為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個人資訊和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規，國家互聯網資訊辦公室會同相關部門研究起草了《數據安全管理辦法（徵求意見稿）》，現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見：

　　 1.登陸中國政府法制資訊網(網址：http://www.chinalaw.gov.cn)，進入首頁的“立法意見徵集”提出意見。

　　 2.通過電子郵件方式發送至：security@cac.gov.cn。

　　 3.通過信函方式將意見寄至：北京市西城區車公莊大街11號國家互聯網資訊辦公室網絡安全協調局，郵編100044，並在信封上注明“數據安全管理辦法徵求意見”。

　　 意見反饋截止時間為2019年6月28日。

　　 附件：《數據安全管理辦法（徵求意見稿）》

　　國家互聯網資訊辦公室

　　2019年5月28日

　　數據安全管理辦法

　　（徵求意見稿）

　　第一章 總 則

　　第一條為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個人資訊和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規，制定本辦法。

　　 第二條在中華人民共和國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等活動（以下簡稱數據活動），以及數據安全的保護和監督管理，適用本辦法。純粹家庭和個人事務除外。

　　 法律、行政法規另有規定的，從其規定。

　　 第三條國家堅持保障數據安全與發展並重，鼓勵研發數據安全保護技術，積極推進數據資源開發利用，保障數據依法有序自由流動。

　　 第四條國家採取措施，監測、防禦、處置來源于中華人民共和國境內外的數據安全風險和威脅，保護數據免受泄露、竊取、篡改、毀損、非法使用等，依法懲治危害數據安全的違法犯罪活動。

　　 第五條在中央網絡安全和信息化委員會領導下，國家網信部門統籌協調、指導監督個人資訊和重要數據安全保護工作。

　　 地（市）及以上網信部門依據職責指導監督本行政區內個人資訊和重要數據安全保護工作。

　　 第六條網絡運營者應當按照有關法律、行政法規的規定，參照國家網絡安全標準，履行數據安全保護義務，建立數據安全管理責任和評價考核制度，制定數據安全計劃，實施數據安全技術防護，開展數據安全風險評估，制定網絡安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓。

　　第二章 數據收集

　　 第七條網絡運營者通過網站、應用程式等産品收集使用個人資訊，應當分別制定並公開收集使用規則。收集使用規則可以包含在網站、應用程式等産品的隱私政策中，也可以其他形式提供給用戶。

　　 第八條收集使用規則應當明確具體、簡單通俗、易于訪問，突出以下內容：

　　 （一）網絡運營者基本資訊；

　　 （二）網絡運營者主要負責人、數據安全責任人的姓名及聯繫方式；

　　 （三）收集使用個人資訊的目的、種類、數量、頻度、方式、范圍等；

　　 （四）個人資訊保存地點、期限及到期後的處理方式；

　　 （五）向他人提供個人資訊的規則，如果向他人提供的；

　　 （六）個人信息安全保護策略等相關資訊；

　　 （七）個人資訊主體撤銷同意，以及查詢、更正、刪除個人資訊的途徑和方法；

　　 （八）投訴、舉報渠道和方法等；

　　 （九）法律、行政法規規定的其他內容。

　　 第九條如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅當用戶知悉收集使用規則並明確同意後，網絡運營者方可收集個人資訊。

　　 第十條網絡運營者應當嚴格遵守收集使用規則，網站、應用程式收集或使用個人資訊的功能設計應同隱私政策保持一致，同步調整。

　　 第十一條網絡運營者不得以改善服務品質、提升用戶體驗、定向推送資訊、研發新産品等為由，以默認授權、功能捆綁等形式強迫、誤導個人資訊主體同意其收集個人資訊。

　　 個人資訊主體同意收集保證網絡産品核心業務功能運作的個人資訊後，網絡運營者應當向個人資訊主體提供核心業務功能服務，不得因個人資訊主體拒絕或者撤銷同意收集上述資訊以外的其他資訊，而拒絕提供核心業務功能服務。

　　 第十二條收集14周歲以下未成年人個人資訊的，應當徵得其監護人同意。

　　 第十三條網絡運營者不得依據個人資訊主體是否授權收集個人資訊及授權范圍，對個人資訊主體採取歧視行為，包括服務品質、價格差異等。

　　 第十四條網絡運營者從其他途徑獲得個人資訊，與直接收集個人資訊負有同等的保護責任和義務。

　　 第十五條網絡運營者以經營為目的收集重要數據或個人敏感資訊的，應向所在地網信部門備案。備案內容包括收集使用規則，收集使用的目的、規模、方式、范圍、類型、期限等，不包括數據內容本身。

　　 第十六條網絡運營者採取自動化手段訪問收集網站數據，不得妨礙網站正常運作；此類行為嚴重影響網站運作，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。

　　 第十七條網絡運營者以經營為目的收集重要數據或個人敏感資訊的，應當明確數據安全責任人。

　　 數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任，參與有關數據活動的重要決策，直接向網絡運營者的主要負責人報告工作。

　　 第十八條數據安全責任人履行下列職責：

　　 （一）組織制定數據保護計劃並督促落實；

　　 （二）組織開展數據安全風險評估，督促整改安全隱患；

　　 （三）按要求向有關部門和網信部門報告數據安全保護和事件處置情況；

　　 （四）受理並處理用戶投訴和舉報。

　　 網絡運營者應為數據安全責任人提供必要的資源，保障其獨立履行職責。

　　第三章 數據處理使用

　　 第十九條網絡運營者應當參照國家有關標準，採用數據分類、備份、加密等措施加強對個人資訊和重要數據保護。

　　 第二十條網絡運營者保存個人資訊不應超出收集使用規則中的保存期限，用戶注銷賬號後應當及時刪除其個人資訊，經過處理無法關聯到特定個人且不能復原（以下稱匿名化處理）的除外。

　　 第二十一條網絡運營者收到有關個人資訊查詢、更正、刪除以及用戶注銷賬號請求時，應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號。

　　 第二十二條網絡運營者不得違反收集使用規則使用個人資訊。因業務需要，確需擴大個人資訊使用范圍的，應當徵得個人資訊主體同意。

　　 第二十三條網絡運營者利用用戶數據和演算法推送新聞資訊、商業廣告等（以下簡稱“定向推送”），應當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送資訊的功能；用戶選擇停止接收定向推送資訊時，應當停止推送，並刪除已經收集的設備識別碼等用戶數據和個人資訊。

　　 網絡運營者開展定向推送活動應遵守法律、行政法規，尊重社會公德、商業道德、公序良俗，誠實守信，嚴禁歧視、欺詐等行為。

　　 第二十四條網絡運營者利用大數據、人工智慧等技術自動合成新聞、博文、帖子、評論等資訊，應以明顯方式標明“合成”字樣；不得以謀取利益或損害他人利益為目的自動合成資訊。

　　 第二十五條網絡運營者應採取措施督促提醒用戶對自己的網絡行為負責、加強自律，對于用戶通過社交網絡轉發他人制作的資訊，應自動標注資訊制作者在該社交網絡上的賬戶或不可更改的用戶標識。

　　 第二十六條網絡運營者接到相關假冒、倣冒、盜用他人名義發布資訊的舉報投訴時，應當及時響應，一旦核實立即停止傳播並作刪除處理。

　　 第二十七條網絡運營者向他人提供個人資訊前，應當評估可能帶來的安全風險，並徵得個人資訊主體同意。下列情況除外：

　　 （一）從合法公開渠道收集且不明顯違背個人資訊主體意願；

　　 （二）個人資訊主體主動公開；

　　 （三）經過匿名化處理；

　　 （四）執法機關依法履行職責所必需；

　　 （五）維護國家安全、社會公共利益、個人資訊主體生命安全所必需。

　　 第二十八條網絡運營者發布、共用、交易或向境外提供重要數據前，應當評估可能帶來的安全風險，並報經行業主管監管部門同意；行業主管監管部門不明確的，應經省級網信部門批準。

　　 向境外提供個人資訊按有關規定執行。

　　 第二十九條境內用戶訪問境內互聯網的，其流量不得被路由到境外。

　　 第三十條網絡運營者對接入其平臺的第三方應用，應明確數據安全要求和責任，督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的，網絡運營者應當承擔部分或全部責任，除非網絡運營者能夠證明無過錯。

　　 第三十一條網絡運營者兼並、重組、破産的，數據承接方應承接數據安全責任和義務。沒有數據承接方的，應當對數據作刪除處理。法律、行政法規另有規定的，從其規定。

　　 第三十二條網絡運營者分析利用所掌握的數據資源，發布市場預測、統計資訊、個人和企業信用等資訊，不得影響國家安全、經濟運作、社會穩定，不得損害他人合法權益。

　　第四章 數據安全監督管理

　　 第三十三條網信部門在履行職責中，發現網絡運營者數據安全管理責任落實不到位，應按照規定的許可權和程式約談網絡運營者的主要負責人，督促整改。

　　 第三十四條國家鼓勵網絡運營者自願通過數據安全管理認證和應用程式安全認證，鼓勵搜索引擎、應用商店等明確標識並優先推薦通過認證的應用程式。

　　 國家網信部門會同國務院市場監督管理部門，指導國家網絡安全審查與認證機構，組織數據安全管理認證和應用程式安全認證工作。

　　 第三十五條發生個人資訊泄露、毀損、丟失等數據安全事件，或者發生數據安全事件風險明顯加大時，網絡運營者應當立即採取補救措施，及時以電話、短信、郵件或信函等方式告知個人資訊主體，並按要求向行業主管監管部門和網信部門報告。

　　 第三十六條國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要，依照法律、行政法規的規定，要求網絡運營者提供掌握的相關數據的，網絡運營者應當予以提供。

　　 國務院有關主管部門對網絡運營者提供的數據負有安全保護責任，不得用于與履行職責無關的用途。

　　 第三十七條網絡運營者違反本辦法規定的，由有關部門依照相關法律、行政法規的規定，根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰；構成犯罪的，依法追究刑事責任。

　　第五章 附 則

　　 第三十八條本辦法下列用語的含義：

　　 （一）網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。

　　 （二）網絡數據，是指通過網絡收集、存儲、傳輸、處理和産生的各種電子數據。

　　 （三）個人資訊，是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。

　　 （四）個人資訊主體，是指個人資訊所標識或關聯到的自然人。

　　 （五）重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府資訊，大面積人口、基因健康、地理、礦産資源等。重要數據一般不包括企業生産經營和內部管理資訊、個人資訊等。

　　 第三十九條涉及國家秘密資訊、密碼使用的數據活動，按照國家有關規定執行。

　　 第四十條本辦法自 年 月 日起施行。