國家互聯(lián)網(wǎng)信息辦公室關(guān)于《數據安全管理辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知

為了維護國家安全、社會(huì )公共利益，保護公民、法人和其他組織在網(wǎng)絡(luò )空間的合法權益，保障個(gè)人信息和重要數據安全，根據《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規，國家互聯(lián)網(wǎng)信息辦公室會(huì )同相關(guān)部門(mén)研究起草了《數據安全管理辦法（征求意見(jiàn)稿）》，現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可通過(guò)以下途徑和方式提出反饋意見(jiàn)：

1.登陸中國政府法制信息網(wǎng)(網(wǎng)址：http://www.chinalaw.gov.cn)，進(jìn)入首頁(yè)的“立法意見(jiàn)征集”提出意見(jiàn)。

2.通過(guò)電子郵件方式發(fā)送至：security@cac.gov.cn。

3.通過(guò)信函方式將意見(jiàn)寄至：北京市西城區車(chē)公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )安全協(xié)調局，郵編100044，并在信封上注明“數據安全管理辦法征求意見(jiàn)”。

意見(jiàn)反饋截止時(shí)間為2019年6月28日。

附件：《數據安全管理辦法（征求意見(jiàn)稿）》

國家互聯(lián)網(wǎng)信息辦公室

2019年5月28日

數據安全管理辦法

（征求意見(jiàn)稿）

第一章 總 則

第一條 為了維護國家安全、社會(huì )公共利益，保護公民、法人和其他組織在網(wǎng)絡(luò )空間的合法權益，保障個(gè)人信息和重要數據安全，根據《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規，制定本辦法。

第二條 在中華人民共和國境內利用網(wǎng)絡(luò )開(kāi)展數據收集、存儲、傳輸、處理、使用等活動(dòng)（以下簡(jiǎn)稱(chēng)數據活動(dòng)），以及數據安全的保護和監督管理，適用本辦法。純粹家庭和個(gè)人事務(wù)除外。

法律、行政法規另有規定的，從其規定。

第三條 國家堅持保障數據安全與發(fā)展并重，鼓勵研發(fā)數據安全保護技術(shù)，積極推進(jìn)數據資源開(kāi)發(fā)利用，保障數據依法有序自由流動(dòng)。

第四條 國家采取措施，監測、防御、處置來(lái)源于中華人民共和國境內外的數據安全風(fēng)險和威脅，保護數據免受泄露、竊取、篡改、毀損、非法使用等，依法懲治危害數據安全的違法犯罪活動(dòng)。

第五條 在中央網(wǎng)絡(luò )安全和信息化委員會(huì )領(lǐng)導下，國家網(wǎng)信部門(mén)統籌協(xié)調、指導監督個(gè)人信息和重要數據安全保護工作。

地（市）及以上網(wǎng)信部門(mén)依據職責指導監督本行政區內個(gè)人信息和重要數據安全保護工作。

第六條 網(wǎng)絡(luò )運營(yíng)者應當按照有關(guān)法律、行政法規的規定，參照國家網(wǎng)絡(luò )安全標準，履行數據安全保護義務(wù)，建立數據安全管理責任和評價(jià)考核制度，制定數據安全計劃，實(shí)施數據安全技術(shù)防護，開(kāi)展數據安全風(fēng)險評估，制定網(wǎng)絡(luò )安全事件應急預案，及時(shí)處置安全事件，組織數據安全教育、培訓。

第二章 數據收集

第七條 網(wǎng)絡(luò )運營(yíng)者通過(guò)網(wǎng)站、應用程序等產(chǎn)品收集使用個(gè)人信息，應當分別制定并公開(kāi)收集使用規則。收集使用規則可以包含在網(wǎng)站、應用程序等產(chǎn)品的隱私政策中，也可以其他形式提供給用戶(hù)。

第八條 收集使用規則應當明確具體、簡(jiǎn)單通俗、易于訪(fǎng)問(wèn)，突出以下內容：

（一）網(wǎng)絡(luò )運營(yíng)者基本信息；

（二）網(wǎng)絡(luò )運營(yíng)者主要負責人、數據安全責任人的姓名及聯(lián)系方式；

（三）收集使用個(gè)人信息的目的、種類(lèi)、數量、頻度、方式、范圍等；

（四）個(gè)人信息保存地點(diǎn)、期限及到期后的處理方式；

（五）向他人提供個(gè)人信息的規則，如果向他人提供的；

（六）個(gè)人信息安全保護策略等相關(guān)信息；

（七）個(gè)人信息主體撤銷(xiāo)同意，以及查詢(xún)、更正、刪除個(gè)人信息的途徑和方法；

（八）投訴、舉報渠道和方法等；

（九）法律、行政法規規定的其他內容。

第九條 如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅當用戶(hù)知悉收集使用規則并明確同意后，網(wǎng)絡(luò )運營(yíng)者方可收集個(gè)人信息。

第十條 網(wǎng)絡(luò )運營(yíng)者應當嚴格遵守收集使用規則，網(wǎng)站、應用程序收集或使用個(gè)人信息的功能設計應同隱私政策保持一致，同步調整。

第十一條 網(wǎng)絡(luò )運營(yíng)者不得以改善服務(wù)質(zhì)量、提升用戶(hù)體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認授權、功能捆綁等形式強迫、誤導個(gè)人信息主體同意其收集個(gè)人信息。

個(gè)人信息主體同意收集保證網(wǎng)絡(luò )產(chǎn)品核心業(yè)務(wù)功能運行的個(gè)人信息后，網(wǎng)絡(luò )運營(yíng)者應當向個(gè)人信息主體提供核心業(yè)務(wù)功能服務(wù)，不得因個(gè)人信息主體拒絕或者撤銷(xiāo)同意收集上述信息以外的其他信息，而拒絕提供核心業(yè)務(wù)功能服務(wù)。

第十二條 收集14周歲以下未成年人個(gè)人信息的，應當征得其監護人同意。

第十三條 網(wǎng)絡(luò )運營(yíng)者不得依據個(gè)人信息主體是否授權收集個(gè)人信息及授權范圍，對個(gè)人信息主體采取歧視行為，包括服務(wù)質(zhì)量、價(jià)格差異等。

第十四條 網(wǎng)絡(luò )運營(yíng)者從其他途徑獲得個(gè)人信息，與直接收集個(gè)人信息負有同等的保護責任和義務(wù)。

第十五條 網(wǎng)絡(luò )運營(yíng)者以經(jīng)營(yíng)為目的收集重要數據或個(gè)人敏感信息的，應向所在地網(wǎng)信部門(mén)備案。備案內容包括收集使用規則，收集使用的目的、規模、方式、范圍、類(lèi)型、期限等，不包括數據內容本身。

第十六條 網(wǎng)絡(luò )運營(yíng)者采取自動(dòng)化手段訪(fǎng)問(wèn)收集網(wǎng)站數據，不得妨礙網(wǎng)站正常運行；此類(lèi)行為嚴重影響網(wǎng)站運行，如自動(dòng)化訪(fǎng)問(wèn)收集流量超過(guò)網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動(dòng)化訪(fǎng)問(wèn)收集時(shí)，應當停止。

第十七條 網(wǎng)絡(luò )運營(yíng)者以經(jīng)營(yíng)為目的收集重要數據或個(gè)人敏感信息的，應當明確數據安全責任人。

數據安全責任人由具有相關(guān)管理工作經(jīng)歷和數據安全專(zhuān)業(yè)知識的人員擔任，參與有關(guān)數據活動(dòng)的重要決策，直接向網(wǎng)絡(luò )運營(yíng)者的主要負責人報告工作。

第十八條 數據安全責任人履行下列職責：

（一）組織制定數據保護計劃并督促落實(shí)；

（二）組織開(kāi)展數據安全風(fēng)險評估，督促整改安全隱患；

（三）按要求向有關(guān)部門(mén)和網(wǎng)信部門(mén)報告數據安全保護和事件處置情況；

（四）受理并處理用戶(hù)投訴和舉報。

網(wǎng)絡(luò )運營(yíng)者應為數據安全責任人提供必要的資源，保障其獨立履行職責。

第三章 數據處理使用

第十九條 網(wǎng)絡(luò )運營(yíng)者應當參照國家有關(guān)標準，采用數據分類(lèi)、備份、加密等措施加強對個(gè)人信息和重要數據保護。

第二十條 網(wǎng)絡(luò )運營(yíng)者保存個(gè)人信息不應超出收集使用規則中的保存期限，用戶(hù)注銷(xiāo)賬號后應當及時(shí)刪除其個(gè)人信息，經(jīng)過(guò)處理無(wú)法關(guān)聯(lián)到特定個(gè)人且不能復原（以下稱(chēng)匿名化處理）的除外。

第二十一條 網(wǎng)絡(luò )運營(yíng)者收到有關(guān)個(gè)人信息查詢(xún)、更正、刪除以及用戶(hù)注銷(xiāo)賬號請求時(shí)，應當在合理時(shí)間和代價(jià)范圍內予以查詢(xún)、更正、刪除或注銷(xiāo)賬號。

第二十二條 網(wǎng)絡(luò )運營(yíng)者不得違反收集使用規則使用個(gè)人信息。因業(yè)務(wù)需要，確需擴大個(gè)人信息使用范圍的，應當征得個(gè)人信息主體同意。

第二十三條 網(wǎng)絡(luò )運營(yíng)者利用用戶(hù)數據和算法推送新聞信息、商業(yè)廣告等（以下簡(jiǎn)稱(chēng)“定向推送”），應當以明顯方式標明“定推”字樣，為用戶(hù)提供停止接收定向推送信息的功能；用戶(hù)選擇停止接收定向推送信息時(shí)，應當停止推送，并刪除已經(jīng)收集的設備識別碼等用戶(hù)數據和個(gè)人信息。

網(wǎng)絡(luò )運營(yíng)者開(kāi)展定向推送活動(dòng)應遵守法律、行政法規，尊重社會(huì )公德、商業(yè)道德、公序良俗，誠實(shí)守信，嚴禁歧視、欺詐等行為。

第二十四條 網(wǎng)絡(luò )運營(yíng)者利用大數據、人工智能等技術(shù)自動(dòng)合成新聞、博文、帖子、評論等信息，應以明顯方式標明“合成”字樣；不得以謀取利益或損害他人利益為目的自動(dòng)合成信息。

第二十五條 網(wǎng)絡(luò )運營(yíng)者應采取措施督促提醒用戶(hù)對自己的網(wǎng)絡(luò )行為負責、加強自律，對于用戶(hù)通過(guò)社交網(wǎng)絡(luò )轉發(fā)他人制作的信息，應自動(dòng)標注信息制作者在該社交網(wǎng)絡(luò )上的賬戶(hù)或不可更改的用戶(hù)標識。

第二十六條 網(wǎng)絡(luò )運營(yíng)者接到相關(guān)假冒、仿冒、盜用他人名義發(fā)布信息的舉報投訴時(shí)，應當及時(shí)響應，一旦核實(shí)立即停止傳播并作刪除處理。

第二十七條 網(wǎng)絡(luò )運營(yíng)者向他人提供個(gè)人信息前，應當評估可能帶來(lái)的安全風(fēng)險，并征得個(gè)人信息主體同意。下列情況除外：

（一）從合法公開(kāi)渠道收集且不明顯違背個(gè)人信息主體意愿；

（二）個(gè)人信息主體主動(dòng)公開(kāi)；

（三）經(jīng)過(guò)匿名化處理；

（四）執法機關(guān)依法履行職責所必需；

（五）維護國家安全、社會(huì )公共利益、個(gè)人信息主體生命安全所必需。

第二十八條 網(wǎng)絡(luò )運營(yíng)者發(fā)布、共享、交易或向境外提供重要數據前，應當評估可能帶來(lái)的安全風(fēng)險，并報經(jīng)行業(yè)主管監管部門(mén)同意；行業(yè)主管監管部門(mén)不明確的，應經(jīng)省級網(wǎng)信部門(mén)批準。

向境外提供個(gè)人信息按有關(guān)規定執行。

第二十九條 境內用戶(hù)訪(fǎng)問(wèn)境內互聯(lián)網(wǎng)的，其流量不得被路由到境外。

第三十條 網(wǎng)絡(luò )運營(yíng)者對接入其平臺的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營(yíng)者加強數據安全管理。第三方應用發(fā)生數據安全事件對用戶(hù)造成損失的，網(wǎng)絡(luò )運營(yíng)者應當承擔部分或全部責任，除非網(wǎng)絡(luò )運營(yíng)者能夠證明無(wú)過(guò)錯。

第三十一條 網(wǎng)絡(luò )運營(yíng)者兼并、重組、破產(chǎn)的，數據承接方應承接數據安全責任和義務(wù)。沒(méi)有數據承接方的，應當對數據作刪除處理。法律、行政法規另有規定的，從其規定。

第三十二條 網(wǎng)絡(luò )運營(yíng)者分析利用所掌握的數據資源，發(fā)布市場(chǎng)預測、統計信息、個(gè)人和企業(yè)信用等信息，不得影響國家安全、經(jīng)濟運行、社會(huì )穩定，不得損害他人合法權益。

第四章 數據安全監督管理

第三十三條 網(wǎng)信部門(mén)在履行職責中，發(fā)現網(wǎng)絡(luò )運營(yíng)者數據安全管理責任落實(shí)不到位，應按照規定的權限和程序約談網(wǎng)絡(luò )運營(yíng)者的主要負責人，督促整改。

第三十四條 國家鼓勵網(wǎng)絡(luò )運營(yíng)者自愿通過(guò)數據安全管理認證和應用程序安全認證，鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過(guò)認證的應用程序。

國家網(wǎng)信部門(mén)會(huì )同國務(wù)院市場(chǎng)監督管理部門(mén)，指導國家網(wǎng)絡(luò )安全審查與認證機構，組織數據安全管理認證和應用程序安全認證工作。

第三十五條 發(fā)生個(gè)人信息泄露、毀損、丟失等數據安全事件，或者發(fā)生數據安全事件風(fēng)險明顯加大時(shí)，網(wǎng)絡(luò )運營(yíng)者應當立即采取補救措施，及時(shí)以電話(huà)、短信、郵件或信函等方式告知個(gè)人信息主體，并按要求向行業(yè)主管監管部門(mén)和網(wǎng)信部門(mén)報告。

第三十六條 國務(wù)院有關(guān)主管部門(mén)為履行維護國家安全、社會(huì )管理、經(jīng)濟調控等職責需要，依照法律、行政法規的規定，要求網(wǎng)絡(luò )運營(yíng)者提供掌握的相關(guān)數據的，網(wǎng)絡(luò )運營(yíng)者應當予以提供。

國務(wù)院有關(guān)主管部門(mén)對網(wǎng)絡(luò )運營(yíng)者提供的數據負有安全保護責任，不得用于與履行職責無(wú)關(guān)的用途。

第三十七條 網(wǎng)絡(luò )運營(yíng)者違反本辦法規定的，由有關(guān)部門(mén)依照相關(guān)法律、行政法規的規定，根據情節給予公開(kāi)曝光、沒(méi)收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或吊銷(xiāo)營(yíng)業(yè)執照等處罰；構成犯罪的，依法追究刑事責任。

第五章 附 則

第三十八條 本辦法下列用語(yǔ)的含義：

（一）網(wǎng)絡(luò )運營(yíng)者，是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。

（二）網(wǎng)絡(luò )數據，是指通過(guò)網(wǎng)絡(luò )收集、存儲、傳輸、處理和產(chǎn)生的各種電子數據。

（三）個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、電話(huà)號碼等。

（四）個(gè)人信息主體，是指個(gè)人信息所標識或關(guān)聯(lián)到的自然人。

（五）重要數據，是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會(huì )穩定、公共健康和安全的數據，如未公開(kāi)的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數據一般不包括企業(yè)生產(chǎn)經(jīng)營(yíng)和內部管理信息、個(gè)人信息等。

第三十九條 涉及國家秘密信息、密碼使用的數據活動(dòng)，按照國家有關(guān)規定執行。

第四十條 本辦法自 年 月 日起施行。

來(lái)源：中國網(wǎng)信辦