网络数据安全条例全面施行
据新华社消息,为加强网络数据安全管理,规范网络数据处理活动,保障网络安全,我国近日发布了《网络数据安全管理条例》。以下是对该条例的主要内容进行修订和润色的版本:
第一章 总则
第一条 为规范网络数据处理活动,保障网络安全,促进网络数据合理利用,保护个人和组织合法权益,维护国家安全和公共利益,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规,制定本条例。
第二条 在我国境内开展网络数据处理活动及其安全监管,适用本条例。境外处理我国境内自然人个人信息的活动,符合相关法律法规规定的,亦适用本条例。境外开展网络数据处理活动,若损害我国国家安全、公共利益或公民、组织合法权益,将依法追究法律责任。
第三条 网络数据安全管理工作要坚持党的领导,贯彻总体国家安全观,统筹网络数据开发利用与安全保障。
第四条 国家鼓励网络数据在各行业、各领域的创新应用,加强网络安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络安全宣传教育和人才培养,促进网络数据开发利用和产业发展。
第五条 根据网络数据在经济社会发展中的重要程度及其对国家安全、公共利益或个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
第六条 积极参与国际网络数据安全规则和标准制定,促进国际交流与合作。
第七条 支持相关行业组织制定网络安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络安全保护水平,促进行业健康发展。
第二章 一般规定
第八条 任何个人、组织不得利用网络数据从事非法活动,不得窃取或非法获取网络数据、非法出售或非法向他人提供网络数据等非法数据处理活动。不得提供专门用于从事前款非法活动的程序、工具,或为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或提供广告推广、支付结算等帮助。
第九条 网络数据处理者应依照法律法规、国家标准的强制性要求,加强网络数据安全防护,建立健全网络安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免受篡改、破坏、泄露或非法获取、非法利用,处置网络安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
第十条 网络数据处理者提供的网络产品、服务应符合相关国家标准的强制性要求。发现存在安全缺陷、漏洞等风险时,应立即采取补救措施,及时告知用户并向有关主管部门报告。若涉及危害国家安全、公共利益的,网络数据处理者应在24小时内报告。
第十一条 网络数据处理者应建立健全网络安全事件应急预案,发生网络安全事件时,应立即启动预案,采取措施防止危害扩大,消除安全隐患,并及时报告有关主管部门。网络安全事件对个人、组织合法权益造成损害的,网络数据处理者应及时通知利害关系人;法律法规规定可以不通知的,从其规定。发现涉嫌违法犯罪线索的,应按规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。
第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应至少保存3年。网络数据接收方应履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应约定各自的权利和义务。
第十三条 网络数据处理者开展网络数据处理活动,若影响或可能影响国家安全的,应按照国家有关规定进行国家安全审查。
第十四条 网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应继续履行网络数据安全保护义务。
第十五条 国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应按照国家有关规定经过严格的审查。
第十六条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或注销账号、撤回同意的,网络数据处理者应及时受理,并提供便捷的方法和途径,不得设置不合理条件限制个人的合理请求。
第十七条 因使用自动化采集技术等无法避免采集到非必要个人信息或未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应删除个人信息或进行匿名化处理。法律法规规定的保存期限未届满,或删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应停止除存储和采取必要的安全保护措施之外的处理。
第十八条 对符合下列条件的个人信息转移请求,网络数据处理者应为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:(一)能够验证请求人的真实身份;(二)请求转移的是本人同意提供的或基于合同收集的个人信息;(三)转移个人信息具备技术可行性;(四)转移个人信息不损害他人合法权益。请求转移个人信息次数等明显超出合理范围的,网络数据处理者可根据转移个人信息的成本收取必要费用。
第十九条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应及时通报同级有关主管部门。
第二十条 网络数据处理者应定期自行或委托专业机构对其处理个人信息遵守法律法规的情况进行合规审计。
第二十一条 中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应通过国家网信部门组织的数据出境安全评估。网络数据处理者按国家有关规定识别、申报重要数据,但未被相关地区、部门告知或公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
第二十二条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
第二十三条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或帮助。
第六章 网络平台服务提供者义务
第二十四条 网络平台服务提供者应通过平台规则或合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。预装应用程序的智能终端等设备生产者,适用前款规定。第三方产品和服务提供者违反法律法规、平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应依法承担相应责任。国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。
第二十五条 提供应用程序分发服务的网络平台服务提供者,应建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或已分发的应用程序不符合法律法规、国家标准的规定,应采取警示、不予分发、暂停分发或终止分发等措施。
第二十六条 网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
第二十七条 国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网