商业热点 > 商业洞察 > -网络数据安全管理条例-发布 司法部、国家网信办负责人答记者问

【安全管理】-网络数据安全管理条例-发布 司法部、国家网信办负责人答记者问

查看信息来源】   发布日期:9-30 18:29:17    文章分类:商业洞察   
专题:安全管理】 【数据安全】 【负责人】 【网信办

  财联社9月30日讯,2024年9月24日,国务院总理李强签署第790号国务院令,公布《网络 数据安全 管理条例》(以下简称《条例》),自2025年1月1日起施行。目前,司法部、国家网信办责任人就《条例》有关问题回答了记者提问。

  问:请简要介绍一下《条例》出台的背景。

  答:党中央、国务院高度重视网络 数据安全 管理工作。党的二十届三中全会强调,提升 数据安全 治理监管能力,建立高效便利安全的数据跨境流动机制。近年来,随着信息技术和人们生发生活交汇融合,数据处理活动更加频繁, 数据安全 风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给社会发展和国家安全造成严峻挑战。《中华人民共和国 网络安全 法》《中华人民共和国 数据安全 法》《中华人民共和国个人信息保护法》对 数据安全 和个人信息保护制度作了基本规定。为做好法律实施,规范网络数据处理活动,保障网络 数据安全 ,增进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,有必要制定配套行政法规。国务院将制定《条例》列入立法工作计划。

  国家网信办在总结近年来网络 数据安全 管理实践经验、征求有关方面意见并向社会公开征求建议的条件上,向国务院报送了《条例(草案送审稿)》。司法部在立法审查中,广泛征求有关中央单位、地方人民政府、企事业单位、行业协会和专家学者意见,赴地方开展实地调研,屡次召开企业和行业协会座谈会听取意见,会同国家网信办反复研究更改,形成了《条例(草案)》。2024年8月30日,国务院常务会议审议通过了《条例(草案)》。

  问:制定《条例》的总体思路?

  答:《条例》制定工作坚持以某某某新时代中国特色社会主义思想为指导,深入贯彻某某某法治思想和习主席关于网络强国的重要思想,在总体思路上主要抓住了以下四点:一是坚持党的领导,全面贯彻党的二十大和二十届二中、三中全会精神,将习主席关于网络 数据安全 管理的重要指示批示精神和党中央、国务院决策部署落实到具体条文中。二是坚持总体国家安全观,统筹发展和安全,既加强网络 数据安全 保护,又鼓励和增进网络数据依法合理有效利用。三是坚持问题导向,聚焦个人信息、重要数据、网络数据跨境流动等方面突出问题,有针对性地健全制度措施。四是坚持统筹协调,妥善处理与《中华人民共和国 网络安全 法》《中华人民共和国 数据安全 法》《中华人民共和国个人信息保护法》等上位法的关系,对相关制度规定予以细化、补充、完善。

  问:《条例》对个人信息保护主要作了哪些规定?

  答:《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定。一是明确通过制定个人信息处理规则履行告知义务的内容、形式等要求。二是明确基于个人同意处理个人信息应当遵守的基本要求。三是明确行使个人信息查询、复制、更正、补充、删除等权利的要求,细化个人信息转移的具体条件。四是明确根据《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或指定代表的要求。五是明确网络数据处理者处理1000万人以上个人信息还应当履行的义务。

  问:《条例》关于保障重要 数据安全 主要作了哪些规定?

  答:《条例》所规定的重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模,一旦遭到篡改、破坏、泄露或非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。为了保障重要 数据安全 ,《条例》一是明确制定重要数据目录的要求,规定网络数据处理者识别、申报重要数据义务。二是规定网络 数据安全 责任人和网络 数据安全 管理机构责任。三是要求提供、委托处理、共同处理重要数据前进行风险评估,并明确重点评估内容。四是要求重要数据的处理者每年度对其网络数据处理活动开展风险评估,并明确风险评估报告内容。

  问:《条例》在建立高效便利安全的数据跨境流动机制方面是怎样规定的?

  答:《条例》在总结《数据出境安全评估办法》《个人信息出境标准合同办法》《增进和规范数据跨境流动规定》等相关部门规章制定实施经验基础上,进一步优化数据跨境流动机制。一是明确国家网信部门统筹协调相关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。二是规定网络数据处理者可以向境外提供个人信息的条件,明确未被相关地区、部门告知或公开发布为重要数据的,不用将其作为重要数据申报数据出境安全评估。三是明确网络数据处理者通过数据出境安全评估后向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。另外,还规定国家采取措施,防范、处置网络数据跨境安全风险和要挟。

  问:《条例》对网络平台服务提供者义务作出专门规定的主要考虑是啥?具体是怎样规定的?

  答:网络平台服务提供者面向大量用户和平台内经营者提供服务,一些网络平台服务提供者还向政府部门提供服务,对于增进 数字经济 发展、优化公共服务施展了关键作用。同时,实践中存在网络平台服务提供者不履行网络 数据安全 义务、滥用数据优势从事法律、行政法规禁止的活动等情况。国内外相关立法对此作了实践探索。为此,《条例》一是规定了网络平台服务提供者、第叁方产品和服务提供者、预装应用程序的智能终端等设备生产者的网络 数据安全 保护义务,并要求提供应用程序分发服务的网络平台服务提供者建立应用程序核验规则并开展网络 数据安全 相关核验。二是针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等诸多问题,明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。三是明确国家推进网络身份认证公共服务建设,根据政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。四是规定大型网络平台服务提供者每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求,和明确不得利用网络数据、算法、平台规则等从事相关活动的义务。

  问:《条例》关于开展网络 数据安全 管理工作的部门职责分工是啥?

  答:《条例》规定,国家网信部门负责统筹协调网络 数据安全 和相关监督管理工作。公安机关、国家安全机关依照相关法律、行政法规和本条例的规定,在各自职责范围内承担网络 数据安全 监督管理职责,依法防范和打击危害网络 数据安全 的违法犯罪活动。国家数据管理部门在具体承担数据管理工作中履行相应的网络 数据安全 职责。各地区、各部门对本地区、本部门工作中收集和引发的网络数据及网络 数据安全 负责。各有关主管部门承担本行业、本领域网络 数据安全 监督管理职责。

  网络 数据安全 管理条例

  第壹章总则

  第壹条为了规范网络数据处理活动,保障网络 数据安全 ,增进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国 网络安全 法》、《中华人民共和国 数据安全 法》、《中华人民共和国个人信息保护法》等法律,制定本条例。

  第贰条在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。

  在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第叁条第贰款规定情形的,也适用本条例。

  在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或公民、组织合法权益的,依法追究法律责任。

  第叁条网络 数据安全 管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹增进网络数据开发利用与保障网络 数据安全

  第四条国家鼓励网络数据在各行业、各领域的创新应用,强化网络 数据安全 防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络 数据安全 宣传教育和人才培养,增进网络数据开发利用和产业发展。

  第五条国家根据网络数据在社会发展中的重要水平,和一旦遭到篡改、破坏、泄露或非法获取、非法利用,对国家安全、公共利益或个人、组织合法权益造成的危害水平,对网络数据实行分类分级保护。

  第六条国家积极参与网络 数据安全 相关国际规则和标准的制定,增进国际交流与合作。

  第七条国家支持相关行业组织根据章程,制定网络 数据安全 行为规范,强化行业自律,指导会员加强网络 数据安全 保护,提高网络 数据安全 保护水平,增进行业健康发展。

  第贰章一般规定

  第八条任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或以其它非法方式获取网络数据、非法出售或非法向他人提供网络数据等非法网络数据处理活动。

  任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支援,或提供广告推广、支付结算等帮助。

  第九条网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在 网络安全 等级保护的条件上,强化网络 数据安全 防护,建立健全网络 数据安全 管理制度,采取加密、备份、访问控制、安全认证等技术措施和其它必要措施,保护网络数据免遭篡改、破坏、泄露或非法获取、非法利用,处置网络 数据安全 事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。

  第十条网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,根据规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。

  第十一条网络数据处理者应当建立健全网络 数据安全 事件应急预案,发生网络 数据安全 事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并根据规定向有关主管部门报告。

  网络 数据安全 事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、手机短信、即时通信工具、Email或公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络 数据安全 事件进程中发现涉嫌违法犯罪线索的,应当根据规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。

  第十二条网络数据处理者向其它网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围和安全保护义务等,并对网络数据接收方履行义务的情景进行监督。向其它网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。

  网络数据接收方应当履行网络 数据安全 保护义务,并根据约定的目的、方式、范围等处理个人信息和重要数据。

  两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。

  第十三条网络数据处理者开展网络数据处理活动,影响或可能影响国家安全的,应当根据国家有关规定进行国家安全审查。

  第十四条网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络 数据安全 保护义务。

  第十五条国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当根据国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络 数据安全 保护义务。

  第十六条网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或参与其它公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络 数据安全 保护义务,提供安全、稳定、持续的服务。

  前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或向他人提供网络数据,不得对网络数据进行关联分析。

  第十七条为国家机关提供服务的信息系统应当参照电子政务全面的管理要求加强网络 数据安全 管理,保障网络 数据安全

  第十八条网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务造成的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。

  第十九条提供生成式 人工智能 服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络 数据安全 风险。

  第贰十条面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络 数据安全 投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络 数据安全 投诉、举报。

  第叁章个人信息保护

  第贰十一条网络数据处理者在处理个人信息前,通过制定个人信息处理规则的形式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包含但不限于下列内容:

  (一)网络数据处理者的名称或姓名和联系方式;

  (二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性和对个人权益的影响;

  (三)个人信息保存期限和到期后的处理方式,保存期限难以明确的,应当明确保存期限的确定方法;

  (四)个人查询、复制、转移、更正、补充、删除、限制处理个人信息和注销账号、取消同意的要领和途径等。

  网络数据处理者根据前款规定向个人告知收集和向其它网络数据处理者提供个人信息的目的、方式、种类和网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。

  第贰十二条网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:

  (一)收集个人信息为提供产品或服务所务必,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;

  (二)处理 生物识别 、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;

  (三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的爸妈或其它监护人的同意;

  (四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;

  (五)不得在个人明确表示不答应处理其个人信息后,频繁征求同意;

  (六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。

  法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

  第贰十三条个人请求查询、复制、更正、补充、删除、限制处理其个人信息,或个人注销账号、取消同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的要领和途径,不得设置不得人心条件限制个人的合理请求。

  第贰十四条因使用自动化收集技术等无法避免收集到非必要个人信息或未依法取得个人同意的个人信息,和个人注销账号的,网络数据处理者应当删除个人信息或进行匿名化处理。法律、行政法规规定的保存期限未届满,或删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保证措施之外的处理。

  第贰十五条对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其它网络数据处理者访问、获取有关个人信息提供途径:

  (一)能够验证请求人的真实身份;

  (二)请求转移的是我同意提供的或基于合同收集的个人信息;

  (三)转移个人信息具备技术可行性;

  (四)转移个人信息不损害他人合法权益。

  请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。

  第贰十六条中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或指定代表的,应当将有关机构的名称或代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。

  第贰十七条网络数据处理者应当定期自行或委托专业机构对其处理个人信息遵守法律、行政法规的情景进行合规审计。

  第贰十八条网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第叁十条、第叁十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。

  第四章重要 数据安全

  第贰十九条国家 数据安全 工作协调机制统筹协调相关部门制定重要数据目录,强化对重要数据的保护。各地区、各部门应当根据数据分类分级保护制度,确定本地区、本部门和相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。

  网络数据处理者应当根据国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或公开发布。网络数据处理者应当履行网络 数据安全 保护责任。

  国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要 数据安全 管理水平。

  第叁十条重要数据的处理者应当明确网络 数据安全 责任人和网络 数据安全 管理机构。网络 数据安全 管理机构应当履行下列网络 数据安全 保护责任:

  (一)制定实施网络 数据安全 管理制度、操作规程和网络 数据安全 事件应急预案;

  (二)定期组织开展网络 数据安全 风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络 数据安全 风险和事件;

  (三)受理并处理网络 数据安全 投诉、举报。

  网络 数据安全 责任人应当具备网络 数据安全 专业知识和相关管理工作经验,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络 数据安全 情况。

  掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络 数据安全 责任人和关键岗位的人员进行安全背景审查,强化有关人员培训。审查时,可以申请公安机关、国家安全机关协助。

  第叁十一条重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,可是属于履行法定职责或法定义务的除外。

  风险评估应当重点评估下列内容:

  (一)提供、委托处理、共同处理网络数据,和网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;

  (二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或非法获取、非法利用的危险,和对国家安全、公共利益或个人、组织合法权益造成的危险;

  (三)网络数据接收方的诚信、守法等情况;

  (四)与网络数据接收方订立或拟订立的相关合同中关于网络 数据安全 的要求能否有效约束网络数据接收方履行网络 数据安全 保护义务;

  (五)采取或拟采取的技术和管理措施等能否有效预防网络数据遭到篡改、破坏、泄露或非法获取、非法利用等风险;

  (六)有关主管部门规定的其它评估内容。

  第叁十二条重要数据的处理者因合并、分立、解散、破产等可能影响重要 数据安全 的,应当采取措施保障网络 数据安全 ,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或姓名和联系方式等;主管部门不明确的,应当向省级以上 数据安全 工作协调机制报告。

  第叁十三条重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。

  风险评估报告应当包含下列内容:

  (一)网络数据处理者基本信息、网络 数据安全 管理机构信息、网络 数据安全 责任人姓名和联系方式等;

  (二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情景,不包含网络数据内容本身;

  (三)网络 数据安全 管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其它必要措施及其有效性;

  (四)发现的网络 数据安全 风险,发生的网络 数据安全 事件及处置情况;

  (五)提供、委托处理、共同处理重要数据的危险评估情况;

  (六)网络数据出境情况;

  (七)有关主管部门规定的其它报告内容。

  处理重要数据的大型网络平台服务提供者报送的危险评估报告,除包含前款规定的内容外,还应当充分说明关键业务和供应链网络 数据安全 等情况。

  重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或停止处理重要数据等措施。重要数据的处理者应当根据有关要求立即采取措施。

  第五章网络数据跨境安全管理

  第叁十四条国家网信部门统筹协调相关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。

  第叁十五条符合下列条件之一的,网络数据处理者可以向境外提供个人信息:

  (一)通过国家网信部门组织的数据出境安全评估;

  (二)根据国家网信部门的规定经专业机构进行个人信息保护认证;

  (三)符合国家网信部门制定的关于个人信息出境标准合同的规定;

  (四)为订立、履行个人作为一方当事人的合约,确需向境外提供个人信息;

  (五)根据依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;

  (六)为履行法定职责或法定义务,确需向境外提供个人信息;

  (七)紧急情境下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;

  (八)法律、行政法规或国家网信部门规定的其它条件。

  第叁十六条中华人民共和国缔结或参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以根据其规定执行。

  第叁十七条网络数据处理者在中华人民共和国境内运营中收集和引发的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者根据国家有关规定识别、申报重要数据,但未被相关地区、部门告知或公开发布为重要数据的,不用将其作为重要数据申报数据出境安全评估。

  第叁十八条通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。

  第叁十九条国家采取措施,防范、处置网络数据跨境安全风险和要挟。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支援或帮助。

  第六章网络平台服务提供者义务

  第四十条网络平台服务提供者应当通过平台规则或合同等明确接入其平台的第叁方产品和服务提供者的网络 数据安全 保护义务,督促第叁方产品和服务提供者加强网络 数据安全 管理。

  预装应用程序的智能终端等设备生产者,适用前款规定。

  第叁方产品和服务提供者违反法律、行政法规的规定或平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第叁方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。

  国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。

  第四十一条提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络 数据安全 相关核验。发现待分发或已分发的应用程序不符合法律、行政法规的规定或国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或终止分发等措施。

  第四十二条网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

  第四十三条国家推进网络身份认证公共服务建设,根据政府引导、用户自愿原则进行推广应用。

  鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。

  第四十四条大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包含但不限于个人信息保障措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。

  第四十五条大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。

  第四十六条大型网络平台服务提供者不得利用网络数据、算法和平台规则等从事下列活动:

  (一)通过误导、欺诈、胁迫等方式处理用户在平台上引发的网络数据;

  (二)无正当理由限制用户访问、使用其在平台上引发的网络数据;

  (三)对用户实施不正确的不同待遇,损害用户合法权益;

  (四)法律、行政法规禁止的其它活动。

  第七章监督管理

  第四十七条国家网信部门负责统筹协调网络 数据安全 和相关监督管理工作。

  公安机关、国家安全机关依照相关法律、行政法规和本条例的规定,在各自职责范围内承担网络 数据安全 监督管理职责,依法防范和打击危害网络 数据安全 的违法犯罪活动。

  国家数据管理部门在具体承担数据管理工作中履行相应的网络 数据安全 职责。

  各地区、各部门对本地区、本部门工作中收集和引发的网络数据及网络 数据安全 负责。

  第四十八条各有关主管部门承担本行业、本领域网络 数据安全 监督管理职责,应当明确本行业、本领域网络 数据安全 保护工作机构,统筹制定并组织实施本行业、本领域网络 数据安全 事件应急预案,定期组织开展本行业、本领域网络 数据安全 风险评估,对网络数据处理者履行网络 数据安全 保护义务情况进行监督检查,指导督促网络数据处理者及时对存在的危险隐患进行整改。

  第四十九条国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络 数据安全 风险相关信息,强化网络 数据安全 信息共享、网络 数据安全 风险和要挟监测预警和网络 数据安全 事件应急处置工作。

  第五十条有关主管部门可以采取下列措施对网络 数据安全 进行监督检查:

  (一)要求网络数据处理者及其有关人员就监督检查事项作出说明;

  (二)查询、复制与网络 数据安全 相关的文件、记录;

  (三)检查网络 数据安全 措施运行情况;

  (四)检查与网络数据处理活动相关的设备、物品;

  (五)法律、行政法规规定的其它必要措施。

  网络数据处理者应当对有关主管部门依法开展的网络 数据安全 监督检查予以配合。

  第五十一条有关主管部门开展网络 数据安全 监督检查,应当客观公正,不得向被检查单位收取费用。

  有关主管部门在网络 数据安全 监督检查中不得访问、收集与网络 数据安全 无关的业务信息,获取的信息只能用于维护网络 数据安全 的需求,不得用于其它用途。

  有关主管部门发现网络数据处理者的网络数据处理活动存在较大安全风险的,可以根据规定的权限和程序要求网络数据处理者暂停相关服务、更改平台规则、完善技术措施等,消除网络 数据安全 隐患。

  第五十二条有关主管部门在开展网络 数据安全 监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。

  个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和 网络安全 等级测评的内容重合的,相关结果可以互相采信。

  第五十三条有关主管部门及其职员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据应当依法予以保密,不得泄露或非法向他人提供。

  第五十四条境外的组织、个人从事危害中华人民共和国国家安全、公共利益,或侵害中华人民共和国公民的个人信息权益的网络数据处理活动的,国家网信部门会同有关主管部门可以依法采取相应的必要措施。

  第八章法律责任

  第五十五条违反本条例第十二条、第十六条至第贰十条、第贰十二条、第四十条第壹款和第贰款、第四十一条、第四十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或事情严峻的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、撤消相关业务许可证或撤消营业执照,对直接负责的主管人员和其它直接责任人员可以处1万元以上10万元以下罚款。

  第五十六条违反本条例第十三条规定的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其它直接责任人员可以处1万元以上10万元以下罚款;拒不改正或事情严峻的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、撤消相关业务许可证或撤消营业执照,对直接负责的主管人员和其它直接责任人员处10万元以上100万元以下罚款。

  第五十七条违反本条例第贰十九条第贰款、第叁十条第贰款和第叁款、第叁十一条、第叁十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其它直接责任人员可以处1万元以上10万元以下罚款;拒不改正或造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、撤消相关业务许可证或撤消营业执照,对直接负责的主管人员和其它直接责任人员处5万元以上20万元以下罚款。

  第五十八条违反本条例其它有关规定的,由有关主管部门依照《中华人民共和国 网络安全 法》、《中华人民共和国 数据安全 法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任。

  第五十九条网络数据处理者存在主动消除或减轻犯法行为危害后果、犯法行为轻微并及时改正且没有造成危害后果或首次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处理法》的规定从轻、减轻或不予行政处理。

  第六十条国家机关不履行本条例规定的网络 数据安全 保护义务的,由其上级机关或有关主管部门责令改正;对直接负责的主管人员和其它直接责任人员依法给予处罚。

  第六十一条违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

  第九章附则

  第六十二条本条例下列用语的含义:

  (一)网络数据,是指通过网络处理和引发的各种电子数据。

  (二)网络数据处理活动,是指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。

  (三)网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。

  (四)重要数据,是指特定领域、特定群体、特定区域或达到一定精度和规模,一旦遭到篡改、破坏、泄露或非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

  (五)委托处理,是指网络数据处理者委托个人、组织根据约定的目的和方式开展的网络数据处理活动。

  (六)共同处理,是指两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。

  (七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。

  (八)大型网络平台,是指注册用户5000万以上或月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

  第六十三条开展核心数据的网络数据处理活动,根据国家有关规定执行。

  自然人因个人或家庭事务处理个人信息的,不适用本条例。

  开展涉及国家秘密、工作秘密的网络数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

  第六十四条本条例自2025年1月1日起施行。

手机扫码浏览该文章
 ● 相关商业动态
 ● 相关商业热点
房地产】  【负责人】  【龙泉驿】  【并购重组】  【上市公司】  【深交所】  【万科A】  【深圳市地铁集团有限公司】  【养老金】  【网信办】  【金融信息】  【新能源汽车】  【人工智能】  【教育系统】  【卓然股份】  【自媒体】