數據處理者應落實等保要求,處理重要數據的系統應滿足三級以上
為落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律關于數據安全管理的規定,規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益,根據國務院2021年立法計劃,我辦會同相關部門研究起草《網絡數據安全管理條例(征求意見稿)》,現向社會公開征求意見。公眾可通過以下途徑和方式反饋意見:
1.通過電子郵件將意見發送至:shujuju@cac.gov.cn。
2.通過信函將意見寄至:北京市西城區車公莊大街11號國家互聯網信息辦公室網絡數據管理局,郵編:100044,并在信封上注明“網絡數據安全管理條例征求意見”。
意見反饋截止時間為2021年12月13日。
附件:《網絡數據安全管理條例(征求意見稿)》
國家互聯網信息辦公室2021年11月14日
《網絡數據安全管理條例(征求意見稿)》一共9章75條,內容較多整理了一部分比較重要的條款供大家參考學習。《網絡數據安全管理條例》的出臺將規范數據處理活動,同時也對數據安全管理提出了更高的要求,對于數據處理者來說,需要做的工作還是非常多的。
第二條 在中華人民共和國境內利用網絡開展數據處理活動,以及網絡數據安全的監督管理,適用本條例。
在中華人民共和國境外處理中華人民共和國境內個人和組織數據的活動,有下列情形之一的,適用本條例:
(一)以向境內提供產品或者服務為目的;
(二)分析、評估境內個人、組織的行為;
(三)涉及境內重要數據處理;
(四)法律、行政法規規定的其他情形。
自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。
第六條 數據處理者對所處理數據的安全負責,履行數據安全保護義務,接受政府和社會監督,承擔社會責任。
數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求,建立完善數據安全管理制度和技術保護機制。
第九條 數據處理者應當采取備份、加密、訪問控制等必要措施,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防范針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。
數據處理者應當按照網絡安全等級保護的要求,加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
數據處理者應當使用密碼對重要數據和核心數據進行保護。
第十一條 數據處理者應當建立數據安全應急處置機制 ,發生數據安全事件時及時啟動應急響應機制,采取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可采取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,數據處理者應當按規定向公安機關報案。
發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等;
(二)在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
第十四條 數據處理者發生合并、重組、分立等情況的,數據接收方應當繼續履行數據安全保護義務,涉及重要數據和一百萬人以上個人信息的,應當向設區的市級主管部門報告;數據處理者發生解散、被宣告破產等情況的,應當向設區的市級主管部門報告,按照相關要求移交或刪除數據,主管部門不明確的,應當向設區的市級網信部門報告。
第十六條 國家機關應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
(一)按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意;
(二)處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意;
(三)處理不滿十四周歲未成年人的個人信息,應當取得其監護人同意;
(四)不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;
(五)不得通過誤導、欺詐、脅迫等方式獲得個人的同意;
(六)不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意;
(七)不得超出個人授權同意的范圍處理個人信息;
(八)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,數據處理者應當重新取得個人同意,并同步修改個人信息處理規則。
對個人同意行為有效性存在爭議的,數據處理者負有舉證責任。
第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的,數據處理者應當履行以下義務:
(一)提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;
(二)提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能,且不得設置不合理條件;
(三)收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的,應當在十五個工作日內處理并反饋。
法律、行政法規另有規定的從其規定。
第二十五條 數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
法律、行政法規另有規定的從其規定。
第二十六條 數據處理者處理一百萬人以上個人信息的,還應當遵守本條例第四章對重要數據的處理者作出的規定。
第二十七條 各地區、各部門按照國家有關要求和標準,組織本地區、本部門以及相關行業、領域的數據處理者識別重要數據和核心數據,組織制定本地區、本部門以及相關行業、領域重要數據和核心數據目錄,并報國家網信部門。
第二十八條 重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下,履行以下職責:
(一)研究提出數據安全相關重大決策建議;
(二)制定實施數據安全保護計劃和數據安全事件應急預案;
(三)開展數據安全風險監測,及時處置數據安全風險和事件;
(四)定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動;
(五)受理、處置數據安全投訴、舉報;
(六)按照要求及時向網信部門和主管、監管部門報告數據安全情況。
數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。
第二十九條 重要數據的處理者,應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案,備案內容包括:
(一)數據處理者基本信息,數據安全管理機構信息、數據安全負責人姓名和聯系方式等;
(二)處理數據的目的、規模、方式、范圍、類型、存儲期限、存儲地點等,不包括數據內容本身;
(三)國家網信部門和主管、監管部門規定的其他備案內容。
處理數據的目的、范圍、類型及數據安全防護措施等有重大變化的,應當重新備案。
依據部門職責分工,網信部門與有關部門共享備案信息。
第三十一條 重要數據的處理者,應當優先采購安全可信的網絡產品和服務。
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
(一)處理重要數據的情況;
(二)發現的數據安全風險及處置措施;
(三)數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;
(四)落實國家數據安全法律、行政法規和標準情況;
(五)發生的數據安全事件及其處置情況;
(六)共享、交易、委托處理、向境外提供重要數據的安全評估情況;
(七)數據安全相關的投訴及處理情況;
(八)國家網信部門和主管、監管部門明確的其他數據安全情況。
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
(一)共享、交易、委托處理、向境外提供數據,以及數據接收方處理數據的目的、方式、范圍等是否合法、正當、必要;
(二)共享、交易、委托處理、向境外提供數據被泄露、毀損、篡改、濫用的風險,以及對國家安全、經濟發展、公共利益帶來的風險;
(三)數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況,承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全;
(四)與數據接收方訂立的相關合同中關于數據安全的要求能否有效約束數據接收方履行數據安全保護義務;
(五)在數據處理過程中的管理和技術措施等是否能夠防范數據泄露、毀損等風險。
評估認為可能危害國家安全、經濟發展和公共利益,數據處理者不得共享、交易、委托處理、向境外提供數據。
第三十三條 數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。
第三十四條 國家機關和關鍵信息基礎設施運營者采購的云計算服務,應當通過國家網信部門會同國務院有關部門組織的安全評估。
第三十五條 數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
數據處理者為訂立、履行個人作為一方當事人的合同所必須向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。
第三十七條 數據處理者向境外提供在中華人民共和國境內收集和產生的數據,屬于以下情形的,應當通過國家網信部門組織的數據出境安全評估:
(一)出境數據中包含重要數據;
(二)關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數據處理者向境外提供個人信息;
(三)國家網信部門規定的其它情形。
法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第五十三條 大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計,并披露審計結果。
第五十四條 互聯網平臺運營者利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動的,應當按照國家有關規定進行安全評估。
第五十五條 國家網信部門負責統籌協調數據安全和相關監督管理工作。
公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
主管部門應當明確本行業、本領域數據安全保護工作機構和人員,編制并組織實施本行業、本領域的數據安全規劃和數據安全事件應急預案。
主管部門應當定期組織開展本行業、本領域的數據安全風險評估,對數據處理者履行數據安全保護義務情況進行監督檢查,指導督促數據處理者及時對存在的風險隱患進行整改。
第五十八條 國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
主管、監管部門組織開展對重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況。
