第一章 總 則
第一條
為了維護(hù)國(guó)家安全���、社會(huì)公共利益�,保護(hù)公民�����、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益���,保障個(gè)人信息和重要數(shù)據(jù)安全�,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)�,制定本辦法。
第二條
在中華人民共和國(guó)境內(nèi)利用網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)收集�����、存儲(chǔ)����、傳輸�����、處理、使用等活動(dòng)(以下簡(jiǎn)稱(chēng)數(shù)據(jù)活動(dòng))����,以及數(shù)據(jù)安全的保護(hù)和監(jiān)督管理,適用本辦法�。純粹家庭和個(gè)人事務(wù)除外。
法律�、行政法規(guī)另有規(guī)定的,從其規(guī)定�。
第三條 國(guó)家堅(jiān)持保障數(shù)據(jù)安全與發(fā)展并重,鼓勵(lì)研發(fā)數(shù)據(jù)安全保護(hù)技術(shù)����,積極推進(jìn)數(shù)據(jù)資源開(kāi)發(fā)利用,保障數(shù)據(jù)依法有序自由流動(dòng)��。
第四條
國(guó)家采取措施�����,監(jiān)測(cè)���、防御�����、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅��,保護(hù)數(shù)據(jù)免受泄露����、竊取、篡改�����、毀損�����、非法使用等����,依法懲治危害數(shù)據(jù)安全的違法犯罪活動(dòng)。
第五條 在中央網(wǎng)絡(luò)安全和信息化委員會(huì)領(lǐng)導(dǎo)下���,國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)�、指導(dǎo)監(jiān)督個(gè)人信息和重要數(shù)據(jù)安全保護(hù)工作。
地(市)及以上網(wǎng)信部門(mén)依據(jù)職責(zé)指導(dǎo)監(jiān)督本行政區(qū)內(nèi)個(gè)人信息和重要數(shù)據(jù)安全保護(hù)工作���。
第六條
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)法律����、行政法規(guī)的規(guī)定�,參照國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,履行數(shù)據(jù)安全保護(hù)義務(wù)���,建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度,制定數(shù)據(jù)安全計(jì)劃�����,實(shí)施數(shù)據(jù)安全技術(shù)防護(hù)�,開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案�����,及時(shí)處置安全事件�,組織數(shù)據(jù)安全教育��、培訓(xùn)�。
第二章 數(shù)據(jù)收集
第七條
網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)網(wǎng)站�、應(yīng)用程序等產(chǎn)品收集使用個(gè)人信息,應(yīng)當(dāng)分別制定并公開(kāi)收集使用規(guī)則���。收集使用規(guī)則可以包含在網(wǎng)站�����、應(yīng)用程序等產(chǎn)品的隱私政策中�,也可以其他形式提供給用戶(hù)�����。
第八條 收集使用規(guī)則應(yīng)當(dāng)明確具體�����、簡(jiǎn)單通俗�����、易于訪(fǎng)問(wèn),突出以下內(nèi)容:
(一)網(wǎng)絡(luò)運(yùn)營(yíng)者基本信息;
(二)網(wǎng)絡(luò)運(yùn)營(yíng)者主要負(fù)責(zé)人�、數(shù)據(jù)安全責(zé)任人的姓名及聯(lián)系方式;
(三)收集使用個(gè)人信息的目的、種類(lèi)��、數(shù)量�����、頻度��、方式�、范圍等;
(四)個(gè)人信息保存地點(diǎn)�����、期限及到期后的處理方式;
(五)向他人提供個(gè)人信息的規(guī)則��,如果向他人提供的;
(六)個(gè)人信息安全保護(hù)策略等相關(guān)信息;
(七)個(gè)人信息主體撤銷(xiāo)同意���,以及查詢(xún)����、更正��、刪除個(gè)人信息的途徑和方法;
(八)投訴、舉報(bào)渠道和方法等;
(九)法律�、行政法規(guī)規(guī)定的其他內(nèi)容。
第九條
如果收集使用規(guī)則包含在隱私政策中���,應(yīng)相對(duì)集中�����,明顯提示��,以方便閱讀����。另僅當(dāng)用戶(hù)知悉收集使用規(guī)則并明確同意后�,網(wǎng)絡(luò)運(yùn)營(yíng)者方可收集個(gè)人信息。
第十條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)嚴(yán)格遵守收集使用規(guī)則�,網(wǎng)站、應(yīng)用程序收集或使用個(gè)人信息的功能設(shè)計(jì)應(yīng)同隱私政策保持一致����,同步調(diào)整。
第十一條
網(wǎng)絡(luò)運(yùn)營(yíng)者不得以改善服務(wù)質(zhì)量���、提升用戶(hù)體驗(yàn)����、定向推送信息、研發(fā)新產(chǎn)品等為由����,以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫����、誤導(dǎo)個(gè)人信息主體同意其收集個(gè)人信息。
個(gè)人信息主體同意收集保證網(wǎng)絡(luò)產(chǎn)品核心業(yè)務(wù)功能運(yùn)行的個(gè)人信息后��,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)向個(gè)人信息主體提供核心業(yè)務(wù)功能服務(wù)����,不得因個(gè)人信息主體拒絕或者撤銷(xiāo)同意收集上述信息以外的其他信息���,而拒絕提供核心業(yè)務(wù)功能服務(wù)�����。
第十二條 收集14周歲以下未成年人個(gè)人信息的�,應(yīng)當(dāng)征得其監(jiān)護(hù)人同意�����。
第十三條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得依據(jù)個(gè)人信息主體是否授權(quán)收集個(gè)人信息及授權(quán)范圍,對(duì)個(gè)人信息主體采取歧視行為��,包括服務(wù)質(zhì)量��、價(jià)格差異等�����。
第十四條 網(wǎng)絡(luò)運(yùn)營(yíng)者從其他途徑獲得個(gè)人信息����,與直接收集個(gè)人信息負(fù)有同等的保護(hù)責(zé)任和義務(wù)。
第十五條
網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的���,應(yīng)向所在地網(wǎng)信部門(mén)備案��。備案內(nèi)容包括收集使用規(guī)則��,收集使用的目的��、規(guī)模���、方式�����、范圍�����、類(lèi)型�、期限等��,不包括數(shù)據(jù)內(nèi)容本身����。
第十六條
網(wǎng)絡(luò)運(yùn)營(yíng)者采取自動(dòng)化手段訪(fǎng)問(wèn)收集網(wǎng)站數(shù)據(jù),不得妨礙網(wǎng)站正常運(yùn)行;此類(lèi)行為嚴(yán)重影響網(wǎng)站運(yùn)行�����,如自動(dòng)化訪(fǎng)問(wèn)收集流量超過(guò)網(wǎng)站日均流量三分之一����,網(wǎng)站要求停止自動(dòng)化訪(fǎng)問(wèn)收集時(shí)��,應(yīng)當(dāng)停止��。
第十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的,應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人����。
數(shù)據(jù)安全責(zé)任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專(zhuān)業(yè)知識(shí)的人員擔(dān)任,參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策��,直接向網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人報(bào)告工作��。
第十八條 數(shù)據(jù)安全責(zé)任人履行下列職責(zé):
(一)組織制定數(shù)據(jù)保護(hù)計(jì)劃并督促落實(shí);
(二)組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估���,督促整改安全隱患;
(三)按要求向有關(guān)部門(mén)和網(wǎng)信部門(mén)報(bào)告數(shù)據(jù)安全保護(hù)和事件處置情況;
(四)受理并處理用戶(hù)投訴和舉報(bào)���。
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)為數(shù)據(jù)安全責(zé)任人提供必要的資源,保障其獨(dú)立履行職責(zé)�。
第三章 數(shù)據(jù)處理使用
第十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)參照國(guó)家有關(guān)標(biāo)準(zhǔn),采用數(shù)據(jù)分類(lèi)���、備份�����、加密等措施加強(qiáng)對(duì)個(gè)人信息和重要數(shù)據(jù)保護(hù)��。
第二十條
網(wǎng)絡(luò)運(yùn)營(yíng)者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)則中的保存期限��,用戶(hù)注銷(xiāo)賬號(hào)后應(yīng)當(dāng)及時(shí)刪除其個(gè)人信息�����,經(jīng)過(guò)處理無(wú)法關(guān)聯(lián)到特定個(gè)人且不能復(fù)原(以下稱(chēng)匿名化處理)的除外����。
第二十一條 網(wǎng)絡(luò)運(yùn)營(yíng)者收到有關(guān)個(gè)人信息查詢(xún)、更正��、刪除以及用戶(hù)注銷(xiāo)賬號(hào)請(qǐng)求時(shí)���,應(yīng)當(dāng)在合理時(shí)間和代價(jià)范圍內(nèi)予以查詢(xún)��、更正�、刪除或注銷(xiāo)賬號(hào)���。
第二十二條 網(wǎng)絡(luò)運(yùn)營(yíng)者不得違反收集使用規(guī)則使用個(gè)人信息��。因業(yè)務(wù)需要��,確需擴(kuò)大個(gè)人信息使用范圍的,應(yīng)當(dāng)征得個(gè)人信息主體同意��。
第二十三條
網(wǎng)絡(luò)運(yùn)營(yíng)者利用用戶(hù)數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等(以下簡(jiǎn)稱(chēng)“定向推送”)���,應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣��,為用戶(hù)提供停止接收定向推送信息的功能;用戶(hù)選擇停止接收定向推送信息時(shí)�����,應(yīng)當(dāng)停止推送�,并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶(hù)數(shù)據(jù)和個(gè)人信息���。
網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展定向推送活動(dòng)應(yīng)遵守法律�、行政法規(guī)����,尊重社會(huì)公德、商業(yè)道德�、公序良俗,誠(chéng)實(shí)守信��,嚴(yán)禁歧視����、欺詐等行為����。
第二十四條
網(wǎng)絡(luò)運(yùn)營(yíng)者利用大數(shù)據(jù)���、人工智能等技術(shù)自動(dòng)合成新聞��、博文����、帖子�����、評(píng)論等信息����,應(yīng)以明顯方式標(biāo)明“合成”字樣;不得以謀取利益或損害他人利益為目的自動(dòng)合成信息。
第二十五條
網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采取措施督促提醒用戶(hù)對(duì)自己的網(wǎng)絡(luò)行為負(fù)責(zé)���、加強(qiáng)自律��,對(duì)于用戶(hù)通過(guò)社交網(wǎng)絡(luò)轉(zhuǎn)發(fā)他人制作的信息����,應(yīng)自動(dòng)標(biāo)注信息制作者在該社交網(wǎng)絡(luò)上的賬戶(hù)或不可更改的用戶(hù)標(biāo)識(shí)。
第二十六條 網(wǎng)絡(luò)運(yùn)營(yíng)者接到相關(guān)假冒�����、仿冒�、盜用他人名義發(fā)布信息的舉報(bào)投訴時(shí)���,應(yīng)當(dāng)及時(shí)響應(yīng)�����,一旦核實(shí)立即停止傳播并作刪除處理�。
第二十七條 網(wǎng)絡(luò)運(yùn)營(yíng)者向他人提供個(gè)人信息前��,應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)����,并征得個(gè)人信息主體同意。下列情況除外:
(一)從合法公開(kāi)渠道收集且不明顯違背個(gè)人信息主體意愿;
(二)個(gè)人信息主體主動(dòng)公開(kāi);
(三)經(jīng)過(guò)匿名化處理;
(四)執(zhí)法機(jī)關(guān)依法履行職責(zé)所必需;
(五)維護(hù)國(guó)家安全���、社會(huì)公共利益��、個(gè)人信息主體生命安全所必需�。
第二十八條
網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布、共享����、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)�,并報(bào)經(jīng)行業(yè)主管監(jiān)管部門(mén)同意;行業(yè)主管監(jiān)管部門(mén)不明確的,應(yīng)經(jīng)省級(jí)網(wǎng)信部門(mén)批準(zhǔn)�����。
向境外提供個(gè)人信息按有關(guān)規(guī)定執(zhí)行���。
第二十九條 境內(nèi)用戶(hù)訪(fǎng)問(wèn)境內(nèi)互聯(lián)網(wǎng)的�����,其流量不得被路由到境外�。
第三十條
網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)接入其平臺(tái)的第三方應(yīng)用���,應(yīng)明確數(shù)據(jù)安全要求和責(zé)任����,督促監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者加強(qiáng)數(shù)據(jù)安全管理。第三方應(yīng)用發(fā)生數(shù)據(jù)安全事件對(duì)用戶(hù)造成損失的�����,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)部分或全部責(zé)任�����,除非網(wǎng)絡(luò)運(yùn)營(yíng)者能夠證明無(wú)過(guò)錯(cuò)�����。
第三十一條
網(wǎng)絡(luò)運(yùn)營(yíng)者兼并�����、重組�、破產(chǎn)的�����,數(shù)據(jù)承接方應(yīng)承接數(shù)據(jù)安全責(zé)任和義務(wù)����。沒(méi)有數(shù)據(jù)承接方的,應(yīng)當(dāng)對(duì)數(shù)據(jù)作刪除處理。法律�����、行政法規(guī)另有規(guī)定的��,從其規(guī)定����。
第三十二條
網(wǎng)絡(luò)運(yùn)營(yíng)者分析利用所掌握的數(shù)據(jù)資源,發(fā)布市場(chǎng)預(yù)測(cè)���、統(tǒng)計(jì)信息�����、個(gè)人和企業(yè)信用等信息����,不得影響國(guó)家安全���、經(jīng)濟(jì)運(yùn)行��、社會(huì)穩(wěn)定����,不得損害他人合法權(quán)益。
第四章 數(shù)據(jù)安全監(jiān)督管理
第三十三條 網(wǎng)信部門(mén)在履行職責(zé)中��,發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)安全管理責(zé)任落實(shí)不到位��,應(yīng)按照規(guī)定的權(quán)限和程序約談網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人���,督促整改�����。
第三十四條 國(guó)家鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者自愿通過(guò)數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證,鼓勵(lì)搜索引擎��、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過(guò)認(rèn)證的應(yīng)用程序����。
國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院市場(chǎng)監(jiān)督管理部門(mén),指導(dǎo)國(guó)家網(wǎng)絡(luò)安全審查與認(rèn)證機(jī)構(gòu)�����,組織數(shù)據(jù)安全管理認(rèn)證和應(yīng)用程序安全認(rèn)證工作����。
第三十五條
發(fā)生個(gè)人信息泄露���、毀損、丟失等數(shù)據(jù)安全事件�,或者發(fā)生數(shù)據(jù)安全事件風(fēng)險(xiǎn)明顯加大時(shí),網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救措施��,及時(shí)以電話(huà)�、短信、郵件或信函等方式告知個(gè)人信息主體��,并按要求向行業(yè)主管監(jiān)管部門(mén)和網(wǎng)信部門(mén)報(bào)告���。
第三十六條
國(guó)務(wù)院有關(guān)主管部門(mén)為履行維護(hù)國(guó)家安全�����、社會(huì)管理���、經(jīng)濟(jì)調(diào)控等職責(zé)需要,依照法律����、行政法規(guī)的規(guī)定��,要求網(wǎng)絡(luò)運(yùn)營(yíng)者提供掌握的相關(guān)數(shù)據(jù)的�,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)予以提供�。
國(guó)務(wù)院有關(guān)主管部門(mén)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提供的數(shù)據(jù)負(fù)有安全保護(hù)責(zé)任,不得用于與履行職責(zé)無(wú)關(guān)的用途�。
第三十七條
網(wǎng)絡(luò)運(yùn)營(yíng)者違反本辦法規(guī)定的,由有關(guān)部門(mén)依照相關(guān)法律�、行政法規(guī)的規(guī)定,根據(jù)情節(jié)給予公開(kāi)曝光�����、沒(méi)收違法所得���、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓��、關(guān)閉網(wǎng)站��、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或吊銷(xiāo)營(yíng)業(yè)執(zhí)照等處罰;構(gòu)成犯罪的��,依法追究刑事責(zé)任�。
第五章 附 則
第三十八條 本辦法下列用語(yǔ)的含義:
(一)網(wǎng)絡(luò)運(yùn)營(yíng)者,是指網(wǎng)絡(luò)的所有者�����、管理者和網(wǎng)絡(luò)服務(wù)提供者。
(二)網(wǎng)絡(luò)數(shù)據(jù)�����,是指通過(guò)網(wǎng)絡(luò)收集��、存儲(chǔ)�、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)����。
(三)個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息����,包括但不限于自然人的姓名、出生日期���、身份證件號(hào)碼����、個(gè)人生物識(shí)別信息�����、住址、電話(huà)號(hào)碼等�����。
(四)個(gè)人信息主體��,是指?jìng)€(gè)人信息所標(biāo)識(shí)或關(guān)聯(lián)到的自然人��。
(五)重要數(shù)據(jù)����,是指一旦泄露可能直接影響國(guó)家安全、經(jīng)濟(jì)安全�、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)����,如未公開(kāi)的政府信息��,大面積人口���、基因健康���、地理��、礦產(chǎn)資源等���。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營(yíng)和內(nèi)部管理信息、個(gè)人信息等�。
第三十九條 涉及國(guó)家秘密信息、密碼使用的數(shù)據(jù)活動(dòng)���,按照國(guó)家有關(guān)規(guī)定執(zhí)行����。
第四十條 本辦法自 年 月 日起施行����。
行業(yè)動(dòng)態(tài)
辦事指南
政策法規(guī)
常見(jiàn)問(wèn)題
