為(wei) 了維護國家安全、社會(hui) 公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個(ge) 人信息和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規，國家互聯網信息辦公室會(hui) 同相關(guan) 部門研究起草了《數據安全管理辦法(征求意見稿)》，現向社會(hui) 公開征求意見。公眾(zhong) 可通過以下途徑和方式提出反饋意見：

　　1.登陸中國政府法製信息網(網址：https://www.chinalaw.gov.cn)，進入首頁的“立法意見征集”提出意見。

　　2.通過電子郵件方式發送至：security@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市西城區車公莊大街11號國家互聯網信息辦公室網絡安全協調局，郵編100044，並在信封上注明“數據安全管理辦法征求意見”。

　　意見反饋截止時間為(wei) 2019年6月28日。

　　附件：《數據安全管理辦法(征求意見稿)》

　　國家互聯網信息辦公室

　　2019年5月28日

　　數據安全管理辦法

　　(征求意見稿)

　　第一章 總 則

　　第一條為(wei) 了維護國家安全、社會(hui) 公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個(ge) 人信息和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規，製定本辦法。

　　第二條在中華人民共和國境內(nei) 利用網絡開展數據收集、存儲(chu) 、傳(chuan) 輸、處理、使用等活動(以下簡稱數據活動)，以及數據安全的保護和監督管理，適用本辦法。純粹家庭和個(ge) 人事務除外。

　　法律、行政法規另有規定的，從(cong) 其規定。

　　第三條國家堅持保障數據安全與(yu) 發展並重，鼓勵研發數據安全保護技術，積極推進數據資源開發利用，保障數據依法有序自由流動。

　　第四條國家采取措施，監測、防禦、處置來源於(yu) 中華人民共和國境內(nei) 外的數據安全風險和威脅，保護數據免受泄露、竊取、篡改、毀損、非法使用等，依法懲治危害數據安全的違法犯罪活動。

　　第五條在中央網絡安全和信息化委員會(hui) 領導下，國家網信部門統籌協調、指導監督個(ge) 人信息和重要數據安全保護工作。

　　地(市)及以上網信部門依據職責指導監督本行政區內(nei) 個(ge) 人信息和重要數據安全保護工作。

　　第六條網絡運營者應當按照有關(guan) 法律、行政法規的規定，參照國家網絡安全標準，履行數據安全保護義(yi) 務，建立數據安全管理責任和評價(jia) 考核製度，製定數據安全計劃，實施數據安全技術防護，開展數據安全風險評估，製定網絡安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓。

　　第二章 數據收集

　　第七條網絡運營者通過網站、應用程序等產(chan) 品收集使用個(ge) 人信息，應當分別製定並公開收集使用規則。收集使用規則可以包含在網站、應用程序等產(chan) 品的隱私政策中，也可以其他形式提供給用戶。

　　第八條收集使用規則應當明確具體(ti) 、簡單通俗、易於(yu) 訪問，突出以下內(nei) 容：

　　(一)網絡運營者基本信息;

　　(二)網絡運營者主要負責人、數據安全責任人的姓名及聯係方式;

　　(三)收集使用個(ge) 人信息的目的、種類、數量、頻度、方式、範圍等;

　　(四)個(ge) 人信息保存地點、期限及到期後的處理方式;

　　(五)向他人提供個(ge) 人信息的規則，如果向他人提供的;

　　(六)個(ge) 人信息安全保護策略等相關(guan) 信息;

　　(七)個(ge) 人信息主體(ti) 撤銷同意，以及查詢、更正、刪除個(ge) 人信息的途徑和方法;

　　(八)投訴、舉(ju) 報渠道和方法等;

　　(九)法律、行政法規規定的其他內(nei) 容。

　　第九條如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅(jin) 當用戶知悉收集使用規則並明確同意後，網絡運營者方可收集個(ge) 人信息。

　　第十條網絡運營者應當嚴(yan) 格遵守收集使用規則，網站、應用程序收集或使用個(ge) 人信息的功能設計應同隱私政策保持一致，同步調整。

　　第十一條網絡運營者不得以改善服務質量、提升用戶體(ti) 驗、定向推送信息、研發新產(chan) 品等為(wei) 由，以默認授權、功能捆綁等形式強迫、誤導個(ge) 人信息主體(ti) 同意其收集個(ge) 人信息。

　　個(ge) 人信息主體(ti) 同意收集保證網絡產(chan) 品核心業(ye) 務功能運行的個(ge) 人信息後，網絡運營者應當向個(ge) 人信息主體(ti) 提供核心業(ye) 務功能服務，不得因個(ge) 人信息主體(ti) 拒絕或者撤銷同意收集上述信息以外的其他信息，而拒絕提供核心業(ye) 務功能服務。

　　第十二條收集14周歲以下未成年人個(ge) 人信息的，應當征得其監護人同意。

　　第十三條網絡運營者不得依據個(ge) 人信息主體(ti) 是否授權收集個(ge) 人信息及授權範圍，對個(ge) 人信息主體(ti) 采取歧視行為(wei) ，包括服務質量、價(jia) 格差異等。

　　第十四條網絡運營者從(cong) 其他途徑獲得個(ge) 人信息，與(yu) 直接收集個(ge) 人信息負有同等的保護責任和義(yi) 務。

　　第十五條網絡運營者以經營為(wei) 目的收集重要數據或個(ge) 人敏感信息的，應向所在地網信部門備案。備案內(nei) 容包括收集使用規則，收集使用的目的、規模、方式、範圍、類型、期限等，不包括數據內(nei) 容本身。

　　第十六條網絡運營者采取自動化手段訪問收集網站數據，不得妨礙網站正常運行;此類行為(wei) 嚴(yan) 重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。

　　第十七條網絡運營者以經營為(wei) 目的收集重要數據或個(ge) 人敏感信息的，應當明確數據安全責任人。

　　數據安全責任人由具有相關(guan) 管理工作經曆和數據安全專(zhuan) 業(ye) 知識的人員擔任，參與(yu) 有關(guan) 數據活動的重要決(jue) 策，直接向網絡運營者的主要負責人報告工作。

　　第十八條數據安全責任人履行下列職責：

　　(一)組織製定數據保護計劃並督促落實;

　　(二)組織開展數據安全風險評估，督促整改安全隱患;

　　(三)按要求向有關(guan) 部門和網信部門報告數據安全保護和事件處置情況;

　　(四)受理並處理用戶投訴和舉(ju) 報。

　　網絡運營者應為(wei) 數據安全責任人提供必要的資源，保障其獨立履行職責。

　　第三章 數據處理使用

　　第十九條網絡運營者應當參照國家有關(guan) 標準，采用數據分類、備份、加密等措施加強對個(ge) 人信息和重要數據保護。

　　第二十條網絡運營者保存個(ge) 人信息不應超出收集使用規則中的保存期限，用戶注銷賬號後應當及時刪除其個(ge) 人信息，經過處理無法關(guan) 聯到特定個(ge) 人且不能複原(以下稱匿名化處理)的除外。

　　第二十一條網絡運營者收到有關(guan) 個(ge) 人信息查詢、更正、刪除以及用戶注銷賬號請求時，應當在合理時間和代價(jia) 範圍內(nei) 予以查詢、更正、刪除或注銷賬號。

　　第二十二條網絡運營者不得違反收集使用規則使用個(ge) 人信息。因業(ye) 務需要，確需擴大個(ge) 人信息使用範圍的，應當征得個(ge) 人信息主體(ti) 同意。

　　第二十三條網絡運營者利用用戶數據和算法推送新聞信息、商業(ye) 廣告等(以下簡稱“定向推送”)，應當以明顯方式標明“定推”字樣，為(wei) 用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個(ge) 人信息。

　　網絡運營者開展定向推送活動應遵守法律、行政法規，尊重社會(hui) 公德、商業(ye) 道德、公序良俗，誠實守信，嚴(yan) 禁歧視、欺詐等行為(wei) 。

　　第二十四條網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息，應以明顯方式標明“合成”字樣;不得以謀取利益或損害他人利益為(wei) 目的自動合成信息。

　　第二十五條網絡運營者應采取措施督促提醒用戶對自己的網絡行為(wei) 負責、加強自律，對於(yu) 用戶通過社交網絡轉發他人製作的信息，應自動標注信息製作者在該社交網絡上的賬戶或不可更改的用戶標識。

　　第二十六條網絡運營者接到相關(guan) 假冒、仿冒、盜用他人名義(yi) 發布信息的舉(ju) 報投訴時，應當及時響應，一旦核實立即停止傳(chuan) 播並作刪除處理。

　　第二十七條網絡運營者向他人提供個(ge) 人信息前，應當評估可能帶來的安全風險，並征得個(ge) 人信息主體(ti) 同意。下列情況除外：

　　(一)從(cong) 合法公開渠道收集且不明顯違背個(ge) 人信息主體(ti) 意願;

　　(二)個(ge) 人信息主體(ti) 主動公開;

　　(三)經過匿名化處理;

　　(四)執法機關(guan) 依法履行職責所必需;

　　(五)維護國家安全、社會(hui) 公共利益、個(ge) 人信息主體(ti) 生命安全所必需。

　　第二十八條網絡運營者發布、共享、交易或向境外提供重要數據前，應當評估可能帶來的安全風險，並報經行業(ye) 主管監管部門同意;行業(ye) 主管監管部門不明確的，應經省級網信部門批準。

　　向境外提供個(ge) 人信息按有關(guan) 規定執行。

　　第二十九條境內(nei) 用戶訪問境內(nei) 互聯網的，其流量不得被路由到境外。

　　第三十條網絡運營者對接入其平台的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網絡運營者應當承擔部分或全部責任，除非網絡運營者能夠證明無過錯。

　　第三十一條網絡運營者兼並、重組、破產(chan) 的，數據承接方應承接數據安全責任和義(yi) 務。沒有數據承接方的，應當對數據作刪除處理。法律、行政法規另有規定的，從(cong) 其規定。

　　第三十二條網絡運營者分析利用所掌握的數據資源，發布市場預測、統計信息、個(ge) 人和企業(ye) 信用等信息，不得影響國家安全、經濟運行、社會(hui) 穩定，不得損害他人合法權益。

　　第四章 數據安全監督管理

　　第三十三條網信部門在履行職責中，發現網絡運營者數據安全管理責任落實不到位，應按照規定的權限和程序約談網絡運營者的主要負責人，督促整改。

　　第三十四條國家鼓勵網絡運營者自願通過數據安全管理認證和應用程序安全認證，鼓勵搜索引擎、應用商店等明確標識並優(you) 先推薦通過認證的應用程序。

　　國家網信部門會(hui) 同國務院市場監督管理部門，指導國家網絡安全審查與(yu) 認證機構，組織數據安全管理認證和應用程序安全認證工作。

　　第三十五條發生個(ge) 人信息泄露、毀損、丟(diu) 失等數據安全事件，或者發生數據安全事件風險明顯加大時，網絡運營者應當立即采取補救措施，及時以電話、短信、郵件或信函等方式告知個(ge) 人信息主體(ti) ，並按要求向行業(ye) 主管監管部門和網信部門報告。

　　第三十六條國務院有關(guan) 主管部門為(wei) 履行維護國家安全、社會(hui) 管理、經濟調控等職責需要，依照法律、行政法規的規定，要求網絡運營者提供掌握的相關(guan) 數據的，網絡運營者應當予以提供。

　　國務院有關(guan) 主管部門對網絡運營者提供的數據負有安全保護責任，不得用於(yu) 與(yu) 履行職責無關(guan) 的用途。

　　第三十七條網絡運營者違反本辦法規定的，由有關(guan) 部門依照相關(guan) 法律、行政法規的規定，根據情節給予公開曝光、沒收違法所得、暫停相關(guan) 業(ye) 務、停業(ye) 整頓、關(guan) 閉網站、吊銷相關(guan) 業(ye) 務許可證或吊銷營業(ye) 執照等處罰;構成犯罪的，依法追究刑事責任。

　　第五章 附 則

　　第三十八條本辦法下列用語的含義(yi) ：

　　(一)網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。

　　(二)網絡數據，是指通過網絡收集、存儲(chu) 、傳(chuan) 輸、處理和產(chan) 生的各種電子數據。

　　(三)個(ge) 人信息，是指以電子或者其他方式記錄的能夠單獨或者與(yu) 其他信息結合識別自然人個(ge) 人身份的各種信息，包括但不限於(yu) 自然人的姓名、出生日期、身份證件號碼、個(ge) 人生物識別信息、住址、電話號碼等。

　　(四)個(ge) 人信息主體(ti) ，是指個(ge) 人信息所標識或關(guan) 聯到的自然人。

　　(五)重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會(hui) 穩定、公共健康和安全的數據，如未公開的政府信息，大麵積人口、基因健康、地理、礦產(chan) 資源等。重要數據一般不包括企業(ye) 生產(chan) 經營和內(nei) 部管理信息、個(ge) 人信息等。

　　第三十九條涉及國家秘密信息、密碼使用的數據活動，按照國家有關(guan) 規定執行。

　　第四十條本辦法自 年 月 日起施行。