国家互联网信息办公室就《网络数据安全管理条例（征求意见稿）》揭露征求意见

KK免更新

国家互联网信息办公室就《网络数据安全管理条例（征求意见稿）》揭露征求意见

2021-11-14 14:58:16

阅读（13502）

为实施《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息维护法》等法令关于数据安全办理的规矩，规范网络数据处理活动，维护个人、安排在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法方案，我办会同相关部分研讨起草《网络数据安全办理法令（寻求定见稿）》，现向社会揭露寻求定见。大众可经过以下途径和办法反应定见：

1.经过电子邮件将定见发送至：shujuju@cac.gov.cn。

2.经过信函将定见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络数据办理局，邮编：100044，并在信封上注明"网络数据安全办理法令寻求定见"。

定见反应截止时刻为2021年12月13日。

附件：《网络数据安全办理法令（寻求定见稿）》

国家互联网信息办公室

2021年11月14日

网络数据安全办理法令

（寻求定见稿）

第一章总则

第一条 为了规范网络数据处理活动，保证数据安全，维护个人、安排在网络空间的合法权益，维护国家安全、公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息维护法》等法令，拟定本法令。

第二条 在中华人民共和国境内运用网络展开数据处理活动，以及网络数据安全的监督办理，适用本法令。

在中华人民共和国境外处理中华人民共和国境内个人和安排数据的活动，有下列景象之一的，适用本法令：

（一）以向境内供给产品或许服务为意图；

（二）剖析、评价境内个人、安排的行为；

（三）触及境内重要数据处理；

（四）法令、行政法规规矩的其他景象。

自然人因个人或许家庭事务展开数据处理活动，不适用本法令。

第三条 国家统筹展开和安全，坚持促进数据开发运用与保证数据安全偏重，加强数据安全防护才能建造，保证数据依法有序自在活动，促进数据依法合理有用运用。

第四条 国家支撑数据开发运用与安全维护相关的技能、产品、服务立异和人才培养。

国家鼓舞国家机关、职业安排、企业、教育和科研安排、有关专业安排等展开数据开发运用和安全维护协作，展开数据安全宣传教育和训练。

第五条 国家树立数据分类分级维护准则。依照数据对国家安全、公共利益或许个人、安排合法权益的影响和重要程度，将数据分为一般数据、重要数据、中心数据，不平等级的数据采用不同的维护办法。

国家对个人信息和重要数据进行要点维护，对中心数据实施严厉维护。

各区域、各部分应当依照国家数据分类分级要求，对本区域、本部分以及相关职业、范畴的数据进行分类分级办理。

第六条 数据处理者对所处理数据的安全担任，实施数据安全维护责任，承受政府和社会监督，承当社会责任。

数据处理者应当依照有关法令、行政法规的规矩和国家规范的强制性要求，树立完善数据安全办理准则和技能维护机制。

第七条 国家推进公共数据敞开、同享，促进数据开发运用，并依法对公共数据实施监督办理。

国家树立健全数据买卖办理准则，清晰数据买卖安排树立、运转规范，规范数据流转买卖行为，保证数据依法有序流转。

第二章一般规矩

第八条 任何个人和安排展开数据处理活动应当恪遵法令、行政法规，尊重社会公德和道德，不得从事以下活动：

（一）损害国家安全、荣誉和利益，走漏国家隐秘和作业隐秘；

（二）损害别人名誉权、隐私权、著作权和其他合法权益等；

（三）经过盗取或许以其他不合法办法获取数据；

（四）不合法出售或许不合法向别人供给数据；

（五）制造、发布、仿制、传达违法信息；

（六）法令、行政法规制止的其他行为。

任何个人和安排知道或许应当知道别人从事前款活动的，不得为其供给技能支撑、东西、程序和广告推行、付出结算等服务。

第九条 数据处理者应当采用备份、加密、拜访操控等必要办法，保证数据免遭走漏、盗取、篡改、毁损、丢掉、不合法运用，应对数据安全事情，防备针对和运用数据的违法违法活动，维护数据的完整性、保密性、可用性。

数据处理者应当依照网络安全等级维护的要求，加强数据处理体系、数据传输网络、数据存储环境等安全防护，处理重要数据的体系准则上应当满意三级以上网络安全等级维护和要害信息根底设备安全维护要求，处理中心数据的体系依照有关规矩从严维护。

数据处理者应当运用暗码对重要数据和中心数据进行维护。

第十条 数据处理者发现其运用或许供给的网络产品和服务存在安全缺点、缝隙，或许要挟国家安全、损害公共利益等危险时，应当当即采用弥补办法。

第十一条 数据处理者应当树立数据安全应急处置机制，发生数据安全事情时及时发动应急呼应机制，采用办法避免损害扩展，消除安全危险。安全事情对个人、安排形成损害的，数据处理者应当在三个作业日内将安全事情和危险状况、损害成果、现已采用的弥补办法等以电话、短信、即时通讯东西、电子邮件等办法告诉好坏联系人，无法告诉的可采用布告办法奉告，法令、行政法规规矩能够不告诉的从其规矩。安全事情涉嫌违法的，数据处理者应当按规矩向公安机关报案。

发生重要数据或许十万人以上个人信息走漏、毁损、丢掉等数据安全事情时，数据处理者还应当实施以下责任：

（一）在发生安全事情的八小时内向设区的市级网信部分和有关主管部分陈述事情基本信息，包含触及的数据数量、类型、或许的影响、现已或拟采用的处置办法等；

（二）在事情处置结束后五个作业日内向设区的市级网信部分和有关主管部分陈述包含事情原因、损害成果、责任处理、改进办法等状况的查询评价陈述。

第十二条数据处理者向第三方供给个人信息，或许同享、买卖、托付处理重要数据的，应当恪守以下规矩：

（一）向个人奉告供给个人信息的意图、类型、办法、规划、存储期限、存储地址，并获得个人独自赞同，契合法令、行政法规规矩的不需求获得个人赞同的景象或许经过匿名化处理的在外；

（二）与数据接纳方约好处理数据的意图、规划、处理办法，数据安全维护办法等，经过合平等办法清晰两边的数据安全责任责任，并对数据接纳方的数据处理活动进行监督；

（三）留存个人赞同记载及供给个人信息的日志记载，同享、买卖、托付处理重要数据的批阅记载、日志记载至少五年。

数据接纳方应当实施约好的责任，不得超出约好的意图、规划、处理办法处理个人信息和重要数据。

第十三条 数据处理者展开以下活动，应当依照国家有关规矩，申报网络安全查看：

（一）会聚把握很多联系国家安全、经济展开、公共利益的数据资源的互联网途径运营者实施兼并、重组、分立，影响或许或许影响国家安全的；

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或许或许影响国家安全的；

（四）其他影响或许或许影响国家安全的数据处理活动。

大型互联网途径运营者在境外树立总部或许运营中心、研制中心，应当向国家网信部分和主管部分陈述。

第十四条 数据处理者发生兼并、重组、分立等状况的，数据接纳方应当持续实施数据安全维护责任，触及重要数据和一百万人以上个人信息的，应当向设区的市级主管部分陈述；数据处理者发生闭幕、被宣告破产等状况的，应当向设区的市级主管部分陈述，依照相关要求移送或删去数据，主管部分不清晰的，应当向设区的市级网信部分陈述。

第十五条 数据处理者从其他途径获取的数据，应当依照本法令的规矩实施数据安全维护责任。

第十六条 国家机关应当依照法令、行政法规的规矩和国家规范的强制性要求，树立健全数据安全办理准则，实施数据安全维护责任，保证政务数据安全。

第十七条 数据处理者在选用自动化东西拜访、搜集数据时，应当评价对网络服务的功用、功用带来的影响，不得搅扰网络服务的正常功用。

自动化东西拜访、搜集数据违背法令、行政法规或许职业自律公约、影响网络服务正常功用，或许侵略别人知识产权等合法权益的，数据处理者应当中止拜访、搜集数据行为并采用相应弥补办法。

第十八条 数据处理者应当树立快捷的数据安全投诉告发途径，及时受理、处置数据安全投诉告发。

数据处理者应当发布承受投诉、告发的联系办法、责任人信息，每年揭露发表受理和收到的个人信息安全投诉数量、投诉处理状况、均匀处理时刻状况，承受社会监督。

第三章个人信息维护

第十九条 数据处理者处理个人信息，应当具有清晰、合理的意图，遵从合法、合理、必要的准则。根据个人赞同处理个人信息的，应当满意以下要求：

（一）处理的个人信息是供给服务所必需的，或许是实施法令、行政法规规矩的责任所必需的；

（二）限于完成处理意图最短周期、最低频次，采用对个人权益影响最小的办法；

（三）不得因个人回绝供给服务必需的个人信息以外的信息，回绝供给服务或许搅扰个人正常运用服务。

第二十条 数据处理者处理个人信息，应当拟定个人信息处理规矩并严厉恪守。个人信息处理规矩应当会集揭露展现、易于拜访并置于夺目方位，内容清晰详细、简明浅显，体系全面地向个人阐明个人信息处理状况。

个人信息处理规矩应当包含但不限于以下内容：

（一）根据产品或许服务的功用清晰所需的个人信息，以清单办法列明每项功用处理个人信息的意图、用处、办法、品种、频次或许机遇、保存地址等，以及回绝处理个人信息对个人的影响；

（二）个人信息存储期限或许个人信息存储期限的确认办法、到期后的处理办法；

（三）个人查阅、仿制、更正、删去、束缚处理、搬运个人信息，以及刊出账号、撤回处理个人信息赞同的途径和办法；

（四）以会集展现等便运用户拜访的办法阐明产品服务中嵌入的一切搜集个人信息的第三方代码、插件的称号，以及每个第三方代码、插件搜集个人信息的意图、办法、品种、频次或许机遇及其个人信息处理规矩；

（五）向第三方供给个人信息景象及其意图、办法、品种，数据接纳方相关信息等；

（六）个人信息安全危险及维护办法；

（七）个人信息安全问题的投诉、告发途径及处理途径，个人信息维护担任人联系办法。

第二十一 条处理个人信息应当获得个人赞同的，数据处理者应当恪守以下规矩：

（一）依照服务类型分别向个人恳求处理个人信息的赞同，不得运用概括性条款获得赞同；

（二）处理个人生物辨认、宗教信仰、特定身份、医疗健康、金融账户、行迹轨道等灵敏个人信息应当获得个人独自赞同；

（三）处理不满十四周岁未成年人的个人信息，应当获得其监护人赞同；

（四）不得以改进服务质量、进步用户体会、研制新产品等为由，逼迫个人赞同处理其个人信息；

（五）不得经过误导、诈骗、钳制等办法获得个人的赞同；

（六）不得经过绑缚不同类型服务、批量恳求赞平等办法诱导、逼迫个人进行批量个人信息赞同；

（七）不得超出个人授权赞同的规划处理个人信息；

（八）不得在个人清晰表明不赞同后，频频寻求赞同、搅扰正常运用服务。

个人信息的处理意图、处理办法和处理的个人信息品种发生改变的，数据处理者应当从头获得个人赞同，并同步修正个人信息处理规矩。

对个人赞同行为有用性存在争议的，数据处理者负有举证责任。

第二十二条 有下列状况之一的，数据处理者应当在十五个作业日内删去个人信息或许进行匿名化处理：

（一）已完成个人信息处理意图或许完成处理意图不再必要；

（二）到达与用户约好或许个人信息处理规矩清晰的存储期限；

（三）中止服务或许个人刊出账号；

（四）因运用自动化搜集技能等，无法避免搜集到的非必要个人信息或许未经个人赞同的个人信息。

删去个人信息从技能上难以完成，或许因事务杂乱等原因，在十五个作业日内删去个人信息确有困难的，数据处理者不得展开除存储和采用必要的安全维护办法之外的处理，并应当向个人作出合了解说。

法令、行政法规还有规矩的从其规矩。

第二十三 条个人提出查阅、仿制、更正、弥补、束缚处理、删去其个人信息的合理恳求的，数据处理者应当实施以下责任：

（一）供给快捷的支撑个人结构化查询自己被搜集的个人信息类型、数量等的办法和途径，不得以时刻、方位等要素对个人的合理恳求进行束缚；

（二）供给快捷的支撑个人仿制、更正、弥补、束缚处理、删去其个人信息、撤回授权赞同以及刊出账号的功用，且不得设置不合理条件；

（三）收到个人仿制、更正、弥补、束缚处理、删去自己个人信息、撤回授权赞同或许刊出账号恳求的，应当在十五个作业日内处理并反应。

法令、行政法规还有规矩的从其规矩。

第二十四条 契合下列条件的个人信息搬运恳求，数据处理者应当为个人指定的其他数据处理者拜访、获取其个人信息供给搬运服务：

（一）恳求搬运的个人信息是根据赞同或许订立、实施合同所必需而搜集的个人信息；

（二）恳求搬运的个人信息是自己信息或许恳求人合法获得且不违背别人志愿的别人信息；

（三）能够验证恳求人的合法身份。

数据处理者发现接纳个人信息的其他数据处理者有不合法处理个人信息危险的，应当对个人信息搬运恳求做合理的危险提示。

恳求搬运个人信息次数显着超出合理规划的，数据处理者能够收取合理费用。

第二十五条 数据处理者运用生物特征进行个人身份认证的，应当对必要性、安全性进行危险评价，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为仅有的个人身份认证办法，以强制个人赞同搜集其个人生物特征信息。

法令、行政法规还有规矩的从其规矩。

第二十六条 数据处理者处理一百万人以上个人信息的，还应当恪守本法令第四章对重要数据的处理者作出的规矩。

第四章重要数据安全

第二十七条 各区域、各部分依照国家有关要求和规范，安排本区域、本部分以及相关职业、范畴的数据处理者辨认重要数据和中心数据，安排拟定本区域、本部分以及相关职业、范畴重要数据和中心数据目录，并报国家网信部分。

第二十八条 重要数据的处理者，应当清晰数据安全担任人，树立数据安全办理安排。数据安全办理安排在数据安全担任人的领导下，实施以下责任：

（一）研讨提出数据安全相关严重决议方案主张；

（二）拟定实施数据安全维护方案和数据安全事情应急预案；

（三）展开数据安全危险监测，及时处置数据安全危险和事情；

（四）定时安排展开数据安全宣传教育训练、危险评价、应急演练等活动；

（五）受理、处置数据安全投诉、告发；

（六）依照要求及时向网信部分和主管、监管部分陈述数据安全状况。

数据安全担任人应当具有数据安全专业知识和相关办理作业经历，由数据处理者决议方案层成员承当，有权直接向网信部分和主管、监管部分反映数据安全状况。

第二十九条 重要数据的处理者，应当在辨认其重要数据后的十五个作业日内向设区的市级网信部分存案，存案内容包含：

（一）数据处理者基本信息，数据安全办理安排信息、数据安全担任人名字和联系办法等；

（二）处理数据的意图、规划、办法、规划、类型、存储期限、存储地址等，不包含数据内容本身；

（三）国家网信部分和主管、监管部分规矩的其他存案内容。

处理数据的意图、规划、类型及数据安全防护办法等有严重改变的，应当从头存案。

根据部分责任分工，网信部分与有关部分同享存案信息。

第三十条 重要数据的处理者，应当拟定数据安全训练方案，每年安排展开全员数据安全教育训练，数据安全相关的技能和办理人员每年教育训练时刻不得少于二十小时。

第三十一条 重要数据的处理者，应当优先收购安全可信的网络产品和服务。

第三十二条 处理重要数据或许赴境外上市的数据处理者，应当自行或许托付数据安全服务安排每年展开一次数据安全评价，并在每年1月31日前将上一年度数据安全评价陈述报设区的市级网信部分，年度数据安全评价陈述的内容包含：

（一）处理重要数据的状况；

（二）发现的数据安全危险及处置办法；

（三）数据安全办理准则，数据备份、加密、拜访操控等安全防护办法，以及办理准则实施状况和防护办法的有用性；

（四）实施国家数据安全法令、行政法规和规范状况；

（五）发生的数据安全事情及其处置状况；

（六）同享、买卖、托付处理、向境外供给重要数据的安全评价状况；

（七）数据安全相关的投诉及处理状况；

（八）国家网信部分和主管、监管部分清晰的其他数据安全状况。

数据处理者应当保存危险评价陈述至少三年。

根据部分责任分工，网信部分与有关部分同享陈述信息。

数据处理者展开同享、买卖、托付处理、向境外供给重要数据的安全评价，应当要点评价以下内容：

（一）同享、买卖、托付处理、向境外供给数据，以及数据接纳方处理数据的意图、办法、规划等是否合法、合理、必要；

（二）同享、买卖、托付处理、向境外供给数据被走漏、毁损、篡改、乱用的危险，以及对国家安全、经济展开、公共利益带来的危险；

（三）数据接纳方的诚信状况、遵法状况、境外政府安排协作联系、是否被中国政府制裁等布景状况，许诺承当的责任以及实施责任的才能等是否能够有用保证数据安全；

（四）与数据接纳方订立的相关合同中关于数据安全的要求能否有用束缚数据接纳方实施数据安全维护责任；

（五）在数据处理过程中的办理和技能办法等是否能够防备数据走漏、毁损等危险。

评价以为或许损害国家安全、经济展开和公共利益，数据处理者不得同享、买卖、托付处理、向境外供给数据。

第三十三条 数据处理者同享、买卖、托付处理重要数据的，应当征得设区的市级及以上主管部分赞同，主管部分不清晰的，应当征得设区的市级及以上网信部分赞同。

第三十四条 国家机关和要害信息根底设备运营者收购的云核算服务，应当经过国家网信部分会同国务院有关部分安排的安全评价。

第五章数据跨境安全办理

第三十五条 数据处理者因事务等需求，确需向中华人民共和国境外供给数据的，应当具有下列条件之一：

（一）经过国家网信部分安排的数据出境安全评价；

（二）数据处理者和数据接纳方均经过国家网信部分确定的专业安排进行的个人信息维护认证；

（三）依照国家网信部分拟定的关于规范合同的规矩与境外数据接纳方订立合同，约好两边权力和责任；

（四）法令、行政法规或许国家网信部分规矩的其他条件。

数据处理者为订立、实施个人作为一方当事人的合同所必需向境外供给当事人个人信息的，或许为了维护个人生命健康和产业安全而必须向境外供给个人信息的在外。

第三十六条 数据处理者向中华人民共和国境外供给个人信息的，应当向个人奉告境外数据接纳方的称号、联系办法、处理意图、处理办法、个人信息的品种以及个人向境外数据接纳方行使个人信息权力的办法等事项，并获得个人的独自赞同。

搜集个人信息时已独自就个人信息出境获得个人赞同，且依照获得赞同的事项出境的，无需再次获得个人独自赞同。

第三十七条 数据处理者向境外供给在中华人民共和国境内搜集和发生的数据，归于以下景象的，应当经过国家网信部分安排的数据出境安全评价：

（一）出境数据中包含重要数据；

（二）要害信息根底设备运营者和处理一百万人以上个人信息的数据处理者向境外供给个人信息；

（三）国家网信部分规矩的其它景象。

法令、行政法规和国家网信部分规矩能够不进行安全评价的，从其规矩。

第三十八 条中华人民共和国订立或许参加的世界公约、协议对向中华人民共和国境外供给个人信息的条件等有规矩的，能够依照其规矩实施。

第三十九条 数据处理者向境外供给数据应当实施以下责任：

（一）不得超出报送网信部分的个人信息维护影响评价陈述中清晰的意图、规划、办法和数据类型、规划等向境外供给个人信息；

（二）不得超出网信部分安全评价时清晰的出境意图、规划、办法和数据类型、规划等向境外供给个人信息和重要数据；

（三）采用合平等有用办法监督数据接纳方依照两边约好的意图、规划、办法运用数据，实施数据安全维护责任，保证数据安全；

（四）承受和处理数据出境所触及的用户投诉；

（五）数据出境对个人、安排合法权益或许公共利益形成损害的，数据处理者应当依法承当责任；

（六）存留相关日志记载和数据出境批阅记载三年以上；

（七）国家网信部分会同国务院有关部分核验向境外供给个人信息和重要数据的类型、规划时，数据处理者应当以明文、可读办法予以展现；

（八）国家网信部分确定不得出境的，数据处理者应当中止数据出境，并采用有用办法对已出境数据的安全予以弥补；

（九）个人信息出境后确需再搬运的，应当事前与个人约好再搬运的条件，并清晰数据接纳方实施的安全维护责任。

非经中华人民共和国主管机关赞同，境内的个人、安排不得向外国司法或许法令安排供给存储于中华人民共和国境内的数据。

第四十条 向境外供给个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全陈述，向设区的市级网信部分陈述上一年度以下数据出境状况：

（一）悉数数据接纳方称号、联系办法；

（二）出境数据的类型、数量及意图；

（三）数据在境外的寄存地址、存储期限、运用规划和办法；

（四）触及向境外供给数据的用户投诉及处理状况；

（五）发生的数据安全事情及其处置状况；

（六）数据出境后再搬运的状况；

（七）国家网信部分清晰向境外供给数据需求陈述的其他事项。

第四十一 条国家树立数据跨境安全网关，对来历于中华人民共和国境外、法令和行政法规制止发布或许传输的信息予以阻断传达。

任何个人和安排不得供给用于穿透、绕过数据跨境安全网关的程序、东西、线路等，不得为穿透、绕过数据跨境安全网关供给互联网接入、服务器保管、技能支撑、传达推行、付出结算、运用下载等服务。

境内用户拜访境内网络的，其流量不得被路由至境外。

第四十二条 数据处理者从事跨境数据活动应当依照国家数据跨境安全监管要求，树立健全相关技能和办理办法。

第六章互联网途径运营者责任

第四十三条 互联网途径运营者应当树立与数据相关的途径规矩、隐私方针和算法战略发表准则，及时发表拟定程序、判决程序，保证途径规矩、隐私方针、算法公平公平。

途径规矩、隐私方针拟定或许对用户权益有严重影响的修订，互联网途径运营者应当在其官方网站、个人信息维护相关职业协会互联网途径面向社会揭露寻求定见，寻求定见时长不得少于三十个作业日，保证用户能够快捷充沛表达定见。互联网途径运营者应当充沛采用大众定见，修正完善途径规矩、隐私方针，并以易于用户拜访的办法发布定见采用状况，阐明未采用的理由，承受社会监督。

日活用户超越一亿的大型互联网途径运营者途径规矩、隐私方针拟定或许对用户权益有严重影响的修订的，应当经国家网信部分确定的第三方安排评价，并报省级及以上网信部分和电信主管部分赞同。

第四十四 条互联网途径运营者应当对接入其途径的第三方产品和服务承当数据安全办理责任，经过合平等办法清晰第三方的数据安全责任责任，并催促第三方加强数据安全办理，采用必要的数据安全维护办法。

第三方产品和服务对用户形成损害的，用户能够要求互联网途径运营者先行补偿。

移动通讯终端预装第三方产品适用本条前两款规矩。

第四十五条 国家鼓舞供给即时通讯服务的互联网途径运营者从功用设计上为用户供给个人通讯和非个人通讯挑选。个人通讯的信息依照个人信息维护要求严厉维护，非个人通讯的信息依照公共信息有关规矩进行办理。

第四十六条 互联网途径运营者不得运用数据以及途径规矩等从事以下活动：

（一）运用处径搜集把握的用户数据，无合理理由对买卖条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；

（二）运用处径搜集把握的经营者数据，在产品推行中实施最低价出售等损害公平竞争的行为；

（三）运用数据误导、诈骗、钳制用户，损害用户对其数据被处理的决议权，违背用户志愿处理用户数据；

（四）在途径规矩、算法、技能、流量分配等方面设置不合理的束缚和妨碍，束缚途径上的中小企业公平获取途径发生的职业、商场数据等，阻止商场立异。

第四十七条 供给运用程序分发服务的互联网途径运营者，应当依照有关法令、行政法规和国家网信部分的规矩，树立、发表运用程序审阅规矩，并对运用程序进行安全审阅。对不契合法令、行政法规的规矩和国家规范的强制性要求的运用程序，应当采用回绝上架、催促整改、下架处置等办法。

第四十八条 互联网途径运营者面向大众供给即时通讯服务的，应当依照国务院电信主管部分的规矩，为其他互联网途径运营者的即时通讯服务供给数据接口，支撑不同即时通讯服务之间用户数据互通，无合理理由不得束缚用户拜访其他互联网途径以及向其他互联网途径传输文件。

第四十九条 互联网途径运营者运用个人信息和个性化推送算法向用户供给信息的，应当对推送信息的真实性、准确性以及来历合法性担任，并契合以下要求：

（一）搜集个人信息用于个性化引荐时，应当获得个人独自赞同；

（二）设置易于了解、便于拜访和操作的一键封闭个性化引荐选项，答运用户回绝承受定向推送信息，答运用户重置、修正、调整针对其个人特征的定向推送参数；

（三）答应个人删去定向推送信息服务搜集发生的个人信息，法令、行政法规还有规矩或许与用户还有约好的在外。

第五十条 国家建造网络身份认证公共服务根底设备，依照政府引导、网民自愿准则，供给个人身份认证公共服务。

互联网途径运营者应当支撑并优先运用国家网络身份认证公共服务根底设备供给的个人身份认证服务。

第五十一条 互联网途径运营者在为国家机关供给服务，参加公共根底设备、公共服务体系建造运维办理，运用公共资源供给服务过程中搜集、发生的数据不得用于其他用处。

第五十二条 国务院有关部分实施法定责任需求调取或许拜访互联网途径运营者把握的公共数据、公共信息，应当清晰调取或许拜访的规划、类型、用处、根据，严厉限定在实施法定责任规划内，不得将调取或许拜访的公共数据、公共信息用于实施法定责任之外的意图。

互联网途径运营者应当对有关部分调取或许拜访公共数据、公共信息予以合作。

第五十三条 大型互联网途径运营者应当经过托付第三方审计办法，每年对途径数据安全状况、途径规矩和本身许诺的实施状况、个人信息维护状况、数据开发运用状况等进行年度审计，并发表审计成果。

第五十四条 互联网途径运营者运用人工智能、虚拟现实、深度组成等新技能展开数据处理活动的，应当依照国家有关规矩进行安全评价。

第七章监督办理

第五十五条 国家网信部分担任统筹和谐数据安全和相关监督办理作业。

公安机关、国家安全机关等在各自责任规划内承当数据安全监管责任。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴数据安全监管责任。

主管部分应当清晰本职业、本范畴数据安全维护作业安排和人员，编制并安排实施本职业、本范畴的数据安全规划和数据安全事情应急预案。

主管部分应当定时安排展开本职业、本范畴的数据安全危险评价，对数据处理者实施数据安全维护责任状况进行监督查看，辅导催促数据处理者及时对存在的危险危险进行整改。

第五十六 条国家树立健全数据安全应急处置机制，完善网络安全事情应急预案和网络安全信息同享途径，将数据安全事情归入国家网络安全事情应急呼应机制，加强数据安全信息同享、数据安全危险和要挟监测预警以及数据安全事情应急处置作业。

第五十七条 有关主管、监管部分能够采用以下办法对数据安全进行监督查看：

（一）要求数据处理者相关人员就监督查看事项作出阐明；

（二）查阅、调取与数据安全有关的文档、记载；

（三）依照规矩程序，运用检测东西或许托付专业安排对数据安全办法运转状况进行技能检测；

（四）核验数据出境类型、规划等；

（五）法令、行政法规、规章规矩的其他必要办法。

有关主管、监管部分展开数据安全监督查看，应当客观公平，不得向被查看单位收取费用。在数据安全监督查看中获取的信息只能用于维护数据安全的需求，不得用于其他用处。

数据处理者应当对有关主管、监管部分的数据安全监督查看予以合作，包含对安排运作、技能体系、算法原理、数据处理程序等进行解说阐明，敞开安全相关数据拜访、供给必要技能支撑等。

第五十八条 国家树立数据安全审计准则。数据处理者应当托付数据安全审计专业安排定时对其处理个人信息恪遵法令、行政法规的状况进行合规审计。

主管、监管部分安排展开对重要数据处理活动的审计，要点审计数据处理者实施法令、行政法规规矩的责任等状况。

第五十九条 国家支撑相关职业安排依照规章，拟定数据安全行为规范，加强职业自律，辅导会员加强数据安全维护，进步数据安全维护水平，促进职业健康展开。

国家支撑树立个人信息维护职业安排，展开以下活动：

（一）承受个人信息维护投诉告发并进行查询、调停；

（二）向个人供给信息和咨询服务，支撑个人依法对损害个人信息权益的行为提起诉讼；

（三）曝光损害个人信息权益的行为，对个人信息维护展开社会监督；

（四）向有关部分反映个人信息维护状况、供给咨询、主张；

（五）违法处理个人信息、损害很多个人的权益的行为，依法向人民法院提起诉讼。

第八章法令责任

第六十条 数据处理者不实施第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规矩，由有关主管部分责令改正，给予正告，能够并处五万元以上五十万元以下罚款，对直接担任的主管人员和其他直接责任人员能够处一万元以上十万元以下罚款；拒不改正或许导致损害数据安全等严重成果的，处五十万元以上二百万元以下罚款，并能够责令暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照，对直接担任的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

第六十一条 数据处理者不实施第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规矩的数据安全维护责任的，由有关部分责令改正，给予正告，没收违法所得，对违法处理个人信息的运用程序，责令暂停或许中止供给服务；拒不改正的，并处一百万元以下罚款；对直接担任的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规矩的违法行为，情节严重的，由有关部分责令改正，没收违法所得，并处五千万元以下或许上一年度营业额百分之五以下罚款，并能够责令暂停相关事务或许停业整顿、通报有关主管部分撤消相关事务许可证或许撤消营业执照；对直接担任的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并能够决议制止其在必定时限内担任相关企业的董事、监事、高档办理人员和个人信息维护担任人。

第六十二条 数据处理者不实施第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规矩的数据安全维护责任的，由有关部分责令改正，给予正告，对违法处理重要数据的体系及运用，责令暂停或许中止供给服务；拒不改正的，并处二百万元以下罚款，对直接担任的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

有前款规矩的违法行为，情节严重的，由有关部分责令改正，没收违法所得，并处二百万元以上五百万元以下罚款，并能够责令暂停相关事务或许停业整顿、通报有关主管部分撤消相关事务许可证或许撤消营业执照；对直接担任的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

第六十三条 要害信息根底设备运营者违背第三十四条的规矩，由有关部分责令改正，依照有关法令、行政法规的规矩予以处置。

第六十四条 数据处理者违背第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规矩，由有关部分责令改正，给予正告，暂停数据出境，能够并处十万元以上一百万元以下罚款，对直接担任的主管人员和其他直接责任人员能够处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并能够责令暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照，对直接担任的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第六十五条 违背本法令第三十九条第二款的规矩，未经主管机关赞同向外国司法或许法令安排供给数据的，由有关主管部分给予正告，能够并处十万元以上一百万元以下罚款，对直接担任的主管人员和其他直接责任人员能够处一万元以上十万元以下罚款；形成严重成果的，处一百万元以上五百万元以下罚款，并能够责令暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照，对直接担任的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

第六十六条 个人和安排违背第四十一条的规矩，由有关主管部分责令改正，给予正告、没收违法所得；拒不改正的，处违法所得一倍以上十倍以下的罚款，没有违法所得的，对直接担任的主管人员和其他直接担任人员，处五万元以上五十万元以下罚款；情节严重的，由有关主管部分依照相关法令、行政法规的规矩，责令其暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照；构成违法的，依照相关法令、行政法规的规矩处置。

第六十七条 互联网途径运营者违背第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规矩，由有关部分责令改正，予以正告；拒不改正，处五十万元以上五百万元以下罚款，对直接担任的主管人员和其他直接担任人员，处五万元以上五十万元以下罚款；情节严重的，能够责令暂停相关事务、停业整顿、封闭网站、撤消相关事务许可证或许撤消营业执照。

第六十八 条互联网途径运营者违背第四十六条、第四十八条、第五十一条的规矩，由有关主管部分责令改正，给予正告；拒不改正的，处上一年度出售额百分之一以上百分之五以下的罚款；情节严重的，由有关主管部分依照相关法令、行政法规的规矩，责令其暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照；构成违法的，依照相关法令、行政法规的规矩处置。

第六十九条 互联网途径运营者违背第四十九条、第五十四条的规矩，由有关主管部分责令改正，予以正告；拒不改正，处五万元以上五十万元以下罚款，对直接担任的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，可由有关主管部分责令暂停相关事务、停业整顿、封闭网站、撤消相关事务许可证或许撤消营业执照。

第七十条 数据处理者违背本法令规矩，给别人形成损害的，依法承当民事责任；构成违背治安办理行为的，依法给予治安办理处置；构成违法的，依法追究刑事责任。

第七十一条 国家机关不实施本法规矩的数据安全维护责任的，由其上级机关或许实施数据安全办理责任的部分责令改正；对直接担任的主管人员和其他直接责任人员依法给予处置。

第七十二条 在中华人民共和国境外展开数据处理活动，损害中华人民共和国国家安全、公共利益或许公民、安排合法权益的，依法追究法令责任。

第九章附则

第七十三条 本法令下列用语的意义：

（一）网络数据（简称数据）是指任何故电子办法对信息的记载。

（二）数据处理活动是指数据搜集、存储、运用、加工、传输、供给、揭露、删去等活动。

（三）重要数据是指一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用，或许损害国家安全、公共利益的数据。包含以下数据：

1.未揭露的政务数据、作业隐秘、情报数据和法令司法数据；

2.出口操控数据，出口操控物项触及的中心技能、设计方案、出产工艺等相关的数据，暗码、生物、电子信息、人工智能等范畴对国家安全、经济竞争实力有直接影响的科学技能成果数据；

3.国家法令、行政法规、部分规章清晰规矩需求维护或许操控传达的国家经济运转数据、重要职业事务数据、统计数据等；

4.工业、电信、动力、交通、水利、金融、国防科技工业、海关、税务等要点职业和范畴安全出产、运转的数据，要害体系组件、设备供应链数据；