數據安全管理辦法

2019年5月28日，國家網際網路信息辦公室發布《數據安全管理辦法（徵求意見稿）》。

2020年6月28日-30日，舉行的十三屆全國人大常委會第二十次會議，《中華人民共和國數據安全法》迎來初次審議。

1、確立數據分級分類管理以及風險評估，檢測預警和應急處置等數據安全管理各項基本制度；

2、明確開展數據活動的組織、個人的數據安全保護義務，落實數據安全保護責任；

3、堅持安全與發展並重，鎖定支持促進數據安全與發展的措施；

4、建立保障政務數據安全和推動政務數據開放的制度措施。

第一章總則

第一條為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網路空間的合法權益，保障個人信息和重要數據安全，根據《中華人民共和國網路安全法》等法律法規，制定本辦法。

第二條在中華人民共和國境內利用網路開展數據收集、存儲、傳輸、處理、使用等活動（以下簡稱數據活動），以及數據安全的保護和監督管理，適用本辦法。純粹家庭和個人事務除外。

法律、行政法規另有規定的，從其規定。

第三條國家堅持保障數據安全與發展並重，鼓勵研發數據安全保護技術，積極推進數據資源開發利用，保障數據依法有序自由流動。

第四條國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的數據安全風險和威脅，保護數據免受泄露、竊取、篡改、毀損、非法使用等，依法懲治危害數據安全的違法犯罪活動。

第五條在中央網路安全和信息化委員會領導下，國家網信部門統籌協調、指導監督個人信息和重要數據安全保護工作。

地（市）及以上網信部門依據職責指導監督本行政區內個人信息和重要數據安全保護工作。

第六條網路運營者應當按照有關法律、行政法規的規定，參照國家網路安全標準，履行數據安全保護義務，建立數據安全管理責任和評價考核制度，制定數據安全計劃，實施數據安全技術防護，開展數據安全風險評估，制定網路安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓。

第二章數據收集

第七條網路運營者通過網站、應用程序等產品收集使用個人信息，應當分別制定並公開收集使用規則。收集使用規則可以包含在網站、應用程序等產品的隱私政策中，也可以其他形式提供給用戶。

第八條收集使用規則應當明確具體、簡單通俗、易於訪問，突出以下內容：

（一）網路運營者基本信息；

（二）網路運營者主要負責人、數據安全責任人的姓名及聯繫方式；

（三）收集使用個人信息的目的、種類、數量、頻度、方式、範圍等；

（四）個人信息保存地點、期限及到期后的處理方式；

（五）向他人提供個人信息的規則，如果向他人提供的；

（六）個人信息安全保護策略等相關信息；

（七）個人信息主體撤銷同意，以及查詢、更正、刪除個人信息的途徑和方法；

（八）投訴、舉報渠道和方法等；

（九）法律、行政法規規定的其他內容。

第九條如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅當用戶知悉收集使用規則並明確同意后，網路運營者方可收集個人信息。

第十條網路運營者應當嚴格遵守收集使用規則，網站、應用程序收集或使用個人信息的功能設計應同隱私政策保持一致，同步調整。

第十一條網路運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。

個人信息主體同意收集保證網路產品核心業務功能運行的個人信息后，網路運營者應當向個人信息主體提供核心業務功能服務，不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業務功能服務。

第十二條收集14周歲以下未成年人個人信息的，應當徵得其監護人同意。

第十三條網路運營者不得依據個人信息主體是否授權收集個人信息及授權範圍，對個人信息主體採取歧視行為，包括服務質量、價格差異等。

第十四條網路運營者從其他途徑獲得個人信息，與直接收集個人信息負有同等的保護責任和義務。

第十五條網路運營者以經營為目的收集重要數據或個人敏感信息的，應向所在地網信部門備案。備案內容包括收集使用規則，收集使用的目的、規模、方式、範圍、類型、期限等，不包括數據內容本身。

第十六條網路運營者採取自動化手段訪問收集網站數據，不得妨礙網站正常運行；此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。

第十七條網路運營者以經營為目的收集重要數據或個人敏感信息的，應當明確數據安全責任人。

數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任，參與有關數據活動的重要決策，直接向網路運營者的主要負責人報告工作。

第十八條數據安全責任人履行下列職責：

（一）組織制定數據保護計劃並督促落實；

（二）組織開展數據安全風險評估，督促整改安全隱患；

（三）按要求向有關部門和網信部門報告數據安全保護和事件處置情況；

（四）受理並處理用戶投訴和舉報。

網路運營者應為數據安全責任人提供必要的資源，保障其獨立履行職責。

第三章數據處理使用

第十九條網路運營者應當參照國家有關標準，採用數據分類、備份、加密等措施加強對個人信息和重要數據保護。

第二十條網路運營者保存個人信息不應超出收集使用規則中的保存期限，用戶註銷賬號后應當及時刪除其個人信息，經過處理無法關聯到特定個人且不能復原（以下稱匿名化處理）的除外。

第二十一條網路運營者收到有關個人信息查詢、更正、刪除以及用戶註銷賬號請求時，應當在合理時間和代價範圍內予以查詢、更正、刪除或註銷賬號。

第二十二條網路運營者不得違反收集使用規則使用個人信息。因業務需要，確需擴大個人信息使用範圍的，應當徵得個人信息主體同意。

第二十三條網路運營者利用用戶數據和演演算法推送新聞信息、商業廣告等（以下簡稱“定向推送”），應當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個人信息。

網路運營者開展定向推送活動應遵守法律、行政法規，尊重社會公德、商業道德、公序良俗，誠實守信，嚴禁歧視、欺詐等行為。

第二十四條網路運營者利用大數據、人工智慧等技術自動合成新聞、博文、帖子、評論等信息，應以明顯方式標明“合成”字樣；不得以謀取利益或損害他人利益為目的自動合成信息。

第二十五條網路運營者應採取措施督促提醒用戶對自己的網路行為負責、加強自律，對於用戶通過社交網路轉發他人製作的信息，應自動標註信息製作者在該社交網路上的賬戶或不可更改的用戶標識。

第二十六條網路運營者接到相關假冒、仿冒、盜用他人名義發布信息的舉報投訴時，應當及時響應，一旦核實立即停止傳播並作刪除處理。

第二十七條網路運營者向他人提供個人信息前，應當評估可能帶來的安全風險，並徵得個人信息主體同意。下列情況除外：

（一）從合法公開渠道收集且不明顯違背個人信息主體意願；

（二）個人信息主體主動公開；

（三）經過匿名化處理；

（四）執法機關依法履行職責所必需；

（五）維護國家安全、社會公共利益、個人信息主體生命安全所必需。

第二十八條網路運營者發布、共享、交易或向境外提供重要數據前，應當評估可能帶來的安全風險，並報經行業主管監管部門同意；行業主管監管部門不明確的，應經省級網信部門批准。

向境外提供個人信息按有關規定執行。

第二十九條境內用戶訪問境內網際網路的，其流量不得被路由到境外。

第三十條網路運營者對接入其平台的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網路運營者應當承擔部分或全部責任，除非網路運營者能夠證明無過錯。

第三十一條網路運營者兼并、重組、破產的，數據承接方應承接數據安全責任和義務。沒有數據承接方的，應當對數據作刪除處理。法律、行政法規另有規定的，從其規定。

第三十二條網路運營者分析利用所掌握的數據資源，發布市場預測、統計信息、個人和企業信用等信息，不得影響國家安全、經濟運行、社會穩定，不得損害他人合法權益。

第四章數據安全監督管理

第三十三條網信部門在履行職責中，發現網路運營者數據安全管理責任落實不到位，應按照規定的許可權和程序約談網路運營者的主要負責人，督促整改。

第三十四條國家鼓勵網路運營者自願通過數據安全管理認證和應用程序安全認證，鼓勵搜索引擎、應用商店等明確標識並優先推薦通過認證的應用程序。

國家網信部門會同國務院市場監督管理部門，指導國家網路安全審查與認證機構，組織數據安全管理認證和應用程序安全認證工作。

第三十五條發生個人信息泄露、毀損、丟失等數據安全事件，或者發生數據安全事件風險明顯加大時，網路運營者應當立即採取補救措施，及時以電話、簡訊、郵件或信函等方式告知個人信息主體，並按要求向行業主管監管部門和網信部門報告。

第三十六條國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要，依照法律、行政法規的規定，要求網路運營者提供掌握的相關數據的，網路運營者應當予以提供。

國務院有關主管部門對網路運營者提供的數據負有安全保護責任，不得用於與履行職責無關的用途。

第三十七條網路運營者違反本辦法規定的，由有關部門依照相關法律、行政法規的規定，根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰；構成犯罪的，依法追究刑事責任。

第五章附則

第三十八條本辦法下列用語的含義：

（一）網路運營者，是指網路的所有者、管理者和網路服務提供者。

（二）網路數據，是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。

（三）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

（四）個人信息主體，是指個人信息所標識或關聯到的自然人。

（五）重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。

第三十九條涉及國家秘密信息、密碼使用的數據活動，按照國家有關規定執行。

第四十條本辦法自 年 月 日起施行。

2019年5月28日，國家網際網路信息辦公室發布《數據安全管理辦法（徵求意見稿）》，對公眾關注的個人敏感信息收集方式、廣告精準推送、APP過度索權、賬戶註銷難等問題進行了直接回應。

如何規範收集個人敏感信息行為？網路運營者需向網信部門備案

在社交平台上做個心理測試需要提交手機號，線上辦個會員卡要提供姓名和身份證號……個人敏感信息越來越多地被不同渠道廣泛收集。如何規範這種收集行為，防止信息被泄露、濫用？

辦法第十五條規定：網路運營者以經營為目的收集重要數據或個人敏感信息的，應向所在地網信部門備案。備案內容包括收集使用規則，收集使用的目的、規模、方式、範圍、類型、期限等，不包括數據內容本身。

根據國家標準化管理委員會等部門去年實施的《信息安全技術個人信息安全規範》，不僅身份證信息和電話號碼屬於個人敏感信息，個人指紋、聲紋等生物識別信息，郵箱地址、網頁瀏覽記錄、精準定位信息都屬於個人敏感信息範疇。

業內人士認為，從“不知道誰掌握敏感信息”到“收集前需要備案”，備案制無論從數據安全還是用戶隱私保護來看，都是一種進步。中國信息安全研究院副院長左曉棟表示，這樣可以對收集者追根溯源，從源頭保護個人信息安全。

如何約束定向精準推送廣告？標識需清晰且用戶可拒絕

剛用APP叫外賣，就在瀏覽資訊APP時收到相關廣告，這樣的精準廣告讓不少人覺得驚心。這種利用用戶瀏覽痕迹進行精準畫像，通過定向推送獲得廣告收入的方式，在辦法中規定了約束性條款。

辦法第二十三條規定：網路運營者利用用戶數據和演演算法推送新聞信息、商業廣告等，應當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能；用戶選擇停止接收定向推送信息時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個人信息。

中華全國律師協會網路與高新技術專業委員會副主任兼秘書長陳際紅表示，定向推送技術在帶來便利之外，產生了大數據歧視等問題。辦法明確要求網際網路平台充分尊重用戶的選擇權，可以讓用戶免受太多廣告騷擾；要求平台需將此前收集的用戶設備識別碼和個人信息等內容刪除，表明了對保護用戶信息的重視。

如何應對APP強迫授權或默認勾選？明令禁止

不給“一攬子授權”就不讓用APP，或者在某個不起眼的選項前設置“默認勾選”……這些行為都將被明令禁止。

辦法第十一條規定：網路運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。個人信息主體同意收集保證網路產品核心業務功能運行的個人信息后，網路運營者應當向個人信息主體提供核心業務功能服務，不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業務功能服務。

中國社會科學院信息化研究中心秘書長姜奇平認為，把信息採集主導權、選擇權交給消費者，是信息服務的原則性問題。為了收集信息採取脅迫或者誤導行為，都是堅決不能被允許的。

註銷賬號和刪除個人信息難怎麼辦？尊重用戶“被遺忘權”

不少網民反映，想註銷APP賬號不容易，並且之前登記的個人信息難以消除。

辦法第八條規定：收集使用規則應突出個人信息主體撤銷同意，以及查詢、更正、刪除個人信息的途徑和方法。

第二十一條規定：網路運營者收到有關個人信息查詢、更正、刪除以及用戶註銷賬號請求時，應當在合理時間和代價範圍內予以查詢、更正、刪除或註銷賬號。

“突出‘被遺忘權’保護也是辦法的一個亮點。”左曉棟說，以網購為例，消費者在購物網站完成交易后刪除相關信息，這樣的合理訴求理應得到滿足。

小程序泄露用戶信息怎麼辦？平台承擔部分或全部責任

一些社交類和支付類APP大量接入第三方小程序服務，這些小程序經常向用戶收集個人信息。如果用戶個人信息被泄露，平台是否可以免責？辦法明確規定，不可以！

根據辦法第三十條規定：網路運營者對接入其平台的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網路運營者應當承擔部分或全部責任，除非網路運營者能夠證明無過錯。

左曉棟表示，辦法規定了平台與第三方應用需要共同承擔相關責任，這樣可以倒逼網路經營者，加強對用戶個人信息安全的保護。