数据安全管理办法(企业数据管理方案)
《数据安全管理办法》是为了维护国家安全和社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规制定的部门规章。
内容如下:
第一章总则
第一条为了维护国家安全和社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据的安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。
第二条本办法适用于中华人民共和国境内的数据收集、存储、传输、处理和使用活动(以下简称数据活动),以及数据安全的保护和监督管理。除了纯粹的家庭和个人事务。
法律、行政法规另有规定的,从其规定。
第三条国家坚持保障数据安全与发展并重,鼓励研究开发数据安全保护技术,积极促进数据资源的开发利用,依法保障数据有序、自由流动。
第四条国家采取措施,监测、防御和应对来自中华人民共和国境内外的数据安全风险和威胁,保护数据不被泄露、窃取、篡改、破坏和非法使用,依法惩处危害数据安全的违法犯罪活动。
第五条国家网络信息部在中央网络安全与信息化委员会的领导下,对个人信息和重要数据的安全保护进行协调、指导和监督。
地方(市)及以上网络信息主管部门应当按照职责对本行政区域内个人信息和重要数据的安全保护进行指导和监督。
第六条网络经营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评估制度,制定数据安全计划,实施数据安全技术保护,开展数据安全风险评估,制定网络安全事件应急预案,及时处理安全事件,组织数据安全教育和培训。
第二章数据收集
第七条网络经营者通过网站、应用等产品收集和使用个人信息时,应当单独制定并公开收集和使用规则。收集和使用规则可以包含在网站、应用等产品的隐私政策中,也可以以其他形式提供给用户。
第八条征集和使用规则应当明确具体、简单通俗、便于查阅,突出以下内容:
(一)网络运营商基本信息;
(二)网络经营者主要负责人和数据安全负责人的姓名和联系方式;
(三)收集和使用个人信息的目的、类型、数量、频率、方式和范围;
(四)个人信息到期后的地点、期限和处置方式;
(五)向他人提供个人信息的规则,如果提供给他人;
(6)个人信息安全保护策略等相关信息;
(七)撤销个人信息主体同意,以及查询、更正、删除个人信息的方式和方法;
(八)投诉和举报的渠道和方式等;
(九)法律、行政法规规定的其他内容。
第九条收集和使用规则纳入隐私政策的,应当相对集中,并明确标明,便于阅读。此外,网络运营商只有在用户了解收集和使用规则并明确同意后,才能收集个人信息。
第十条网络经营者应严格遵守收集和使用规则,收集或使用个人信息的网站和应用程序的功能设计应符合隐私政策并同步调整。
第十一条网络经营者不得以提高服务质量、增强用户体验、定向推送信息、开发新产品为由,强迫或误导个人信息主体同意以默认授权或功能绑定的形式收集个人信息。
个人信息主体同意收集个人信息以保证网络产品核心业务功能运行后,网络运营商应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或撤销收集上述信息以外信息的同意而拒绝提供核心业务功能服务。
第十二条收集未满十四周岁未成年人的个人信息,应当征得其监护人的同意。
第十三条网络经营者不得根据个人信息主体是否授权收集个人信息以及授权范围(包括服务质量和价格差异)歧视个人信息主体。
第十四条从其他渠道获取个人信息的网络经营者,与直接收集个人信息的网络经营者有同等的保护责任和义务。
第十五条网络经营者为经营目的收集重要数据或者敏感个人信息的,应当向当地网络信息部门备案。备案内容包括收集使用规则、目的、规模、方式、范围、类型、收集使用期限,不包括数据内容本身。
第十六条网络经营者通过自动化手段获取和收集网站数据,不得妨碍网站正常运行;这种行为严重影响了网站的运营。例如,如果自动访问收集流量超过网站每日平均流量的三分之一,网站应在需要时停止自动访问收集。
第十七条网络经营者以收集重要数据或者个人敏感信息为目的开展业务的,应当明确数据安全责任人。
数据安全负责人是具有相关管理经验和数据安全专业知识的人员,参与有关数据活动的重要决策,直接向网络运营方主要负责人报告。
第十八条数据安全责任人应当履行下列职责:
(一)组织制定数据保护计划并监督实施;
(二)组织数据安全风险评估,督促安全隐患整改;
(3)按要求向相关部门和网络信息部门报告数据安全保护和事件处理情况;
(4)受理用户投诉和举报。
网络运营商应为数据安全负责人提供必要的资源,确保其能够独立履行职责。
第三章数据处理的使用
第十九条网络经营者应当参照国家有关标准,采取数据分类、备份、加密等措施,加强对个人信息和重要数据的保护。
第二十条网络经营者存储的个人信息不得超过收集使用规则规定的存储期限,用户注销账户后应当及时删除其个人信息,但与特定个人无关且经处理后无法恢复的除外(以下简称匿名处理)。
第二十一条网络经营者在收到个人信息查询、更正、删除和用户销户请求时,应当在合理的时间和费用内查询、更正、删除或销户。
第二十二条网络经营者不得违反收集和使用规则使用个人信息。因业务需要需要扩大个人信息使用范围的,应当征得个人信息主体的同意。
第二十三条网络运营商利用用户数据和算法推送新闻信息、商业广告等。(以下简称“定向推送”),应明确标注“固定推送”字样,为用户提供停止接收定向推送信息的功能;当用户选择停止接收定向推送信息时,应停止推送并删除收集的用户数据和设备识别码等个人信息。
网络经营者应当遵守法律、行政法规,尊重社会公德、商业道德、公共秩序和良好风尚,诚实守信,禁止歧视和欺诈。
第二十四条网络经营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应当以明显方式标注“合成”字样;不要以谋取利益或损害他人利益为目的自动合成信息。
第二十五条网络经营者应当采取措施,督促和提醒用户对自己的网络行为负责,加强自律。当用户通过社交网络转发他人产生的信息时,应自动在社交网络上标记信息生产者的账户或不可更改的用户标识。
第二十六条网络经营者在接到有关假冒、假冒、挪用他人名义发布的信息的举报和投诉时,应当及时作出回应,一经查实,应当立即停止传播和删除。
第二十七条网络经营者向他人提供个人信息前,应当评估可能存在的安全风险,并征得个人信息主体的同意。以下情况除外:
(a)从合法的公共渠道收集的且不明显违背主体意愿的个人信息;
(二)个人信息主体自愿披露的;
(3)匿名后;
(四)执法机关依法履行职责所必需的;
(五)维护国家安全、社会公共利益和个人信息主体的生命安全。
第二十八条网络经营者向境外发布、共享、交易或者提供重要数据前,应当对可能存在的安全风险进行评估,并报行业主管监管部门批准;行业主管监管部门不明确的,应当经省级网络信息主管部门批准。
境外提供个人信息按相关规定执行。
第二十九条境内用户接入境内互联网的,其流量不得路由至境外。
第三十条网络运营商应当明确第三方应用访问其平台的数据安全要求和责任,督促和监督第三方应用运营商加强数据安全管理。第三方应用中发生数据安全事件,给用户造成损失的,网络运营商承担部分或全部责任,除非网络运营商能够证明没有过错。
第三十一条网络经营者合并、重组或者破产的,数据承担方应当承担数据安全的责任和义务。如果没有数据接收器,则应删除数据。法律、行政法规另有规定的,从其规定。
第三十二条网络经营者应当分析利用其掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行和社会稳定,不得损害他人的合法权益。
第四章数据安全监督管理
第三十三条网络信息部门在履行职责过程中发现网络经营者的数据安全管理责任未得到妥善落实的,应当按照规定的权限和程序对网络经营者的主要负责人进行约谈,并督促整改。
第三十四条国家鼓励网络经营者自愿通过数据安全管理认证和应用安全认证,鼓励搜索引擎和应用商店明确认定并优先推荐认证应用。
国家网络信息部会同国务院市场监督管理部门指导全国网络安全审查认证机构,组织数据安全管理认证和应用安全认证。
第三十五条发生个人信息泄露、损坏或者丢失等数据安全事件,或者数据安全事件风险明显增加时,网络运营人应当立即采取补救措施,及时通过电话、短信、邮件或者信函等方式告知个人信息主体,并按照要求向行业监管主管部门和网络信息主管部门报告。
第三十六条国务院有关主管部门为履行维护国家安全、社会管理和经济秩序的职责,依照法律、行政法规的规定要求网络经营者提供相关数据的,网络经营者应当提供。
国务院有关主管部门负责对网络经营者提供的数据进行安全保护,不得用于与履行职责无关的目的。
第三十七条网络经营者违反本办法规定的,有关部门应当依照有关法律、行政法规的规定,予以公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关营业执照或者吊销营业执照等处理。;构成犯罪的,依法追究刑事责任。
第五章补充规定
第三十八条本办法下列用语的含义:
(a)网络经营者是指网络的所有者、管理者和服务提供者。
(二)网络数据是指通过网络收集、存储、传输、处理和生成的各种电子数据。
(三)个人信息,是指通过电子或者其他方式记录的能够单独或者结合其他信息识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号、个人生物特征信息、地址、电话号码等。
(4)个人信息主体是指识别或关联个人信息的自然人。
(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共卫生安全的数据,如未公开的政府信息、人口众多、遗传健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
第三十九条涉及使用国家秘密信息和密码的数据活动,应当按照国家有关规定执行。
第四十条本办法自发布之日起施行。
