國家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)安全管理辦法(征求意見稿)》公開征求意見的通知
為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益,保障個人信息和重要數(shù)據(jù)安全,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見稿)》,現(xiàn)向社會公開征求意見。公眾可通過以下途徑和方式提出反饋意見:
1.登陸中國政府法制信息網(wǎng)(網(wǎng)址:http://www.chinalaw.gov.cn),進入首頁的“立法意見征集”提出意見。
2.通過電子郵件方式發(fā)送至:security@cac.gov.cn。
3.通過信函方式將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局,郵編100044,并在信封上注明“數(shù)據(jù)安全管理辦法征求意見”。
意見反饋截止時間為2019年6月28日。
附件:《數(shù)據(jù)安全管理辦法(征求意見稿)》
國家互聯(lián)網(wǎng)信息辦公室
2019年5月28日
數(shù)據(jù)安全管理辦法
(征求意見稿)
第一章 總 則
第一條 為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益,保障個人信息和重要數(shù)據(jù)安全,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),制定本辦法。
第二條 在中華人民共和國境內(nèi)利用網(wǎng)絡(luò)開展數(shù)據(jù)收集、存儲、傳輸、處理、使用等活動(以下簡稱數(shù)據(jù)活動),以及數(shù)據(jù)安全的保護和監(jiān)督管理,適用本辦法。純粹家庭和個人事務(wù)除外。
法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
第三條 國家堅持保障數(shù)據(jù)安全與發(fā)展并重,鼓勵研發(fā)數(shù)據(jù)安全保護技術(shù),積極推進數(shù)據(jù)資源開發(fā)利用,保障數(shù)據(jù)依法有序自由流動。
第四條 國家采取措施,監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的數(shù)據(jù)安全風險和威脅,保護數(shù)據(jù)免受泄露、竊取、篡改、毀損、非法使用等,依法懲治危害數(shù)據(jù)安全的違法犯罪活動。
第五條 在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導下,國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、指導監(jiān)督個人信息和重要數(shù)據(jù)安全保護工作。
地(市)及以上網(wǎng)信部門依據(jù)職責指導監(jiān)督本行政區(qū)內(nèi)個人信息和重要數(shù)據(jù)安全保護工作。
第六條 網(wǎng)絡(luò)運營者應(yīng)當按照有關(guān)法律、行政法規(guī)的規(guī)定,參照國家網(wǎng)絡(luò)安全標準,履行數(shù)據(jù)安全保護義務(wù),建立數(shù)據(jù)安全管理責任和評價考核制度,制定數(shù)據(jù)安全計劃,實施數(shù)據(jù)安全技術(shù)防護,開展數(shù)據(jù)安全風險評估,制定網(wǎng)絡(luò)安全事件應(yīng)急預案,及時處置安全事件,組織數(shù)據(jù)安全教育、培訓。
第二章 數(shù)據(jù)收集
第七條 網(wǎng)絡(luò)運營者通過網(wǎng)站、應(yīng)用程序等產(chǎn)品收集使用個人信息,應(yīng)當分別制定并公開收集使用規(guī)則。收集使用規(guī)則可以包含在網(wǎng)站、應(yīng)用程序等產(chǎn)品的隱私政策中,也可以其他形式提供給用戶。
第八條 收集使用規(guī)則應(yīng)當明確具體、簡單通俗、易于訪問,突出以下內(nèi)容:
(一)網(wǎng)絡(luò)運營者基本信息;
(二)網(wǎng)絡(luò)運營者主要負責人、數(shù)據(jù)安全責任人的姓名及聯(lián)系方式;
(三)收集使用個人信息的目的、種類、數(shù)量、頻度、方式、范圍等;
(四)個人信息保存地點、期限及到期后的處理方式;
(五)向他人提供個人信息的規(guī)則,如果向他人提供的;
(六)個人信息安全保護策略等相關(guān)信息;
(七)個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法;
(八)投訴、舉報渠道和方法等;
(九)法律、行政法規(guī)規(guī)定的其他內(nèi)容。
第九條 如果收集使用規(guī)則包含在隱私政策中,應(yīng)相對集中,明顯提示,以方便閱讀。另僅當用戶知悉收集使用規(guī)則并明確同意后,網(wǎng)絡(luò)運營者方可收集個人信息。
第十條 網(wǎng)絡(luò)運營者應(yīng)當嚴格遵守收集使用規(guī)則,網(wǎng)站、應(yīng)用程序收集或使用個人信息的功能設(shè)計應(yīng)同隱私政策保持一致,同步調(diào)整。
第十一條 網(wǎng)絡(luò)運營者不得以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由,以默認授權(quán)、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。
個人信息主體同意收集保證網(wǎng)絡(luò)產(chǎn)品核心業(yè)務(wù)功能運行的個人信息后,網(wǎng)絡(luò)運營者應(yīng)當向個人信息主體提供核心業(yè)務(wù)功能服務(wù),不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業(yè)務(wù)功能服務(wù)。
第十二條 收集14周歲以下未成年人個人信息的,應(yīng)當征得其監(jiān)護人同意。
第十三條 網(wǎng)絡(luò)運營者不得依據(jù)個人信息主體是否授權(quán)收集個人信息及授權(quán)范圍,對個人信息主體采取歧視行為,包括服務(wù)質(zhì)量、價格差異等。
第十四條 網(wǎng)絡(luò)運營者從其他途徑獲得個人信息,與直接收集個人信息負有同等的保護責任和義務(wù)。
第十五條 網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的,應(yīng)向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則,收集使用的目的、規(guī)模、方式、范圍、類型、期限等,不包括數(shù)據(jù)內(nèi)容本身。
第十六條 網(wǎng)絡(luò)運營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù),不得妨礙網(wǎng)站正常運行;此類行為嚴重影響網(wǎng)站運行,如自動化訪問收集流量超過網(wǎng)站日均流量三分之一,網(wǎng)站要求停止自動化訪問收集時,應(yīng)當停止。
第十七條 網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的,應(yīng)當明確數(shù)據(jù)安全責任人。
數(shù)據(jù)安全責任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔任,參與有關(guān)數(shù)據(jù)活動的重要決策,直接向網(wǎng)絡(luò)運營者的主要負責人報告工作。
第十八條 數(shù)據(jù)安全責任人履行下列職責:
(一)組織制定數(shù)據(jù)保護計劃并督促落實;
(二)組織開展數(shù)據(jù)安全風險評估,督促整改安全隱患;
(三)按要求向有關(guān)部門和網(wǎng)信部門報告數(shù)據(jù)安全保護和事件處置情況;
(四)受理并處理用戶投訴和舉報。
網(wǎng)絡(luò)運營者應(yīng)為數(shù)據(jù)安全責任人提供必要的資源,保障其獨立履行職責。
第三章 數(shù)據(jù)處理使用
第十九條 網(wǎng)絡(luò)運營者應(yīng)當參照國家有關(guān)標準,采用數(shù)據(jù)分類、備份、加密等措施加強對個人信息和重要數(shù)據(jù)保護。
第二十條 網(wǎng)絡(luò)運營者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)則中的保存期限,用戶注銷賬號后應(yīng)當及時刪除其個人信息,經(jīng)過處理無法關(guān)聯(lián)到特定個人且不能復原(以下稱匿名化處理)的除外。
第二十一條 網(wǎng)絡(luò)運營者收到有關(guān)個人信息查詢、更正、刪除以及用戶注銷賬號請求時,應(yīng)當在合理時間和代價范圍內(nèi)予以查詢、更正、刪除或注銷賬號。
第二十二條 網(wǎng)絡(luò)運營者不得違反收集使用規(guī)則使用個人信息。因業(yè)務(wù)需要,確需擴大個人信息使用范圍的,應(yīng)當征得個人信息主體同意。
第二十三條 網(wǎng)絡(luò)運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等(以下簡稱“定向推送”),應(yīng)當以明顯方式標明“定推”字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應(yīng)當停止推送,并刪除已經(jīng)收集的設(shè)備識別碼等用戶數(shù)據(jù)和個人信息。
網(wǎng)絡(luò)運營者開展定向推送活動應(yīng)遵守法律、行政法規(guī),尊重社會公德、商業(yè)道德、公序良俗,誠實守信,嚴禁歧視、欺詐等行為。
第二十四條 網(wǎng)絡(luò)運營者利用大數(shù)據(jù)、人工智能等技術(shù)自動合成新聞、博文、帖子、評論等信息,應(yīng)以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為目的自動合成信息。
第二十五條 網(wǎng)絡(luò)運營者應(yīng)采取措施督促提醒用戶對自己的網(wǎng)絡(luò)行為負責、加強自律,對于用戶通過社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他人制作的信息,應(yīng)自動標注信息制作者在該社交網(wǎng)絡(luò)上的賬戶或不可更改的用戶標識。
第二十六條 網(wǎng)絡(luò)運營者接到相關(guān)假冒、仿冒、盜用他人名義發(fā)布信息的舉報投訴時,應(yīng)當及時響應(yīng),一旦核實立即停止傳播并作刪除處理。
第二十七條 網(wǎng)絡(luò)運營者向他人提供個人信息前,應(yīng)當評估可能帶來的安全風險,并征得個人信息主體同意。下列情況除外:
(一)從合法公開渠道收集且不明顯違背個人信息主體意愿;
(二)個人信息主體主動公開;
(三)經(jīng)過匿名化處理;
(四)執(zhí)法機關(guān)依法履行職責所必需;
(五)維護國家安全、社會公共利益、個人信息主體生命安全所必需。
第二十八條 網(wǎng)絡(luò)運營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當評估可能帶來的安全風險,并報經(jīng)行業(yè)主管監(jiān)管部門同意;行業(yè)主管監(jiān)管部門不明確的,應(yīng)經(jīng)省級網(wǎng)信部門批準。
向境外提供個人信息按有關(guān)規(guī)定執(zhí)行。
第二十九條 境內(nèi)用戶訪問境內(nèi)互聯(lián)網(wǎng)的,其流量不得被路由到境外。
第三十條 網(wǎng)絡(luò)運營者對接入其平臺的第三方應(yīng)用,應(yīng)明確數(shù)據(jù)安全要求和責任,督促監(jiān)督第三方應(yīng)用運營者加強數(shù)據(jù)安全管理。第三方應(yīng)用發(fā)生數(shù)據(jù)安全事件對用戶造成損失的,網(wǎng)絡(luò)運營者應(yīng)當承擔部分或全部責任,除非網(wǎng)絡(luò)運營者能夠證明無過錯。
第三十一條 網(wǎng)絡(luò)運營者兼并、重組、破產(chǎn)的,數(shù)據(jù)承接方應(yīng)承接數(shù)據(jù)安全責任和義務(wù)。沒有數(shù)據(jù)承接方的,應(yīng)當對數(shù)據(jù)作刪除處理。法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
第三十二條 網(wǎng)絡(luò)運營者分析利用所掌握的數(shù)據(jù)資源,發(fā)布市場預測、統(tǒng)計信息、個人和企業(yè)信用等信息,不得影響國家安全、經(jīng)濟運行、社會穩(wěn)定,不得損害他人合法權(quán)益。
第四章 數(shù)據(jù)安全監(jiān)督管理
第三十三條 網(wǎng)信部門在履行職責中,發(fā)現(xiàn)網(wǎng)絡(luò)運營者數(shù)據(jù)安全管理責任落實不到位,應(yīng)按照規(guī)定的權(quán)限和程序約談網(wǎng)絡(luò)運營者的主要負責人,督促整改。
第三十四條 國家鼓勵網(wǎng)絡(luò)運營者自愿通過數(shù)據(jù)安全管理認證和應(yīng)用程序安全認證,鼓勵搜索引擎、應(yīng)用商店等明確標識并優(yōu)先推薦通過認證的應(yīng)用程序。
國家網(wǎng)信部門會同國務(wù)院市場監(jiān)督管理部門,指導國家網(wǎng)絡(luò)安全審查與認證機構(gòu),組織數(shù)據(jù)安全管理認證和應(yīng)用程序安全認證工作。
第三十五條 發(fā)生個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件,或者發(fā)生數(shù)據(jù)安全事件風險明顯加大時,網(wǎng)絡(luò)運營者應(yīng)當立即采取補救措施,及時以電話、短信、郵件或信函等方式告知個人信息主體,并按要求向行業(yè)主管監(jiān)管部門和網(wǎng)信部門報告。
第三十六條 國務(wù)院有關(guān)主管部門為履行維護國家安全、社會管理、經(jīng)濟調(diào)控等職責需要,依照法律、行政法規(guī)的規(guī)定,要求網(wǎng)絡(luò)運營者提供掌握的相關(guān)數(shù)據(jù)的,網(wǎng)絡(luò)運營者應(yīng)當予以提供。
國務(wù)院有關(guān)主管部門對網(wǎng)絡(luò)運營者提供的數(shù)據(jù)負有安全保護責任,不得用于與履行職責無關(guān)的用途。
第三十七條 網(wǎng)絡(luò)運營者違反本辦法規(guī)定的,由有關(guān)部門依照相關(guān)法律、行政法規(guī)的規(guī)定,根據(jù)情節(jié)給予公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等處罰;構(gòu)成犯罪的,依法追究刑事責任。
第五章 附則
第三十八條 本辦法下列用語的含義:
(一)網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。
(二)網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。
(三)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
(四)個人信息主體,是指個人信息所標識或關(guān)聯(lián)到的自然人。
(五)重要數(shù)據(jù),是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù),如未公開的政府信息,大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等。
第三十九條 涉及國家秘密信息、密碼使用的數(shù)據(jù)活動,按照國家有關(guān)規(guī)定執(zhí)行。
第四十條 本辦法自 年 月 日起施行。