網絡數據安全管理條例等納入2022年度立法工作計劃
前言國務院2022年度立法工作計劃
2022年是進入全面建設社會主義現代化國家、向第二個百年奮斗目標進軍新征程的重要一年,我們黨將召開第二十次全國代表大會。國務院2022年度立法工作的總體要求是:在以習近平同志為核心的黨中央堅強領導下,高舉中國特色社會主義偉大旗幟,堅持以習近平新時代中國特色社會主義思想為指導,深入學習貫徹習近平法治思想,全面貫徹落實黨的十九大和十九屆歷次全會精神,弘揚偉大建黨精神,深刻認識“兩個確立”的決定性意義,增強“四個意識”、堅定“四個自信”、做到“兩個維護”,堅定不移走中國特色社會主義法治道路,堅持黨的領導、人民當家作主、依法治國有機統一,堅持穩中求進工作總基調,把握新發展階段、貫徹新發展理念、構建新發展格局、推動高質量發展,加強重點領域、新興領域、涉外領域立法,不斷提高立法質量和效率,以高質量立法保障高質量發展,加快完善中國特色社會主義法律體系,為推進國家治理體系和治理能力現代化、全面建設社會主義現代化國家提供有力的法治保障,以實際行動迎接黨的二十大勝利召開。
一、深入學習貫徹黨的十九屆六中全會精神,以習近平法治思想為指導做好新時代立法工作
黨的十九屆六中全會是在建黨百年之際召開的一次具有重大歷史意義的會議。全會通過的《中共中央關于黨的百年奮斗重大成就和歷史經驗的決議》,系統回顧了中國共產黨成立以來特別是黨的十八大以來黨和國家事業取得的歷史性成就、發生的歷史性變革,全面總結了黨百年奮斗積累的寶貴歷史經驗。黨確立習近平同志黨中央的核心、全黨的核心地位,確立習近平新時代中國特色社會主義思想的指導地位,反映了全黨全軍全國各族人民共同心愿,對新時代黨和國家事業發展、對推進中華民族偉大復興歷史進程具有決定性意義。要深入學習貫徹黨的十九屆六中全會精神,深刻認識“兩個確立”的決定性意義,從黨的百年奮斗重大成就和歷史經驗中汲取前進的智慧和力量,以實際工作成效擔當起新時代賦予立法工作的歷史使命。
習近平法治思想是習近平新時代中國特色社會主義思想的重要組成部分,是新時代全面依法治國的根本遵循和行動指南。要深入學習貫徹習近平法治思想,全面把握重要意義、核心要義、豐富內涵、實踐要求,準確理解“十一個堅持”的精髓實質,切實把習近平法治思想貫徹落實到立法工作的全過程和各方面,深入推進科學立法、民主立法、依法立法,不斷增強立法的系統性、整體性、協同性,使每一項立法都符合中央精神、體現時代特點、反映人民意愿。
二、科學合理安排立法項目,更好服務保障黨和國家重大決策部署
堅持圍繞中心、服務大局、突出重點,適應立足新發展階段、貫徹新發展理念、構建新發展格局、推動高質量發展要求,緊跟黨中央重大決策部署,緊貼人民群眾美好生活對立法工作的呼聲期盼,緊扣國家治理體系和治理能力現代化提出的立法需求實際,科學合理安排立法項目,以高質量立法保障和促進經濟社會發展目標任務順利實現。
圍繞全面深化改革開放、推動經濟高質量發展,提請全國人大常委會審議關稅法草案、增值稅法草案、金融穩定法草案、鐵路法修訂草案。制定城市公共交通條例、國務院關于反走私綜合治理的若干規定,修訂商用密碼管理條例、專利法實施細則。預備提請全國人大常委會審議國家發展規劃法草案、消費稅法草案、電信法草案、反不正當競爭法修訂草案、會計法修訂草案、銀行業監督管理法修訂草案、中國人民銀行法修訂草案、商業銀行法修訂草案、反洗錢法修訂草案、保險法修訂草案、計量法修訂草案、對外貿易法修訂草案、仲裁法修訂草案。預備制定國有金融資本管理條例、地方金融監督管理條例、上市公司監督管理條例,預備修訂發票管理辦法、國家自然科學基金條例、植物新品種保護條例、國有資產評估管理辦法、國務院關于股份有限公司境外募集股份及上市的特別規定、國務院關于經營者集中申報標準的規定。
圍繞堅持依法行政、加強政府自身建設,提請全國人大常委會審議治安管理處罰法修訂草案、行政復議法修訂草案。預備提請全國人大常委會審議機關運行保障法草案、人民警察法修訂草案、海關法修訂草案、統計法修正草案。預備修訂事業單位登記管理暫行條例。完善道路交通安全管理等方面的法律制度。
圍繞發展社會主義先進文化、增強文化自信,提請全國人大常委會審議文物保護法修訂草案。制定未成年人網絡保護條例,修訂水下文物保護管理條例。預備提請全國人大常委會審議廣播電視法草案。
圍繞在發展中保障和改善民生、增進民生福祉,提請全國人大常委會審議學前教育法草案、學位法草案、社會救助法草案、突發公共衛生事件應對法草案、傳染病防治法修訂草案、國境衛生檢疫法修訂草案。制定社會保險經辦條例、生物技術研究開發安全管理條例、生物醫學新技術臨床研究和轉化應用管理條例,修訂人體器官移植條例。預備提請全國人大常委會審議醫療保障法草案、城市居民委員會組織法修訂草案、教師法修訂草案。推動校外教育培訓監管立法。推進社會組織登記管理法治化建設。
圍繞加強生態環境保護、建設美麗中國,提請全國人大常委會審議能源法草案、礦產資源法修訂草案。制定生態保護補償條例、碳排放權交易管理暫行條例,修訂放射性同位素與射線裝置安全和防護條例。預備提請全國人大常委會審議耕地保護法草案、進出境動植物檢疫法修正草案。
圍繞統籌發展和安全、完善國家安全法治體系,提請全國人大常委會審議糧食安全保障法草案。制定網絡數據安全管理條例、領事保護與協助條例、無人駕駛航空器飛行管理暫行條例。預備提請全國人大常委會審議危險化學品安全法草案、國家綜合性消防救援隊伍和人員法草案、保守國家秘密法修訂草案。預備制定煤礦安全條例。
深化國防和軍隊改革需要提請全國人大及其常委會審議的法律草案,以及需要制定、修訂的行政法規,適時提請國務院、中央軍委審議。
抓緊做好政府職能轉變、“放管服”改革、“證照分離”改革、優化營商環境等涉及的法律法規清理工作。
為實行高水平對外開放,開拓合作共贏新局面,推動構建新型國際關系和人類命運共同體,開展有關國際條約審核工作。
對于黨中央、國務院交辦的其他立法項目,抓緊辦理,盡快完成起草和審查任務。
對于其他正在研究但未列入立法工作計劃的立法項目,由有關部門繼續研究論證。
三、健全完善立法工作機制,以良法促進發展、保障善治
始終堅持黨對立法工作的集中統一領導。緊緊圍繞黨和國家工作大局開展立法工作,推動黨中央有關立法工作的重大決策部署落到實處,加快完成黨中央交辦的重大立法項目,不斷強化對國家重大發展戰略的法治保障。嚴格執行向黨中央請示報告制度,黨中央確定的重大立法事項,以及立法工作中涉及重大體制、重大政策調整問題的,及時按程序向黨中央請示報告。立法工作計劃、重大立法項目按要求提交中央全面依法治國委員會審議,支持中央全面依法治國委員會及其立法協調小組、辦公室發揮職能作用。推進黨的領導入法入規,健全黨領導各項事業的法律制度,不斷提高黨的領導制度化、法治化水平。深入分析社會主義核心價值觀建設的立法需求,推動社會主義核心價值觀融入立法。
支持配合人大發揮在立法工作中的主導作用。深入學習貫徹習近平總書記關于堅持和完善人民代表大會制度的重要思想以及中央人大工作會議精神,支持全國人大及其常委會發揮在確定立法選題、組織法案起草、審議把關等方面的主導作用,配合全國人大專門委員會、常委會工作機構牽頭起草重要法律草案。全面貫徹落實全國人大常委會立法規劃、有關立法工作計劃,做好法律項目的銜接,加強溝通協調。增強政府立法與人大立法的協同性,統籌安排相關聯相配套的法律法規規章立改廢釋纂工作。充分發揮人大代表作用,起草、審查重要法律法規草案要認真聽取人大代表的意見建議,使立法更好地接地氣、察民情、聚民智、惠民生。
深入踐行以人民為中心的立法理念。堅持問需于民、問計于民、問效于民,積極回應人民群眾對立法工作的新要求新期待,不斷健全滿足人民日益增長的美好生活需要必備的法律制度,把體現人民利益、反映人民意愿、維護人民權益、增進人民福祉落實到立法工作各領域全過程,努力讓人民群眾在每一項法律制度中都感受到公平正義。貫徹和體現發展全過程人民民主的重大理念和實踐要求,健全吸納民意、匯聚民智的工作機制,積極運用新媒體新技術拓寬社會公眾參與立法的渠道,注重聽取基層立法聯系點意見,努力做到民有所呼、我有所應,充分凝聚立法共識。聚焦人民群眾急盼,加強民生領域立法。對人民群眾反映強烈的突出問題,加快完善相關法律制度,補齊監管漏洞和短板。加強對立法工作的宣傳,把普法融入立法過程,及時宣傳解讀新出臺的法律法規,特別是人民群眾普遍關心關注、與推動經濟社會高質量發展密切相關的法律法規,積極回應立法熱點問題,講好新時代立法工作的成就和故事,不斷提升人民群眾對法律制度的認同感。
著力提升立法的科學性和針對性。把改革發展決策同立法決策更好結合起來,在研究改革方案和改革措施時,要同步考慮改革涉及的立法問題,及時提出立法需求和立法建議,確保國家發展、重大改革于法有據。不斷豐富立法形式,統籌謀劃和整體推進立改廢釋纂各項工作,切實避免越權立法、重復立法、盲目立法,有效防止部門利益影響。起草、審查法律法規草案時,同一或相近領域有關法律法規應相互銜接,避免出現法律規定之間不一致、不協調、不適應問題。聚焦法律制度的空白點和沖突點,既注重“大塊頭”,也注重“小快靈”,從“小切口”入手,切實增強立法的針對性、適用性、可操作性,著力解決現實問題。統籌推進國內法治和涉外法治,加強涉外領域立法,補齊涉外法律制度短板,加快我國法域外適用的法律體系建設,堅決維護國家主權、安全和發展利益。
健全完善立法風險防范機制。立法工作事關國家安全、政治安全和社會穩定,必須貫徹落實總體國家安全觀,堅持底線思維、增強憂患意識,加強立法戰略研究,對立法時機和各環節工作進行綜合考慮和評估論證,把風險評估貫穿立法全過程,著力防范各種重大風險隱患,為黨的二十大勝利召開創造安全穩定的政治社會環境。
切實加強法規規章備案審查工作。充分發揮立法監督作用,嚴格落實“有件必備、有備必審、有錯必糾”工作要求,不斷提升法規規章備案審查工作質效,切實維護國家法治統一。對報送備案的法規規章依法審查,著重對法規規章是否全面貫徹黨的路線方針政策、是否違背法定程序、是否超越法定權限、是否違反上位法規定等進行審查,對發現的問題堅決依法作出處理。持續加強備案審查能力建設,研究修改備案審查法律制度,優化完善備案法規規章數據庫,及時向國務院報告年度備案審查工作情況,不斷提高備案審查工作規范化、科學化、精細化水平。
持續推進立法工作隊伍建設。牢牢把握忠于黨、忠于國家、忠于人民、忠于法律的總要求,大力提高立法工作隊伍思想政治素質、業務工作能力、職業道德水準。教育引導立法工作隊伍把政治建設擺在首位,堅持以習近平新時代中國特色社會主義思想武裝頭腦,不斷提高政治判斷力、政治領悟力、政治執行力,加快推進革命化、正規化、專業化、職業化建設。落實黨中央關于法治人才培養的決策部署,健全招錄制度,加大交流力度,加強教育培訓,不斷提升立法工作人員遵循規律、發揚民主、加強協調、凝聚共識的能力。
四、切實加強組織領導,確保高質高效完成立法工作任務
國務院各部門要深刻認識立法工作在全面建設社會主義現代化國家中的基礎性、保障性作用,高度重視立法工作計劃的貫徹執行,聚焦重大部署、重要任務、重點工作,加強組織領導,明確責任分工,主動擔當作為,狠抓貫徹落實,在確保立法質量的前提下加快立法工作步伐,高質高效完成各項立法工作任務。
起草部門要緊緊抓住提高立法質量這個關鍵,遵循立法程序,嚴守立法權限,深入調查研究,總結實踐經驗,廣泛聽取意見,認真做好向社會公開征求意見工作。送審稿涉及其他部門的職責或者與其他部門關系緊密的,應當與有關部門充分協商;涉及部門職責分工、行政許可、財政支持、稅收優惠政策的,應當征得機構編制、審改、財政、稅務等相關部門同意。起草過程中遇到意見分歧的,應當主動溝通協調,難以解決的重大意見分歧應當及時按程序請示匯報。對于改革發展穩定急需的重大立法項目,必要時成立立法工作專班,協調推動立法進程,集中力量攻堅,確保按時完成起草任務。送審稿涉及重大體制改革、重要改革事項的,應當按照中央已經確定的改革方案對有關內容進行修改完善后再報送。起草部門要按時向國務院報送送審稿、說明和有關材料,為審查、審議等工作預留合理時間。報送送審稿前,起草部門應當與司法部做好溝通,如實說明征求各方意見、公開征求意見、協調重大分歧、落實改革方案以及設定行政許可、行政強制、行政處罰等情況。
司法部要及時跟蹤了解立法工作計劃執行情況,加強組織協調和督促指導。對于黨中央、國務院高度重視,時間要求緊迫的重大立法項目,要加強與起草部門的溝通,必要時提前介入、加快推動,確保程序不減、標準不降、無縫銜接、按時完成。起草部門報送的送審稿存在《行政法規制定程序條例》第十九條規定的情形的,司法部可以緩辦或者將送審稿退回起草部門。在審查過程中,有關部門對送審稿涉及的主要制度、方針政策、管理體制、權限分工等有不同意見的,司法部應當加大協調力度,提高協調層級,妥善處理分歧,避免久拖不決。經過充分協調不能達成一致意見的,司法部、起草部門應當及時按程序上報。
附件:《國務院2022年度立法工作計劃》明確的立法項目及負責起草的單位
附件
《國務院2022年度立法工作計劃》明確的
立法項目及負責起草的單位
一、擬提請全國人大常委會審議的法律案(16件)
1.關稅法草案(財政部、海關總署起草)
2.增值稅法草案(財政部、稅務總局起草)
3.金融穩定法草案(人民銀行起草)
4.學前教育法草案(教育部起草)
5.學位法草案(教育部起草)
6.社會救助法草案(民政部、財政部起草)
7.突發公共衛生事件應對法草案(衛生健康委、疾控局起草)
8.能源法草案(發展改革委、能源局起草)
9.糧食安全保障法草案(發展改革委、糧食和儲備局起草)
10.鐵路法修訂草案(交通運輸部、鐵路局起草)
11.治安管理處罰法修訂草案(公安部起草)
12.行政復議法修訂草案(司法部起草)
13.文物保護法修訂草案(文化和旅游部、文物局起草)
14.傳染病防治法修訂草案(衛生健康委、疾控局起草)
15.國境衛生檢疫法修訂草案(海關總署起草)
16.礦產資源法修訂草案(自然資源部起草)
此外,預備提請全國人大常委會審議國家發展規劃法草案、消費稅法草案、電信法草案、耕地保護法草案、機關運行保障法草案、廣播電視法草案、醫療保障法草案、危險化學品安全法草案、國家綜合性消防救援隊伍和人員法草案、反不正當競爭法修訂草案、會計法修訂草案、銀行業監督管理法修訂草案、中國人民銀行法修訂草案、商業銀行法修訂草案、反洗錢法修訂草案、保險法修訂草案、計量法修訂草案、對外貿易法修訂草案、仲裁法修訂草案、人民警察法修訂草案、海關法修訂草案、統計法修正草案、城市居民委員會組織法修訂草案、教師法修訂草案、進出境動植物檢疫法修正草案、保守國家秘密法修訂草案。
二、擬制定、修訂的行政法規(16件)
1.城市公共交通條例(交通運輸部起草)
2.國務院關于反走私綜合治理的若干規定(海關總署起草)
3.未成年人網絡保護條例(網信辦起草)
4.社會保險經辦條例(人力資源社會保障部、醫保局起草)
5.生物技術研究開發安全管理條例(科技部起草)
6.生物醫學新技術臨床研究和轉化應用管理條例(衛生健康委起草)
7.生態保護補償條例(發展改革委起草)
8.碳排放權交易管理暫行條例(生態環境部起草)
9.網絡數據安全管理條例(網信辦組織起草)
10.領事保護與協助條例(外交部起草)
11.無人駕駛航空器飛行管理暫行條例(中央軍委聯合參謀部、交通運輸部起草)
12.商用密碼管理條例(修訂)(密碼局起草)
13.專利法實施細則(修訂)(市場監管總局、知識產權局起草)
14.水下文物保護管理條例(修訂)(文化和旅游部、文物局起草)
15.人體器官移植條例(修訂)(衛生健康委起草)
16.放射性同位素與射線裝置安全和防護條例(修訂)(生態環境部起草)
此外,預備制定國有金融資本管理條例、地方金融監督管理條例、上市公司監督管理條例、煤礦安全條例,預備修訂發票管理辦法、國家自然科學基金條例、植物新品種保護條例、國有資產評估管理辦法、國務院關于股份有限公司境外募集股份及上市的特別規定、國務院關于經營者集中申報標準的規定、事業單位登記管理暫行條例。
三、擬完成的其他立法項目
1.深化國防和軍隊改革需要提請全國人大及其常委會審議的法律草案,以及需要制定、修訂的行政法規
2.政府職能轉變、“放管服”改革、“證照分離”改革、優化營商環境等涉及的法律法規清理項目
3.黨中央、國務院交辦的其他立法項目
以下是《網絡數據安全管理條例(征求意見稿)》全文:
網絡數據安全管理條例
(征求意見稿)
第一章 總則
第一條 為了規范網絡數據處理活動,保障數據安全,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律,制定本條例。
第二條 在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理,適用本條例。
在中華人民共和國境外處理中華人民共和國境內個人和組織數據的活動,有下列情形之一的,適用本條例:
(一)以向境內提供產品或者服務為目的;
(二)分析、評估境內個人、組織的行為;
(三)涉及境內重要數據處理;
(四)法律、行政法規規定的其他情形。
自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
第三條 國家統籌發展和安全,堅持促進數據開發利用與保障數據安全并重,加強數據安全防護能力建設,保障數據依法有序自由流動,促進數據依法合理有效利用。
第四條 國家支持數據開發利用與安全保護相關的技術、產品、服務創新和人才培養。
國家鼓勵國家機關、行業組織、企業、教育和科研機構、有關專業機構等開展數據開發利用和安全保護合作,開展數據安全宣傳教育和培訓。
第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。
第六條 數據處理者對所處理數據的安全負責,履行數據安全保護義務,接受政府和社會監督,承擔社會責任。
數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求,建立完善數據安全管理制度和技術保護機制。
第七條 國家推動公共數據開放、共享,促進數據開發利用,并依法對公共數據實施監督管理。
國家建立健全數據交易管理制度,明確數據交易機構設立、運行標準,規范數據流通交易行為,確保數據依法有序流通。
第二章 一般規定
第八條 任何個人和組織開展數據處理活動應當遵守法律、行政法規,尊重社會公德和倫理,不得從事以下活動:
(一)危害國家安全、榮譽和利益,泄露國家秘密和工作秘密;
(二)侵害他人名譽權、隱私權、著作權和其他合法權益等;
(三)通過竊取或者以其他非法方式獲取數據;
(四)非法出售或者非法向他人提供數據;
(五)制作、發布、復制、傳播違法信息;
(六)法律、行政法規禁止的其他行為。
任何個人和組織知道或者應當知道他人從事前款活動的,不得為其提供技術支持、工具、程序和廣告推廣、支付結算等服務。
第九條 數據處理者應當采取備份、加密、訪問控制等必要措施,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防范針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。
數據處理者應當按照網絡安全等級保護的要求,加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
數據處理者應當使用密碼對重要數據和核心數據進行保護。
第十條 數據處理者發現其使用或者提供的網絡產品和服務存在安全缺陷、漏洞,或者威脅國家安全、危害公共利益等風險時,應當立即采取補救措施。
第十一條 數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啟動應急響應機制,采取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可采取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,數據處理者應當按規定向公安機關報案。
發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等;
(二)在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。
第十二條 數據處理者向第三方提供個人信息,或者共享、交易、委托處理重要數據的,應當遵守以下規定:
(一)向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點,并取得個人單獨同意,符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外;
(二)與數據接收方約定處理數據的目的、范圍、處理方式,數據安全保護措施等,通過合同等形式明確雙方的數據安全責任義務,并對數據接收方的數據處理活動進行監督;
(三)留存個人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。
數據接收方應當履行約定的義務,不得超出約定的目的、范圍、處理方式處理個人信息和重要數據。
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
第十四條 數據處理者發生合并、重組、分立等情況的,數據接收方應當繼續履行數據安全保護義務,涉及重要數據和一百萬人以上個人信息的,應當向設區的市級主管部門報告;數據處理者發生解散、被宣告破產等情況的,應當向設區的市級主管部門報告,按照相關要求移交或刪除數據,主管部門不明確的,應當向設區的市級網信部門報告。
第十五條 數據處理者從其他途徑獲取的數據,應當按照本條例的規定履行數據安全保護義務。
第十六條 國家機關應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。
第十七條 數據處理者在采用自動化工具訪問、收集數據時,應當評估對網絡服務的性能、功能帶來的影響,不得干擾網絡服務的正常功能。
自動化工具訪問、收集數據違反法律、行政法規或者行業自律公約、影響網絡服務正常功能,或者侵犯他人知識產權等合法權益的,數據處理者應當停止訪問、收集數據行為并采取相應補救措施。
第十八條 數據處理者應當建立便捷的數據安全投訴舉報渠道,及時受理、處置數據安全投訴舉報。
數據處理者應當公布接受投訴、舉報的聯系方式、責任人信息,每年公開披露受理和收到的個人信息安全投訴數量、投訴處理情況、平均處理時間情況,接受社會監督。
第三章 個人信息保護
第十九條 數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。基于個人同意處理個人信息的,應當滿足以下要求:
(一)處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;
(二)限于實現處理目的最短周期、最低頻次,采取對個人權益影響最小的方式;
(三)不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
第二十條 數據處理者處理個人信息,應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置,內容明確具體、簡明通俗,系統全面地向個人說明個人信息處理情況。
個人信息處理規則應當包括但不限于以下內容:
(一)依據產品或者服務的功能明確所需的個人信息,以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等,以及拒絕處理個人信息對個人的影響;
(二)個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式;
(三)個人查閱、復制、更正、刪除、限制處理、轉移個人信息,以及注銷賬號、撤回處理個人信息同意的途徑和方法;
(四)以集中展示等便利用戶訪問的方式說明產品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱,以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規則;
(五)向第三方提供個人信息情形及其目的、方式、種類,數據接收方相關信息等;
(六)個人信息安全風險及保護措施;
(七)個人信息安全問題的投訴、舉報渠道及解決途徑,個人信息保護負責人聯系方式。
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
(一)按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意;
(二)處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意;
(三)處理不滿十四周歲未成年人的個人信息,應當取得其監護人同意;
(四)不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;
(五)不得通過誤導、欺詐、脅迫等方式獲得個人的同意;
(六)不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意;
(七)不得超出個人授權同意的范圍處理個人信息;
(八)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,數據處理者應當重新取得個人同意,并同步修改個人信息處理規則。
對個人同意行為有效性存在爭議的,數據處理者負有舉證責任。
第二十二條 有下列情況之一的,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理:
(一)已實現個人信息處理目的或者實現處理目的不再必要;
(二)達到與用戶約定或者個人信息處理規則明確的存儲期限;
(三)終止服務或者個人注銷賬號;
(四)因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經個人同意的個人信息。
刪除個人信息從技術上難以實現,或者因業務復雜等原因,在十五個工作日內刪除個人信息確有困難的,數據處理者不得開展除存儲和采取必要的安全保護措施之外的處理,并應當向個人作出合理解釋。
法律、行政法規另有規定的從其規定。
第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的,數據處理者應當履行以下義務:
(一)提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;
(二)提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能,且不得設置不合理條件;
(三)收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的,應當在十五個工作日內處理并反饋。
法律、行政法規另有規定的從其規定。
第二十四條 符合下列條件的個人信息轉移請求,數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務:
(一)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;
(二)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;
(三)能夠驗證請求人的合法身份。
數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對個人信息轉移請求做合理的風險提示。
請求轉移個人信息次數明顯超出合理范圍的,數據處理者可以收取合理費用。
第二十五條 數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
法律、行政法規另有規定的從其規定。
第二十六條 數據處理者處理一百萬人以上個人信息的,還應當遵守本條例第四章對重要數據的處理者作出的規定。
第四章 重要數據安全
第二十七條 各地區、各部門按照國家有關要求和標準,組織本地區、本部門以及相關行業、領域的數據處理者識別重要數據和核心數據,組織制定本地區、本部門以及相關行業、領域重要數據和核心數據目錄,并報國家網信部門。
第二十八條 重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下,履行以下職責:
(一)研究提出數據安全相關重大決策建議;
(二)制定實施數據安全保護計劃和數據安全事件應急預案;
(三)開展數據安全風險監測,及時處置數據安全風險和事件;
(四)定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動;
(五)受理、處置數據安全投訴、舉報;
(六)按照要求及時向網信部門和主管、監管部門報告數據安全情況。
數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。
第二十九條 重要數據的處理者,應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案,備案內容包括:
(一)數據處理者基本信息,數據安全管理機構信息、數據安全負責人姓名和聯系方式等;
(二)處理數據的目的、規模、方式、范圍、類型、存儲期限、存儲地點等,不包括數據內容本身;
(三)國家網信部門和主管、監管部門規定的其他備案內容。
處理數據的目的、范圍、類型及數據安全防護措施等有重大變化的,應當重新備案。
依據部門職責分工,網信部門與有關部門共享備案信息。
第三十條 重要數據的處理者,應當制定數據安全培訓計劃,每年組織開展全員數據安全教育培訓,數據安全相關的技術和管理人員每年教育培訓時間不得少于二十小時。
第三十一條 重要數據的處理者,應當優先采購安全可信的網絡產品和服務。
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
(一)處理重要數據的情況;
(二)發現的數據安全風險及處置措施;
(三)數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;
(四)落實國家數據安全法律、行政法規和標準情況;
(五)發生的數據安全事件及其處置情況;
(六)共享、交易、委托處理、向境外提供重要數據的安全評估情況;
(七)數據安全相關的投訴及處理情況;
(八)國家網信部門和主管、監管部門明確的其他數據安全情況。
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
(一)共享、交易、委托處理、向境外提供數據,以及數據接收方處理數據的目的、方式、范圍等是否合法、正當、必要;
(二)共享、交易、委托處理、向境外提供數據被泄露、毀損、篡改、濫用的風險,以及對國家安全、經濟發展、公共利益帶來的風險;
(三)數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況,承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全;
(四)與數據接收方訂立的相關合同中關于數據安全的要求能否有效約束數據接收方履行數據安全保護義務;
(五)在數據處理過程中的管理和技術措施等是否能夠防范數據泄露、毀損等風險。
評估認為可能危害國家安全、經濟發展和公共利益,數據處理者不得共享、交易、委托處理、向境外提供數據。
第三十三條 數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。
第三十四條 國家機關和關鍵信息基礎設施運營者采購的云計算服務,應當通過國家網信部門會同國務院有關部門組織的安全評估。
第五章 數據跨境安全管理
第三十五條 數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。
第三十六條 數據處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外數據接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外數據接收方行使個人信息權利的方式等事項,并取得個人的單獨同意。
收集個人信息時已單獨就個人信息出境取得個人同意,且按照取得同意的事項出境的,無需再次取得個人單獨同意。
第三十七條 數據處理者向境外提供在中華人民共和國境內收集和產生的數據,屬于以下情形的,應當通過國家網信部門組織的數據出境安全評估:
(一)出境數據中包含重要數據;
(二)關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數據處理者向境外提供個人信息;
(三)國家網信部門規定的其它情形。
法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第三十八條 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
第三十九條 數據處理者向境外提供數據應當履行以下義務:
(一)不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息;
(二)不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據;
(三)采取合同等有效措施監督數據接收方按照雙方約定的目的、范圍、方式使用數據,履行數據安全保護義務,保證數據安全;
(四)接受和處理數據出境所涉及的用戶投訴;
(五)數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任;
(六)存留相關日志記錄和數據出境審批記錄三年以上;
(七)國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示;
(八)國家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救;
(九)個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。
非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
第四十條 向境外提供個人信息和重要數據的數據處理者,應當在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度以下數據出境情況:
(一)全部數據接收方名稱、聯系方式;
(二)出境數據的類型、數量及目的;
(三)數據在境外的存放地點、存儲期限、使用范圍和方式;
(四)涉及向境外提供數據的用戶投訴及處理情況;
(五)發生的數據安全事件及其處置情況;
(六)數據出境后再轉移的情況;
(七)國家網信部門明確向境外提供數據需要報告的其他事項。
第四十一條 國家建立數據跨境安全網關,對來源于中華人民共和國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播。
任何個人和組織不得提供用于穿透、繞過數據跨境安全網關的程序、工具、線路等,不得為穿透、繞過數據跨境安全網關提供互聯網接入、服務器托管、技術支持、傳播推廣、支付結算、應用下載等服務。
境內用戶訪問境內網絡的,其流量不得被路由至境外。
第四十二條 數據處理者從事跨境數據活動應當按照國家數據跨境安全監管要求,建立健全相關技術和管理措施。
第六章 互聯網平臺運營者義務
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
第四十四條 互聯網平臺運營者應當對接入其平臺的第三方產品和服務承擔數據安全管理責任,通過合同等形式明確第三方的數據安全責任義務,并督促第三方加強數據安全管理,采取必要的數據安全保護措施。
第三方產品和服務對用戶造成損害的,用戶可以要求互聯網平臺運營者先行賠償。
移動通信終端預裝第三方產品適用本條前兩款規定。
第四十五條 國家鼓勵提供即時通信服務的互聯網平臺運營者從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護,非個人通信的信息按照公共信息有關規定進行管理。
第四十六條 互聯網平臺運營者不得利用數據以及平臺規則等從事以下活動:
(一)利用平臺收集掌握的用戶數據,無正當理由對交易條件相同的用戶實施產品和服務差異化定價等損害用戶合法利益的行為;
(二)利用平臺收集掌握的經營者數據,在產品推廣中實行最低價銷售等損害公平競爭的行為;
(三)利用數據誤導、欺詐、脅迫用戶,損害用戶對其數據被處理的決定權,違背用戶意愿處理用戶數據;
(四)在平臺規則、算法、技術、流量分配等方面設置不合理的限制和障礙,限制平臺上的中小企業公平獲取平臺產生的行業、市場數據等,阻礙市場創新。
第四十七條 提供應用程序分發服務的互聯網平臺運營者,應當按照有關法律、行政法規和國家網信部門的規定,建立、披露應用程序審核規則,并對應用程序進行安全審核。對不符合法律、行政法規的規定和國家標準的強制性要求的應用程序,應當采取拒絕上架、督促整改、下架處置等措施。
第四十八條 互聯網平臺運營者面向公眾提供即時通信服務的,應當按照國務院電信主管部門的規定,為其他互聯網平臺運營者的即時通信服務提供數據接口,支持不同即時通信服務之間用戶數據互通,無正當理由不得限制用戶訪問其他互聯網平臺以及向其他互聯網平臺傳輸文件。
第四十九條 互聯網平臺運營者利用個人信息和個性化推送算法向用戶提供信息的,應當對推送信息的真實性、準確性以及來源合法性負責,并符合以下要求:
(一)收集個人信息用于個性化推薦時,應當取得個人單獨同意;
(二)設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項,允許用戶拒絕接受定向推送信息,允許用戶重置、修改、調整針對其個人特征的定向推送參數;
(三)允許個人刪除定向推送信息服務收集產生的個人信息,法律、行政法規另有規定或者與用戶另有約定的除外。
第五十條 國家建設網絡身份認證公共服務基礎設施,按照政府引導、網民自愿原則,提供個人身份認證公共服務。
互聯網平臺運營者應當支持并優先使用國家網絡身份認證公共服務基礎設施提供的個人身份認證服務。
第五十一條 互聯網平臺運營者在為國家機關提供服務,參與公共基礎設施、公共服務系統建設運維管理,利用公共資源提供服務過程中收集、產生的數據不得用于其他用途。
第五十二條 國務院有關部門履行法定職責需要調取或者訪問互聯網平臺運營者掌握的公共數據、公共信息,應當明確調取或者訪問的范圍、類型、用途、依據,嚴格限定在履行法定職責范圍內,不得將調取或者訪問的公共數據、公共信息用于履行法定職責之外的目的。
互聯網平臺運營者應當對有關部門調取或者訪問公共數據、公共信息予以配合。
第五十三條 大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計,并披露審計結果。
第五十四條 互聯網平臺運營者利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動的,應當按照國家有關規定進行安全評估。
第七章 監督管理
第五十五條 國家網信部門負責統籌協調數據安全和相關監督管理工作。
公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
主管部門應當明確本行業、本領域數據安全保護工作機構和人員,編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。
主管部門應當定期組織開展本行業、本領域的數據安全風險評估,對數據處理者履行數據安全保護義務情況進行監督檢查,指導督促數據處理者及時對存在的風險隱患進行整改。
第五十六條 國家建立健全數據安全應急處置機制,完善網絡安全事件應急預案和網絡安全信息共享平臺,將數據安全事件納入國家網絡安全事件應急響應機制,加強數據安全信息共享、數據安全風險和威脅監測預警以及數據安全事件應急處置工作。
第五十七條 有關主管、監管部門可以采取以下措施對數據安全進行監督檢查:
(一)要求數據處理者相關人員就監督檢查事項作出說明;
(二)查閱、調取與數據安全有關的文檔、記錄;
(三)按照規定程序,利用檢測工具或者委托專業機構對數據安全措施運行情況進行技術檢測;
(四)核驗數據出境類型、范圍等;
(五)法律、行政法規、規章規定的其他必要方式。
有關主管、監管部門開展數據安全監督檢查,應當客觀公正,不得向被檢查單位收取費用。在數據安全監督檢查中獲取的信息只能用于維護數據安全的需要,不得用于其他用途。
數據處理者應當對有關主管、監管部門的數據安全監督檢查予以配合,包括對組織運作、技術系統、算法原理、數據處理程序等進行解釋說明,開放安全相關數據訪問、提供必要技術支持等。
第五十八條 國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
主管、監管部門組織開展對重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況。
第五十九條 國家支持相關行業組織按照章程,制定數據安全行為規范,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
國家支持成立個人信息保護行業組織,開展以下活動:
(一)接受個人信息保護投訴舉報并進行調查、調解;
(二)向個人提供信息和咨詢服務,支持個人依法對損害個人信息權益的行為提起訴訟;
(三)曝光損害個人信息權益的行為,對個人信息保護開展社會監督;
(四)向有關部門反映個人信息保護情況、提供咨詢、建議;
(五)違法處理個人信息、侵害眾多個人的權益的行為,依法向人民法院提起訴訟。
第八章 法律責任
第六十條 數據處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規定,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者導致危害數據安全等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
第六十一條 數據處理者不履行第十九條、第二十條、第二十一條、第二十二條、第二十三條、第二十四條、第二十五條規定的數據安全保護義務的,由有關部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由有關部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
第六十二條 數據處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規定的數據安全保護義務的,由有關部門責令改正,給予警告,對違法處理重要數據的系統及應用,責令暫停或者終止提供服務;拒不改正的,并處二百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由有關部門責令改正,沒收違法所得,并處二百萬元以上五百萬元以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處二十萬元以上一百萬元以下罰款。
第六十三條 關鍵信息基礎設施運營者違反第三十四條的規定,由有關部門責令改正,依照有關法律、行政法規的規定予以處罰。
第六十四條 數據處理者違反第三十五條、第三十六條、第三十七條、第三十九條第一款、第四十條、第四十二條的規定,由有關部門責令改正,給予警告,暫停數據出境,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第六十五條 違反本條例第三十九條第二款的規定,未經主管機關批準向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重后果的,處一百萬元以上五百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
第六十六條 個人和組織違反第四十一條的規定,由有關主管部門責令改正,給予警告、沒收違法所得;拒不改正的,處違法所得一倍以上十倍以下的罰款,沒有違法所得的,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依照相關法律、行政法規的規定處罰。
第六十七條 互聯網平臺運營者違反第四十三條、第四十四條、第四十五條、第四十七條、第五十三條的規定,由有關部門責令改正,予以警告;拒不改正,處五十萬元以上五百萬元以下罰款,對直接負責的主管人員和其他直接負責人員,處五萬元以上五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
第六十八條 互聯網平臺運營者違反第四十六條、第四十八條、第五十一條的規定,由有關主管部門責令改正,給予警告;拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款;情節嚴重的,由有關主管部門依照相關法律、行政法規的規定,責令其暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依照相關法律、行政法規的規定處罰。
第六十九條 互聯網平臺運營者違反第四十九條、第五十四條的規定,由有關主管部門責令改正,予以警告;拒不改正,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,可由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
第七十條 數據處理者違反本條例規定,給他人造成損害的,依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七十一條 國家機關不履行本法規定的數據安全保護義務的,由其上級機關或者履行數據安全管理職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第七十二條 在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
第九章 附則
第七十三條 本條例下列用語的含義:
(一)網絡數據(簡稱數據)是指任何以電子方式對信息的記錄。
(二)數據處理活動是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。
(三)重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括以下數據:
1.未公開的政務數據、工作秘密、情報數據和執法司法數據;
2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;
3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等;
4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據;
5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據;
6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據;
7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。
(四)核心數據是指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。
(五)數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織。
(六)公共數據是指國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類數據,以及其他組織在提供公共服務中收集、產生的涉及公共利益的各類數據。
(七)委托處理是指數據處理者委托第三方按照約定的目的和方式開展的數據處理活動。
(八)單獨同意是指數據處理者在開展具體數據處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。
(九)互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。
(十)大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。
(十一)數據跨境安全網關是指阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防范偵查打擊跨境網絡犯罪的重要安全基礎設施。
(十二)公共信息是指數據處理者在提供公共服務過程中收集、產生的具有公共傳播特性的信息。包括公開發布信息、可轉發信息、無明確接收人信息等。
第七十四條 涉及國家秘密信息、核心數據、密碼使用的數據處理活動,按照國家有關規定執行。
第七十五條 本條例自 年 月 日起施行。
