《网络数据安全管理条例》
总体要求和一般规定
总体要求
规范网络数据处理活动
保障网络数据安全
促进网络数据依法合理有效利用
保护个人、组织的合法权益
维护国家安全和公共利益
适用范围
1.在境内开展网络数据处理活动及其安全监督管理的。
2.在境外处理境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的 (分析、评估境内自然人的行为)。
所有个人与组织
✘不得利用网络数据从事非法活动。
✘不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。
✘不得提供专门用于从事前款非法活动的程序、 工具。
✘明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。
网络数据处理者
✔应当加强网络数据安全防护,建立管理制度,采取必要措施。
✔提供的网络产品、服务应当符合相关国家标准的强制性要求。
✔应当建立健全网络数据安全事件应急预案,及时处理已发生的安全事件。
✔影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
✔转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。
在提供和委托他者处理个人信息和重要数据时
双方应当约定处理目的、方式、范围以及安全保护义务,约定各自的权利和义务;至少保存3年处理情况记录。
为国家机关提供服务时
应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务;应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
使用自动化工具访问、收集网络数据时
应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
提供生成式人工智能服务时
加强对训练数据和训练数据处理活动的安全管理。
面向社会提供产品和服务时
应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道并及时受理。
《网络数据安全管理条例》
重点内容
个人信息保护
网络数据处理者
处理个人信息前
集中以清单形式公开展示个人信息处理规则,包含处理者的姓名和联系方式、处理目的与影响、保存期限和处理方式、个人介入处理的方式。
处理不满十四周岁未成年个人信息的,应当制定专门的规则。
处理个人信息时
✘不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意。
✘不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息。
✘不得在个人明确表示不同意处理其个人信息后,频繁征求同意。
✔处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意。
✔处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
✔个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
个人请求介入处理时
✔应当及时受理,并提供便捷的支持个人行使权利的方法和途径。
✘不得设置不合理条件限制个人的合理请求。
使用自动化工具访问、收集网络数据
✔应当删除个人信息或者进行匿名化处理。
转移个人信息时
✔应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径,可以对明显超出合理范围的多次请求收取必要费用。
日常情况下
✔应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
处理1000万人以上个人信息时
✔属于重要数据处理者,应当兼顾相关规定。
重要数据安全
重要数据如何界定?
重要数据由各地区、各部门按照数据分类分级保护制度以及相关行业、领域情况确定重要数据目录。
重要数据的网络数据处理者
开展数据分级分类工作时
✔应当按照按照国家有关规定识别、申报重要数据,履行网络数据安全保护责任。
✔鼓励使用数据标签标识等技术和产品,提高重要数据安全管理水平。
明确网络数据安全负责人时
✔网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历。
✔掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。
提供、委托处理、共同处理重要数据前
✔应当进行风险评估,重点评估处理目的、潜在风险、接收方信用、合同有效性、技术和管理措施有效性等。
合并、分立、解散、破产等情况下
✔应当采取措施保障网络数据安全,并向省级以上有关主管部门报告。
每年度报送风险评估报告时
✔风险评估报告应当包括处理者基本信息、处理情况、安全管理制度、安全事件及处置情况、提供或委托处理等情况、出境情况等。
✔大型网络平台服务提供者还应当充分说明关键业务和供应链网络数据安全等情况。
存在可能危害国家安全的处理活动时
✔应当按照主管部门要求立即采取措施。
网络数据跨境安全管理
谁可以向境外提供个人信息?
★通过国家网信部门组织的数据出境安全评估。
★ 按照国家网信部门的规定经专业机构进行个人信息保护认证。
★符合国家网信部门制定的关于个人信息出境标准合同的规定。
★为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息。
★按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息。
★为履行法定职责或者法定义务,确需向境外提供个人信息。
★ 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息。
★ 法律、行政法规或者国家网信部门规定的其他条件。
(满足以上其一即可)
向境外提供数据的网络数据处理者
涉及重要数据时
✔应当通过国家网信部门组织的数据出境安全评估。
通过数据出境安全评估后
✘不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
《网络数据安全管理条例》
网络平台服务提供者义务
网络平台服务提供者
接入第三方产品和服务提供者提供的网络数据时
✔应当通过平台规则或者合同等明确接入第三方的网络数据安全保护义务。
✔第三方违法并造成损害的,应当依法同时承担相应责任。
提供应用程序分发服务时
✔应当建立应用程序核验规则并开展网络数据安全相关核验,发现违法时应当予以处理。
通过自动化决策方式向个人进行信息推送时
✔应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
大型网络平台服务提供者
✔应当每年度发布个人信息保护社会责任报告。
✔应当遵守国家数据跨境安全管理要求。
✘不得利用网络数据、算法以及平台规则通过误导、欺诈、胁迫等方式处理数据。
✘不得无正当理由限制用户访问、使用其在平台上产生的网络数据。
✘不得对用户实施不合理的差别待遇,损害用户合法权益。
《网络数据安全管理条例》
管理工作的部门职责分工
国家网信部门
负责统筹协调网络数据安全和相关监督管理工作。
公安机关国家安全机关
依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。
国家数据管理部门
在具体承担数据管理工作中履行相应的网络数据安全职责。
各地区、各部门
对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。
各有关主管部门
承担本行业、本领域网络数据安全监督管理职责。
《网络数据安全管理条例》
名词解释
网络数据
通过网络处理和产生的各种电子数据。
网络数据处理活动
网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。
网络数据处理者
在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。
重要数据
特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
委托处理
网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动。
共同处理
两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。
单独同意
个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
大型网络平台
注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
编辑丨程一衡 二审丨江 宇 终审丨曹子刚
推荐阅读
视频推荐
