,依法承擔(dān)民事責(zé)任;構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。

第七十一條國家機關(guān)不履行本法規(guī)定的數(shù)據(jù)安全保護義務(wù)的,由其上級機關(guān)或者履行數(shù)據(jù)安全管理職責(zé)的部門責(zé)令改正;對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

第七十二條在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,依法追究法律責(zé)任。

第九章 附則

第七十三條本條例下列用語的含義:

(一)網(wǎng)絡(luò)數(shù)據(jù)(簡稱數(shù)據(jù))是指任何以電子方式對信息的記錄。

(二)數(shù)據(jù)處理活動是指數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

(三)重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)。包括以下數(shù)據(jù):

1.未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù);

2.出口管制數(shù)據(jù),出口管制物項涉及的核心技術(shù)、設(shè)計方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù),密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩⒔?jīng)濟競爭實力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù);

3.國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護或者控制傳播的國家經(jīng)濟運行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等;

4.工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關(guān)、稅務(wù)等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù),關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù);

5.達到國家有關(guān)部門規(guī)定的規(guī)?;蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù);

6.國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行及其安全數(shù)據(jù),國防設(shè)施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù);

7.其他可能影響國家政治、國土、軍事、經(jīng)濟、文化、社會、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。

(四)核心數(shù)據(jù)是指關(guān)系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù)。

(五)數(shù)據(jù)處理者是指在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織。

(六)公共數(shù)據(jù)是指國家機關(guān)和法律、行政法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織履行公共管理職責(zé)或者提供公共服務(wù)過程中收集、產(chǎn)生的各類數(shù)據(jù),以及其他組織在提供公共服務(wù)中收集、產(chǎn)生的涉及公共利益的各類數(shù)據(jù)。

(七)委托處理是指數(shù)據(jù)處理者委托第三方按照約定的目的和方式開展的數(shù)據(jù)處理活動。

(八)單獨同意是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。

(九)互聯(lián)網(wǎng)平臺運營者是指為用戶提供信息發(fā)布、社交、交易、支付、視聽等互聯(lián)網(wǎng)平臺服務(wù)的數(shù)據(jù)處理者。

(十)大型互聯(lián)網(wǎng)平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數(shù)據(jù)、具有強大社會動員能力和市場支配地位的互聯(lián)網(wǎng)平臺運營者。

(十一)數(shù)據(jù)跨境安全網(wǎng)關(guān)是指阻斷訪問境外反動網(wǎng)站和有害信息、防止來自境外的網(wǎng)絡(luò)攻擊、管控跨境網(wǎng)絡(luò)數(shù)據(jù)傳輸、防范偵查打擊跨境網(wǎng)絡(luò)犯罪的重要安全基礎(chǔ)設(shè)施。

(十二)公共信息是指數(shù)據(jù)處理者在提供公共服務(wù)過程中收集、產(chǎn)生的具有公共傳播特性的信息。包括公開發(fā)布信息、可轉(zhuǎn)發(fā)信息、無明確接收人信息等。

第七十四條涉及國家秘密信息、核心數(shù)據(jù)、密碼使用的數(shù)據(jù)處理活動,按照國家有關(guān)規(guī)定執(zhí)行。

第七十五條本條例自年月日起施行。