亞太 — 中國

中國網信辦加強管理數據廠商,再度公布網路安全管理新規定
2021/11/15
  • 中國國家網路信息辦公室(網信辦)公布「網路資料安全管理條例(徵求意見稿)」
  • 要求數據廠商要到國外或是香港上市,可能會影響國家安全者,都應申報網路安全審查
  • 中國網信辦這次對社會公開徵求意見,內容共有75條,涉及個資安全管理、互聯網平台營運義務,與數據商申報網路安全審查規定

中國國家網路信息辦公室(網信辦)於11月14日公布「網路資料安全管理條例(徵求意見稿)」,要求數據廠商要到國外或是香港上市,可能會影響國家安全者,都應申報網路安全審查。

中國個人信息保護法11月1日生效後,官方持續緊盯互聯網業者,特別是擁有龐大數據,要加強對重點領域數據安全管理,擴大個資保護力度。

中國網信辦這次對社會公開徵求意見,內容共有75條,涉及個資安全管理、互聯網平台營運義務,與數據商申報網路安全審查規定。針對數據商主要開展4項活動,1.匯聚掌握大量關係國安、經濟發展、公共利益的數據支援之互聯網平台營運者,實施合併、重組、分立,可能會影響國家安全者;2.處理100萬人以上個資的數據處理者赴國外上市者;3.數據廠商赴香港上市,可能會影響國家安全者;4.其他可能會影響國家安全的數據處理活動。


國家互聯網資訊辦公室關於《網路資料安全管理條例(徵求意見稿)》公開徵求意見的通知

為落實《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》等法律關於資料安全管理的規定,規範網路資料處理活動,保護個人、組織在網路空間的合法權益,維護國家安全和公共利益,根據國務院2021年立法計畫,我辦會同相關部門研究起草《網路資料安全管理條例(徵求意見稿)》,現向社會公開徵求意見。公眾可通過以下途徑和方式回饋意見:

1.通過電子郵件將意見發送至:[email protected]

2.通過信函將意見寄至:北京市西城區車公莊大街11號國家互聯網資訊辦公室網路資料管理局,郵編:100044,並在信封上注明“網路資料安全管理條例徵求意見”。

意見回饋截止時間為2021年12月13日。

附件:《網路資料安全管理條例(徵求意見稿)》

國家互聯網資訊辦公室

2021年11月14日

網路資料安全管理條例

(徵求意見稿)

第一章 總則

第一條 為了規範網路資料處理活動,保障資料安全,保護個人、組織在網路空間的合法權益,維護國家安全、公共利益,根據《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》等法律,制定本條例。

第二條 在中華人民共和國境內利用網路開展資料處理活動,以及網路資料安全的監督管理,適用本條例。

在中華人民共和國境外處理中華人民共和國境內個人和組織資料的活動,有下列情形之一的,適用本條例:

(一)以向境內提供產品或者服務為目的;

(二)分析、評估境內個人、組織的行為;

(三)涉及境內重要資料處理;

(四)法律、行政法規規定的其他情形。

自然人因個人或者家庭事務開展資料處理活動,不適用本條例。

第三條 國家統籌發展和安全,堅持促進資料開發利用與保障資料安全並重,加強資料安全防護能力建設,保障資料依法有序自由流動,促進資料依法合理有效利用。

第四條 國家支援資料開發利用與安全保護相關的技術、產品、服務創新和人才培養。

國家鼓勵國家機關、行業組織、企業、教育和科研機構、有關專業機構等開展資料開發利用和安全保護合作,開展資料安全宣傳教育和培訓。

第五條 國家建立資料分類分級保護制度。按照資料對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將資料分為一般資料、重要資料、核心資料,不同級別的資料採取不同的保護措施。

國家對個人資訊和重要資料進行重點保護,對核心資料實行嚴格保護。

各地區、各部門應當按照國家資料分類分級要求,對本地區、本部門以及相關行業、領域的資料進行分類分級管理。

第六條 資料處理者對所處理資料的安全負責,履行資料安全保護義務,接受政府和社會監督,承擔社會責任。

資料處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求,建立完善資料安全管理制度和技術保護機制。

第七條 國家推動公共資料開放、共用,促進資料開發利用,並依法對公共資料實施監督管理。

國家建立健全資料交易管理制度,明確資料交易機構設立、運行標準,規範資料流程通交易行為,確保資料依法有序流通。

第二章 一般規定

第八條 任何個人和組織開展資料處理活動應當遵守法律、行政法規,尊重社會公德和倫理,不得從事以下活動:

(一)危害國家安全、榮譽和利益,洩露國家秘密和工作秘密;

(二)侵害他人名譽權、隱私權、著作權和其他合法權益等;

(三)通過竊取或者以其他非法方式獲取資料;

(四)非法出售或者非法向他人提供資料;

(五)製作、發佈、複製、傳播違法資訊;

(六)法律、行政法規禁止的其他行為。

任何個人和組織知道或者應當知道他人從事前款活動的,不得為其提供技術支援、工具、程式和廣告推廣、支付結算等服務。

第九條 資料處理者應當採取備份、加密、存取控制等必要措施,保障資料免遭洩露、竊取、篡改、毀損、丟失、非法使用,應對資料安全事件,防範針對和利用資料的違法犯罪活動,維護資料的完整性、保密性、可用性。

資料處理者應當按照網路安全等級保護的要求,加強資料處理系統、資料傳輸網路、資料存儲環境等安全防護,處理重要資料的系統原則上應當滿足三級以上網路安全等級保護和關鍵資訊基礎設施安全保護要求,處理核心資料的系統依照有關規定從嚴保護。

資料處理者應當使用密碼對重要資料和核心資料進行保護。

第十條 資料處理者發現其使用或者提供的網路產品和服務存在安全缺陷、漏洞,或者威脅國家安全、危害公共利益等風險時,應當立即採取補救措施。

第十一條 資料處理者應當建立資料安全應急處置機制,發生資料安全事件時及時啟動應急回應機制,採取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,資料處理者應當在三個工作日內將安全事件和風險情況、危害後果、已經採取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關係人,無法通知的可採取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,資料處理者應當按規定向公安機關報案。

發生重要資料或者十萬人以上個人資訊洩露、毀損、丟失等資料安全事件時,資料處理者還應當履行以下義務:

(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本資訊,包括涉及的資料數量、類型、可能的影響、已經或擬採取的處置措施等;

(二)在事件處置完畢後五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害後果、責任處理、改進措施等情況的調查評估報告。

第十二條 資料處理者向協力廠商提供個人資訊,或者共用、交易、委託處理重要資料的,應當遵守以下規定:

(一)向個人告知提供個人資訊的目的、類型、方式、範圍、存儲期限、存儲地點,並取得個人單獨同意,符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外;

(二)與資料接收方約定處理資料的目的、範圍、處理方式,資料安全保護措施等,通過合同等形式明確雙方的資料安全責任義務,並對資料接收方的資料處理活動進行監督;

(三)留存個人同意記錄及提供個人資訊的日誌記錄,共用、交易、委託處理重要資料的審批記錄、日誌記錄至少五年。

資料接收方應當履行約定的義務,不得超出約定的目的、範圍、處理方式處理個人資訊和重要資料。

第十三條 資料處理者開展以下活動,應當按照國家有關規定,申報網路安全審查:

(一)彙聚掌握大量關係國家安全、經濟發展、公共利益的資料資源的互聯網平臺運營者實施合併、重組、分立,影響或者可能影響國家安全的;

(二)處理一百萬人以上個人資訊的資料處理者赴國外上市的;

(三)資料處理者赴香港上市,影響或者可能影響國家安全的;

(四)其他影響或者可能影響國家安全的資料處理活動。

大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。

第十四條 資料處理者發生合併、重組、分立等情況的,資料接收方應當繼續履行資料安全保護義務,涉及重要資料和一百萬人以上個人資訊的,應當向設區的市級主管部門報告;資料處理者發生解散、被宣告破產等情況的,應當向設區的市級主管部門報告,按照相關要求移交或刪除資料,主管部門不明確的,應當向設區的市級網信部門報告。

第十五條 資料處理者從其他途徑獲取的資料,應當按照本條例的規定履行資料安全保護義務。

第十六條 國家機關應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全資料安全管理制度,落實資料安全保護責任,保障政務資料安全。

第十七條 資料處理者在採用自動化工具訪問、收集資料時,應當評估對網路服務的性能、功能帶來的影響,不得干擾網路服務的正常功能。

自動化工具訪問、收集資料違反法律、行政法規或者行業自律公約、影響網路服務正常功能,或者侵犯他人智慧財產權等合法權益的,資料處理者應當停止訪問、收集資料行為並採取相應補救措施。

第十八條 資料處理者應當建立便捷的資料安全投訴舉報管道,及時受理、處置資料安全投訴舉報。

資料處理者應當公佈接受投訴、舉報的聯繫方式、責任人資訊,每年公開披露受理和收到的個人信息安全投訴數量、投訴處理情況、平均處理時間情況,接受社會監督。

第三章 個人資訊保護

第十九條 資料處理者處理個人資訊,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基於個人同意處理個人資訊的,應當滿足以下要求:

(一)處理的個人資訊是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;

(二)限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式;

(三)不得因個人拒絕提供服務必需的個人資訊以外的資訊,拒絕提供服務或者干擾個人正常使用服務。

第二十條 資料處理者處理個人資訊,應當制定個人資訊處理規則並嚴格遵守。個人資訊處理規則應當集中公開展示、易於訪問並置於醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人資訊處理情況。

個人資訊處理規則應當包括但不限於以下內容:

(一)依據產品或者服務的功能明確所需的個人資訊,以清單形式列明每項功能處理個人資訊的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人資訊對個人的影響;

(二)個人資訊存儲期限或者個人資訊存儲期限的確定方法、到期後的處理方式;

(三)個人查閱、複製、更正、刪除、限制處理、轉移個人資訊,以及登出帳號、撤回處理個人資訊同意的途徑和方法;

(四)以集中展示等便利使用者訪問的方式說明產品服務中嵌入的所有收集個人資訊的協力廠商代碼、外掛程式的名稱,以及每個協力廠商代碼、外掛程式收集個人資訊的目的、方式、種類、頻次或者時機及其個人資訊處理規則;

(五)向協力廠商提供個人資訊情形及其目的、方式、種類,資料接收方相關資訊等;

(六)個人資訊安全風險及保護措施;

(七)個人資訊安全問題的投訴、舉報管道及解決途徑,個人資訊保護負責人聯繫方式。

第二十一條 處理個人資訊應當取得個人同意的,資料處理者應當遵守以下規定:

(一)按照服務類型分別向個人申請處理個人資訊的同意,不得使用概括性條款取得同意;

(二)處理個人生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等敏感個人資訊應當取得個人單獨同意;

(三)處理不滿十四周歲未成年人的個人資訊,應當取得其監護人同意;

(四)不得以改善服務品質、提升使用者體驗、研發新產品等為由,強迫個人同意處理其個人資訊;

(五)不得通過誤導、欺詐、脅迫等方式獲得個人的同意;

(六)不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人資訊同意;

(七)不得超出個人授權同意的範圍處理個人資訊;

(八)不得在個人明確表示不同意後,頻繁徵求同意、干擾正常使用服務。

個人資訊的處理目的、處理方式和處理的個人資訊種類發生變更的,資料處理者應當重新取得個人同意,並同步修改個人資訊處理規則。

對個人同意行為有效性存在爭議的,資料處理者負有舉證責任。

第二十二條 有下列情況之一的,資料處理者應當在十五個工作日內刪除個人資訊或者進行匿名化處理:

(一)已實現個人資訊處理目的或者實現處理目的不再必要;

(二)達到與使用者約定或者個人資訊處理規則明確的存儲期限;

(三)終止服務或者個人登出帳號;

(四)因使用自動化採集技術等,無法避免採集到的非必要個人資訊或者未經個人同意的個人資訊。

刪除個人資訊從技術上難以實現,或者因業務複雜等原因,在十五個工作日內刪除個人資訊確有困難的,資料處理者不得開展除存儲和採取必要的安全保護措施之外的處理,並應當向個人作出合理解釋。

法律、行政法規另有規定的從其規定。

第二十三條 個人提出查閱、複製、更正、補充、限制處理、刪除其個人資訊的合理請求的,資料處理者應當履行以下義務:

(一)提供便捷的支援個人結構化查詢本人被收集的個人資訊類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;

(二)提供便捷的支援個人複製、更正、補充、限制處理、刪除其個人資訊、撤回授權同意以及註銷帳號的功能,且不得設置不合理條件;

(三)收到個人複製、更正、補充、限制處理、刪除本人個人資訊、撤回授權同意或者註銷帳號申請的,應當在十五個工作日內處理並回饋。

法律、行政法規另有規定的從其規定。

第二十四條 符合下列條件的個人資訊轉移請求,資料處理者應當為個人指定的其他資料處理者訪問、獲取其個人資訊提供轉移服務:

(一)請求轉移的個人資訊是基於同意或者訂立、履行合同所必需而收集的個人資訊;

(二)請求轉移的個人資訊是本人資訊或者請求人合法獲得且不違背他人意願的他人資訊;

(三)能夠驗證請求人的合法身份。

資料處理者發現接收個人資訊的其他資料處理者有非法處理個人資訊風險的,應當對個人資訊轉移請求做合理的風險提示。

請求轉移個人資訊次數明顯超出合理範圍的,資料處理者可以收取合理費用。

第二十五條 資料處理者利用生物特徵進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特徵資訊。

法律、行政法規另有規定的從其規定。

第二十六條 資料處理者處理一百萬人以上個人資訊的,還應當遵守本條例第四章對重要資料的處理者作出的規定。

第四章 重要資料安全

第二十七條 各地區、各部門按照國家有關要求和標準,組織本地區、本部門以及相關行業、領域的資料處理者識別重要資料和核心資料,組織制定本地區、本部門以及相關行業、領域重要資料和核心資料目錄,並報國家網信部門。

第二十八條 重要資料的處理者,應當明確資料安全負責人,成立資料安全管理機構。資料安全管理機構在資料安全負責人的領導下,履行以下職責:

(一)研究提出資料安全相關重大決策建議;

(二)制定實施資料安全保護計畫和資料安全事件應急預案;

(三)開展資料安全風險監測,及時處置資料安全風險和事件;

(四)定期組織開展資料安全宣傳教育培訓、風險評估、應急演練等活動;

(五)受理、處置資料安全投訴、舉報;

(六)按照要求及時向網信部門和主管、監管部門報告資料安全情況。

資料安全負責人應當具備資料安全專業知識和相關管理工作經歷,由資料處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映資料安全情況。

第二十九條 重要資料的處理者,應當在識別其重要資料後的十五個工作日內向設區的市級網信部門備案,備案內容包括:

(一)資料處理者基本資訊,資料安全管理機構資訊、資料安全負責人姓名和聯繫方式等;

(二)處理資料的目的、規模、方式、範圍、類型、存儲期限、存儲地點等,不包括資料內容本身;

(三)國家網信部門和主管、監管部門規定的其他備案內容。

處理資料的目的、範圍、類型及資料安全防護措施等有重大變化的,應當重新備案。

依據部門職責分工,網信部門與有關部門共用備案資訊。

第三十條 重要資料的處理者,應當制定資料安全培訓計畫,每年組織開展全員資料安全教育培訓,資料安全相關的技術和管理人員每年教育培訓時間不得少於二十小時。

第三十一條 重要資料的處理者,應當優先採購安全可信的網路產品和服務。

第三十二條 處理重要資料或者赴境外上市的資料處理者,應當自行或者委託資料安全服務機構每年開展一次資料安全評估,並在每年1月31日前將上一年度資料安全評估報告報設區的市級網信部門,年度資料安全評估報告的內容包括:

(一)處理重要資料的情況;

(二)發現的資料安全風險及處置措施;

(三)資料安全管理制度,資料備份、加密、存取控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;

(四)落實國家資料安全法律、行政法規和標準情況;

(五)發生的資料安全事件及其處置情況;

(六)共用、交易、委託處理、向境外提供重要資料的安全評估情況;

(七)資料安全相關的投訴及處理情況;

(八)國家網信部門和主管、監管部門明確的其他資料安全情況。

資料處理者應當保留風險評估報告至少三年。

依據部門職責分工,網信部門與有關部門共用報告資訊。

資料處理者開展共用、交易、委託處理、向境外提供重要資料的安全評估,應當重點評估以下內容:

(一)共用、交易、委託處理、向境外提供資料,以及資料接收方處理資料的目的、方式、範圍等是否合法、正當、必要;

(二)共用、交易、委託處理、向境外提供資料被洩露、毀損、篡改、濫用的風險,以及對國家安全、經濟發展、公共利益帶來的風險;

(三)資料接收方的誠信狀況、守法情況、境外政府機構合作關係、是否被中國政府制裁等背景情況,承諾承擔的責任以及履行責任的能力等是否能夠有效保障資料安全;

(四)與資料接收方訂立的相關合同中關於資料安全的要求能否有效約束資料接收方履行資料安全保護義務;

(五)在資料處理過程中的管理和技術措施等是否能夠防範資料洩露、毀損等風險。

評估認為可能危害國家安全、經濟發展和公共利益,資料處理者不得共用、交易、委託處理、向境外提供資料。

第三十三條 資料處理者共用、交易、委託處理重要資料的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。

第三十四條 國家機關和關鍵資訊基礎設施運營者採購的雲計算服務,應當通過國家網信部門會同國務院有關部門組織的安全評估。

第五章 資料跨境安全管理

第三十五條 資料處理者因業務等需要,確需向中華人民共和國境外提供資料的,應當具備下列條件之一:

(一)通過國家網信部門組織的資料出境安全評估;

(二)資料處理者和資料接收方均通過國家網信部門認定的專業機構進行的個人資訊保護認證;

(三)按照國家網信部門制定的關於標準合同的規定與境外資料接收方訂立合同,約定雙方權利和義務;

(四)法律、行政法規或者國家網信部門規定的其他條件。

資料處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人資訊的,或者為了保護個人生命健康和財產安全而必須向境外提供個人資訊的除外。

第三十六條 資料處理者向中華人民共和國境外提供個人資訊的,應當向個人告知境外資料接收方的名稱、聯繫方式、處理目的、處理方式、個人資訊的種類以及個人向境外資料接收方行使個人資訊權利的方式等事項,並取得個人的單獨同意。

收集個人資訊時已單獨就個人資訊出境取得個人同意,且按照取得同意的事項出境的,無需再次取得個人單獨同意。

第三十七條 資料處理者向境外提供在中華人民共和國境內收集和產生的資料,屬於以下情形的,應當通過國家網信部門組織的資料出境安全評估:

(一)出境資料中包含重要資料;

(二)關鍵資訊基礎設施運營者和處理一百萬人以上個人資訊的資料處理者向境外提供個人資訊;

(三)國家網信部門規定的其它情形。

法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。

第三十八條 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人資訊的條件等有規定的,可以按照其規定執行。

第三十九條 資料處理者向境外提供資料應當履行以下義務:

(一)不得超出報送網信部門的個人資訊保護影響評估報告中明確的目的、範圍、方式和資料類型、規模等向境外提供個人資訊;

(二)不得超出網信部門安全評估時明確的出境目的、範圍、方式和資料類型、規模等向境外提供個人資訊和重要資料;

(三)採取合同等有效措施監督資料接收方按照雙方約定的目的、範圍、方式使用資料,履行資料安全保護義務,保證資料安全;

(四)接受和處理資料出境所涉及的使用者投訴;

(五)資料出境對個人、組織合法權益或者公共利益造成損害的,資料處理者應當依法承擔責任;

(六)存留相關日誌記錄和資料出境審批記錄三年以上;

(七)國家網信部門會同國務院有關部門核驗向境外提供個人資訊和重要資料的類型、範圍時,資料處理者應當以明文、可讀方式予以展示;

(八)國家網信部門認定不得出境的,資料處理者應當停止資料出境,並採取有效措施對已出境資料的安全予以補救;

(九)個人資訊出境後確需再轉移的,應當事先與個人約定再轉移的條件,並明確資料接收方履行的安全保護義務。

非經中華人民共和國主管機關批准,境內的個人、組織不得向外國司法或者執法機構提供存儲於中華人民共和國境內的資料。

第四十條 向境外提供個人資訊和重要資料的資料處理者,應當在每年1月31日前編制資料出境安全報告,向設區的市級網信部門報告上一年度以下資料出境情況:

(一)全部資料接收方名稱、聯繫方式;

(二)出境資料的類型、數量及目的;

(三)資料在境外的存放地點、存儲期限、使用範圍和方式;

(四)涉及向境外提供資料的使用者投訴及處理情況;

(五)發生的資料安全事件及其處置情況;

(六)資料出境後再轉移的情況;

(七)國家網信部門明確向境外提供資料需要報告的其他事項。

第四十一條 國家建立資料跨境安全閘道,對來源於中華人民共和國境外、法律和行政法規禁止發佈或者傳輸的資訊予以阻斷傳播。

任何個人和組織不得提供用於穿透、繞過資料跨境安全閘道的程式、工具、線路等,不得為穿透、繞過資料跨境安全閘道提供互聯網接入、伺服器託管、技術支援、傳播推廣、支付結算、應用下載等服務。

境內使用者訪問境內網路的,其流量不得被路由至境外。

第四十二條 資料處理者從事跨境資料活動應當按照國家資料跨境安全監管要求,建立健全相關技術和管理措施。

第六章 互聯網平臺運營者義務

第四十三條 互聯網平臺運營者應當建立與資料相關的平臺規則、隱私政策和演算法策略披露制度,及時披露制定程式、裁決程式,保障平臺規則、隱私政策、演算法公平公正。

平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人資訊保護相關行業協會互聯網平臺面向社會公開徵求意見,徵求意見時長不得少於三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分採納公眾意見,修改完善平臺規則、隱私政策,並以易於使用者訪問的方式公佈意見採納情況,說明未採納的理由,接受社會監督。

日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的協力廠商機構評估,並報省級及以上網信部門和電信主管部門同意。

第四十四條 互聯網平臺運營者應當對接入其平臺的協力廠商產品和服務承擔資料安全管理責任,通過合同等形式明確協力廠商的資料安全責任義務,並督促協力廠商加強資料安全管理,採取必要的資料安全保護措施。

協力廠商產品和服務對使用者造成損害的,用戶可以要求互聯網平臺運營者先行賠償。

移動通信終端預裝協力廠商產品適用本條前兩款規定。

第四十五條 國家鼓勵提供即時通信服務的互聯網平臺運營者從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的資訊按照個人資訊保護要求嚴格保護,非個人通信的資訊按照公共資訊有關規定進行管理。

第四十六條 互聯網平臺運營者不得利用資料以及平臺規則等從事以下活動:

(一)利用平臺收集掌握的使用者資料,無正當理由對交易條件相同的使用者實施產品和服務差異化定價等損害用戶合法利益的行為;

(二)利用平臺收集掌握的經營者資料,在產品推廣中實行最低價銷售等損害公平競爭的行為;

(三)利用資料誤導、欺詐、脅迫用戶,損害使用者對其資料被處理的決定權,違背使用者意願處理使用者資料;

(四)在平臺規則、演算法、技術、流量分配等方面設置不合理的限制和障礙,限制平臺上的中小企業公平獲取平臺產生的行業、市場資料等,阻礙市場創新。

第四十七條 提供應用程式分發服務的互聯網平臺運營者,應當按照有關法律、行政法規和國家網信部門的規定,建立、披露應用程式審核規則,並對應用程式進行安全審核。對不符合法律、行政法規的規定和國家標準的強制性要求的應用程式,應當採取拒絕上架、督促整改、下架處置等措施。

第四十八條 互聯網平臺運營者面向公眾提供即時通信服務的,應當按照國務院電信主管部門的規定,為其他互聯網平臺運營者的即時通信服務提供資料介面,支援不同即時通信服務之間使用者資料互通,無正當理由不得限制用戶訪問其他互聯網平臺以及向其他互聯網平臺傳輸檔。

第四十九條 互聯網平臺運營者利用個人資訊和個性化推送演算法向使用者提供資訊的,應當對推送資訊的真實性、準確性以及來源合法性負責,並符合以下要求:

(一)收集個人資訊用於個性化推薦時,應當取得個人單獨同意;

(二)設置易於理解、便於訪問和操作的一鍵關閉個性化推薦選項,允許使用者拒絕接受定向推送資訊,允許使用者重置、修改、調整針對其個人特徵的定向推送參數;

(三)允許個人刪除定向推送資訊服務收集產生的個人資訊,法律、行政法規另有規定或者與用戶另有約定的除外。

第五十條 國家建設網路身份認證公共服務基礎設施,按照政府引導、線民自願原則,提供個人身份認證公共服務。

互聯網平臺運營者應當支援並優先使用國家網路身份認證公共服務基礎設施提供的個人身份認證服務。

第五十一條 互聯網平臺運營者在為國家機關提供服務,參與公共基礎設施、公共服務系統建設運維管理,利用公共資源提供服務過程中收集、產生的資料不得用於其他用途。

第五十二條 國務院有關部門履行法定職責需要調取或者訪問互聯網平臺運營者掌握的公共資料、公共資訊,應當明確調取或者訪問的範圍、類型、用途、依據,嚴格限定在履行法定職責範圍內,不得將調取或者訪問的公共資料、公共資訊用於履行法定職責之外的目的。

互聯網平臺運營者應當對有關部門調取或者訪問公共資料、公共資訊予以配合。

第五十三條 大型互聯網平臺運營者應當通過委託協力廠商審計方式,每年對平臺資料安全情況、平臺規則和自身承諾的執行情況、個人資訊保護情況、資料開發利用情況等進行年度審計,並披露審計結果。

第五十四條 互聯網平臺運營者利用人工智慧、虛擬實境、深度合成等新技術開展資料處理活動的,應當按照國家有關規定進行安全評估。

第七章 監督管理

第五十五條 國家網信部門負責統籌協調資料安全和相關監督管理工作。

公安機關、國家安全機關等在各自職責範圍內承擔資料安全監管職責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域資料安全監管職責。

主管部門應當明確本行業、本領域資料安全保護工作機構和人員,編制並組織實施本行業、本領域的資料安全規劃和資料安全事件應急預案。

主管部門應當定期組織開展本行業、本領域的資料安全風險評估,對資料處理者履行資料安全保護義務情況進行監督檢查,指導督促資料處理者及時對存在的風險隱患進行整改。

第五十六條 國家建立健全資料安全應急處置機制,完善網路安全事件應急預案和網路安全資訊共用平臺,將資料安全事件納入國家網路安全事件應急回應機制,加強資料安全資訊共用、資料安全風險和威脅監測預警以及資料安全事件應急處置工作。

第五十七條 有關主管、監管部門可以採取以下措施對資料安全進行監督檢查:

(一)要求資料處理者相關人員就監督檢查事項作出說明;

(二)查閱、調取與資料安全有關的文檔、記錄;

(三)按照規定程式,利用檢測工具或者委託專業機構對資料安全措施運行情況進行技術檢測;

(四)核驗資料出境類型、範圍等;

(五)法律、行政法規、規章規定的其他必要方式。

有關主管、監管部門開展資料安全監督檢查,應當客觀公正,不得向被檢查單位收取費用。在資料安全監督檢查中獲取的資訊只能用於維護資料安全的需要,不得用於其他用途。

資料處理者應當對有關主管、監管部門的資料安全監督檢查予以配合,包括對組織運作、技術系統、演算法原理、資料處理程式等進行解釋說明,開放安全相關資料訪問、提供必要技術支援等。

第五十八條 國家建立資料安全審計制度。資料處理者應當委託資料安全審計專業機構定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。

主管、監管部門組織開展對重要資料處理活動的審計,重點審計資料處理者履行法律、行政法規規定的義務等情況。

第五十九條 國家支援相關行業組織按照章程,制定資料安全行為規範,加強行業自律,指導會員加強資料安全保護,提高資料安全保護水準,促進行業健康發展。

國家支援成立個人資訊保護行業組織,開展以下活動:

(一)接受個人資訊保護投訴舉報並進行調查、調解;

(二)向個人提供資訊和諮詢服務,支援個人依法對損害個人資訊權益的行為提起訴訟;

(三)曝光損害個人資訊權益的行為,對個人資訊保護開展社會監督;

(四)向有關部門反映個人資訊保護情況、提供諮詢、建議;

(五)違法處理個人資訊、侵害眾多個人的權益的行為,依法向人民法院提起訴訟。

第八章 法律責任

第六十條 資料處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規定,由有關主管部門責令改正,給予警告,可以並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者導致危害資料安全等嚴重後果的,處五十萬元以上二百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

第六十一條 資料處理者不履行第十九條、第二十條、第二十一條、第二十二條、第二十三條、第二十四條、第二十五條規定的資料安全保護義務的,由有關部門責令改正,給予警告,沒收違法所得,對違法處理個人資訊的應用程式,責令暫停或者終止提供服務;拒不改正的,並處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為,情節嚴重的,由有關部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人資訊保護負責人。

第六十二條 資料處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規定的資料安全保護義務的,由有關部門責令改正,給予警告,對違法處理重要資料的系統及應用,責令暫停或者終止提供服務;拒不改正的,並處二百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

有前款規定的違法行為,情節嚴重的,由有關部門責令改正,沒收違法所得,並處二百萬元以上五百萬元以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處二十萬元以上一百萬元以下罰款。

第六十三條 關鍵資訊基礎設施運營者違反第三十四條的規定,由有關部門責令改正,依照有關法律、行政法規的規定予以處罰。

第六十四條 資料處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規定,由有關部門責令改正,給予警告,暫停資料出境,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

第六十五條 違反本條例第三十九條第二款的規定,未經主管機關批准向外國司法或者執法機構提供資料的,由有關主管部門給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重後果的,處一百萬元以上五百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。

第六十六條 個人和組織違反第四十一條的規定,由有關主管部門責令改正,給予警告、沒收違法所得;拒不改正的,處違法所得一倍以上十倍以下的罰款,沒有違法所得的,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依照相關法律、行政法規的規定處罰。

第六十七條 互聯網平臺運營者違反第四十三條、第四十四條、第四十五條、第四十七條、第五十三條的規定,由有關部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

第六十八條 互聯網平臺運營者違反第四十六條、第四十八條、第五十一條的規定,由有關主管部門責令改正,給予警告;拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依照相關法律、行政法規的規定處罰。

第六十九條 互聯網平臺運營者違反第四十九條、第五十四條的規定,由有關主管部門責令改正,予以警告;拒不改正,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,可由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

第七十條 資料處理者違反本條例規定,給他人造成損害的,依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

第七十一條 國家機關不履行本法規定的資料安全保護義務的,由其上級機關或者履行資料安全管理職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。

第七十二條 在中華人民共和國境外開展資料處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。

第九章 附則

第七十三條 本條例下列用語的含義:

(一)網路資料(簡稱資料)是指任何以電子方式對資訊的記錄。

(二)資料處理活動是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

(三)重要資料是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益的資料。包括以下資料:

1.未公開的政務資料、工作秘密、情報資料和執法司法資料;

2.出口管制資料,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的資料,密碼、生物、電子資訊、人工智慧等領域對國家安全、經濟競爭實力有直接影響的科學技術成果資料;

3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行資料、重要行業業務資料、統計資料等;

4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的資料,關鍵系統元件、設備供應鏈資料;

5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎資料;

6.國家基礎設施、關鍵資訊基礎設施建設運行及其安全資料,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等資料;

7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的資料。

(四)核心資料是指關係國家安全、國民經濟命脈、重要民生和重大公共利益等的資料。

(五)資料處理者是指在資料處理活動中自主決定處理目的和處理方式的個人和組織。

(六)公共資料是指國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類資料,以及其他組織在提供公共服務中收集、產生的涉及公共利益的各類資料。

(七)委託處理是指資料處理者委託協力廠商按照約定的目的和方式開展的資料處理活動。

(八)單獨同意是指資料處理者在開展具體資料處理活動時,對每項個人資訊取得個人同意,不包括一次性針對多項個人資訊、多種處理活動的同意。

(九)互聯網平臺運營者是指為使用者提供資訊發佈、社交、交易、支付、視聽等互聯網平臺服務的資料處理者。

(十)大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人資訊和重要資料、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。

(十一)資料跨境安全閘道是指阻斷訪問境外反動網站和有害資訊、防止來自境外的網路攻擊、管控跨境網路資料傳輸、防範偵查打擊跨境網路犯罪的重要安全基礎設施。

(十二)公共資訊是指資料處理者在提供公共服務過程中收集、產生的具有公共傳播特性的資訊。包括公開發佈資訊、可轉發資訊、無明確接收人資訊等。

第七十四條 涉及國家秘密資訊、核心資料、密碼使用的資料處理活動,按照國家有關規定執行。

第七十五條 本條例自 年 月 日起施行。

資料來源: 工商時報