快讯：国家网信办就数据安全管理公开征求意见

本篇文章4323字，读完约11分钟

为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人新闻和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，国家网络新闻办公室会同有关部门研究制定了《数据安全 公众可以通过以下方法和途径提出反馈。

1 .登录中国政府法制新闻网(网站: chinalaw.gov )，进入首页的立法意见征集提出意见。

2 .通过电子邮件发送: security@cac.gov。

3 .写信发送意见:北京市西城区车公庄大街11号国家网络新闻办公室网络安全协调局，邮政编码100044，信封上注明数据安全管理方法征求意见。

反馈的截止日期是每年6月28日。

附件:《数据安全管理办法(征求意见稿)》

国家网络新闻办公室

五月二十八日

数据安全管理方法

(征求意见稿)

第1章总则

第一条为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人新闻和重要数据的安全，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条在中华人民共和国境内利用互联网开展数据收集、存储、传输、解决、采用等活动(以下简称数据活动)以及数据安全的保护和监督管理，适用本办法。 纯粹的家庭和个人事务除外。

法律、行政法规另有规定的，从其规定。

第三条国家反复保障数据的安全和快速发展，鼓励数据安全保护技术的研发，积极推进数据资源的开发利用，保障数据依法有序自由流动。

第四条国家采取措施，监测、防御和处置来自中华人民共和国国内外的数据安全风险和威胁，保护数据免遭泄露、被盗、篡改、损坏、非法采用等，依法惩治危害数据安全的违法犯罪活动。

第五条在中央互联网安全和新闻化委员会的指导下，国家网络通信部门统一协调、指导监督个人新闻和重要的数据安全保护工作。

地(市)及以上网络通信部门根据职责指导，监督本行政区内的个人新闻和重要的数据安全保护工作。

第六条互联网运营者按照有关法律、行政法规的规定，参照国家互联网安全标准，履行数据安全保护义务，建立数据安全管理责任和评价审查制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险判断，应对网络安全事件

第2章数据收集

第七条互联网运营者应当通过网站、应用等产品收集采用个人新闻，分别制定招聘规则并公开。 收集招聘规则可以包含在网站、应用程序等产品的隐私政策中，也可以以其他形式提供给客户。

第八条收集录用规则应当具体、简单、便于访问，并强调以下复印件。

(一)互联网运营者的基本新闻；

(二)互联网运营者第一负责人、数据安全负责人的姓名和联系方法；

(三)收集采用个人新闻的目的、种类、数量、频率、方法、范围等；

(四)个人新闻保留地点、期限和逾期后的解决办法；

(五)向他人提供个人新闻的规则。 提供给别人的情况

(六)个人新闻安全保护战略等相关情况；

(七)个人新闻主体撤销同意以及查询、修改、删除个人新闻的方法和途径

(八)投诉、举报渠道和做法等；

(九)法律、行政法规规定的其他文案。

第九条收集录用规则包含在隐私政策中时，明确提示要相对集中，便于浏览。 此外，只有客户了解并同意收集招聘规则，互联网运营商才能收集个别新闻。

第十条互联网运营者必须严格遵守收集录用规则，采用网站、应用软件收集或者个人新闻的功能设计应当与隐私政策一致，同步调整。

第十一条互联网运营者不得以改善服务质量、提高顾客体验、推送新闻方向、开发新产品等为理由，以默认授权、功能捆绑等形式要求个人新闻主体同意收集个人新闻。

个人新闻主体同意收集保证互联网产品核心业务功能运行的个人新闻后，互联网运营者应当向个人新闻主体提供核心业务功能服务，个人新闻主体同意收集上述新闻以外的其他新闻的，或者予以取消

第十二条收集十四岁以下未成年人的个人新闻，必须征得其监护人的同意。

第十三条互联网运营者不得根据个人新闻主体是否授权收集个人新闻和授权范围，对个人新闻主体采取歧视行为，包括服务质量、价格差异等。

第十四条互联网运营者与从其他途径获取个人新闻，直接收集个人新闻负有同等的保护责任和义务。

第十五条互联网运营者以经营为目的收集重要数据或者个人敏感新闻，应当向所在地网信部门备案。 备案副本包括收集录用规则，包括收集采用的目的、规模、方法、范围、类型、期限等，不包括数据副本本身。

第十六条互联网运营者采取自动化手段收集网站数据，不得阻碍网站正常运行的这种行为严重影响网站的运营。 例如，如果自动访问收集流量超过站点日平均流量的三分之一，则如果站点要求停止自动访问收集，则必须停止。

第十七条互联网运营者为经营目的收集重要数据或者个人敏感新闻，应当确定数据安全负责人。

数据安全主管由具有相关管理经验和数据安全专业信息的人员负责，参与数据活动的重要决策，并直接向互联网运营者的第一负责人报告业务。

第十八条数据安全主管履行下列职责。

(一)组织制定数据保护计划，督促执行；

(二)组织开展数据安全风险判断，督促纠正安全风险；

(三)根据要求向有关部门和网信部门报告数据安全保护和事件处置情况；

(四)受理和解决客户投诉和举报。

互联网运营者应当向数据安全负责人提供必要的资源，保障其独立履行职责。

第3章采用数据解决

第十九条互联网运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强个人新闻和重要数据保护。

第二十条互联网运营人留存个人新闻不得超过收集录用规则中记载的留存期限，客户注销账户后，应当立即删除其个人新闻。 经解决后不能与特定个人相关且无法恢复的情况(以下称为匿名化解决)除外。

第二十一条互联网运营人接到有关个人的新闻查询、修改、删除和客户注销账户的请求时，应当在合理的时间和成本范围内查询、修改、删除或者注销账户。

第二十二条互联网运营者不得违反收集录用规则录用个人新闻。 由于业务需要，需要扩大个人新闻录用范围的，应当征得个人新闻主体的同意。

第二十三条互联网运营者利用客户数据和算法推送信息新闻、商业广告等(以下简称推送)，应当以明显的方式注明推送字体，向客户提供停止推送新闻接收的功能。 如果客户选择停止接收定向推送新闻，则必须停止推送，删除收集的设备识别码等客户数据和个人新闻。

网络运营者开展定向推送活动，应当遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

第二十四条互联网运营者不得利用大数据、人工智能等技术自动合成信息、博文、投稿、评论等新闻，以明显方式标明合成字体为目的获取利润，也不得以损害他人利益为目的自动合成新闻

第二十五条互联网运营者应当对自己的互联网行为负责，采取措施督促顾客加强自律，顾客通过社会交流互联网转发他人制作的新闻时，报纸制作者自动将该社会交流网上账户或不可更改的顾客身份

第二十六条互联网运营者接到相关假冒、抄袭、盗用他人名义发布新闻的举报投诉时，应当及时处理，一经确认立即停止传播，予以删除解决。

第二十七条互联网运营者在向他人提供个人新闻之前，必须判断可能带来的安全风险，并征得个人新闻主体的同意。 下述情况除外。

(一)从合法的公开渠道收集，明显不违背个人新闻主体的意愿；

(2)个人新闻主体自主公开

(3)匿名化的解决

(四)执法机关为依法履行职责所需；

(五)为维护国家安全、社会公共利益、个人新闻主体的生命安全所必需的。

第二十八条互联网运营者在公布、共享、交易或者向国外提供重要数据前，必须判断可能带来的安全风险，并征得领域主管监督管理部门的同意。 领域主管监督管理部门不确定的，必须经省级网络通信部门批准。

向国外提供个人新闻按有关规定执行。

第二十九条境内客户接入境内网络的，其流量不得路由至境外。

第三十条互联网运营者应对访问平台的第三方应用决定数据安全的要求和责任，并督促第三方应用运营者加强数据安全管理。 如果第三方应用程序发生数据安全给客户造成损失，互联网运营者除互联网运营者可以说明过失外，应当承担部分或全部责任。

第三十一条互联网运营人合并、重组、破产的，数据受益人应当承担数据安全责任和义务。 如果没有数据接收者，必须删除数据加以解决。 法律、行政法规另有规定的，从其规定。

第三十二条互联网运营者分解利用掌握的数据资源，发布市场预测、统计新闻、个人和公司信用等新闻，不得影响国家安全、经济运行、社会稳定，不得损害他人合法权益。

第四章数据安全监视管理

第三十三条网信部门在履行职责中，发现互联网运营者的数据安全管理责任不能落实，应当按照规定的权限和程序，就互联网运营者的第一责任人进行协商，督促其改正。

第三十四条国家鼓励互联网运营者自主通过数据安全管理认证和应用安全认证，并向各大搜索引擎、应用商店等决定识别，优先推荐认证合格的应用软件。

国家网信部门会同国务院市场监督管理部门，指导国家互联网安全审查和认证机构，组织数据安全管理认证和应用软件安全认证工作。

第三十五条发生个人新闻泄露、损毁、丢失等数据安全事件或者数据安全事件风险明显增大的，互联网运营者应当及时采取纠正措施，及时通过电话、邮件或者书信等方式告知个人新闻主体

第三十六条国务院有关主管部门按照维护国家安全、社会管理、经济控制等职责所需的法律、行政法规的规定，要求互联网运营者提供掌握的相关数据的，互联网运营者应当提供。

国务院有关主管部门对互联网运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

第三十七条互联网运营人违反本法规定的，由有关部门依照有关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚。 构成犯罪的，依法追究刑事责任。

第五章附则

第三十八条本办法下列用语的含义:

(一)互联网运营者是指互联网的所有人、管理者、互联网服务提供者。

(2)互联网数据是指通过互联网收集、存储、传输、解决、生成各种电子数据。

(三)个人新闻是指用电子或其他方法记录的、可以与个人或其他新闻组合识别自然人个人身份的各种新闻，包括但不限于自然人的姓名、出生年月日、身份证号码、个人生物识别新闻、地址、电话号码等

(四)个人新闻主体是指个人新闻识别或相关的自然人。

(五)重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府新闻、大面积人口、基因健康、地理、矿产资源等。 重要数据通常不包括公司的生产经营、内部管理新闻、个人新闻等。

第三十九条国家秘密新闻、密码采用的数据活动，按照国家有关规定执行。

第四十条本法自年月日起施行。