第一章总则 第一条为了规范网络数据处理活动,保障数据安全,保护个人、组织 在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。 第二条在中华人民共和国境内利用网络开展数据处理活动,以及网 络数据安全的监督管理,适用本条例。 在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例: (一)以向境内提供产品或者服务为目的; (二)分析、评估境内个人、组织的行为; (三)涉及境内重要数据处理; (四)法律、行政法规规定的其他情形。 自然人因个人或者家庭事务开展数据处理活动,不适用本条例。 第三条国家统筹发展和安全,坚持促进数据开发利用与保障数据安 全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。 第四条国家支持数据开发利用与安全保护相关的技术、产品、服务创 新和人才培养。 国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培 训。 第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共 利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。 国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 第六条数据处理者对所处理数据的安全负责,履行数据安全保护义 务,接受政府和社会监督,承担社会责任。 数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。 第七条国家推动公共数据开放、共享,促进数据开发利用,并依法对 公共数据实施监督管理。 国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。 第二章一般规定 第八条任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动: (一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密; (二)侵害他人名誉权、隐私权、著作权和其他合法权益等; (三)通过窃取或者以其他非法方式获取数据; (四)非法出售或者非法向他人提供数据; (五)制作、发布、复制、传播违法信息; (六)法律、行政法规禁止的其他行为。 任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。 第九条数据处理者应当采取备份、加密、访问控制等必要措施,保障 数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。 数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。 数据处理者应当使用密码对重要数据和核心数据进行保护。 第十条数据处理者发现其使用或者提供的网络产品和服务存在安全 缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。 第十一条数据处理者应当建立数据安全应急处置机制,发生数据安 全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其 规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务: (一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等; (二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。 第十二条数据处理者向第三方提供个人信息,或者共享、交易、委托 处理重要数据的,应当遵守以下规定: (一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外; (二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督; (三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。 数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 第十三条数据处理者开展以下活动,应当按照国家有关规定,申报网 络安全审查: (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的; (二)处理一百万人以上个人信息的数据处理者赴国外上市的; (三)数据处理者赴香港上市,影响或者可能影响国家安全的; (四)其他影响或者可能影响国家安全的数据处理活动。 大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。 第十四条数据处理者发生合并、重组、分立等情况的,数据接收方应 当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移 交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。第十五条数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。 第十六条国家机关应当依照法律、行政法规的规定和国家标准的强 制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。 第十七条数据处理者在采用自动化工具访问、收集数据时,应当评估 对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、 影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。 第十八条数据处理者应当建立便捷的数据安全投诉举报渠道,及时 受理、处置数据安全投诉举报。 数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。 第三章个人信息保护 第十九条数据处理者处理个人信息,应当具有明确、合理的目的,遵 循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求: (一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的; (二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式; (三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。 第二十条数据处理者处理个人信息,应当制定个人信息处理规则并 严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。 个人信息处理规则应当包括但不限于以下内容: (一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响; (二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式; (三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法; (四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则; (五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等; (六)个人信息安全风险及保护措施; (七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 第二十一条处理个人信息应当取得个人同意的,数据处理者应当遵 守以下规定: (一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意; (二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意; (三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意; (四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息; (五)不得通过误导、欺诈、胁迫等方式获得个人的同意; (六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意; (七)不得超出个人授权同意的范围处理个人信息; (八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。对个人同意行为有效性存在争议的,数据处理者负有举证责任。 第二十二条有下列情况之一的,数据处理者应当在十五个工作日内 删除个人信息或者进行匿名化处理: (一)已实现个人信息处理目的或者实现处理目的不再必要; (二)达到与用户约定或者个人信息处理规则明确的存储期限; (三)终止服务或者个人注销账号; (四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。 删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采 取必要的安全保护措施之外的处理,并应当向个人作出合理解释。法律、行政法规另有规定的从其规定。 第二十三条个人提出查阅、复制、更正、补充、限制处理、删除其个 人信息的合理请求的,数据处理者应当履行以下义务: (一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制; (二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件; (三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。 法律、行政法规另有规定的从其规定。 第二十四条符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务: (一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息; (二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息; (三)能够验证请求人的合法身份。 数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。 请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。 第二十五条数据处理者利用生物特征进行个人身份认证的,应当对 必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。 法