为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见:
1.通过电子邮件将意见发送至:shujuju@cac.gov.cn。
2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局,邮编:100044,并在信封上注明“网络数据安全管理条例征求意见”。
意见反馈截止时间为2021年12月13日。
附件:《网络数据安全管理条例(征求意见稿)》
国家互联网信息办公室2021年11月14日
第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。
第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。
国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。
第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
第六条数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等;
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
第九条数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。
第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。
第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。
第十六条国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
