义务概述 | 具体内容 | 简评 |
采取制度措施和技术措施保障网络数据安全 | 第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。 | 《网络安全法》《数据安全法》和《个人信息保护法》均对其规制对象(网络运营者、数据处理者、个人信息处理者,下同)建立/采取恰当的制度措施、技术措施保护网络安全、数据安全、个人信息安全进行了规范。《条例》再次重申了网络数据处理者在这方面的义务。 |
提供网络产品和服务的安全保障、补救和上报义务 | 第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。 | 《网络安全法》《数据安全法》对其规制对象就安全缺陷、漏洞的发现和报告义务进行了规范,《条例》再次对此进行重申,并将该义务的适用范围扩展至所有的网络数据处理者。 |
网络数据安全事件应急预案、通知和报告义务 | 第十一条 网络数据处理者应当建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并按照规定向有关主管部门报告。 网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。
| 《网络安全法》《数据安全法》和《个人信息保护法》均对其规制对象建立应急预案、采取措施防止危害扩大、消除安全隐患进行了规范;《网络安全法》和《个人信息保护法》还对危害事件的告知和报告义务进行了规范。《条例》将该等通知义务扩展至所有的网络数据处理者,并对通知对象、通知方式、通知豁免情形进行了细化。 |
个人信息和重要数据共同处理、委托处理、对外提供时应当遵守的义务 | 第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。
网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。 两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。 | 《个人信息保护法》对于个人信息的对外提供、委托处理和共同处理进行了规范。本《条例》针对网络数据中所包含的个人信息、重要数据的对外提供和委托处理、共同处理进行了规制,并规定了网络数据处理者对于该等数据处理活动的记录义务,同时也对该等情形下网络数据接收方的义务进行了明确。 |
特定情形下网络数据转移的,网络数据接收方的安全保护义务 | 第十四条 网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。 | 《个人信息保护法》对于个人信息处理者合并、分立、解散、破产等原因需要转移个人信息的情形下个人信息处理者的责任和义务进行了规范;《条例》进一步要求在网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。 |
为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的网络数据处理者义务以及为国家机关提供服务的信息系统的安全管理要求 | 第十六条 网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。 前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。 第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。 | 《条例》在《网络安全法》《数据安全法》《个人信息保护法》的基础上,就涉及为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的网络数据处理者的安全保护义务进行了进一步规范,并要求为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。 |
自动化工具访问、收集网络数据的合规义务 | 第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。 | 《条例》对于在实践中广泛存在的使用自动化工具访问、收集网络数据的行为提出了基本要求,即:(1)评估;(2)不得非法侵入;(3)不得干扰网络服务正常运行。 该条规定对于使用自动化工具访问、收集网络数据行为的合规性边界予以了原则性的细化、补充,有效地回应了实践需求。 |
生成式人工智能服务数据处理者对于训练数据的安全管理义务 | 第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。 | 《生成式人工智能服务管理暂行办法》对于训练数据的安全管理进行了原则性的规定;本《条例》对其进行了进一步的明确,并将其效力层级从部门规章上升到行政法规。 |
投诉举报管理和处理义务 | 第二十条 面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。 | 《网络安全法》对于网络运营者对于网络信息安全投诉、举报制度建设以及投诉、举报处理的义务进行了规范,《数据安全法》《个人信息保护法》未涉及其规制对象对于相关投诉、举报制度以及其处理义务。《条例》要求所有的网络数据处理者均应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。 |
处理个人信息的告知义务; 建立个人信息共享清单义务。 | 第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容: (一)网络数据处理者的名称或者姓名和联系方式; (二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响; (三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法; (四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。 网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
| 《个人信息保护法》第十七条规定了个人信息处理者处理个人信息前的告知义务和告知内容以及个人信息处理规则公开的要求。在《个人信息保护法》之前,《App违法违规收集使用个人信息行为认定方法》对于APP的个人信息收集、使用规则进行了规范。《条例》除重申《个人信息保护法》的规定外,亦进一步将《App违法违规收集使用个人信息行为认定方法》相关内容纳入并升级为行政法规,并将《工业和信息化部关于开展信息通 信服务感知提升行动的通知》中建立“收集个人信息清单和与第三方共享个人信息清单”中的第三方共享个人信息清单的要求纳入条例内容。 |
处理个人信息的基本要求 | 第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定: (一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意; (二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意; (三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意; (四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息; (五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意; (六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。 法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 第二十三条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。 | 《个人信息保护法》对于处理敏感个人信息、个人信息主体行使其个人信息权利进行了规定,同时亦明确了处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。《App违法违规收集使用个人信息行为认定方法》对于APP收集、使用个人信息的规则(包括账号删除等)作出了细致规定。《条例》在执法实践的基础上,吸纳了《App违法违规收集使用个人信息行为认定方法》等规范性文件中的更为细致的规范和要求。 |
个人信息删除、匿名化的义务 | 第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。 | 《个人信息保护法》规定了个人信息处理者在特定情形下删除个人信息的义务。《条例》补充了自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的情形下网络数据处理者亦应对相关个人信息进行删除或者匿名化处理,对《个人信息保护法》第四十七条有关个人信息处理者应当主动删除个人信息的规定的第(五)项“法律、行政法规规定的其他情形”进行了补充和完善。同时,将《个人信息保护法》规定的应当对个人信息予以“删除”的处理方式扩展为“删除、匿名化”两种措施。 |
配合个人信息主体转移个人信息的义务 | 第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径: (一)能够验证请求人的真实身份; (二)请求转移的是本人同意提供的或者基于合同收集的个人信息; (三)转移个人信息具备技术可行性; (四)转移个人信息不损害他人合法权益。 请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。 | 《个人信息保护法》规定个人信息主体有权查询、复制其个人信息,有权请求将个人信息转移至其指定的个人信息处理者,该法第四十五条规定“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”。《条例》针对该条,对于网络数据处理者响应个人信息主体转移请求的条件进行了明确。 |
个人信息处理者合规审计义务 | 第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。 | 《个人信息保护法》规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,条例对于审计的方式进行了明确,即可以自行或者委托专业机构进行合规审计。 |
重要数据识别、申报和安全保护义务 | 第二十九条 网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。 | 《数据安全法》明确了国家建立重要数据保护体系;《条例》对于网络数据处理者的重要数据识别、申报义务进行了明确:即应当按照“国家有关规定”进行申报和识别,且对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。 |
重要数据处理者对重要数据的保护义务 | 第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任: (一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案; (二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件; (三)受理并处理网络数据安全投诉、举报。 网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。 掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。 第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。 风险评估应当重点评估下列内容: (一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要; (二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险; (三)网络数据接收方的诚信、守法等情况; (四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务; (五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险; (六)有关主管部门规定的其他评估内容。 第三十二条 重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。 第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。 风险评估报告应当包括下列内容: (一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等; (二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身; (三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性; (四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况; (五)提供、委托处理、共同处理重要数据的风险评估情况; (六)网络数据出境情况; (七)有关主管部门规定的其他报告内容。 处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。 重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施。重要数据的处理者应当按照有关要求立即采取措施。
| 《数据安全法》规定重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,并对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《条例》就重要数据的处理者对于《数据安全法》规定的重要数据的该等安全保护义务提出了进一步细化的要求,并要求重要数据处理者提供、委托处理、共同处理重要数据前应当进行风险评估,且规定的风险评估的具体内容。 此外,《条例》还要求网络数据处理者处理1000万人以上个人信息的亦应当遵守《条例》第三十条、第三十二条的规定。 |
网络数据跨境安全管理 | 第三十四条 国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。 第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息: (一)通过国家网信部门组织的数据出境安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)符合国家网信部门制定的关于个人信息出境标准合同的规定; (四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息; (五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息; (六)为履行法定职责或者法定义务,确需向境外提供个人信息; (七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息; (八)法律、行政法规或者国家网信部门规定的其他条件。 第三十六条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 第三十七条 网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。 第三十八条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。 第三十九条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。 | 有关数据出境事宜,《个人信息保护法》《数据安全法》《网络安全法》具有涉及。在该等法律规定的基础上,《数据出境安全评估办法》《个人信息出境标准合同备案办法》和《促进和规范数据跨境流动规定》对于数据出境规则进行了细致规定。《条例》作为行政法规,对于已出台的部门规章的规范和要求进行了进一步明确。 |
网络平台服务提供者对接入其平台的第三方产品和服务提供者的网络数据安全保护义务 | 第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。 预装应用程序的智能终端等设备生产者,适用前款规定。 第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。 国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。
| 《条例》对于网络平台服务提供者对其接入的第三方产品和服务提供者的网络安全保护义务进行了详细规定,包括平台规则/合同约束、责任承担两方面。 |
提供应用程序分发服务的网络平台服务提供者义务 | 第四十一条 提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。 | 《条例》在已有部门规章的基础上,对于提供应用程序分发服务的网络平台服务提供者的核验义务进行了明确规定。 |
自动化决策方式进行信息推送的网络平台服务提供者义务 | 第四十二条 网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。 | 《个人信息保护法》对于利用个人信息进行自动化决策的个人信息处理行为进行了规范。《条例》本条规定对于《个人信息保护法》的内容进行了重申,并要求所有的网络平台服务提供者均遵守相关规定。 |
大型网络平台服务提供者的特别义务 | 第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。 第四十五条 大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。 第四十六条 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动: (一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据; (二)无正当理由限制用户访问、使用其在平台上产生的网络数据; (三)对用户实施不合理的差别待遇,损害用户合法权益; (四)法律、行政法规禁止的其他活动。
| 根据《条例》,大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。 《条例》从发布个人信息保护社会责任报告、防范网络数据跨境安全、合法从事经营活动进行了明确规定,将过去散见于相关规范、通知的要求统一为行政法规规范,并明确了“大型网络平台”的定义。 |
除以上各项义务的补充、明确和细化外,《条例》还在《网络安全法》《数据安全法》《个人信息保护法》的基础上,对于有关违法行为的罚则进行了补充和细化,具体对应关系如下表:
《条例》相关罚则的条款序号 | 涉及的合规义务 | 具体罚则 |
第五十五条 | 《条例》第十二条:个人信息和重要数据共同处理、委托处理、对外提供时应当遵守的义务 《条例》第十六至第二十条:网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的义务;为国家机关提供服务的信息系统的安全保护要求;网络数据处理者使用自动化工具访问、收集网络数据的义务;提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理义务;面向社会提供产品、服务的网络数据处理者建立网络数据安全投诉、举报渠道、处理相关投诉、举报的义务。 第四十条第一款和第二款:网络平台服务提供者对接入其平台的第三方产品和服务提供者的网络数据安全保护义务 第四十一条:提供应用程序分发服务的网络平台服务提供者义务 第四十二条:自动化决策方式进行信息推送的网络平台服务提供者义务 | 由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。 |
第五十六条 | 《条例》第十三条:网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查 | 由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款 |
第五十七条 | 第二十九条第二款:重要数据识别、申报和安全保护义务 第三十条第二款和第三款:重要数据的处理者和处理1000万人以上个人信息的网络数据处理者的网络数据安全负责人任职要求;掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者对网络数据安全负责人和关键岗位的人员进行安全背景审查、培训的义务 第三十一条:重要数据和处理的处理者提供、委托处理、共同处理重要数据的义务 第三十二条:重要数据的处理者和处理1000万人以上个人信息的网络数据处理者因合并、分立、解散、破产等可能影响重要数据安全应当采取的安全保护措施和报告义务 | 由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款 |
结语
[1] https://www.cac.gov.cn/2024-09/30/c_1729384453671239.htm
扫码了解作者详细简介
特别声明
本文和其内容仅代表作者本人观点,不视为通商律师事务所或其律师的法律意见或建议。如您需要法律意见或专业分析,请咨询有资格的专业人士,或者联系您于通商的日常联系律师。转载请获得授权并注明作者和出处“通商律师事务所”。
