數(shù)據(jù)安全管理辦法 解讀

1、數(shù)據(jù)安全理辦法解讀第一章總則第一條為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網(wǎng) 絡空間的合法權益，保障個人信息和重要數(shù)據(jù)安全，根據(jù)中華人民共和國網(wǎng)絡 安全法等法律法規(guī)，制定本辦法。第二條在中華人民共和國境內利用網(wǎng)絡開展數(shù)據(jù)收集、存儲、傳輸、處理、 使用等活動（以下簡稱數(shù)據(jù)活動），以及數(shù)據(jù)安全的保護和監(jiān)督管理，適用本辦 法。純粹家庭和個人事務除外。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。第三條國家堅持保障數(shù)據(jù)安全與發(fā)展并重，鼓勵研發(fā)數(shù)據(jù)安全保護技術，積 極推進數(shù)據(jù)資源開發(fā)利用，保障數(shù)據(jù)依法有序自由流動。條國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內外的數(shù)據(jù)安全風險和威脅，保

2、護數(shù)據(jù)免受泄露、竊取、篡改、毀損、非法使用等，依法 懲治危害數(shù)據(jù)安全的違法犯罪活動。第五條在中央網(wǎng)絡安全和信息化委員會領導下，國家網(wǎng)信部門統(tǒng)籌協(xié)調、指 導監(jiān)督個人信息和重要數(shù)據(jù)安全保護工作。地（市）及以上網(wǎng)信部門依據(jù)職責指導監(jiān)督本行政區(qū)內個人信息和重要數(shù)據(jù) 安全保護工作。標準，履行數(shù)據(jù)安全保護義務，建立數(shù)據(jù)安全管理責任和評價考核制度，制定數(shù) 據(jù)安全計劃，實施數(shù)據(jù)安全技術防護，開展數(shù)據(jù)安全風險評估，制定網(wǎng)絡安全事 件應急預案，及時處置安全事件，組織數(shù)據(jù)安全教育、培訓。冬一*第一章?lián)占谄邨l網(wǎng)絡運營者通過網(wǎng)站、應用程序等產(chǎn)品收集使用個人信息，應當分別 制定并公開收集使用規(guī)則。收集使用規(guī)則可以包含

3、在網(wǎng)站、應用程序等產(chǎn)品的隱 私政策中，也可以其他形式提供給用戶。第八條收集使用規(guī)則應當明確具體、簡單通俗、易于訪問，突出以下內容：（一）網(wǎng)絡運營者基本信息；（二）網(wǎng)絡運營者主要負責人、數(shù)據(jù)安全責任人的姓名及聯(lián)系方式；（三）收集使用個人信息的目的、種類、數(shù)量、頻度、方式、范圍等；（四）個人信息保存地點、期限及到期后的處理方式；（五）向他人提供個人信息的規(guī)則，如果向他人提供的；（六）個人信息安全保護策略等相關信息；（七）個人信息主體撤銷同意，以及查詢、更正、刪除個人信息的途徑和方法；（八）投訴、舉報渠道和方法等；（九）法律、行政法規(guī)規(guī)定的其他內容。第九條如果收集使用規(guī)則包含在隱私政策中，應相對集中

4、，明顯提示，以方 便閱讀。另僅當用戶知悉收集使用規(guī)則并明確同意后，網(wǎng)絡運營者方可收集個人 信息。第十條網(wǎng)絡運營者應當嚴格遵守收集使用規(guī)則，網(wǎng)站、應用程序收集或使用 個人信息的功能設計應同隱私政策保持一致，同步調整。第十一條網(wǎng)絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、 研發(fā)新產(chǎn)品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意 其收集個人信息。個人信息主體同意收集保證網(wǎng)絡產(chǎn)品核心業(yè)務功能運行的個人信息后，網(wǎng)絡 運營者應當向個人信息主體提供核心業(yè)務功能服務，不得因個人信息主體拒絕或 者撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業(yè)務功能服務。第十二條收集14周歲以下

5、未成年人個人信息的，應當征得其監(jiān)護人同意。第十三條網(wǎng)絡運營者不得依據(jù)個人信息主體是否授權收集個人信息及授權 范圍，對個人信息主體采取歧視行為，包括服務質量、價格差異等。第十四條網(wǎng)絡運營者從其他途徑獲得個人信息，與直接收集個人信息負有同 等的保護責任和義務。第十五條網(wǎng)絡運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應向所 在地網(wǎng)信部門備案。備案內容包括收集使用規(guī)則，收集使用的目的、規(guī)模、方式、 范圍、類型、期限等，不包括數(shù)據(jù)內容本身。第十六條網(wǎng)絡運營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù)，不得妨礙網(wǎng)站正常 運行；此類行為嚴重影響網(wǎng)站運行，如自動化訪問收集流量超過網(wǎng)站日均流量三 分之一，網(wǎng)站要求停止自

6、動化訪問收集時，應當停止。第十七條網(wǎng)絡運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的應當明 確數(shù)據(jù)安全責任人。數(shù)據(jù)安全責任人由具有相關管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識的人員擔任， 參與有關數(shù)據(jù)活動的重要決策，直接向網(wǎng)絡運營者的主要負責人報告工作。第十/八條數(shù)據(jù)安全責任人履行下列職責：（一）組織制定數(shù)據(jù)保護計劃并督促落實；（二）組織開展數(shù)據(jù)安全風險評估，督促整改安全隱患；（三）按要求向有關部門和網(wǎng)信部門報告數(shù)據(jù)安全保護和事件處置情況;（四）受理并處理用戶投訴和舉報。網(wǎng)絡運營者應為數(shù)據(jù)安全責任人提供必要的資源，保障其獨立履行職責。第三章數(shù)據(jù)處理使用第十九條網(wǎng)絡運營者應當參照國家有關標準，采用數(shù)據(jù)分類

7、、備份、加密等 措施加強對個人信息和重要數(shù)據(jù)保護。第二十條網(wǎng)絡運營者保存?zhèn)€人信息不應超出收集使用規(guī)則中的保存期限，用 戶注銷賬號后應當及時刪除其個人信息，經(jīng)過處理無法關聯(lián)到特定個人且不能復 原（以下稱匿名化處理）的除外。號請求時，應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號。第二十二條網(wǎng)絡運營者不得違反收集使用規(guī)則使用個人信息。因業(yè)務需要，確需擴大個人信息使用范圍的，應當征得個人信息主體同意。第二十三條網(wǎng)絡運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等（以 下簡稱定向推送”），應當以明顯方式標明定推”字樣，為用戶提供停止接 收定向推送信息的功能；用戶選擇停止接收定向推送信息時，應

8、當停止推送，并 刪除已經(jīng)收集的設備識別碼等用戶數(shù)據(jù)和個人信息。網(wǎng)絡運營者開展定向推送活動應遵守法律、行政法規(guī)，尊重社會公德、商業(yè) 道德、公序良俗，誠實守信，嚴禁歧視、欺詐等行為。第二十四條網(wǎng)絡運營者利用大數(shù)據(jù)、人工智能等技術自動合成新聞、博文、 帖子、評論等信息，應以明顯方式標明“合成”字樣；不得以謀取利益或損害他 人利益為目的自動合成信息。第二十五條網(wǎng)絡運營者應采取措施督促提醒用戶對自己的網(wǎng)絡行為負責、加 強自律，對于用戶通過社交網(wǎng)絡轉發(fā)他人制作的信息，應自動標注信息制作者在 該社交網(wǎng)絡上的賬戶或不可更改的用戶標識。第二十六條網(wǎng)絡運營者接到相關假冒、仿冒、盜用他人名義發(fā)布信息的舉報 投訴時，

9、應當及時響應，一旦核實立即停止傳播并作刪除處理。第二十七條網(wǎng)絡運營者向他人提供個人信息前，應當評估可能帶來的安全風 險，并征得個人信息主體同意。下列情況除外：（一）從合法公開渠道收集且不明顯違背個人信息主體意愿；（二）個人信息主體主動公開；（三）經(jīng)過匿名化處理；（四）執(zhí)法機關依法履行職責所必需；（五）維護國家安全、社會公共利益、個人信息主體生命安全所必需。第二十八條網(wǎng)絡運營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前，應當評 估可能帶來的安全風險，并報經(jīng)行業(yè)主管監(jiān)管部門同意；行業(yè)主管監(jiān)管部門不明 確的，應經(jīng)省級網(wǎng)信部門批準。向境外提供個人信息按有關規(guī)定執(zhí)行。第二十九條境內用戶訪問境內互聯(lián)網(wǎng)的，其流

10、量不得被路由到境外。第三十條網(wǎng)絡運營者對接入其平臺的第三方應用，應明確數(shù)據(jù)安全要求和責 任，督促監(jiān)督第三方應用運營者加強數(shù)據(jù)安全管理。第三方應用發(fā)生數(shù)據(jù)安全事 件對用戶造成損失的，網(wǎng)絡運營者應當承擔部分或全部責任，除非網(wǎng)絡運營者能 夠證明無過錯。第三十一條網(wǎng)絡運營者兼并、重組、破產(chǎn)的，數(shù)據(jù)承接方應承接數(shù)據(jù)安全責 任和義務。沒有數(shù)據(jù)承接方的，應當對數(shù)據(jù)作刪除處理。法律、行政法規(guī)另有規(guī) 定的，從其規(guī)定。第三十二條網(wǎng)絡運營者分析利用所掌握的數(shù)據(jù)資源，發(fā)布市場預測、統(tǒng)計信 息、個人和企業(yè)信用等信息，不得影響國家安全、經(jīng)濟運行、社會穩(wěn)定，不得損 害他人合法權益。第四章第三十三條網(wǎng)信部門在履行職責中，發(fā)現(xiàn)

11、網(wǎng)絡運營者數(shù)據(jù)安全管理責任落實不到位，應按照規(guī)定的權限和程序約談網(wǎng)絡運營者的主要負責人，督促整改。第三十條國家鼓勵網(wǎng)絡運營者自愿通過數(shù)據(jù)安全管理認證和應用程序安 全認證，鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過認證的應用程序。國家網(wǎng)信部門會同國務院市場監(jiān)督管理部門，指導國家網(wǎng)絡安全審查與認證 機構，組織數(shù)據(jù)安全管理認證和應用程序安全認證工作。第三十五條發(fā)生個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，或者發(fā)生數(shù)據(jù) 安全事件風險明顯加大時，網(wǎng)絡運營者應當立即采取補救措施，及時以電話、短 信、由B件或信函等方式告知個人信息主體，并按要求向行業(yè)主管監(jiān)管部門和網(wǎng)信 部門報告。第三十六條國務院有關主管部

12、門為履行維護國家安全、社會管理、經(jīng)濟調控 等職責需要，依照法律、行政法規(guī)的規(guī)定，要求網(wǎng)絡運營者提供掌握的相關數(shù)據(jù) 的，網(wǎng)絡運營者應當予以提供。國務院有關主管部門對網(wǎng)絡運營者提供的數(shù)據(jù)負有安全保護責任，不得用于 與履行職責無關的用途。法規(guī)的規(guī)定，根據(jù)情節(jié)給予公開曝光、沒收違法所得、暫停相關業(yè)務、停業(yè)整頓、 關閉網(wǎng)站、吊銷相關業(yè)務許可證或吊銷營業(yè)執(zhí)照等處罰；構成犯罪的，依法追究 刑事責任。第五章附則第三十八條本辦法下列用語的含義：（一）網(wǎng)絡運營者，是指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。（二）網(wǎng)絡數(shù)據(jù)，是指通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子 數(shù)據(jù)。（三）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息 結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、 身份證件號碼、個人生物識別信息、住址