財聯(lián)社9月30日訊，2024年9月24日，國務院總理李強簽署第790號國務院令，公布《網(wǎng)絡數(shù)據(jù)安全管理條例》（以下簡稱《條例》），自2025年1月1日起施行。日前，司法部、國家網(wǎng)信辦負責人就《條例》有關問題回答了記者提問。

問：請簡要介紹一下《條例》出臺的背景。

答：黨中央、國務院高度重視網(wǎng)絡數(shù)據(jù)安全管理工作。黨的二十屆三中全會強調，提升數(shù)據(jù)安全治理監(jiān)管能力，建立高效便利安全的數(shù)據(jù)跨境流動機制。近年來，隨著信息技術和人們生產(chǎn)生活交匯融合，數(shù)據(jù)處理活動更加頻繁，數(shù)據(jù)安全風險日益聚焦在網(wǎng)絡數(shù)據(jù)領域，違法處理網(wǎng)絡數(shù)據(jù)活動時有發(fā)生，給經(jīng)濟社會發(fā)展和國家安全帶來嚴峻挑戰(zhàn)?！吨腥A人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》對數(shù)據(jù)安全和個人信息保護制度作了基本規(guī)定。為做好法律實施，規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，保障網(wǎng)絡數(shù)據(jù)安全，促進網(wǎng)絡數(shù)據(jù)依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益，有必要制定配套行政法規(guī)。國務院將制定《條例》列入立法工作計劃。

國家網(wǎng)信辦在總結近年來網(wǎng)絡數(shù)據(jù)安全管理實踐經(jīng)驗、征求有關方面意見并向社會公開征求意見的基礎上，向國務院報送了《條例（草案送審稿）》。司法部在立法審查中，廣泛征求有關中央單位、地方人民政府、企事業(yè)單位、行業(yè)協(xié)會和專家學者意見，赴地方開展實地調研，多次召開企業(yè)和行業(yè)協(xié)會座談會聽取意見，會同國家網(wǎng)信辦反復研究修改，形成了《條例（草案）》。2024年8月30日，國務院常務會議審議通過了《條例（草案）》。

問：制定《條例》的總體思路？

答：《條例》制定工作堅持以習近平新時代中國特色社會主義思想為指導，深入貫徹習近平法治思想和習近平總書記關于網(wǎng)絡強國的重要思想，在總體思路上主要把握了以下四點：一是堅持黨的領導，全面貫徹黨的二十大和二十屆二中、三中全會精神，將習近平總書記關于網(wǎng)絡數(shù)據(jù)安全管理的重要指示批示精神以及黨中央、國務院決策部署落實到具體條文中。二是堅持總體國家安全觀，統(tǒng)籌發(fā)展和安全，既加強網(wǎng)絡數(shù)據(jù)安全保護，又鼓勵和促進網(wǎng)絡數(shù)據(jù)依法合理有效利用。三是堅持問題導向，聚焦個人信息、重要數(shù)據(jù)、網(wǎng)絡數(shù)據(jù)跨境流動等方面突出問題，有針對性地健全制度措施。四是堅持統(tǒng)籌協(xié)調，妥善處理與《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等上位法的關系，對相關制度規(guī)定予以細化、補充、完善。

問：《條例》對個人信息保護主要作了哪些規(guī)定？

答：《條例》重點細化了《中華人民共和國個人信息保護法》關于告知、同意、個人行使權利等方面的規(guī)定。一是明確通過制定個人信息處理規(guī)則履行告知義務的內容、形式等要求。二是明確基于個人同意處理個人信息應當遵守的基本要求。三是明確行使個人信息查閱、復制、更正、補充、刪除等權利的要求，細化個人信息轉移的具體條件。四是明確按照《中華人民共和國個人信息保護法》第五十三條規(guī)定在境內設立專門機構或者指定代表的要求。五是明確網(wǎng)絡數(shù)據(jù)處理者處理1000萬人以上個人信息還應當履行的義務。

問：《條例》關于保障重要數(shù)據(jù)安全主要作了哪些規(guī)定？

答：《條例》所規(guī)定的重要數(shù)據(jù)是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。為了保障重要數(shù)據(jù)安全，《條例》一是明確制定重要數(shù)據(jù)目錄的要求，規(guī)定網(wǎng)絡數(shù)據(jù)處理者識別、申報重要數(shù)據(jù)義務。二是規(guī)定網(wǎng)絡數(shù)據(jù)安全負責人和網(wǎng)絡數(shù)據(jù)安全管理機構責任。三是要求提供、委托處理、共同處理重要數(shù)據(jù)前進行風險評估，并明確重點評估內容。四是要求重要數(shù)據(jù)的處理者每年度對其網(wǎng)絡數(shù)據(jù)處理活動開展風險評估，并明確風險評估報告內容。

問：《條例》在建立高效便利安全的數(shù)據(jù)跨境流動機制方面是怎樣規(guī)定的？

答：《條例》在總結《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等部門規(guī)章制定實施經(jīng)驗基礎上，進一步優(yōu)化數(shù)據(jù)跨境流動機制。一是明確國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門建立國家數(shù)據(jù)出境安全管理專項工作機制，研究制定國家網(wǎng)絡數(shù)據(jù)出境安全管理相關政策，協(xié)調處理網(wǎng)絡數(shù)據(jù)出境安全重大事項。二是規(guī)定網(wǎng)絡數(shù)據(jù)處理者可以向境外提供個人信息的條件，明確未被相關地區(qū)、部門告知或者公開發(fā)布為重要數(shù)據(jù)的，不需要將其作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。三是明確網(wǎng)絡數(shù)據(jù)處理者通過數(shù)據(jù)出境安全評估后向境外提供個人信息和重要數(shù)據(jù)的，不得超出評估時明確的數(shù)據(jù)出境目的、方式、范圍和種類、規(guī)模等。此外，還規(guī)定國家采取措施，防范、處置網(wǎng)絡數(shù)據(jù)跨境安全風險和威脅。

問：《條例》對網(wǎng)絡平臺服務提供者義務作出專門規(guī)定的主要考慮是什么？具體是怎樣規(guī)定的？

答：網(wǎng)絡平臺服務提供者面向大量用戶和平臺內經(jīng)營者提供服務，一些網(wǎng)絡平臺服務提供者還向政府部門提供服務，對于促進數(shù)字經(jīng)濟發(fā)展、優(yōu)化公共服務發(fā)揮了重要作用。同時，實踐中存在網(wǎng)絡平臺服務提供者不履行網(wǎng)絡數(shù)據(jù)安全義務、濫用數(shù)據(jù)優(yōu)勢從事法律、行政法規(guī)禁止的活動等情況。國內外相關立法對此作了實踐探索。為此，《條例》一是規(guī)定了網(wǎng)絡平臺服務提供者、第三方產(chǎn)品和服務提供者、預裝應用程序的智能終端等設備生產(chǎn)者的網(wǎng)絡數(shù)據(jù)安全保護義務，并要求提供應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者建立應用程序核驗規(guī)則并開展網(wǎng)絡數(shù)據(jù)安全相關核驗。二是針對當前個性化推薦服務關閉難、收集個人信息類型多、個人精準畫像數(shù)據(jù)濫用等問題，明確網(wǎng)絡平臺服務提供者應當設置易于理解、便于訪問和操作的個性化推薦關閉選項，為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能。三是明確國家推進網(wǎng)絡身份認證公共服務建設，按照政府引導、用戶自愿原則進行推廣應用。鼓勵網(wǎng)絡平臺服務提供者支持用戶使用國家網(wǎng)絡身份認證公共服務登記、核驗真實身份信息。四是規(guī)定大型網(wǎng)絡平臺服務提供者每年度發(fā)布個人信息保護社會責任報告、防范網(wǎng)絡數(shù)據(jù)跨境安全風險的要求，以及明確不得利用網(wǎng)絡數(shù)據(jù)、算法、平臺規(guī)則等從事相關活動的義務。

問：《條例》關于開展網(wǎng)絡數(shù)據(jù)安全管理工作的部門職責分工是什么？

答：《條例》規(guī)定，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡數(shù)據(jù)安全和相關監(jiān)督管理工作。公安機關、國家安全機關依照有關法律、行政法規(guī)和本條例的規(guī)定，在各自職責范圍內承擔網(wǎng)絡數(shù)據(jù)安全監(jiān)督管理職責，依法防范和打擊危害網(wǎng)絡數(shù)據(jù)安全的違法犯罪活動。國家數(shù)據(jù)管理部門在具體承擔數(shù)據(jù)管理工作中履行相應的網(wǎng)絡數(shù)據(jù)安全職責。各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的網(wǎng)絡數(shù)據(jù)及網(wǎng)絡數(shù)據(jù)安全負責。各有關主管部門承擔本行業(yè)、本領域網(wǎng)絡數(shù)據(jù)安全監(jiān)督管理職責。

網(wǎng)絡數(shù)據(jù)安全管理條例

第一章總則

第一條為了規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，保障網(wǎng)絡數(shù)據(jù)安全，促進網(wǎng)絡數(shù)據(jù)依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益，根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律，制定本條例。

第二條在中華人民共和國境內開展網(wǎng)絡數(shù)據(jù)處理活動及其安全監(jiān)督管理，適用本條例。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，符合《中華人民共和國個人信息保護法》第三條第二款規(guī)定情形的，也適用本條例。

在中華人民共和國境外開展網(wǎng)絡數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

第三條網(wǎng)絡數(shù)據(jù)安全管理工作堅持中國共產(chǎn)黨的領導，貫徹總體國家安全觀，統(tǒng)籌促進網(wǎng)絡數(shù)據(jù)開發(fā)利用與保障網(wǎng)絡數(shù)據(jù)安全。

第四條國家鼓勵網(wǎng)絡數(shù)據(jù)在各行業(yè)、各領域的創(chuàng)新應用，加強網(wǎng)絡數(shù)據(jù)安全防護能力建設，支持網(wǎng)絡數(shù)據(jù)相關技術、產(chǎn)品、服務創(chuàng)新，開展網(wǎng)絡數(shù)據(jù)安全宣傳教育和人才培養(yǎng)，促進網(wǎng)絡數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。

第五條國家根據(jù)網(wǎng)絡數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對網(wǎng)絡數(shù)據(jù)實行分類分級保護。

第六條國家積極參與網(wǎng)絡數(shù)據(jù)安全相關國際規(guī)則和標準的制定，促進國際交流與合作。

第七條國家支持相關行業(yè)組織按照章程，制定網(wǎng)絡數(shù)據(jù)安全行為規(guī)范，加強行業(yè)自律，指導會員加強網(wǎng)絡數(shù)據(jù)安全保護，提高網(wǎng)絡數(shù)據(jù)安全保護水平，促進行業(yè)健康發(fā)展。

第二章一般規(guī)定

第八條任何個人、組織不得利用網(wǎng)絡數(shù)據(jù)從事非法活動，不得從事竊取或者以其他非法方式獲取網(wǎng)絡數(shù)據(jù)、非法出售或者非法向他人提供網(wǎng)絡數(shù)據(jù)等非法網(wǎng)絡數(shù)據(jù)處理活動。

任何個人、組織不得提供專門用于從事前款非法活動的程序、工具；明知他人從事前款非法活動的，不得為其提供互聯(lián)網(wǎng)接入、服務器托管、網(wǎng)絡存儲、通訊傳輸?shù)燃夹g支持，或者提供廣告推廣、支付結算等幫助。

第九條網(wǎng)絡數(shù)據(jù)處理者應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，在網(wǎng)絡安全等級保護的基礎上，加強網(wǎng)絡數(shù)據(jù)安全防護，建立健全網(wǎng)絡數(shù)據(jù)安全管理制度，采取加密、備份、訪問控制、安全認證等技術措施和其他必要措施，保護網(wǎng)絡數(shù)據(jù)免遭篡改、破壞、泄露或者非法獲取、非法利用，處置網(wǎng)絡數(shù)據(jù)安全事件，防范針對和利用網(wǎng)絡數(shù)據(jù)實施的違法犯罪活動，并對所處理網(wǎng)絡數(shù)據(jù)的安全承擔主體責任。

第十條網(wǎng)絡數(shù)據(jù)處理者提供的網(wǎng)絡產(chǎn)品、服務應當符合相關國家標準的強制性要求；發(fā)現(xiàn)網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告；涉及危害國家安全、公共利益的，網(wǎng)絡數(shù)據(jù)處理者還應當在24小時內向有關主管部門報告。

第十一條網(wǎng)絡數(shù)據(jù)處理者應當建立健全網(wǎng)絡數(shù)據(jù)安全事件應急預案，發(fā)生網(wǎng)絡數(shù)據(jù)安全事件時，應當立即啟動預案，采取措施防止危害擴大，消除安全隱患，并按照規(guī)定向有關主管部門報告。

網(wǎng)絡數(shù)據(jù)安全事件對個人、組織合法權益造成危害的，網(wǎng)絡數(shù)據(jù)處理者應當及時將安全事件和風險情況、危害后果、已經(jīng)采取的補救措施等，以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關系人；法律、行政法規(guī)規(guī)定可以不通知的，從其規(guī)定。網(wǎng)絡數(shù)據(jù)處理者在處置網(wǎng)絡數(shù)據(jù)安全事件過程中發(fā)現(xiàn)涉嫌違法犯罪線索的，應當按照規(guī)定向公安機關、國家安全機關報案，并配合開展偵查、調查和處置工作。

第十二條網(wǎng)絡數(shù)據(jù)處理者向其他網(wǎng)絡數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的，應當通過合同等與網(wǎng)絡數(shù)據(jù)接收方約定處理目的、方式、范圍以及安全保護義務等，并對網(wǎng)絡數(shù)據(jù)接收方履行義務的情況進行監(jiān)督。向其他網(wǎng)絡數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的處理情況記錄，應當至少保存3年。

網(wǎng)絡數(shù)據(jù)接收方應當履行網(wǎng)絡數(shù)據(jù)安全保護義務，并按照約定的目的、方式、范圍等處理個人信息和重要數(shù)據(jù)。

兩個以上的網(wǎng)絡數(shù)據(jù)處理者共同決定個人信息和重要數(shù)據(jù)的處理目的和處理方式的，應當約定各自的權利和義務。

第十三條網(wǎng)絡數(shù)據(jù)處理者開展網(wǎng)絡數(shù)據(jù)處理活動，影響或者可能影響國家安全的，應當按照國家有關規(guī)定進行國家安全審查。

第十四條網(wǎng)絡數(shù)據(jù)處理者因合并、分立、解散、破產(chǎn)等原因需要轉移網(wǎng)絡數(shù)據(jù)的，網(wǎng)絡數(shù)據(jù)接收方應當繼續(xù)履行網(wǎng)絡數(shù)據(jù)安全保護義務。

第十五條國家機關委托他人建設、運行、維護電子政務系統(tǒng)，存儲、加工政務數(shù)據(jù)，應當按照國家有關規(guī)定經(jīng)過嚴格的批準程序，明確受托方的網(wǎng)絡數(shù)據(jù)處理權限、保護責任等，監(jiān)督受托方履行網(wǎng)絡數(shù)據(jù)安全保護義務。

第十六條網(wǎng)絡數(shù)據(jù)處理者為國家機關、關鍵信息基礎設施運營者提供服務，或者參與其他公共基礎設施、公共服務系統(tǒng)建設、運行、維護的，應當依照法律、法規(guī)的規(guī)定和合同約定履行網(wǎng)絡數(shù)據(jù)安全保護義務，提供安全、穩(wěn)定、持續(xù)的服務。

前款規(guī)定的網(wǎng)絡數(shù)據(jù)處理者未經(jīng)委托方同意，不得訪問、獲取、留存、使用、泄露或者向他人提供網(wǎng)絡數(shù)據(jù)，不得對網(wǎng)絡數(shù)據(jù)進行關聯(lián)分析。

第十七條為國家機關提供服務的信息系統(tǒng)應當參照電子政務系統(tǒng)的管理要求加強網(wǎng)絡數(shù)據(jù)安全管理，保障網(wǎng)絡數(shù)據(jù)安全。

第十八條網(wǎng)絡數(shù)據(jù)處理者使用自動化工具訪問、收集網(wǎng)絡數(shù)據(jù)，應當評估對網(wǎng)絡服務帶來的影響，不得非法侵入他人網(wǎng)絡，不得干擾網(wǎng)絡服務正常運行。

第十九條提供生成式人工智能服務的網(wǎng)絡數(shù)據(jù)處理者應當加強對訓練數(shù)據(jù)和訓練數(shù)據(jù)處理活動的安全管理，采取有效措施防范和處置網(wǎng)絡數(shù)據(jù)安全風險。

第二十條面向社會提供產(chǎn)品、服務的網(wǎng)絡數(shù)據(jù)處理者應當接受社會監(jiān)督，建立便捷的網(wǎng)絡數(shù)據(jù)安全投訴、舉報渠道，公布投訴、舉報方式等信息，及時受理并處理網(wǎng)絡數(shù)據(jù)安全投訴、舉報。

第三章個人信息保護

第二十一條網(wǎng)絡數(shù)據(jù)處理者在處理個人信息前，通過制定個人信息處理規(guī)則的方式依法向個人告知的，個人信息處理規(guī)則應當集中公開展示、易于訪問并置于醒目位置，內容明確具體、清晰易懂，包括但不限于下列內容：

（一）網(wǎng)絡數(shù)據(jù)處理者的名稱或者姓名和聯(lián)系方式；

（二）處理個人信息的目的、方式、種類，處理敏感個人信息的必要性以及對個人權益的影響；

（三）個人信息保存期限和到期后的處理方式，保存期限難以確定的，應當明確保存期限的確定方法；

（四）個人查閱、復制、轉移、更正、補充、刪除、限制處理個人信息以及注銷賬號、撤回同意的方法和途徑等。

網(wǎng)絡數(shù)據(jù)處理者按照前款規(guī)定向個人告知收集和向其他網(wǎng)絡數(shù)據(jù)處理者提供個人信息的目的、方式、種類以及網(wǎng)絡數(shù)據(jù)接收方信息的，應當以清單等形式予以列明。網(wǎng)絡數(shù)據(jù)處理者處理不滿十四周歲未成年人個人信息的，還應當制定專門的個人信息處理規(guī)則。

第二十二條網(wǎng)絡數(shù)據(jù)處理者基于個人同意處理個人信息的，應當遵守下列規(guī)定：

（一）收集個人信息為提供產(chǎn)品或者服務所必需，不得超范圍收集個人信息，不得通過誤導、欺詐、脅迫等方式取得個人同意；

（二）處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息的，應當取得個人的單獨同意；

（三）處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意；

（四）不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息；

（五）不得在個人明確表示不同意處理其個人信息后，頻繁征求同意；

（六）個人信息的處理目的、方式、種類發(fā)生變更的，應當重新取得個人同意。

法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。

第二十三條個人請求查閱、復制、更正、補充、刪除、限制處理其個人信息，或者個人注銷賬號、撤回同意的，網(wǎng)絡數(shù)據(jù)處理者應當及時受理，并提供便捷的支持個人行使權利的方法和途徑，不得設置不合理條件限制個人的合理請求。

第二十四條因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷賬號的，網(wǎng)絡數(shù)據(jù)處理者應當刪除個人信息或者進行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除、匿名化處理個人信息從技術上難以實現(xiàn)的，網(wǎng)絡數(shù)據(jù)處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

第二十五條對符合下列條件的個人信息轉移請求，網(wǎng)絡數(shù)據(jù)處理者應當為個人指定的其他網(wǎng)絡數(shù)據(jù)處理者訪問、獲取有關個人信息提供途徑：

（一）能夠驗證請求人的真實身份；

（二）請求轉移的是本人同意提供的或者基于合同收集的個人信息；

（三）轉移個人信息具備技術可行性；

（四）轉移個人信息不損害他人合法權益。

請求轉移個人信息次數(shù)等明顯超出合理范圍的，網(wǎng)絡數(shù)據(jù)處理者可以根據(jù)轉移個人信息的成本收取必要費用。

第二十六條中華人民共和國境外網(wǎng)絡數(shù)據(jù)處理者處理境內自然人個人信息，依照《中華人民共和國個人信息保護法》第五十三條規(guī)定在境內設立專門機構或者指定代表的，應當將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送所在地設區(qū)的市級網(wǎng)信部門；網(wǎng)信部門應當及時通報同級有關主管部門。

第二十七條網(wǎng)絡數(shù)據(jù)處理者應當定期自行或者委托專業(yè)機構對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

第二十八條網(wǎng)絡數(shù)據(jù)處理者處理1000萬人以上個人信息的，還應當遵守本條例第三十條、第三十二條對處理重要數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者（以下簡稱重要數(shù)據(jù)的處理者）作出的規(guī)定。

第四章重要數(shù)據(jù)安全

第二十九條國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的網(wǎng)絡數(shù)據(jù)進行重點保護。

網(wǎng)絡數(shù)據(jù)處理者應當按照國家有關規(guī)定識別、申報重要數(shù)據(jù)。對確認為重要數(shù)據(jù)的，相關地區(qū)、部門應當及時向網(wǎng)絡數(shù)據(jù)處理者告知或者公開發(fā)布。網(wǎng)絡數(shù)據(jù)處理者應當履行網(wǎng)絡數(shù)據(jù)安全保護責任。

國家鼓勵網(wǎng)絡數(shù)據(jù)處理者使用數(shù)據(jù)標簽標識等技術和產(chǎn)品，提高重要數(shù)據(jù)安全管理水平。

第三十條重要數(shù)據(jù)的處理者應當明確網(wǎng)絡數(shù)據(jù)安全負責人和網(wǎng)絡數(shù)據(jù)安全管理機構。網(wǎng)絡數(shù)據(jù)安全管理機構應當履行下列網(wǎng)絡數(shù)據(jù)安全保護責任：

（一）制定實施網(wǎng)絡數(shù)據(jù)安全管理制度、操作規(guī)程和網(wǎng)絡數(shù)據(jù)安全事件應急預案；

（二）定期組織開展網(wǎng)絡數(shù)據(jù)安全風險監(jiān)測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網(wǎng)絡數(shù)據(jù)安全風險和事件；

（三）受理并處理網(wǎng)絡數(shù)據(jù)安全投訴、舉報。

網(wǎng)絡數(shù)據(jù)安全負責人應當具備網(wǎng)絡數(shù)據(jù)安全專業(yè)知識和相關管理工作經(jīng)歷，由網(wǎng)絡數(shù)據(jù)處理者管理層成員擔任，有權直接向有關主管部門報告網(wǎng)絡數(shù)據(jù)安全情況。

掌握有關主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者，應當對網(wǎng)絡數(shù)據(jù)安全負責人和關鍵崗位的人員進行安全背景審查，加強相關人員培訓。審查時，可以申請公安機關、國家安全機關協(xié)助。

第三十一條重要數(shù)據(jù)的處理者提供、委托處理、共同處理重要數(shù)據(jù)前，應當進行風險評估，但是屬于履行法定職責或者法定義務的除外。

風險評估應當重點評估下列內容：

（一）提供、委托處理、共同處理網(wǎng)絡數(shù)據(jù)，以及網(wǎng)絡數(shù)據(jù)接收方處理網(wǎng)絡數(shù)據(jù)的目的、方式、范圍等是否合法、正當、必要；

（二）提供、委托處理、共同處理的網(wǎng)絡數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用的風險，以及對國家安全、公共利益或者個人、組織合法權益帶來的風險；

（三）網(wǎng)絡數(shù)據(jù)接收方的誠信、守法等情況；

（四）與網(wǎng)絡數(shù)據(jù)接收方訂立或者擬訂立的相關合同中關于網(wǎng)絡數(shù)據(jù)安全的要求能否有效約束網(wǎng)絡數(shù)據(jù)接收方履行網(wǎng)絡數(shù)據(jù)安全保護義務；

（五）采取或者擬采取的技術和管理措施等能否有效防范網(wǎng)絡數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風險；

（六）有關主管部門規(guī)定的其他評估內容。

第三十二條重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的，應當采取措施保障網(wǎng)絡數(shù)據(jù)安全，并向省級以上有關主管部門報告重要數(shù)據(jù)處置方案、接收方的名稱或者姓名和聯(lián)系方式等；主管部門不明確的，應當向省級以上數(shù)據(jù)安全工作協(xié)調機制報告。

第三十三條重要數(shù)據(jù)的處理者應當每年度對其網(wǎng)絡數(shù)據(jù)處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告，有關主管部門應當及時通報同級網(wǎng)信部門、公安機關。

風險評估報告應當包括下列內容：

（一）網(wǎng)絡數(shù)據(jù)處理者基本信息、網(wǎng)絡數(shù)據(jù)安全管理機構信息、網(wǎng)絡數(shù)據(jù)安全負責人姓名和聯(lián)系方式等；

（二）處理重要數(shù)據(jù)的目的、種類、數(shù)量、方式、范圍、存儲期限、存儲地點等，開展網(wǎng)絡數(shù)據(jù)處理活動的情況，不包括網(wǎng)絡數(shù)據(jù)內容本身；

（三）網(wǎng)絡數(shù)據(jù)安全管理制度及實施情況，加密、備份、標簽標識、訪問控制、安全認證等技術措施和其他必要措施及其有效性；

（四）發(fā)現(xiàn)的網(wǎng)絡數(shù)據(jù)安全風險，發(fā)生的網(wǎng)絡數(shù)據(jù)安全事件及處置情況；

（五）提供、委托處理、共同處理重要數(shù)據(jù)的風險評估情況；

（六）網(wǎng)絡數(shù)據(jù)出境情況；

（七）有關主管部門規(guī)定的其他報告內容。

處理重要數(shù)據(jù)的大型網(wǎng)絡平臺服務提供者報送的風險評估報告，除包括前款規(guī)定的內容外，還應當充分說明關鍵業(yè)務和供應鏈網(wǎng)絡數(shù)據(jù)安全等情況。

重要數(shù)據(jù)的處理者存在可能危害國家安全的重要數(shù)據(jù)處理活動的，省級以上有關主管部門應當責令其采取整改或者停止處理重要數(shù)據(jù)等措施。重要數(shù)據(jù)的處理者應當按照有關要求立即采取措施。

第五章網(wǎng)絡數(shù)據(jù)跨境安全管理

第三十四條國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門建立國家數(shù)據(jù)出境安全管理專項工作機制，研究制定國家網(wǎng)絡數(shù)據(jù)出境安全管理相關政策，協(xié)調處理網(wǎng)絡數(shù)據(jù)出境安全重大事項。

第三十五條符合下列條件之一的，網(wǎng)絡數(shù)據(jù)處理者可以向境外提供個人信息：

（一）通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估；

（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證；

（三）符合國家網(wǎng)信部門制定的關于個人信息出境標準合同的規(guī)定；

（四）為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息；

（五）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息；

（六）為履行法定職責或者法定義務，確需向境外提供個人信息；

（七）緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息;

（八）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

第三十六條中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

第三十七條網(wǎng)絡數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)確需向境外提供的，應當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。網(wǎng)絡數(shù)據(jù)處理者按照國家有關規(guī)定識別、申報重要數(shù)據(jù)，但未被相關地區(qū)、部門告知或者公開發(fā)布為重要數(shù)據(jù)的，不需要將其作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。

第三十八條通過數(shù)據(jù)出境安全評估后，網(wǎng)絡數(shù)據(jù)處理者向境外提供個人信息和重要數(shù)據(jù)的，不得超出評估時明確的數(shù)據(jù)出境目的、方式、范圍和種類、規(guī)模等。

第三十九條國家采取措施，防范、處置網(wǎng)絡數(shù)據(jù)跨境安全風險和威脅。任何個人、組織不得提供專門用于破壞、避開技術措施的程序、工具等；明知他人從事破壞、避開技術措施等活動的，不得為其提供技術支持或者幫助。

第六章網(wǎng)絡平臺服務提供者義務

第四十條網(wǎng)絡平臺服務提供者應當通過平臺規(guī)則或者合同等明確接入其平臺的第三方產(chǎn)品和服務提供者的網(wǎng)絡數(shù)據(jù)安全保護義務，督促第三方產(chǎn)品和服務提供者加強網(wǎng)絡數(shù)據(jù)安全管理。

預裝應用程序的智能終端等設備生產(chǎn)者，適用前款規(guī)定。

第三方產(chǎn)品和服務提供者違反法律、行政法規(guī)的規(guī)定或者平臺規(guī)則、合同約定開展網(wǎng)絡數(shù)據(jù)處理活動，對用戶造成損害的，網(wǎng)絡平臺服務提供者、第三方產(chǎn)品和服務提供者、預裝應用程序的智能終端等設備生產(chǎn)者應當依法承擔相應責任。

國家鼓勵保險公司開發(fā)網(wǎng)絡數(shù)據(jù)損害賠償責任險種，鼓勵網(wǎng)絡平臺服務提供者、預裝應用程序的智能終端等設備生產(chǎn)者投保。

第四十一條提供應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者，應當建立應用程序核驗規(guī)則并開展網(wǎng)絡數(shù)據(jù)安全相關核驗。發(fā)現(xiàn)待分發(fā)或者已分發(fā)的應用程序不符合法律、行政法規(guī)的規(guī)定或者國家標準的強制性要求的，應當采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。

第四十二條網(wǎng)絡平臺服務提供者通過自動化決策方式向個人進行信息推送的，應當設置易于理解、便于訪問和操作的個性化推薦關閉選項，為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能。

第四十三條國家推進網(wǎng)絡身份認證公共服務建設，按照政府引導、用戶自愿原則進行推廣應用。

鼓勵網(wǎng)絡平臺服務提供者支持用戶使用國家網(wǎng)絡身份認證公共服務登記、核驗真實身份信息。

第四十四條大型網(wǎng)絡平臺服務提供者應當每年度發(fā)布個人信息保護社會責任報告，報告內容包括但不限于個人信息保護措施和成效、個人行使權利的申請受理情況、主要由外部成員組成的個人信息保護監(jiān)督機構履行職責情況等。

第四十五條大型網(wǎng)絡平臺服務提供者跨境提供網(wǎng)絡數(shù)據(jù)，應當遵守國家數(shù)據(jù)跨境安全管理要求，健全相關技術和管理措施，防范網(wǎng)絡數(shù)據(jù)跨境安全風險。

第四十六條大型網(wǎng)絡平臺服務提供者不得利用網(wǎng)絡數(shù)據(jù)、算法以及平臺規(guī)則等從事下列活動：

（一）通過誤導、欺詐、脅迫等方式處理用戶在平臺上產(chǎn)生的網(wǎng)絡數(shù)據(jù)；

（二）無正當理由限制用戶訪問、使用其在平臺上產(chǎn)生的網(wǎng)絡數(shù)據(jù)；

（三）對用戶實施不合理的差別待遇，損害用戶合法權益；

（四）法律、行政法規(guī)禁止的其他活動。

第七章監(jiān)督管理

第四十七條國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡數(shù)據(jù)安全和相關監(jiān)督管理工作。

公安機關、國家安全機關依照有關法律、行政法規(guī)和本條例的規(guī)定，在各自職責范圍內承擔網(wǎng)絡數(shù)據(jù)安全監(jiān)督管理職責，依法防范和打擊危害網(wǎng)絡數(shù)據(jù)安全的違法犯罪活動。

國家數(shù)據(jù)管理部門在具體承擔數(shù)據(jù)管理工作中履行相應的網(wǎng)絡數(shù)據(jù)安全職責。

各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的網(wǎng)絡數(shù)據(jù)及網(wǎng)絡數(shù)據(jù)安全負責。

第四十八條各有關主管部門承擔本行業(yè)、本領域網(wǎng)絡數(shù)據(jù)安全監(jiān)督管理職責，應當明確本行業(yè)、本領域網(wǎng)絡數(shù)據(jù)安全保護工作機構，統(tǒng)籌制定并組織實施本行業(yè)、本領域網(wǎng)絡數(shù)據(jù)安全事件應急預案，定期組織開展本行業(yè)、本領域網(wǎng)絡數(shù)據(jù)安全風險評估，對網(wǎng)絡數(shù)據(jù)處理者履行網(wǎng)絡數(shù)據(jù)安全保護義務情況進行監(jiān)督檢查，指導督促網(wǎng)絡數(shù)據(jù)處理者及時對存在的風險隱患進行整改。

第四十九條國家網(wǎng)信部門統(tǒng)籌協(xié)調有關主管部門及時匯總、研判、共享、發(fā)布網(wǎng)絡數(shù)據(jù)安全風險相關信息，加強網(wǎng)絡數(shù)據(jù)安全信息共享、網(wǎng)絡數(shù)據(jù)安全風險和威脅監(jiān)測預警以及網(wǎng)絡數(shù)據(jù)安全事件應急處置工作。

第五十條有關主管部門可以采取下列措施對網(wǎng)絡數(shù)據(jù)安全進行監(jiān)督檢查：

（一）要求網(wǎng)絡數(shù)據(jù)處理者及其相關人員就監(jiān)督檢查事項作出說明；

（二）查閱、復制與網(wǎng)絡數(shù)據(jù)安全有關的文件、記錄；

（三）檢查網(wǎng)絡數(shù)據(jù)安全措施運行情況；

（四）檢查與網(wǎng)絡數(shù)據(jù)處理活動有關的設備、物品；

（五）法律、行政法規(guī)規(guī)定的其他必要措施。

網(wǎng)絡數(shù)據(jù)處理者應當對有關主管部門依法開展的網(wǎng)絡數(shù)據(jù)安全監(jiān)督檢查予以配合。

第五十一條有關主管部門開展網(wǎng)絡數(shù)據(jù)安全監(jiān)督檢查，應當客觀公正，不得向被檢查單位收取費用。

有關主管部門在網(wǎng)絡數(shù)據(jù)安全監(jiān)督檢查中不得訪問、收集與網(wǎng)絡數(shù)據(jù)安全無關的業(yè)務信息，獲取的信息只能用于維護網(wǎng)絡數(shù)據(jù)安全的需要，不得用于其他用途。

有關主管部門發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)處理者的網(wǎng)絡數(shù)據(jù)處理活動存在較大安全風險的，可以按照規(guī)定的權限和程序要求網(wǎng)絡數(shù)據(jù)處理者暫停相關服務、修改平臺規(guī)則、完善技術措施等，消除網(wǎng)絡數(shù)據(jù)安全隱患。

第五十二條有關主管部門在開展網(wǎng)絡數(shù)據(jù)安全監(jiān)督檢查時，應當加強協(xié)同配合、信息溝通，合理確定檢查頻次和檢查方式，避免不必要的檢查和交叉重復檢查。

個人信息保護合規(guī)審計、重要數(shù)據(jù)風險評估、重要數(shù)據(jù)出境安全評估等應當加強銜接，避免重復評估、審計。重要數(shù)據(jù)風險評估和網(wǎng)絡安全等級測評的內容重合的，相關結果可以互相采信。

第五十三條有關主管部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等網(wǎng)絡數(shù)據(jù)應當依法予以保密，不得泄露或者非法向他人提供。

第五十四條境外的組織、個人從事危害中華人民共和國國家安全、公共利益，或者侵害中華人民共和國公民的個人信息權益的網(wǎng)絡數(shù)據(jù)處理活動的，國家網(wǎng)信部門會同有關主管部門可以依法采取相應的必要措施。

第八章法律責任

第五十五條違反本條例第十二條、第十六條至第二十條、第二十二條、第四十條第一款和第二款、第四十一條、第四十二條規(guī)定的，由網(wǎng)信、電信、公安等主管部門依據(jù)各自職責責令改正，給予警告，沒收違法所得；拒不改正或者情節(jié)嚴重的，處100萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款。

第五十六條違反本條例第十三條規(guī)定的，由網(wǎng)信、電信、公安、國家安全等主管部門依據(jù)各自職責責令改正，給予警告，可以并處10萬元以上100萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款；拒不改正或者情節(jié)嚴重的，處100萬元以上1000萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

第五十七條違反本條例第二十九條第二款、第三十條第二款和第三款、第三十一條、第三十二條規(guī)定的，由網(wǎng)信、電信、公安等主管部門依據(jù)各自職責責令改正，給予警告，可以并處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款；拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的，處50萬元以上200萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處5萬元以上20萬元以下罰款。

第五十八條違反本條例其他有關規(guī)定的，由有關主管部門依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律的有關規(guī)定追究法律責任。

第五十九條網(wǎng)絡數(shù)據(jù)處理者存在主動消除或者減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的，依照《中華人民共和國行政處罰法》的規(guī)定從輕、減輕或者不予行政處罰。

第六十條國家機關不履行本條例規(guī)定的網(wǎng)絡數(shù)據(jù)安全保護義務的，由其上級機關或者有關主管部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

第六十一條違反本條例規(guī)定，給他人造成損害的，依法承擔民事責任；構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第九章附則

第六十二條本條例下列用語的含義：

（一）網(wǎng)絡數(shù)據(jù)，是指通過網(wǎng)絡處理和產(chǎn)生的各種電子數(shù)據(jù)。

（二）網(wǎng)絡數(shù)據(jù)處理活動，是指網(wǎng)絡數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

（三）網(wǎng)絡數(shù)據(jù)處理者，是指在網(wǎng)絡數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人、組織。

（四）重要數(shù)據(jù)，是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。

（五）委托處理，是指網(wǎng)絡數(shù)據(jù)處理者委托個人、組織按照約定的目的和方式開展的網(wǎng)絡數(shù)據(jù)處理活動。

（六）共同處理，是指兩個以上的網(wǎng)絡數(shù)據(jù)處理者共同決定網(wǎng)絡數(shù)據(jù)的處理目的和處理方式的網(wǎng)絡數(shù)據(jù)處理活動。

（七）單獨同意，是指個人針對其個人信息進行特定處理而專門作出具體、明確的同意。

（八）大型網(wǎng)絡平臺，是指注冊用戶5000萬以上或者月活躍用戶1000萬以上，業(yè)務類型復雜，網(wǎng)絡數(shù)據(jù)處理活動對國家安全、經(jīng)濟運行、國計民生等具有重要影響的網(wǎng)絡平臺。

第六十三條開展核心數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理活動，按照國家有關規(guī)定執(zhí)行。

自然人因個人或者家庭事務處理個人信息的，不適用本條例。

開展涉及國家秘密、工作秘密的網(wǎng)絡數(shù)據(jù)處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

第六十四條本條例自2025年1月1日起施行。