《网络数据安全管理条例》向社会公开征求意见

    为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，我办会同相关部门研究起草《网络数据安全管理条例（征求意见稿）》，现向社会公开征求意见。公众可通过以下途径和方式反馈意见：

  1.通过电子邮件将意见发送至：shujuju@cac.gov.cn。

  2.通过信函将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局，邮编：100044，并在信封上注明“网络数据安全管理条例征求意见”。

  意见反馈截止时间为2021年12月13日。

  附件：《网络数据安全管理条例（征求意见稿）》

国家互联网信息办公室

2021年11月14日

网络数据安全管理条例

（征求意见稿）

  第一章 总则

  第一条 为了规范网络数据处理活动，保障数据安全，保护个人、组织在网络空间的合法权益，维护国家安全、公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律，制定本条例。

  第二条 在中华人民共和国境内利用网络开展数据处理活动，以及网络数据安全的监督管理，适用本条例。

  在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动，有下列情形之一的，适用本条例：

  （一）以向境内提供产品或者服务为目的；

  （二）分析、评估境内个人、组织的行为；

  （三）涉及境内重要数据处理；

  （四）法律、行政法规规定的其他情形。

  自然人因个人或者家庭事务开展数据处理活动，不适用本条例。

  第三条 国家统筹发展和安全，坚持促进数据开发利用与保障数据安全并重，加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。

  第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。

  国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作，开展数据安全宣传教育和培训。

  第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

  国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

  各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

  第六条 数据处理者对所处理数据的安全负责，履行数据安全保护义务，接受政府和社会监督，承担社会责任。

  数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制。

  第七条 国家推动公共数据开放、共享，促进数据开发利用，并依法对公共数据实施监督管理。

  国家建立健全数据交易管理制度，明确数据交易机构设立、运行标准，规范数据流通交易行为，确保数据依法有序流通。

  第二章 一般规定

  第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规，尊重社会公德和伦理，不得从事以下活动：

  （一）危害国家安全、荣誉和利益，泄露国家秘密和工作秘密；

  （二）侵害他人名誉权、隐私权、著作权和其他合法权益等；

  （三）通过窃取或者以其他非法方式获取数据；

  （四）非法出售或者非法向他人提供数据；

  （五）制作、发布、复制、传播违法信息；

  （六）法律、行政法规禁止的其他行为。

  任何个人和组织知道或者应当知道他人从事前款活动的，不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。

  第九条 数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。

  数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

  数据处理者应当使用密码对重要数据和核心数据进行保护。

  第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益等风险时，应当立即采取补救措施。

  第十一条 数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

  发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务：

  （一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；

  （二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

  第十二条 数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：

  （一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；

  （二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督；

  （三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

  数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

  第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

  （一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

  （二）处理一百万人以上个人信息的数据处理者赴国外上市的；

  （三）数据处理者赴香港上市，影响或者可能影响国家安全的；

  （四）其他影响或者可能影响国家安全的数据处理活动。

  大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

  第十四条 数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。

  第十五条 数据处理者从其他途径获取的数据，应当按照本条例的规定履行数据安全保护义务。

  第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

  第十七条 数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。

  自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。

  第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。

  数据处理者应当公布接受投诉、举报的联系方式、责任人信息，每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。

  第三章 个人信息保护

  第十九条 数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求：

  （一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的；

  （二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式；

  （三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。

  第二十条 数据处理者处理个人信息，应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、简明通俗，系统全面地向个人说明个人信息处理情况。

  个人信息处理规则应当包括但不限于以下内容：

  （一）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响；

  （二）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；

  （三）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法；

  （四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则；

  （五）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等；

  （六）个人信息安全风险及保护措施；

  （七）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

  第二十一条 处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定：

  （一）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；

  （二）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意；

  （三）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意；

  （四）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；

  （五）不得通过误导、欺诈、胁迫等方式获得个人的同意；

  （六）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；

  （七）不得超出个人授权同意的范围处理个人信息；

  （八）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

  个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，数据处理者应当重新取得个人同意，并同步修改个人信息处理规则。

  对个人同意行为有效性存在争议的，数据处理者负有举证责任。

  第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理：

  （一）已实现个人信息处理目的或者实现处理目的不再必要；

  （二）达到与用户约定或者个人信息处理规则明确的存储期限；

  （三）终止服务或者个人注销账号；

  （四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

  删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。

  法律、行政法规另有规定的从其规定。

  第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务：

  （一）提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制；

  （二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件；

  （三）收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的，应当在十五个工作日内处理并反馈。

  法律、行政法规另有规定的从其规定。

  第二十四条 符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务：

  （一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；

  （二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；

  （三）能够验证请求人的合法身份。

  数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。

  请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。

  第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

  法律、行政法规另有规定的从其规定。

  第二十六条 数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。

  第四章 重要数据安全

  第二十七条 各地区、各部门按照国家有关要求和标准，组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据，组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。

  第二十八条 重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行以下职责：

  （一）研究提出数据安全相关重大决策建议；

  （二）制定实施数据安全保护计划和数据安全事件应急预案；

  （三）开展数据安全风险监测，及时处置数据安全风险和事件；

  （四）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；

  （五）受理、处置数据安全投诉、举报；

  （六）按照要求及时向网信部门和主管、监管部门报告数据安全情况。

  数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。

  第二十九条 重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，备案内容包括：

  （一）数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式等；

  （二）处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等，不包括数据内容本身；

  （三）国家网信部门和主管、监管部门规定的其他备案内容。

  处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应当重新备案。

  依据部门职责分工，网信部门与有关部门共享备案信息。

  第三十条 重要数据的处理者，应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

  第三十一条 重要数据的处理者，应当优先采购安全可信的网络产品和服务。

  第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：

  （一）处理重要数据的情况；

  （二）发现的数据安全风险及处置措施；

  （三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性；

  （四）落实国家数据安全法律、行政法规和标准情况；

  （五）发生的数据安全事件及其处置情况；

  （六）共享、交易、委托处理、向境外提供重要数据的安全评估情况；

  （七）数据安全相关的投诉及处理情况；

  （八）国家网信部门和主管、监管部门明确的其他数据安全情况。

  数据处理者应当保留风险评估报告至少三年。

  依据部门职责分工，网信部门与有关部门共享报告信息。

  数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：

  （一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要；

  （二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；

  （三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全；

  （四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；

  （五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。

  评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。

  第三十三条 数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

  第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。

  第五章 数据跨境安全管理

  第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：

  （一）通过国家网信部门组织的数据出境安全评估；

  （二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；

  （三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；

  （四）法律、行政法规或者国家网信部门规定的其他条件。

  数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

  第三十六条 数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。

  收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。

  第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：

  （一）出境数据中包含重要数据；

  （二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；

  （三）国家网信部门规定的其它情形。

  法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

  第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

  第三十九条 数据处理者向境外提供数据应当履行以下义务：

  （一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息；

  （二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；

  （三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；

  （四）接受和处理数据出境所涉及的用户投诉；

  （五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；

  （六）存留相关日志记录和数据出境审批记录三年以上；

  （七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；

  （八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；

  （九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

  非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

  第四十条 向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况：

  （一）全部数据接收方名称、联系方式；

  （二）出境数据的类型、数量及目的；

  （三）数据在境外的存放地点、存储期限、使用范围和方式；

  （四）涉及向境外提供数据的用户投诉及处理情况；

  （五）发生的数据安全事件及其处置情况；

  （六）数据出境后再转移的情况；

  （七）国家网信部门明确向境外提供数据需要报告的其他事项。

  第四十一条 国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

  任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。

  境内用户访问境内网络的，其流量不得被路由至境外。

  第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。

  第六章 互联网平台运营者义务

  第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。

  平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。

  日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

  第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。

  第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。