總社要(yào / yāo)聞
首陽悅讀
黨群之(zhī)窗
首陽學習
新媒體矩陣
當前位置:首頁> 媒體中心
網絡數據安全管理條例
發布日期:2024-10-16    文章來(lái)源:人(rén)民日報    分享到(dào):

《人(rén)民日報》(2024年10月10日 第15版)

中華人(rén)民共和(hé / huò)國(guó)國(guó)務院令

第790号

  《網絡數據安全管理條例》已經2024年8月30日國(guó)務院第40次常務會議通過,現予公布,自2025年1月1日起施行。

總理  李  強   

2024年9月24日  

  

第一(yī / yì /yí)章  總  則

  第一(yī / yì /yí)條  爲(wéi / wèi)了(le/liǎo)規範網絡數據處理活動,保障網絡數據安全,促進網絡數據依法合理有效利用,保護個(gè)人(rén)、組織的(de)合法權益,維護國(guó)家安全和(hé / huò)公共利益,根據《中華人(rén)民共和(hé / huò)國(guó)網絡安全法》、《中華人(rén)民共和(hé / huò)國(guó)數據安全法》、《中華人(rén)民共和(hé / huò)國(guó)個(gè)人(rén)信息保護法》等法律,制定本條例。

  第二條  在(zài)中華人(rén)民共和(hé / huò)國(guó)境内開展網絡數據處理活動及其安全監督管理,适用本條例。

  在(zài)中華人(rén)民共和(hé / huò)國(guó)境外處理中華人(rén)民共和(hé / huò)國(guó)境内自然人(rén)個(gè)人(rén)信息的(de)活動,符合《中華人(rén)民共和(hé / huò)國(guó)個(gè)人(rén)信息保護法》第三條第二款規定情形的(de),也(yě)适用本條例。

  在(zài)中華人(rén)民共和(hé / huò)國(guó)境外開展網絡數據處理活動,損害中華人(rén)民共和(hé / huò)國(guó)國(guó)家安全、公共利益或者公民、組織合法權益的(de),依法追究法律責任。

  第三條  網絡數據安全管理工作堅持中國(guó)共産黨的(de)領導,貫徹總體國(guó)家安全觀,統籌促進網絡數據開發利用與保障網絡數據安全。

  第四條  國(guó)家鼓勵網絡數據在(zài)各行業、各領域的(de)創新應用,加強網絡數據安全防護能力建設,支持網絡數據相關技術、産品、服務創新,開展網絡數據安全宣傳教育和(hé / huò)人(rén)才培養,促進網絡數據開發利用和(hé / huò)産業發展。

  第五條  國(guó)家根據網絡數據在(zài)經濟社會發展中的(de)重要(yào / yāo)程度,以(yǐ)及一(yī / yì /yí)旦遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用,對國(guó)家安全、公共利益或者個(gè)人(rén)、組織合法權益造成的(de)危害程度,對網絡數據實行分類分級保護。

  第六條  國(guó)家積極參與網絡數據安全相關國(guó)際規則和(hé / huò)标準的(de)制定,促進國(guó)際交流與合作。

  第七條  國(guó)家支持相關行業組織按照章程,制定網絡數據安全行爲(wéi / wèi)規範,加強行業自律,指導會員加強網絡數據安全保護,提高網絡數據安全保護水平,促進行業健康發展。

第二章  一(yī / yì /yí)般規定

  第八條  任何個(gè)人(rén)、組織不(bù)得利用網絡數據從事非法活動,不(bù)得從事竊取或者以(yǐ)其他(tā)非法方式獲取網絡數據、非法出(chū)售或者非法向他(tā)人(rén)提供網絡數據等非法網絡數據處理活動。

  任何個(gè)人(rén)、組織不(bù)得提供專門用于(yú)從事前款非法活動的(de)程序、工具;明知他(tā)人(rén)從事前款非法活動的(de),不(bù)得爲(wéi / wèi)其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助。

  第九條  網絡數據處理者應當依照法律、行政法規的(de)規定和(hé / huò)國(guó)家标準的(de)強制性要(yào / yāo)求,在(zài)網絡安全等級保護的(de)基礎上(shàng),加強網絡數據安全防護,建立健全網絡數據安全管理制度,采取加密、備份、訪問控制、安全認證等技術措施和(hé / huò)其他(tā)必要(yào / yāo)措施,保護網絡數據免遭篡改、破壞、洩露或者非法獲取、非法利用,處置網絡數據安全事件,防範針對和(hé / huò)利用網絡數據實施的(de)違法犯罪活動,并對所處理網絡數據的(de)安全承擔主體責任。

  第十條  網絡數據處理者提供的(de)網絡産品、服務應當符合相關國(guó)家标準的(de)強制性要(yào / yāo)求;發現網絡産品、服務存在(zài)安全缺陷、漏洞等風險時(shí),應當立即采取補救措施,按照規定及時(shí)告知用戶并向有關主管部門報告;涉及危害國(guó)家安全、公共利益的(de),網絡數據處理者還應當在(zài)24小時(shí)内向有關主管部門報告。

  第十一(yī / yì /yí)條  網絡數據處理者應當建立健全網絡數據安全事件應急預案,發生網絡數據安全事件時(shí),應當立即啓動預案,采取措施防止危害擴大(dà),消除安全隐患,并按照規定向有關主管部門報告。

  網絡數據安全事件對個(gè)人(rén)、組織合法權益造成危害的(de),網絡數據處理者應當及時(shí)将安全事件和(hé / huò)風險情況、危害後果、已經采取的(de)補救措施等,以(yǐ)電話、短信、即時(shí)通信工具、電子(zǐ)郵件或者公告等方式通知利害關系人(rén);法律、行政法規規定可以(yǐ)不(bù)通知的(de),從其規定。網絡數據處理者在(zài)處置網絡數據安全事件過程中發現涉嫌違法犯罪線索的(de),應當按照規定向公安機關、國(guó)家安全機關報案,并配合開展偵查、調查和(hé / huò)處置工作。

  第十二條  網絡數據處理者向其他(tā)網絡數據處理者提供、委托處理個(gè)人(rén)信息和(hé / huò)重要(yào / yāo)數據的(de),應當通過合同等與網絡數據接收方約定處理目的(de)、方式、範圍以(yǐ)及安全保護義務等,并對網絡數據接收方履行義務的(de)情況進行監督。向其他(tā)網絡數據處理者提供、委托處理個(gè)人(rén)信息和(hé / huò)重要(yào / yāo)數據的(de)處理情況記錄,應當至少保存3年。

  網絡數據接收方應當履行網絡數據安全保護義務,并按照約定的(de)目的(de)、方式、範圍等處理個(gè)人(rén)信息和(hé / huò)重要(yào / yāo)數據。

  兩個(gè)以(yǐ)上(shàng)的(de)網絡數據處理者共同決定個(gè)人(rén)信息和(hé / huò)重要(yào / yāo)數據的(de)處理目的(de)和(hé / huò)處理方式的(de),應當約定各自的(de)權利和(hé / huò)義務。

  第十三條  網絡數據處理者開展網絡數據處理活動,影響或者可能影響國(guó)家安全的(de),應當按照國(guó)家有關規定進行國(guó)家安全審查。

  第十四條  網絡數據處理者因合并、分立、解散、破産等原因需要(yào / yāo)轉移網絡數據的(de),網絡數據接收方應當繼續履行網絡數據安全保護義務。

  第十五條  國(guó)家機關委托他(tā)人(rén)建設、運行、維護電子(zǐ)政務系統,存儲、加工政務數據,應當按照國(guó)家有關規定經過嚴格的(de)批準程序,明确受托方的(de)網絡數據處理權限、保護責任等,監督受托方履行網絡數據安全保護義務。

  第十六條  網絡數據處理者爲(wéi / wèi)國(guó)家機關、關鍵信息基礎設施運營者提供服務,或者參與其他(tā)公共基礎設施、公共服務系統建設、運行、維護的(de),應當依照法律、法規的(de)規定和(hé / huò)合同約定履行網絡數據安全保護義務,提供安全、穩定、持續的(de)服務。

  前款規定的(de)網絡數據處理者未經委托方同意,不(bù)得訪問、獲取、留存、使用、洩露或者向他(tā)人(rén)提供網絡數據,不(bù)得對網絡數據進行關聯分析。

  第十七條  爲(wéi / wèi)國(guó)家機關提供服務的(de)信息系統應當參照電子(zǐ)政務系統的(de)管理要(yào / yāo)求加強網絡數據安全管理,保障網絡數據安全。

  第十八條  網絡數據處理者使用自動化工具訪問、收集網絡數據,應當評估對網絡服務帶來(lái)的(de)影響,不(bù)得非法侵入他(tā)人(rén)網絡,不(bù)得幹擾網絡服務正常運行。

  第十九條  提供生成式人(rén)工智能服務的(de)網絡數據處理者應當加強對訓練數據和(hé / huò)訓練數據處理活動的(de)安全管理,采取有效措施防範和(hé / huò)處置網絡數據安全風險。

  第二十條  面向社會提供産品、服務的(de)網絡數據處理者應當接受社會監督,建立便捷的(de)網絡數據安全投訴、舉報渠道(dào),公布投訴、舉報方式等信息,及時(shí)受理并處理網絡數據安全投訴、舉報。

第三章  個(gè)人(rén)信息保護

  第二十一(yī / yì /yí)條  網絡數據處理者在(zài)處理個(gè)人(rén)信息前,通過制定個(gè)人(rén)信息處理規則的(de)方式依法向個(gè)人(rén)告知的(de),個(gè)人(rén)信息處理規則應當集中公開展示、易于(yú)訪問并置于(yú)醒目位置,内容明确具體、清晰易懂,包括但不(bù)限于(yú)下列内容:

  (一(yī / yì /yí))網絡數據處理者的(de)名稱或者姓名和(hé / huò)聯系方式;

  (二)處理個(gè)人(rén)信息的(de)目的(de)、方式、種類,處理敏感個(gè)人(rén)信息的(de)必要(yào / yāo)性以(yǐ)及對個(gè)人(rén)權益的(de)影響;

  (三)個(gè)人(rén)信息保存期限和(hé / huò)到(dào)期後的(de)處理方式,保存期限難以(yǐ)确定的(de),應當明确保存期限的(de)确定方法;

  (四)個(gè)人(rén)查閱、複制、轉移、更正、補充、删除、限制處理個(gè)人(rén)信息以(yǐ)及注銷賬号、撤回同意的(de)方法和(hé / huò)途徑等。

  網絡數據處理者按照前款規定向個(gè)人(rén)告知收集和(hé / huò)向其他(tā)網絡數據處理者提供個(gè)人(rén)信息的(de)目的(de)、方式、種類以(yǐ)及網絡數據接收方信息的(de),應當以(yǐ)清單等形式予以(yǐ)列明。網絡數據處理者處理不(bù)滿十四周歲未成年人(rén)個(gè)人(rén)信息的(de),還應當制定專門的(de)個(gè)人(rén)信息處理規則。

  第二十二條  網絡數據處理者基于(yú)個(gè)人(rén)同意處理個(gè)人(rén)信息的(de),應當遵守下列規定:

  (一(yī / yì /yí))收集個(gè)人(rén)信息爲(wéi / wèi)提供産品或者服務所必需,不(bù)得超範圍收集個(gè)人(rén)信息,不(bù)得通過誤導、欺詐、脅迫等方式取得個(gè)人(rén)同意;

  (二)處理生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等敏感個(gè)人(rén)信息的(de),應當取得個(gè)人(rén)的(de)單獨同意;

  (三)處理不(bù)滿十四周歲未成年人(rén)個(gè)人(rén)信息的(de),應當取得未成年人(rén)的(de)父母或者其他(tā)監護人(rén)的(de)同意;

  (四)不(bù)得超出(chū)個(gè)人(rén)同意的(de)個(gè)人(rén)信息處理目的(de)、方式、種類、保存期限處理個(gè)人(rén)信息;

  (五)不(bù)得在(zài)個(gè)人(rén)明确表示不(bù)同意處理其個(gè)人(rén)信息後,頻繁征求同意;

  (六)個(gè)人(rén)信息的(de)處理目的(de)、方式、種類發生變更的(de),應當重新取得個(gè)人(rén)同意。

  法律、行政法規規定處理敏感個(gè)人(rén)信息應當取得書面同意的(de),從其規定。

  第二十三條  個(gè)人(rén)請求查閱、複制、更正、補充、删除、限制處理其個(gè)人(rén)信息,或者個(gè)人(rén)注銷賬号、撤回同意的(de),網絡數據處理者應當及時(shí)受理,并提供便捷的(de)支持個(gè)人(rén)行使權利的(de)方法和(hé / huò)途徑,不(bù)得設置不(bù)合理條件限制個(gè)人(rén)的(de)合理請求。

  第二十四條  因使用自動化采集技術等無法避免采集到(dào)非必要(yào / yāo)個(gè)人(rén)信息或者未依法取得個(gè)人(rén)同意的(de)個(gè)人(rén)信息,以(yǐ)及個(gè)人(rén)注銷賬号的(de),網絡數據處理者應當删除個(gè)人(rén)信息或者進行匿名化處理。法律、行政法規規定的(de)保存期限未屆滿,或者删除、匿名化處理個(gè)人(rén)信息從技術上(shàng)難以(yǐ)實現的(de),網絡數據處理者應當停止除存儲和(hé / huò)采取必要(yào / yāo)的(de)安全保護措施之(zhī)外的(de)處理。

  第二十五條  對符合下列條件的(de)個(gè)人(rén)信息轉移請求,網絡數據處理者應當爲(wéi / wèi)個(gè)人(rén)指定的(de)其他(tā)網絡數據處理者訪問、獲取有關個(gè)人(rén)信息提供途徑:

  (一(yī / yì /yí))能夠驗證請求人(rén)的(de)真實身份;

  (二)請求轉移的(de)是(shì)本人(rén)同意提供的(de)或者基于(yú)合同收集的(de)個(gè)人(rén)信息;

  (三)轉移個(gè)人(rén)信息具備技術可行性;

  (四)轉移個(gè)人(rén)信息不(bù)損害他(tā)人(rén)合法權益。

  請求轉移個(gè)人(rén)信息次數等明顯超出(chū)合理範圍的(de),網絡數據處理者可以(yǐ)根據轉移個(gè)人(rén)信息的(de)成本收取必要(yào / yāo)費用。

  第二十六條  中華人(rén)民共和(hé / huò)國(guó)境外網絡數據處理者處理境内自然人(rén)個(gè)人(rén)信息,依照《中華人(rén)民共和(hé / huò)國(guó)個(gè)人(rén)信息保護法》第五十三條規定在(zài)境内設立專門機構或者指定代表的(de),應當将有關機構的(de)名稱或者代表的(de)姓名、聯系方式等報送所在(zài)地(dì / de)設區的(de)市級網信部門;網信部門應當及時(shí)通報同級有關主管部門。

  第二十七條  網絡數據處理者應當定期自行或者委托專業機構對其處理個(gè)人(rén)信息遵守法律、行政法規的(de)情況進行合規審計。

  第二十八條  網絡數據處理者處理1000萬人(rén)以(yǐ)上(shàng)個(gè)人(rén)信息的(de),還應當遵守本條例第三十條、第三十二條對處理重要(yào / yāo)數據的(de)網絡數據處理者(以(yǐ)下簡稱重要(yào / yāo)數據的(de)處理者)作出(chū)的(de)規定。

第四章  重要(yào / yāo)數據安全

  第二十九條  國(guó)家數據安全工作協調機制統籌協調有關部門制定重要(yào / yāo)數據目錄,加強對重要(yào / yāo)數據的(de)保護。各地(dì / de)區、各部門應當按照數據分類分級保護制度,确定本地(dì / de)區、本部門以(yǐ)及相關行業、領域的(de)重要(yào / yāo)數據具體目錄,對列入目錄的(de)網絡數據進行重點保護。

  網絡數據處理者應當按照國(guó)家有關規定識别、申報重要(yào / yāo)數據。對确認爲(wéi / wèi)重要(yào / yāo)數據的(de),相關地(dì / de)區、部門應當及時(shí)向網絡數據處理者告知或者公開發布。網絡數據處理者應當履行網絡數據安全保護責任。

  國(guó)家鼓勵網絡數據處理者使用數據标簽标識等技術和(hé / huò)産品,提高重要(yào / yāo)數據安全管理水平。

  第三十條  重要(yào / yāo)數據的(de)處理者應當明确網絡數據安全負責人(rén)和(hé / huò)網絡數據安全管理機構。網絡數據安全管理機構應當履行下列網絡數據安全保護責任:

  (一(yī / yì /yí))制定實施網絡數據安全管理制度、操作規程和(hé / huò)網絡數據安全事件應急預案;

  (二)定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動,及時(shí)處置網絡數據安全風險和(hé / huò)事件;

  (三)受理并處理網絡數據安全投訴、舉報。

  網絡數據安全負責人(rén)應當具備網絡數據安全專業知識和(hé / huò)相關管理工作經曆,由網絡數據處理者管理層成員擔任,有權直接向有關主管部門報告網絡數據安全情況。

  掌握有關主管部門規定的(de)特定種類、規模的(de)重要(yào / yāo)數據的(de)網絡數據處理者,應當對網絡數據安全負責人(rén)和(hé / huò)關鍵崗位的(de)人(rén)員進行安全背景審查,加強相關人(rén)員培訓。審查時(shí),可以(yǐ)申請公安機關、國(guó)家安全機關協助。

  第三十一(yī / yì /yí)條  重要(yào / yāo)數據的(de)處理者提供、委托處理、共同處理重要(yào / yāo)數據前,應當進行風險評估,但是(shì)屬于(yú)履行法定職責或者法定義務的(de)除外。

  風險評估應當重點評估下列内容:

  (一(yī / yì /yí))提供、委托處理、共同處理網絡數據,以(yǐ)及網絡數據接收方處理網絡數據的(de)目的(de)、方式、範圍等是(shì)否合法、正當、必要(yào / yāo);

  (二)提供、委托處理、共同處理的(de)網絡數據遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用的(de)風險,以(yǐ)及對國(guó)家安全、公共利益或者個(gè)人(rén)、組織合法權益帶來(lái)的(de)風險;

  (三)網絡數據接收方的(de)誠信、守法等情況;

  (四)與網絡數據接收方訂立或者拟訂立的(de)相關合同中關于(yú)網絡數據安全的(de)要(yào / yāo)求能否有效約束網絡數據接收方履行網絡數據安全保護義務;

  (五)采取或者拟采取的(de)技術和(hé / huò)管理措施等能否有效防範網絡數據遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用等風險;

  (六)有關主管部門規定的(de)其他(tā)評估内容。

  第三十二條  重要(yào / yāo)數據的(de)處理者因合并、分立、解散、破産等可能影響重要(yào / yāo)數據安全的(de),應當采取措施保障網絡數據安全,并向省級以(yǐ)上(shàng)有關主管部門報告重要(yào / yāo)數據處置方案、接收方的(de)名稱或者姓名和(hé / huò)聯系方式等;主管部門不(bù)明确的(de),應當向省級以(yǐ)上(shàng)數據安全工作協調機制報告。

  第三十三條  重要(yào / yāo)數據的(de)處理者應當每年度對其網絡數據處理活動開展風險評估,并向省級以(yǐ)上(shàng)有關主管部門報送風險評估報告,有關主管部門應當及時(shí)通報同級網信部門、公安機關。

  風險評估報告應當包括下列内容:

  (一(yī / yì /yí))網絡數據處理者基本信息、網絡數據安全管理機構信息、網絡數據安全負責人(rén)姓名和(hé / huò)聯系方式等;

  (二)處理重要(yào / yāo)數據的(de)目的(de)、種類、數量、方式、範圍、存儲期限、存儲地(dì / de)點等,開展網絡數據處理活動的(de)情況,不(bù)包括網絡數據内容本身;

  (三)網絡數據安全管理制度及實施情況,加密、備份、标簽标識、訪問控制、安全認證等技術措施和(hé / huò)其他(tā)必要(yào / yāo)措施及其有效性;

  (四)發現的(de)網絡數據安全風險,發生的(de)網絡數據安全事件及處置情況;

  (五)提供、委托處理、共同處理重要(yào / yāo)數據的(de)風險評估情況;

  (六)網絡數據出(chū)境情況;

  (七)有關主管部門規定的(de)其他(tā)報告内容。

  處理重要(yào / yāo)數據的(de)大(dà)型網絡平台服務提供者報送的(de)風險評估報告,除包括前款規定的(de)内容外,還應當充分說(shuō)明關鍵業務和(hé / huò)供應鏈網絡數據安全等情況。

  重要(yào / yāo)數據的(de)處理者存在(zài)可能危害國(guó)家安全的(de)重要(yào / yāo)數據處理活動的(de),省級以(yǐ)上(shàng)有關主管部門應當責令其采取整改或者停止處理重要(yào / yāo)數據等措施。重要(yào / yāo)數據的(de)處理者應當按照有關要(yào / yāo)求立即采取措施。

第五章  網絡數據跨境安全管理

  第三十四條  國(guó)家網信部門統籌協調有關部門建立國(guó)家數據出(chū)境安全管理專項工作機制,研究制定國(guó)家網絡數據出(chū)境安全管理相關政策,協調處理網絡數據出(chū)境安全重大(dà)事項。

  第三十五條  符合下列條件之(zhī)一(yī / yì /yí)的(de),網絡數據處理者可以(yǐ)向境外提供個(gè)人(rén)信息:

  (一(yī / yì /yí))通過國(guó)家網信部門組織的(de)數據出(chū)境安全評估;

  (二)按照國(guó)家網信部門的(de)規定經專業機構進行個(gè)人(rén)信息保護認證;

  (三)符合國(guó)家網信部門制定的(de)關于(yú)個(gè)人(rén)信息出(chū)境标準合同的(de)規定;

  (四)爲(wéi / wèi)訂立、履行個(gè)人(rén)作爲(wéi / wèi)一(yī / yì /yí)方當事人(rén)的(de)合同,确需向境外提供個(gè)人(rén)信息;

  (五)按照依法制定的(de)勞動規章制度和(hé / huò)依法簽訂的(de)集體合同實施跨境人(rén)力資源管理,确需向境外提供員工個(gè)人(rén)信息;

  (六)爲(wéi / wèi)履行法定職責或者法定義務,确需向境外提供個(gè)人(rén)信息;

  (七)緊急情況下爲(wéi / wèi)保護自然人(rén)的(de)生命健康和(hé / huò)财産安全,确需向境外提供個(gè)人(rén)信息;

  (八)法律、行政法規或者國(guó)家網信部門規定的(de)其他(tā)條件。

  第三十六條  中華人(rén)民共和(hé / huò)國(guó)締結或者參加的(de)國(guó)際條約、協定對向中華人(rén)民共和(hé / huò)國(guó)境外提供個(gè)人(rén)信息的(de)條件等有規定的(de),可以(yǐ)按照其規定執行。

  第三十七條  網絡數據處理者在(zài)中華人(rén)民共和(hé / huò)國(guó)境内運營中收集和(hé / huò)産生的(de)重要(yào / yāo)數據确需向境外提供的(de),應當通過國(guó)家網信部門組織的(de)數據出(chū)境安全評估。網絡數據處理者按照國(guó)家有關規定識别、申報重要(yào / yāo)數據,但未被相關地(dì / de)區、部門告知或者公開發布爲(wéi / wèi)重要(yào / yāo)數據的(de),不(bù)需要(yào / yāo)将其作爲(wéi / wèi)重要(yào / yāo)數據申報數據出(chū)境安全評估。

  第三十八條  通過數據出(chū)境安全評估後,網絡數據處理者向境外提供個(gè)人(rén)信息和(hé / huò)重要(yào / yāo)數據的(de),不(bù)得超出(chū)評估時(shí)明确的(de)數據出(chū)境目的(de)、方式、範圍和(hé / huò)種類、規模等。

  第三十九條  國(guó)家采取措施,防範、處置網絡數據跨境安全風險和(hé / huò)威脅。任何個(gè)人(rén)、組織不(bù)得提供專門用于(yú)破壞、避開技術措施的(de)程序、工具等;明知他(tā)人(rén)從事破壞、避開技術措施等活動的(de),不(bù)得爲(wéi / wèi)其提供技術支持或者幫助。

第六章  網絡平台服務提供者義務

  第四十條  網絡平台服務提供者應當通過平台規則或者合同等明确接入其平台的(de)第三方産品和(hé / huò)服務提供者的(de)網絡數據安全保護義務,督促第三方産品和(hé / huò)服務提供者加強網絡數據安全管理。

  預裝應用程序的(de)智能終端等設備生産者,适用前款規定。

  第三方産品和(hé / huò)服務提供者違反法律、行政法規的(de)規定或者平台規則、合同約定開展網絡數據處理活動,對用戶造成損害的(de),網絡平台服務提供者、第三方産品和(hé / huò)服務提供者、預裝應用程序的(de)智能終端等設備生産者應當依法承擔相應責任。

  國(guó)家鼓勵保險公司開發網絡數據損害賠償責任險種,鼓勵網絡平台服務提供者、預裝應用程序的(de)智能終端等設備生産者投保。

  第四十一(yī / yì /yí)條  提供應用程序分發服務的(de)網絡平台服務提供者,應當建立應用程序核驗規則并開展網絡數據安全相關核驗。發現待分發或者已分發的(de)應用程序不(bù)符合法律、行政法規的(de)規定或者國(guó)家标準的(de)強制性要(yào / yāo)求的(de),應當采取警示、不(bù)予分發、暫停分發或者終止分發等措施。

  第四十二條  網絡平台服務提供者通過自動化決策方式向個(gè)人(rén)進行信息推送的(de),應當設置易于(yú)理解、便于(yú)訪問和(hé / huò)操作的(de)個(gè)性化推薦關閉選項,爲(wéi / wèi)用戶提供拒絕接收推送信息、删除針對其個(gè)人(rén)特征的(de)用戶标簽等功能。

  第四十三條  國(guó)家推進網絡身份認證公共服務建設,按照政府引導、用戶自願原則進行推廣應用。

  鼓勵網絡平台服務提供者支持用戶使用國(guó)家網絡身份認證公共服務登記、核驗真實身份信息。

  第四十四條  大(dà)型網絡平台服務提供者應當每年度發布個(gè)人(rén)信息保護社會責任報告,報告内容包括但不(bù)限于(yú)個(gè)人(rén)信息保護措施和(hé / huò)成效、個(gè)人(rén)行使權利的(de)申請受理情況、主要(yào / yāo)由外部成員組成的(de)個(gè)人(rén)信息保護監督機構履行職責情況等。

  第四十五條  大(dà)型網絡平台服務提供者跨境提供網絡數據,應當遵守國(guó)家數據跨境安全管理要(yào / yāo)求,健全相關技術和(hé / huò)管理措施,防範網絡數據跨境安全風險。

  第四十六條  大(dà)型網絡平台服務提供者不(bù)得利用網絡數據、算法以(yǐ)及平台規則等從事下列活動:

  (一(yī / yì /yí))通過誤導、欺詐、脅迫等方式處理用戶在(zài)平台上(shàng)産生的(de)網絡數據;

  (二)無正當理由限制用戶訪問、使用其在(zài)平台上(shàng)産生的(de)網絡數據;

  (三)對用戶實施不(bù)合理的(de)差别待遇,損害用戶合法權益;

  (四)法律、行政法規禁止的(de)其他(tā)活動。

第七章  監督管理

  第四十七條  國(guó)家網信部門負責統籌協調網絡數據安全和(hé / huò)相關監督管理工作。

  公安機關、國(guó)家安全機關依照有關法律、行政法規和(hé / huò)本條例的(de)規定,在(zài)各自職責範圍内承擔網絡數據安全監督管理職責,依法防範和(hé / huò)打擊危害網絡數據安全的(de)違法犯罪活動。

  國(guó)家數據管理部門在(zài)具體承擔數據管理工作中履行相應的(de)網絡數據安全職責。

  各地(dì / de)區、各部門對本地(dì / de)區、本部門工作中收集和(hé / huò)産生的(de)網絡數據及網絡數據安全負責。

  第四十八條  各有關主管部門承擔本行業、本領域網絡數據安全監督管理職責,應當明确本行業、本領域網絡數據安全保護工作機構,統籌制定并組織實施本行業、本領域網絡數據安全事件應急預案,定期組織開展本行業、本領域網絡數據安全風險評估,對網絡數據處理者履行網絡數據安全保護義務情況進行監督檢查,指導督促網絡數據處理者及時(shí)對存在(zài)的(de)風險隐患進行整改。

  第四十九條  國(guó)家網信部門統籌協調有關主管部門及時(shí)彙總、研判、共享、發布網絡數據安全風險相關信息,加強網絡數據安全信息共享、網絡數據安全風險和(hé / huò)威脅監測預警以(yǐ)及網絡數據安全事件應急處置工作。

  第五十條  有關主管部門可以(yǐ)采取下列措施對網絡數據安全進行監督檢查:

  (一(yī / yì /yí))要(yào / yāo)求網絡數據處理者及其相關人(rén)員就(jiù)監督檢查事項作出(chū)說(shuō)明;

  (二)查閱、複制與網絡數據安全有關的(de)文件、記錄;

  (三)檢查網絡數據安全措施運行情況;

  (四)檢查與網絡數據處理活動有關的(de)設備、物品;

  (五)法律、行政法規規定的(de)其他(tā)必要(yào / yāo)措施。

  網絡數據處理者應當對有關主管部門依法開展的(de)網絡數據安全監督檢查予以(yǐ)配合。

  第五十一(yī / yì /yí)條  有關主管部門開展網絡數據安全監督檢查,應當客觀公正,不(bù)得向被檢查單位收取費用。

  有關主管部門在(zài)網絡數據安全監督檢查中不(bù)得訪問、收集與網絡數據安全無關的(de)業務信息,獲取的(de)信息隻能用于(yú)維護網絡數據安全的(de)需要(yào / yāo),不(bù)得用于(yú)其他(tā)用途。

  有關主管部門發現網絡數據處理者的(de)網絡數據處理活動存在(zài)較大(dà)安全風險的(de),可以(yǐ)按照規定的(de)權限和(hé / huò)程序要(yào / yāo)求網絡數據處理者暫停相關服務、修改平台規則、完善技術措施等,消除網絡數據安全隐患。

  第五十二條  有關主管部門在(zài)開展網絡數據安全監督檢查時(shí),應當加強協同配合、信息溝通,合理确定檢查頻次和(hé / huò)檢查方式,避免不(bù)必要(yào / yāo)的(de)檢查和(hé / huò)交叉重複檢查。

  個(gè)人(rén)信息保護合規審計、重要(yào / yāo)數據風險評估、重要(yào / yāo)數據出(chū)境安全評估等應當加強銜接,避免重複評估、審計。重要(yào / yāo)數據風險評估和(hé / huò)網絡安全等級測評的(de)内容重合的(de),相關結果可以(yǐ)互相采信。

  第五十三條  有關主管部門及其工作人(rén)員對在(zài)履行職責中知悉的(de)個(gè)人(rén)隐私、個(gè)人(rén)信息、商業秘密、保密商務信息等網絡數據應當依法予以(yǐ)保密,不(bù)得洩露或者非法向他(tā)人(rén)提供。

  第五十四條  境外的(de)組織、個(gè)人(rén)從事危害中華人(rén)民共和(hé / huò)國(guó)國(guó)家安全、公共利益,或者侵害中華人(rén)民共和(hé / huò)國(guó)公民的(de)個(gè)人(rén)信息權益的(de)網絡數據處理活動的(de),國(guó)家網信部門會同有關主管部門可以(yǐ)依法采取相應的(de)必要(yào / yāo)措施。

第八章  法律責任

  第五十五條  違反本條例第十二條、第十六條至第二十條、第二十二條、第四十條第一(yī / yì /yí)款和(hé / huò)第二款、第四十一(yī / yì /yí)條、第四十二條規定的(de),由網信、電信、公安等主管部門依據各自職責責令改正,給予警告,沒收違法所得;拒不(bù)改正或者情節嚴重的(de),處100萬元以(yǐ)下罰款,并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處1萬元以(yǐ)上(shàng)10萬元以(yǐ)下罰款。

  第五十六條  違反本條例第十三條規定的(de),由網信、電信、公安、國(guó)家安全等主管部門依據各自職責責令改正,給予警告,可以(yǐ)并處10萬元以(yǐ)上(shàng)100萬元以(yǐ)下罰款,對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處1萬元以(yǐ)上(shàng)10萬元以(yǐ)下罰款;拒不(bù)改正或者情節嚴重的(de),處100萬元以(yǐ)上(shàng)1000萬元以(yǐ)下罰款,并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處10萬元以(yǐ)上(shàng)100萬元以(yǐ)下罰款。

  第五十七條  違反本條例第二十九條第二款、第三十條第二款和(hé / huò)第三款、第三十一(yī / yì /yí)條、第三十二條規定的(de),由網信、電信、公安等主管部門依據各自職責責令改正,給予警告,可以(yǐ)并處5萬元以(yǐ)上(shàng)50萬元以(yǐ)下罰款,對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處1萬元以(yǐ)上(shàng)10萬元以(yǐ)下罰款;拒不(bù)改正或者造成大(dà)量數據洩露等嚴重後果的(de),處50萬元以(yǐ)上(shàng)200萬元以(yǐ)下罰款,并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處5萬元以(yǐ)上(shàng)20萬元以(yǐ)下罰款。

  第五十八條  違反本條例其他(tā)有關規定的(de),由有關主管部門依照《中華人(rén)民共和(hé / huò)國(guó)網絡安全法》、《中華人(rén)民共和(hé / huò)國(guó)數據安全法》、《中華人(rén)民共和(hé / huò)國(guó)個(gè)人(rén)信息保護法》等法律的(de)有關規定追究法律責任。

  第五十九條  網絡數據處理者存在(zài)主動消除或者減輕違法行爲(wéi / wèi)危害後果、違法行爲(wéi / wèi)輕微并及時(shí)改正且沒有造成危害後果或者初次違法且危害後果輕微并及時(shí)改正等情形的(de),依照《中華人(rén)民共和(hé / huò)國(guó)行政處罰法》的(de)規定從輕、減輕或者不(bù)予行政處罰。

  第六十條  國(guó)家機關不(bù)履行本條例規定的(de)網絡數據安全保護義務的(de),由其上(shàng)級機關或者有關主管部門責令改正;對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員依法給予處分。

  第六十一(yī / yì /yí)條  違反本條例規定,給他(tā)人(rén)造成損害的(de),依法承擔民事責任;構成違反治安管理行爲(wéi / wèi)的(de),依法給予治安管理處罰;構成犯罪的(de),依法追究刑事責任。

第九章  附  則

  第六十二條  本條例下列用語的(de)含義:

  (一(yī / yì /yí))網絡數據,是(shì)指通過網絡處理和(hé / huò)産生的(de)各種電子(zǐ)數據。

  (二)網絡數據處理活動,是(shì)指網絡數據的(de)收集、存儲、使用、加工、傳輸、提供、公開、删除等活動。

  (三)網絡數據處理者,是(shì)指在(zài)網絡數據處理活動中自主決定處理目的(de)和(hé / huò)處理方式的(de)個(gè)人(rén)、組織。

  (四)重要(yào / yāo)數據,是(shì)指特定領域、特定群體、特定區域或者達到(dào)一(yī / yì /yí)定精度和(hé / huò)規模,一(yī / yì /yí)旦遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用,可能直接危害國(guó)家安全、經濟運行、社會穩定、公共健康和(hé / huò)安全的(de)數據。

  (五)委托處理,是(shì)指網絡數據處理者委托個(gè)人(rén)、組織按照約定的(de)目的(de)和(hé / huò)方式開展的(de)網絡數據處理活動。

  (六)共同處理,是(shì)指兩個(gè)以(yǐ)上(shàng)的(de)網絡數據處理者共同決定網絡數據的(de)處理目的(de)和(hé / huò)處理方式的(de)網絡數據處理活動。

  (七)單獨同意,是(shì)指個(gè)人(rén)針對其個(gè)人(rén)信息進行特定處理而(ér)專門作出(chū)具體、明确的(de)同意。

  (八)大(dà)型網絡平台,是(shì)指注冊用戶5000萬以(yǐ)上(shàng)或者月活躍用戶1000萬以(yǐ)上(shàng),業務類型複雜,網絡數據處理活動對國(guó)家安全、經濟運行、國(guó)計民生等具有重要(yào / yāo)影響的(de)網絡平台。

  第六十三條  開展核心數據的(de)網絡數據處理活動,按照國(guó)家有關規定執行。

  自然人(rén)因個(gè)人(rén)或者家庭事務處理個(gè)人(rén)信息的(de),不(bù)适用本條例。

  開展涉及國(guó)家秘密、工作秘密的(de)網絡數據處理活動,适用《中華人(rén)民共和(hé / huò)國(guó)保守國(guó)家秘密法》等法律、行政法規的(de)規定。

  第六十四條  本條例自2025年1月1日起施行。

  (新華社北京9月30日電)

(責任編輯:王笑一(yī / yì /yí))