《資料安全管理辦法》是為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網路空間的合法權益,保障個人資訊和重要資料安全,根據《中華人民共和國網路安全法》等法律法規而製定的部門規章。
內容如下:
第一章總則
第一條為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網路空間的合法權益,保障個人資訊和重要資料安全,依據《中華人民共和國網路安全法》等法律法規,制定本辦法。
第二條在中華人民共和國境內利用網路進行資料收集、儲存、傳輸、處理、使用等活動(以下簡稱資料活動),以及資料安全的保護和監督管理,適用本辦法。純粹家庭和個人事務除外。
法律、行政法規另有規定的,從其規定。
第三條國家堅持保障資料安全與發展並重,鼓勵研發資料安全保護技術,積極推動資料資源開發利用,保障資料依法有序自由流動。
第四條國家採取措施,監控、防禦、處置來自中華人民共和國境內外的資料安全風險和威脅,保護資料免於外洩、竊取、竄改、毀損、非法使用等,依法懲治危害資料安全的違法犯罪活動。
第五條在中央網路安全和資訊化委員會領導下,國家網信部門統籌協調、指導監督個人資訊和重要資料安全保護工作。
地(市)及以上網信部門依據職責指導監督本行政區內個人資訊及重要資料安全保護工作。
第六條網路業者應依照有關法律、行政法規的規定,參照國家網路安全標準,履行資料安全保護義務,建立資料安全管理責任和評價考核制度,制定資料安全計劃,實施資料安全技術防護,進行資料安全風險評估,制定網路安全事件應變計畫,及時處置安全事件,組織資料安全教育、訓練。
相關推薦:《常見問題》
第二章資料收集
第七條網路經營者透過網站、應用程式等產品收集使用個人信息,應分別制定並公開收集使用規則。收集使用規則可以包含在網站、應用程式等產品的隱私權政策中,也可以以其他形式提供給使用者。
第八條收集使用規則應明確具體、簡單通俗、易於訪問,突出以下內容:
(一)網絡運營商基本信息;
(二)網路業者主要負責人、資料安全責任人的姓名及聯絡方式;
(三)收集使用個人資訊的目的、種類、數量、頻度、方式、範圍等;
(四)個人資料保存地點、期限及到期後的處理方式;
(五)向他人提供個人資訊的規則,如果提供給他人的;
(六)個人資訊安全保護策略等相關資訊;
(七)個人資訊主體撤銷同意,以及查詢、更正、刪除個人資料的途徑和方法;
(八)投訴、檢舉管道和方法等;
(九)法律、行政法規規定的其他內容。
第九條如果收集使用規則包含在隱私權政策中,應相對集中,明顯提示,以方便閱讀。另僅當用戶知悉收集使用規則並明確同意後,網路業者方可收集個人資訊。
第十條網路業者應嚴格遵守收集使用規則,網站、應用程式收集或使用個人資訊的功能設計應同隱私權政策保持一致,同步調整。
第十一條網路業者不得以改善服務品質、提升使用者體驗、定向推播資訊、研發新產品等為由,以預設授權、功能捆綁等形式強迫、誤導個人資訊主體同意其收集個人資訊。
個人資訊主體同意收集保證網路產品核心業務功能運作的個人資訊後,網路業者應向個人資訊主體提供核心業務功能服務,不得因個人資訊主體拒絕或撤銷同意收集上述資訊以外的其他訊息,而拒絕提供核心業務功能服務。
第十二條收集14歲以下未成年人個人資料的,應當徵得其監護人同意。
第十三條網路業者不得依據個人資訊主體是否授權收集個人資訊及授權範圍,對個人資訊主體採取歧視行為,包括服務品質、價格差異等。
第十四條網路業者從其他途徑獲得個人訊息,與直接收集個人資訊負有同等的保護責任和義務。
第十五條網路業者以經營為目的收集重要資料或個人敏感資訊的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、範圍、類型、期限等,不包括資料內容本身。
第十六條網路業者採取自動化手段存取收集網站數據,不得妨礙網站正常運作;此類行為嚴重影響網站運行,如自動化存取收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應停止。
第十七條網路業者以經營為目的收集重要資料或個人敏感資訊的,應明確資料安全責任人。
資料安全責任人由具有相關管理工作經驗和資料安全專業知識的人員擔任,參與有關資料活動的重要決策,直接向網路業者的主要負責人報告工作。
第十八條資料安全責任人履行下列職責:
(一)組織制定資料保護計畫並督促落實;
(二)組織開展資料安全風險評估,督促整改安全隱患;
(三)依要求向有關部門和網信部門報告資料安全保護和事件處置情況;
(四)受理並處理使用者投訴和舉報。
網路營運者應提供資料安全責任人必要的資源,並保障其獨立履行職責。
第三章資料處理使用
第十九條網路業者應參考國家有關標準,採用資料分類、備份、加密等措施加強對個人資訊和重要資料保護。
第二十條網路業者保存個人資訊不應超出收集使用規則中的保存期限,用戶註銷帳號後應及時刪除其個人信息,經過處理無法關聯到特定個人且不能復原(以下稱匿名化處理)的除外。
第二十一條網路業者收到有關個人資訊查詢、更正、刪除以及用戶註銷帳號請求時,應在合理時間和代價範圍內予以查詢、更正、刪除或註銷帳號。
第二十二條網路業者不得違反收集使用規則使用個人資訊。因業務需要,確需擴大個人資訊使用範圍的,應當徵得個人資訊主體同意。
第二十三條網路業者利用用戶資料和演算法推送新聞資訊、廣告等(以下簡稱「定向推送」),應以明顯方式標明「定推」字樣,提供使用者停止接收定向推播訊息的功能;使用者選擇停止接收定向推播訊息時,應停止推送,並刪除已收集的裝置識別碼等使用者資料和個人資訊。
網路經營者進行定向推送活動應遵守法律、行政法規,尊重社會公德、商業道德、公序良俗,誠實守信,嚴禁歧視、詐欺等行為。
第二十四條網路業者利用大數據、人工智慧等技術自動合成新聞、博文、貼文、留言等訊息,應以明顯方式標明「合成」字樣;不得以謀取利益或損害他人利益為目的自動合成資訊。
第二十五條網路業者應採取措施督促提醒使用者對自己的網路行為負責、加強自律,對於使用者透過社群網路轉發他人製作的訊息,應自動標註訊息製作者在該社交網路上的帳戶或不可變更的使用者識別。
第二十六條網路業者接到相關假冒、仿冒、盜用他人名義發布資訊的舉報投訴時,應及時回應,一旦核實立即停止傳播並作刪除處理。
第二十七條網路業者向他人提供個人資訊前,應評估可能帶來的安全風險,並徵得個人資訊主體同意。下列情況除外:
(一)從合法公開管道收集且不明顯違反個人資訊主體意願;
(二)個人資訊主體主動公開;
(三)經過匿名化處理;
(四)執法機關依法履行職責所必需;
(五)維護國家安全、社會公共利益、個人資訊主體生命安全所必需。
第二十八條網路業者發布、分享、交易或向境外提供重要資料前,應評估可能帶來的安全風險,並報經業界主管監理機關同意;產業主管監理機關不明確的,應經省級網信部門批准。
向境外提供個人資訊依相關規定執行。
第二十九條境內用戶造訪境內網路的,其流量不得被路由到境外。
第三十條網路業者對接取其平台的第三方應用,應明確資料安全要求與責任,督促監督第三方應用業者加強資料安全管理。第三方應用發生資料安全事件對使用者造成損失的,網路業者應承擔部分或全部責任,除非網路業者能夠證明無過失。
第三十一條網路營運商併購、重組、破產的,資料承接方應承接資料安全責任和義務。沒有資料承接方的,應對資料作刪除處理。法律、行政法規另有規定的,從其規定。
第三十二條網路業者分析利用所掌握的資料資源,發布市場預測、統計資料、個人和企業信用等訊息,不得影響國家安全、經濟運作、社會穩定,不得損害他人合法權益。
第四章資料安全監督管理
第三十三條網信部門在履行職責中,發現網路運營者資料安全管理責任落實不到位,應依照規定的權限及程序約談網路業者的主要負責人,督促整改。
第三十四條國家鼓勵網路業者自願通過資料安全管理認證和應用程式安全認證,鼓勵搜尋引擎、應用程式商店等明確標識並優先推薦通過認證的應用程式。
國家網信部門會同國務院市場監督管理部門,指導國家網路安全審查與認證機構,組織資料安全管理認證和應用程式安全認證工作。
第三十五條發生個人資訊外洩、毀損、遺失等資料安全事件,或發生資料安全事件風險明顯加大時,網路業者應立即採取補救措施,及時以電話、簡訊、郵件或信函等方式告知個人資訊主體,並依要求向產業主管監理機關及網信處報告。
第三十六條國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要,依照法律、行政法規的規定,要求網絡運營者提供掌握的相關數據的,網絡運營者應予以提供。
國務院相關主管機關對網路營運商提供的資料負有安全保護責任,不得用於與履行職責無關的用途。
第三十七條網路業者違反本辦法規定的,由有關部門依照相關法律、行政法規的規定,根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。
第五章附則
第三十八條本辦法下列用語的意思:
(一)網路運營者,指網絡的所有者、管理者和網路服務提供者。
(二)網路數據,指透過網路收集、儲存、傳輸、處理和產生的各種電子數據。
(三)個人訊息,指以電子或其他方式記錄的能夠單獨或與其他資訊結合識別自然人個人身分的各種信息,包括但不限於自然人的姓名、出生日期、身分證件號碼、個人生物辨識資訊、住址、電話號碼等。
(四)個人資訊主體,是指個人資料所識別或關聯到的自然人。
(五)重要數據,是指一旦洩露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積 人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營及內部管理資訊、個人資訊等。
第三十九條涉及國家機密資訊、密碼使用的資料活動,依照國家相關規定執行。
第四十條本辦法自 年 月 日起施行。
以上是資料安全管理辦法是什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!
