国家 互联网 信息 办公室 关于 《数据 安全 管理 办法 (征求意见稿)》 公开 征求 意见 的.
为了 维护 国家 安全 、 社会 公共 利益, 保护 公民 、 法人 和 其他 组织 在 网络 空间 的 合法 权益, , 保障 个人 信息 和 重要 数据 安全, 根据 《中华人民共和国 网络 安全 法》 等 法律 法规, 国家 互联网 信息 会同部门 研究 起草 了 《数据 安全 管理 办法 (征求意见稿)》, 现 向 社会 公开 征求 意见。。 可 通过 以下 途径 和 方式 提出 反馈 意见 公开 征求 意见。。 可 通过 通过 以下 和 方式 提出 反馈 意见 :
1. 登陆 中国 政府 法制 信息 网 (网址 : http: //www.chinalaw.gov.cn) , 进入 首页 的 “立法 意见 征集” 提出 意见。
2. 通过 电子邮件 方式 发送 至 : security@cac.gov.cn。
3. 通过 信函 方式 将 意见 寄至 : 北京市 西 城区 车公庄 大街 11 号 国家 互联网 信息 办公室 网络 安全 协调 局, 邮编 100044 , 并 在 信封 上 注明 “数据 安全 管理 办法 征求 意见”。
意见 反馈 截止 时间 为 2019 年 6 月 28 日。
附件 : 《数据 安全 管理 办法 (征求意见稿)》
National Internet Information Office
2019 ano 5 mês 28 dia
数据 安全 管理 办法
(Rascunho para comentários)
Capítulo Um Disposições Gerais
第一 条 为了 维护 国家 安全 、 社会 公共 利益, 保护 公民 、 法人 和 其他 组织 在 网络 空间 的 合法 权益, 保障 个人 信息 和 重要 数据 安全 , 根据 《中华人民共和国 网络 安全 法》 等 法律 法规, 制定 本. 。
第二 条 在 中华人民共和国 境内 利用 网络 开展 数据 收集 、 存储 、 传输 、 处理 、 使用 等 活动 (以下 简称 数据 活动), 以及 数据 安全 的 保护 和 监督 管理, 适用 本 办法。。 家庭 和 个人 事务 事务.
法律 、 行政 法规 另有 规定 的 , 从其 规定。
第三 条 国家 坚持 保障 数据 安全 与 发展 并重, 鼓励 研发 数据 安全 保护 技术, 积极 推进 数据 资源 开发 利用, 保障 数据 依法 有序 自由 流动.
第四 条 国家 采取 措施, 监测 、 防御 、 处置 来源于 中华人民共和国 境内 外 的 数据 安全 风险 和 威胁, 保护 数据 免受 泄露 、 窃取 、 篡改 、 毁损 、 非法 使用 等 , 依法 惩治 危害 数据 安全 的 违法.活动。
第五 条 在 中央 网络 安全 和 信息 化 委员会 领导 下, 国家 网 信 部门 统筹 协调 、 指导 监督 个人 信息 和 重要 数据 安全 保护 工作 工作
地 (市) 及 以 上网 信 部门 依据 职责 指导 监督 本 行政 区内 个人 信息 信息 和 重要 数据 安全 保护 工作。
第六 条 网络 运营 者 应当 按照 有关 法律 、 行政 法规 的 规定, 参照 国家 网络 安全 标准, 履行 数据 安全 保护 义务, 建立 数据 安全 管理 责任 和 评价 考核 考核, 制定 数据 安全 计划, 实施 实施 数据 防护.数据 安全 风险 评估, 制定 网络 安全 事件 应急 预案, 及时 处置 安全 事件, 组织 数据 安全 教育 、 培训。
第二 章 数据 收集
第七 条 网络 运营 者 通过 网站 、 应用 程序 等 产品 收集 使用 个人 信息, 应当 分别 制定 并 公开 收集 使用 规则。 收集 使用 规则 可以 包含 在 网站 、 应用 程序 等 产品 的 隐私 政策 中, 也 可以 其他.用户。
第八 条 收集 使用 规则 应当 明确 具体 、 简单 通俗 、 易于 访问, 突出 以下 内容 :
(一) 网络 运营 者 基本 信息 ;
(二) 网络 运营 者 主要 负责 人 、 数据 安全 责任 人 的 姓名 及 联系 方式.
(三) 收集 使用 个人 信息 的 目的 、 种类 、 数量 、 频 度 度 、 方式 、 范围 等.
(四) 个人 信息 保存 地点 、 期限 及 到期 后 的 处理 方式.
(五) 向 他人 提供 个人 信息 的 规则, 如果 向 他人 提供 的 ;
(六) 个人 信息 安全 保护 策略 等 相关 信息 ;
(七) 个人 信息 主体 撤销 同意, 以及 查询 、 更正 、 删除 个人 个人 信息 的 途径 和 方法.
(八) 投诉 、 举报 渠道 和 方法 等 ;
(九) 法律 、 行政 法规 规定 的 其他 内容.
第九条 如果 收集 使用 规则 包含 在 隐私 政策 中, 应 相对 集中, 明显 提示, 以 方便 阅读。 另 仅 当 用户 知悉 收集 使用 规则 并 明确 同意 后 , 网络 运营 者 方可 收集 个人 信息.
第十 条 网络 运营 者 应当 严格 遵守 收集 使用 规则, 网站 、 应用 程序 收集 或 使用 个人 信息 的 功能 设计 应 同 隐私 政策 保持 一致, 同步 调整.
第十一条 网络 运营 者 不得 以 改善 服务 质量 、 提升 用户 体验 、 定向 推送 信息 、 研发 新 产品 等 为由, 以 默认 授权 、 功能 捆绑 等 形式 强迫 、 误导 个人 信息 主体 同意 其 收集 个人 信息。
个人 信息 主体 同意 收集 保证 网络 产品 核心 业务 功能 运行 的 个人 信息 后, 网络 运营 者 应当 向 个人 信息 主体 提供 核心 业务 功能 服务, 不得 因 个人 信息 主体 拒绝 或者 撤销 同意 收集 上述 信息 以外 的 其他.提供 核心 业务 功能 服务。
第十二 条 收集 14 周岁 以下 未成年 人 个人 信息 的 , 应当 征得 其 监护人 同意.
第十三 条 网络 运营 者 不得 依据 个人 信息 主体 是否 授权 收集 个人 信息 及 授权 范围, 对 个人 信息 主体 采取 歧视 行为, 包括 服务 质量 、 价格 差异 等.
第十四 条 网络 运营 者 从 其他 途径 获得 个人 信息, 与 直接 收集 个人 信息 负有 同等 的 保护 责任 和 义务.
第十五 条 网络 运营 者 以 经营 为 目的 收集 重要 数据 或 个人 敏感 信息 的 , 应向 所在地 网 信 部门 备案。 备案 内容 包括 收集 使用 规则 , 收集 使用 的 目的 、 规模 、 方式 、 范围 、 类型. , 不 包括 数据 内容 本身。
第十六 条 网络 运营 者 采取 自动化 手段 访问 收集 网站 数据, 不得 妨碍 网站 正常 运行 ; 此类 行为 严重 影响 网站 运行, 如 自动化 访问 收集 流量 超过 网站 日均 流量 三分之一, 网站 要求 停止 自动化 访问.时 , 应当 停止。
第十七 条 网络 运营 者 以 经营 为 目的 收集 重要 数据 或 个人 敏感 信息 的 , 应当 明确 数据 安全 责任 人.
数据 安全 责任 人 由 具有 相关 管理 工作 经历 和 数据 安全 专业 知识 的 人员 担任, 参与 有关 数据 活动 的 重要 决策, 直接 向 网络 运营 者 的 主要 负责 人 报告 工作.
第十八 条 数据 安全 责任 人 履行 下列 职责:
(一) 组织 制定 数据 保护 计划 并 督促 落实 ;
(二) 组织 开展 数据 安全 风险 评估, 督促 整改 安全 隐患.
(三) 按 要求 向 有关部门 和 网 信 部门 报告 数据 安全 保护 和 和 事件 处置 情况 ;
(四) 受理 并 处理 用户 投诉 和 举报。
网络 运营 者 应 为 数据 安全 责任 人 提供 必要 的 资源, 保障 其 独立 履行 职责.
第三 章 数据 处理 使用
第十九 条 网络 运营 者 应当 参照 国家 有关 标准, 采用 数据 分类 、 备份 、 加密 等 措施 加强 对 个人 信息 和 重要 数据 保护.
第二十条 网络 运营 者 保存 个人 信息 不应 超出 收集 使用 规则 中 的 保存 期限, 用户 注销 账号 后 应当 及时 删除 其 个人 信息, 经过 处理 无法 关联 到 特定 个人 且 不能 复原 (以下 称 匿名 化 处理 的 的除外。
第二十 一条 网络 运营 者 收到 有关 个人 信息 查询 、 更正 、 删除 以及 用户 注销 账号 请求 时, 应当 在 合理 时间 和 代价 范围 内 予以 查询 、 更正 、 删除 或 注销 账号.
第二十 二条 网络 运营 者 不得 违反 收集 使用 规则 使用 个人 信息。 因 业务 需要, 确需 扩大 个人 信息 使用 范围 的 , 应当 征得 个人 信息 主体 同意.
第二十 三条 网络 运营 者 利用 用户 数据 和 算法 推送 新闻 信息 、 商业 广告 等 (以下 简称 “定向 推送”), 应当 以 明显 方式 标明 “定 推” 字样 , 为 用户 提供 停止 接收 定向 推送 的 的 功能; 用户 选择 停止 接收 定向 推送 信息 时, 应当 停止 推送, 并 删除 已经 收集 的 设备 识别 码 等 用户 数据 和 个人 信息.
网络 运营 者 开展 定向 推送 活动 应 遵守 法律 、 行政 法规, 尊重 社会公德 、 商业 道德 、 公 序 良 俗, 诚实 守信, 严禁 歧视 、 欺诈 等 行为.
第二十 四条 网络 运营 者 利用 大 数据 、 人工智能 等 技术 自动 合成 新闻 、 博 文 、 帖子 、 评论 等 信息, 应 以 明显 方式 标明 “合成” 字样 ; 不得 以 谋取 利益 或 损害 他人 利益 为 目 的 自动.信息。
第二十 五条 网络 运营 者 应 采取 措施 督促 提醒 用户 对 自己 的 网络 行为 负责 、 加强 自律, 对于 用户 通过 社交 网络 转发 他人 制作 的 信息 , 应 自动 标注 信息 制作 者 在 该 社交 网络 上 的 账户 不可更改 的 用户 标识。
第二十 六条 网络 运营 者 接到 相关 假冒 、 仿冒 、 盗用 他人 名义 发布 信息 的 举报 投诉 时, 应当 及时 响应, 一旦 核实 立即 停止 传播 并 作 删除 处理.
第二 十七 条 网络 运营 者 向 他人 提供 个人 信息 前 , 应当 评估 可能 带来 的 安全 风险, 并 征得 个人 信息 主体 同意。 下列 情况 除外 :
(一) 从 合法 公开 渠道 收集 且不 明显 违背 个人 个人 主体 意愿 ;
(二) 个人 信息 主体 主动 公开 ;
(三) 经过 匿名 化 处理 ;
(四) 执法 机关 依法 履行 职责 所 必需 ;
(五) 维护 国家 安全 、 社会 公共 利益 、 个人 信息 主体 生命 安全 所 必需。
第二 十八 条 网络 运营 者 发布 、 共享 、 交易 或 向 境外 提供 重要 数据 前, 应当 评估 可能 带来 的 安全 风险, 并报 经 行业 主管 监管 部门 同意 ; 行业 主管 监管 部门 不 明确 的 , 应 经.级 网 信 部门 批准。
向 境外 提供 个人 信息 按 有关 规定 执行。
第二 十九 条 境内 用户 访问 境内 互联网 的, 其 流量 不得 被 路由 到 境外.
第三 十条 网络 运营 者 对 接入 其 平台 的 第三方 应用, 应 明确 数据 安全 要求 和 责任, 督促 监督 第三方 应用 运营 者 加强 数据 安全 管理。 第三方 应用 发生 数据 安全 事件 对 用户 用户 损失 的 ,网络 运营 者 应当 承担 部分 或 全部 责任, 除非 网络 运营 者 能够 证明 无 过错.
第三十一条 网络 运营 者 兼并 、 重组 、 破产 的 , 数据 承接 方 应 承接 数据 安全 责任 和 义务。 没有 数据 承接 方 的 , 应当 对 数据 作 删除 处理。 法律 、 行政 法规 另有 规定 的规定。
第三 十二 条 网络 运营 者 分析 利用 所 掌握 的 数据 资源 , 发布 市场 预测 、 统计 信息 、 个人 和 企业 信用 等 信息 , 不得 影响 国家 安全 、 经济 运行 、 社会 , , 不得 损害 他人 合法 权益.
第四 章 数据 安全 监督 管理
第三 十三 条 网 信 部门 在 履行 职责 中, 发现 网络 运营 者 数据 安全 管理 责任 落实 不 到位, 应 按照 规定 的 权限 和 程序 约谈 网络 运营 者 的 主要 负责 人 , 落实 不 到位
第三 十四 条 国家 鼓励 网络 运营 者 自愿 通过 数据 安全 管理 认证 和 应用 程序 安全 认证, 鼓励 搜索 引擎 、 应用 应用 商店 等 明确 标识 并 优先 推荐 通过 认证 的 应用 程序.
国家 网 信 部门 会同 国务院 市场 监督 管理 部门, 指导 国家 网络 安全 审查 与 认证 机构, 组织 数据 安全 管理 认证 和 应用 程序 安全 认证 工作.
第三 十五 条 发生 个人 信息 泄露 、 毁损 、 丢失 等 数据 安全 事件, 或者 发生 数据 安全 事件 风险 明显 加大 时, 网络 运营 者 应当 立即 采取 补救 措施, 及时 以 电话 、 短信 、 邮件 或 信函 等 告知.个人 信息 主体, 并按 要求 向 行业 主管 监管 部门 和 网 信 部门 报告。
第三 十六 条 国务院 有关 主管 部门 为 履行 维护 国家 安全 、 社会 管理 、 经济 调控 等 职责 需要, 依照 法律 、 行政 法规 的 规定, 要求 网络 运营 者 提供 掌握 的 相关 数据 的 ,.
国务院 有关 主管 部门 对 网络 运营 者 提供 的 数据 负有 安全 保护 责任, 不得 用于 与 履行 职责 无关 的 用途.
第三 十七 条 网络 运营 者 违反 本 办法 规定 的 , 由 有关部门 依照 相关 法律 、 行政 法规 的 规定, 根据 情节 给予 公开 曝光 、 没收 没收 违法 所得 、 暂停 相关 业务 、 停业 整顿 、 关闭 网站 、 吊销 相关 业务.证 或 吊销 营业 执照 等 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任.
第五 章 附则
第三 十八 条 本 办法 下列 用语 的 含义:
(一) 网络 运营 者, 是 指 网络 的 所有者 、 管理者 和 网络 服务 提供 者.
(二) 网络 数据, 是 指 通过 网络 收集 、 存储 、 传输 、 处理 和 产生 的 各种 电子 数据.
(三) 个人 信息, 是 指 以 电子 或者 其他 方式 记录 的 能够 单独 或者 与 其他 信息 结合 识别 自然人 个人 身份 的 各种 信息, 包括 但 不限 于 自然人 的 姓名 、 出生 日期 、 身份证 件 号码 、 生物. 、 住址 、 电话 号码 等。
(四) 个人 信息 主体, 是 指 个人 信息 所 标识 或 关联 到 的 自然人.
(五) 重要 数据, 是 指 一旦 泄露 可能 直接 影响 国家 安全 、 经济 安全 、 社会 稳定 稳定 公共 健康 健康 安全 的 数据, 如未 公开 的 政府 信息, 大 面积 人口 、 基因 健康 、 地理 、 地理。.数据 一般 不 包括 企业 生产 经营 和 内部 管理 信息 、 、 信息 等。
第三 十九 条 涉及 国家 秘密 信息 、 密码 使用 的 数据 活动, 按照 国家 有关 规定 执行.
第四 十条 本 办法 自 年 月 日 起 施行。