为落实@@《中华人民共和国网络@@安全法@@》《中华人民共和国数据@@安全法@@》《中华人民共和国个人信息保护@@法@@》等法律@@@@关于数据@@安全管理的规定@@,规范网络@@数据@@@@处理活动@@,保护个人@@、组织在网络@@空间@@的合法权益@@,维护国家安全@@和公共利益@@@@,根据@@国务院@@2021年@@立法计划@@,我办会同相关部门研究起草@@《网络@@数据@@@@安全@@管理条例@@(征求意见稿@@)》,现向社会@@公开@@征求意见@@。公众可通过以下途径和方式@@反馈意见@@:
1.通过电子邮件将意见发送至@@:shujuju@cac.gov.cn。
2.通过信函将意见寄至@@:北京市西城区车公庄大街@@11号国家互联网信息办公室@@网络@@数据@@@@管理局@@,邮编@@:100044,并在信封上注明@@“网络@@数据@@@@安全@@管理条例@@征求意见@@”。
意见反馈截止时间为@@2021年@@12月@@13日@@。
附件@@:《网络@@数据@@@@安全@@管理条例@@(征求意见稿@@)》
国家互联网信息办公室@@
2021年@@11月@@14日@@
网络@@数据@@@@安全@@管理条例@@
(征求意见稿@@)
第一@@章@@ 总则@@
第一@@条@@ 为了规范网络@@数据@@@@处理活动@@@@,保障数据@@安全@@,保护个人@@、组织在网络@@空间@@的合法权益@@,维护国家安全@@、公共利益@@,根据@@《中华人民共和国网络@@安全法@@》《中华人民共和国数据@@安全法@@》《中华人民共和国个人信息保护@@法@@》等法律@@@@,制定本条例@@。
第二@@条@@ 在中华人民共和国境内利用网络@@开展数据@@处理活动@@,以及网络@@数据@@@@安全@@的监督管理@@@@,适用本条例@@。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据@@的活动@@,有下列情形之一@@的@@,适用本条例@@:
(一@@)以向境内提供@@产品@@或者服务为目的@@;
(二@@)分析@@、评估境内个人@@、组织的行为@@;
(三@@)涉及境内重要数据@@@@处理@@;
(四@@)法律@@、行政法规@@规定的其他情形@@。
自然人因个人或者家庭事务开展数据@@处理活动@@,不适用本条例@@@@。
第三@@条@@ 国家统筹发展和安全@@,坚持促进数据@@开发利用@@与保障数据@@安全@@并重@@,加强数据@@安全防护能力建设@@,保障数据@@依法有序自由流动@@,促进数据@@依法合理有效利用@@。
第四@@条@@ 国家支持数据@@开发利用与安全保护相关的技术@@@@、产品@@、服务创新和人才培养@@。
国家鼓励国家机关@@、行业组织@@、企业@@、教育@@和科研机构@@、有关专业机构等开展数据@@开发利用和安全保护合作@@,开展数据@@安全宣传教育@@和培训@@。
第五@@条@@ 国家建立@@数据@@分类分级保护制度@@。按照数据@@对国家安全@@、公共利益@@或者个人@@、组织合法权益的@@影响和重要程度@@,将数据@@分为一@@般数据@@@@、重要数据@@@@、核心数据@@@@,不同级别的数据@@采取不同的保护措施@@。
国家对个人信息和重要数据@@@@进行重点保护@@,对核心数据@@@@实行严格保护@@。
各地区@@、各部门应当按照国家数据@@分类分级要求@@,对本地区@@、本部门以及相关行业@@、领域的数据@@进行分类分级管理@@。
第六@@条@@ 数据@@处理者对所处理数据@@的安全负责@@,履行数据@@安全保护义务@@,接受政府和社会@@监督@@,承担社会@@责任@@。
数据@@处理者应当按照有关法律@@@@@@、行政法规@@的规定@@和国家标@@准的强制性要求@@,建立@@完善数据@@安全管理制度@@和技术@@保护机制@@。
第七@@条@@ 国家推动公共数据@@开放@@、共享@@,促进数据@@开发利用@@,并依法对公共数据@@实施监督管理@@@@。
国家建立@@健全数据@@交易@@管理制度@@,明确数据@@交易@@机构设立@@、运行标@@准@@,规范数据@@流通交易@@行为@@,确保数据@@依法有序流通@@。
第二@@章@@ 一@@般规定@@
第八@@条@@ 任何个人和组织开展数据@@处理活动应当遵守法律@@@@、行政法规@@,尊重社会@@公德和伦理@@,不得从事以下活动@@:
(一@@)危害国家安全@@、荣誉和利益@@,泄露国家秘密和工作秘密@@@@;
(二@@)侵害他人名誉权@@、隐私权@@、著作权和其他合法权益等@@;
(三@@)通过窃取@@或者以其他非法方式@@获取数据@@@@;
(四@@)非法出售或者非法向他人提供@@数据@@@@;
(五@@)制作@@、发布@@、复制@@、传播违法信息@@;
(六@@)法律@@、行政法规@@禁止的其他行为@@。
任何个人和组织知道或者应当知道他人从事前款活动的@@,不得为其提供@@技术@@支持@@@@、工具@@、程序和广告推广@@、支付@@结算@@等服务@@。
第九@@条@@ 数据@@处理者应当采取备份@@、加密@@、访问控制等必要@@措施@@,保障数据@@免遭泄露@@、窃取@@、篡改@@、毁损@@、丢失@@、非法使用@@@@,应对数据@@安全事件@@,防范针对和利用数据@@的违法犯罪活动@@,维护数据@@的完整性@@、保密性@@、可用性@@。
数据@@处理者应当按照网络@@安全等级保护的要求@@,加强数据@@处理系统@@、数据@@传输@@网络@@@@、数据@@存储@@环境等安全防护@@,处理重要数据@@@@的系统原则上应当满足三@@级以上网络@@安全等级保护和关键信息基础设施安全保护要求@@,处理核心数据@@@@的系统依照有关规定从严保护@@。
数据@@处理者应当使用@@密码@@对重要数据@@@@和核心数据@@@@进行保护@@。
第十@@条@@ 数据@@处理者发现其使用@@或者提供@@的网络@@产品@@和服务存在安全缺陷@@、漏洞@@,或者威胁国家安全@@、危害公共利益@@等风险时@@,应当立即采取补救措施@@。
第十@@一@@@@条@@ 数据@@处理者应当建立@@数据@@安全应急处置机制@@,发生数据@@安全事件时及时启动应急响应机制@@,采取措施防止危害扩大@@,消除安全隐患@@。安全事件对个人@@、组织造成危害的@@,数据@@处理者应当在三@@个工作日@@内将安全事件和风险情况@@、危害后果@@、已经采取的补救措施等以电话@@、短信@@、即时通信工具@@@@、电子邮件等方式@@通知利害关系人@@,无@@法通知的可采取公告方式@@告知@@,法律@@、行政法规@@规定可以不通知的从其规定@@@@。安全事件涉嫌犯罪的@@,数据@@处理者应当按规定向公安机关@@报案@@。
发生重要数据@@@@或者十@@万人以上个人信息泄露@@、毁损@@、丢失@@等数据@@安全事件时@@,数据@@处理者还应当履行以下义务@@:
(一@@)在发生安全事件的八@@小时内向设区的市级网信部门和有关主管@@@@部门报告事件基本信息@@,包括涉及的数据@@数量@@、类型@@、可能的影响@@、已经或拟采取的处置措施等@@;
(二@@)在事件处置完毕后五@@个工作日@@内向设区的市级网信部门和有关主管@@@@部门报告包括事件原因@@、危害后果@@、责任处理@@、改进措施等情况的调查评估报告@@。
第十@@二@@@@条@@ 数据@@处理者向第三@@方提供@@个人信息@@,或者共享@@@@、交易@@、委托处理@@重要数据@@@@的@@,应当遵守以下规定@@:
(一@@)向个人告知提供@@个人信息的目的@@、类型@@、方式@@、范围@@、存储@@期限@@、存储@@地点@@,并取得个人单独同意@@,符合法律@@@@、行政法规@@规定的不需要取得个人同意的情形或者经过匿名化处理的除外@@;
(二@@)与数据@@接收方约定处理数据@@的目的@@@@、范围@@、处理方式@@@@,数据@@安全保护措施等@@,通过合同等形式明确双方的数据@@安全责任义务@@,并对数据@@接收方的数据@@处理活动进行监督@@;
(三@@)留存个人同意记录@@及提供@@个人信息的日@@志记录@@@@,共享@@、交易@@、委托处理@@重要数据@@@@的@@审批记录@@@@、日@@志记录@@至少五@@年@@@@。
数据@@接收方应当履行约定的义务@@,不得超出约定的目的@@、范围@@、处理方式@@@@处理个人信息和重要数据@@@@@@。
第十@@三@@条@@ 数据@@处理者开展以下活动@@@@,应当按照国家有关规定@@,申报网络@@安全审查@@:
(一@@)汇聚掌握大量关系国家安全@@、经济@@发展@@、公共利益@@的数据@@@@资源@@的互联网平台@@运营者实施合并@@、重组@@、分立@@,影响或者可能影响国家安全的@@;
(二@@)处理一@@百万人以上个人信息的数据@@处理者赴国外上市的@@;
(三@@)数据@@处理者赴香港上市@@,影响或者可能影响国家安全的@@;
(四@@)其他影响或者可能影响国家安全的@@数据@@处理活动@@。
大型互联网平台@@运营者在境外设立总部或者运营中心@@、研发中心@@,应当向国家网信部门和主管@@@@部门报告@@。
第十@@四@@条@@ 数据@@处理者发生合并@@、重组@@、分立@@等情况的@@,数据@@接收方应当继续履行数据@@安全保护义务@@@@,涉及重要数据@@@@和一@@百万人以上个人信息的@@,应当向设区的市级主管@@部门报告@@;数据@@处理者发生解散@@、被宣告破产等情况的@@,应当向设区的市级主管@@部门报告@@,按照相关要求移交或删除@@数据@@@@,主管@@部门不明确的@@,应当向设区的市级网信部门报告@@。
第十@@五@@条@@ 数据@@处理者从其他途径获取的数据@@@@,应当按照本条例的规定履行数据@@安全保护义务@@@@。
第十@@六@@条@@ 国家机关应当依照法律@@@@、行政法规@@的规定@@和国家标@@准的强制性要求@@,建立@@健全数据@@安全管理制度@@@@,落实数据@@安全保护责任@@,保障政务数据@@安全@@。
第十@@七@@条@@ 数据@@处理者在采用自动化工具@@访问@@@@、收集数据@@时@@,应当评估对网络@@服务的性能@@、功能带来的影响@@,不得干扰网络@@服务的正常功能@@。
自动化工具@@访问@@、收集数据@@违反法律@@@@、行政法规@@或者行业自律公约@@、影响网络@@服务正常功能@@,或者侵犯他人知识产权等合法权益的@@,数据@@处理者应当停止访问@@、收集数据@@行为并采取相应补救措施@@。
第十@@八@@条@@ 数据@@处理者应当建立@@便捷的数据@@安全投诉举报@@渠道@@,及时受理@@@@、处置数据@@安全投诉@@举报@@@@。
数据@@处理者应当公布接受投诉@@、举报@@的联系方式@@@@@@、责任人信息@@,每年@@公开@@披露受理@@和收到的个人信息安全投诉数量@@、投诉处理情况@@、平均处理时间情况@@,接受社会@@监督@@。
第三@@章@@ 个人信息保护@@
第十@@九@@条@@ 数据@@处理者处理个人信息@@,应当具有明确@@、合理的目的@@,遵循合法@@、正当@@、必要@@的原则@@。基于个人同意处理个人信息的@@,应当满足以下要求@@:
(一@@)处理的个人信息是提供@@服务所必需的@@,或者是履行法律@@@@、行政法规@@规定的义务所必需的@@;
(二@@)限于实现处理目的@@最短周期@@、最低频次@@,采取对个人权益影响最小的方式@@@@;
(三@@)不得因个人拒绝提供@@服务必需的个人信息以外的信息@@,拒绝提供@@服务或者干扰个人正常使用@@服务@@。
第二@@十@@条@@ 数据@@处理者处理个人信息@@,应当制定个人信息处理规则并严格遵守@@。个人信息处理规则应当集中公开@@展示@@、易于访问并置于醒目位置@@,内容明确具体@@、简明通俗@@,系统全面地向个人说明个人信息处理情况@@。
个人信息处理规则应当包括但不限于以下内容@@:
(一@@)依据@@产品@@或者服务的功能明确所需的个人信息@@,以清单形式列明每项功能处理个人信息的目的@@、用途@@、方式@@、种类@@、频次或者时机@@、保存地点等@@,以及拒绝处理个人信息对个人的影响@@;
(二@@)个人信息存储@@期限@@或者个人信息存储@@期限@@的确定方法@@、到期后的处理方式@@@@@@;
(三@@)个人查阅@@@@、复制@@、更正@@、删除@@、限制处理@@、转移个人信息@@,以及注销账号@@、撤回处理个人信息同意的途径和方法@@;
(四@@)以集中展示等便利用户访问的方式@@说明产品@@服务中嵌入的所有收集个人信息的第三@@方代码@@、插件的名称@@,以及每个第三@@方代码@@、插件收集个人信息的目的@@、方式@@、种类@@、频次或者时机@@及其个人信息处理规则@@;
(五@@)向第三@@方提供@@个人信息情形及其目的@@、方式@@、种类@@,数据@@接收方相关信息等@@;
(六@@)个人信息安全风险及保护措施@@;
(七@@)个人信息安全问题@@的投诉@@、举报@@渠道及解决途径@@,个人信息保护@@负责人联系方式@@@@@@。
第二@@十@@一@@@@条@@ 处理个人信息应当取得个人同意的@@,数据@@处理者应当遵守以下规定@@@@:
(一@@)按照服务类型@@分别向个人申请处理个人信息的同意@@,不得使用@@概括性条款取得同意@@;
(二@@)处理个人生物@@识别@@、宗教信仰@@、特定身份@@、医疗健康@@、金融@@账户@@、行踪轨迹等敏感个人信息应当取得个人单独同意@@@@;
(三@@)处理不满十@@四@@周岁未成年@@人的个人信息@@,应当取得其监护人同意@@;
(四@@)不得以改善服务质量@@、提升用户体验@@、研发新产品@@等为由@@,强迫个人同意处理其个人信息@@;
(五@@)不得通过误导@@、欺诈@@、胁迫等方式@@获得个人的同意@@;
(六@@)不得通过捆绑不同类型@@服务@@、批量申请同意等方式@@诱导@@、强迫个人进行批量个人信息同意@@;
(七@@)不得超出个人授权同意的范围@@处理个人信息@@;
(八@@)不得在个人明确表示不同意后@@,频繁征求同意@@、干扰正常使用@@服务@@。
个人信息的处理目的@@@@、处理方式@@@@和处理的个人信息种类@@发生变更的@@,数据@@处理者应当重新取得个人同意@@,并同步修改@@个人信息处理规则@@。
对个人同意行为有效性存在争议的@@,数据@@处理者负有举证责任@@。
第二@@十@@二@@@@条@@ 有下列情况之一@@的@@,数据@@处理者应当在十@@五@@个工作日@@内删除@@个人信息或者进行匿名化处理@@:
(一@@)已实现个人信息处理目的@@或者实现处理目的@@不再必要@@@@;
(二@@)达到与用户约定或者个人信息处理规则明确的存储@@期限@@@@;
(三@@)终止服务或者个人注销账号@@;
(四@@)因使用@@自动化采集技术@@等@@,无@@法避免采集到的非必要@@个人信息或者未经个人同意的个人信息@@。
删除@@个人信息从技术@@上难以实现@@,或者因业务复杂等原因@@,在十@@五@@个工作日@@内删除@@个人信息确有困难的@@,数据@@处理者不得开展除存储@@和采取必要@@的安全保护措施之外的处理@@,并应当向个人作出合理解释@@。
法律@@、行政法规@@另有规定的从其规定@@@@。
第二@@十@@三@@条@@ 个人提出查阅@@@@、复制@@、更正@@、补充@@、限制处理@@、删除@@其个人信息@@的合理请求的@@,数据@@处理者应当履行以下义务@@:
(一@@)提供@@便捷的支持个人结构化查询本人被收集的个人信息类型@@@@、数量等的方法和途径@@,不得以时间@@、位置等因素对个人的合理请求进行限制@@;
(二@@)提供@@便捷的支持个人复制@@@@、更正@@、补充@@、限制处理@@、删除@@其个人信息@@、撤回授权同意以及注销账号@@的功能@@,且不得设置不合理条件@@;
(三@@)收到个人复制@@@@、更正@@、补充@@、限制处理@@、删除@@本人个人信息@@、撤回授权同意或者注销账号申请的@@,应当在十@@五@@个工作日@@内处理并反馈@@。
法律@@、行政法规@@另有规定的从其规定@@@@。
第二@@十@@四@@条@@ 符合下列条件的个人信息转移请求@@,数据@@处理者应当为个人指定的其他数据@@处理者访问@@、获取其个人信息提供@@转移服务@@:
(一@@)请求转移的个人信息是基于同意或者订立@@、履行合同所必需而收集的个人信息@@;
(二@@)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息@@;
(三@@)能够验证请求人的合法身份@@。
数据@@处理者发现接收个人信息的其他数据@@处理者有非法处理个人信息风险的@@,应当对个人信息转移请求做合理的风险提示@@。
请求转移个人信息@@次数明显超出合理范围@@的@@,数据@@处理者可以收取合理费用@@。
第二@@十@@五@@条@@ 数据@@处理者利用生物@@特征进行个人身份认证的@@,应当对必要@@性@@、安全性进行风险评估@@@@,不得将人脸@@、步态@@、指纹@@、虹膜@@、声纹等生物@@特征作为唯一@@的个人身份认证方式@@@@,以强制个人同意收集其个人生物@@特征信息@@。
法律@@、行政法规@@另有规定的从其规定@@@@。
第二@@十@@六@@条@@ 数据@@处理者处理一@@百万人以上个人信息的@@,还应当遵守本条例第四@@章@@对重要数据@@@@的处理者@@作出的规定@@。
第四@@章@@ 重要数据@@@@安全@@
第二@@十@@七@@条@@ 各地区@@、各部门按照国家有关要求和标@@准@@,组织本地区@@、本部门以及相关行业@@、领域的数据@@处理者识别重要数据@@@@和核心数据@@@@@@,组织制定本地区@@、本部门以及相关行业@@、领域重要数据@@@@和核心数据@@@@目录@@,并报国家网信部门@@。
第二@@十@@八@@条@@ 重要数据@@@@的处理者@@,应当明确数据@@安全负责人@@,成立数据@@安全管理机构@@。数据@@安全管理机构在数据@@安全负责人的领导下@@,履行以下职责@@:
(一@@)研究提出数据@@安全相关重大决策建议@@@@;
(二@@)制定实施数据@@安全保护计划和数据@@安全事件应急预案@@;
(三@@)开展数据@@安全风险监测@@,及时处置数据@@安全风险和事件@@;
(四@@)定期组织开展数据@@安全宣传教育@@培训@@、风险评估@@、应急演练等活动@@;
(五@@)受理@@、处置数据@@安全投诉@@、举报@@;
(六@@)按照要求及时向网信部门和主管@@@@、监管部门报告数据@@安全情况@@。
数据@@安全负责人应当具备数据@@安全专业知识和相关管理工作经历@@,由数据@@处理者决策层成员承担@@,有权直接向网信部门和主管@@@@、监管部门反映数据@@安全情况@@。
第二@@十@@九@@条@@ 重要数据@@@@的处理者@@,应当在识别其重要数据@@@@后的十@@五@@个工作日@@内向设区的市级网信部门备案@@,备案内容包括@@:
(一@@)数据@@处理者基本信息@@,数据@@安全管理机构信息@@、数据@@安全负责人姓名和联系方式@@@@等@@;
(二@@)处理数据@@的目的@@、规模@@、方式@@、范围@@、类型@@、存储@@期限@@、存储@@地点@@等@@,不包括数据@@内容本身@@;
(三@@)国家网信部门和主管@@@@、监管部门规定的其他备案内容@@。
处理数据@@的目的@@、范围@@、类型@@及数据@@安全防护措施等有重大变化的@@,应当重新备案@@。
依据@@部门职责分工@@,网信部门与有关部门共享@@备案信息@@。
第三@@十@@条@@ 重要数据@@@@的处理者@@,应当制定数据@@安全培训计划@@,每年@@组织开展全员数据@@安全教育@@培训@@,数据@@安全相关的技术@@和管理人员每年@@教育@@培训时间不得少于二@@十@@小时@@。
第三@@十@@一@@@@条@@ 重要数据@@@@的处理者@@,应当优先采购安全可信的网络@@产品@@和服务@@。
第三@@十@@二@@@@条@@ 处理重要数据@@@@或者赴境外上市的数据@@处理者@@,应当自行或者委托数据@@安全服务机构每年@@开展一@@次数据@@安全评估@@,并在每年@@@@1月@@31日@@前将上一@@年@@度数据@@安全评估报告报设区的市级网信部门@@,年@@度数据@@安全评估报告的内容包括@@:
(一@@)处理重要数据@@@@的情况@@;
(二@@)发现的数据@@安全风险及处置措施@@;
(三@@)数据@@安全管理制度@@,数据@@备份@@、加密@@、访问控制等安全防护措施@@,以及管理制度实施情况和防护措施的有效性@@;
(四@@)落实国家数据@@安全法律@@@@、行政法规@@和标@@准情况@@;
(五@@)发生的数据@@安全事件及其处置情况@@;
(六@@)共享@@、交易@@、委托处理@@、向境外提供@@重要数据@@@@的安全评估@@情况@@;
(七@@)数据@@安全相关的投诉及处理情况@@;
(八@@)国家网信部门和主管@@@@、监管部门明确的其他数据@@安全情况@@。
数据@@处理者应当保留风险评估@@报告至少三@@年@@@@。
依据@@部门职责分工@@,网信部门与有关部门共享@@报告信息@@。
数据@@处理者开展共享@@@@、交易@@、委托处理@@、向境外提供@@重要数据@@@@的安全评估@@,应当重点评估以下内容@@:
(一@@)共享@@、交易@@、委托处理@@、向境外提供@@数据@@@@,以及数据@@接收方处理数据@@的目的@@@@、方式@@、范围@@等@@是否合法@@、正当@@、必要@@;
(二@@)共享@@、交易@@、委托处理@@、向境外提供@@数据@@@@被泄露@@、毁损@@、篡改@@、滥用的风险@@,以及对国家安全@@、经济@@发展@@、公共利益@@带来的风险@@;
(三@@)数据@@接收方的诚信状况@@、守法情况@@、境外政府机构合作关系@@、是否被中国政府制裁等背景情况@@,承诺承担的责任以及履行责任的能力等是否能够有效保障数据@@安全@@@@;
(四@@)与数据@@接收方订立的相关合同中关于数据@@安全的要求能否有效约束数据@@接收方履行数据@@安全保护义务@@@@;
(五@@)在数据@@处理过程中的管理和技术@@措施等是否能够防范数据@@泄露@@、毁损@@等风险@@。
评估认为可能危害国家安全@@@@@@、经济@@发展@@和公共利益@@@@,数据@@处理者不得共享@@@@、交易@@、委托处理@@、向境外提供@@数据@@@@。
第三@@十@@三@@条@@ 数据@@处理者共享@@@@、交易@@、委托处理@@重要数据@@@@的@@,应当征得设区的市级及以上主管@@部门同意@@,主管@@部门不明确的@@,应当征得设区的市级及以上网信部门同意@@。
第三@@十@@四@@条@@ 国家机关和关键信息基础设施运营者采购的云计算服务@@,应当通过国家网信部门会同国务院有关部门组织的安全评估@@。
第五@@章@@ 数据@@跨境安全管理@@
第三@@十@@五@@条@@ 数据@@处理者因业务等需要@@,确需向中华人民共和国境外提供@@数据@@的@@,应当具备下列条件之一@@@@:
(一@@)通过国家网信部门组织的数据@@出境安全评估@@;
(二@@)数据@@处理者和数据@@接收方均通过国家网信部门认定的专业机构进行的个人信息保护@@认证@@;
(三@@)按照国家网信部门制定的关于标@@准合同的规定与境外数据@@接收方订立合同@@,约定双方权利和义务@@;
(四@@)法律@@、行政法规@@或者国家网信部门规定的其他条件@@。
数据@@处理者为订立@@、履行个人作为一@@方当事人的合同所必需向境外提供@@当事人个人信息的@@,或者为了保护个人@@生命健康和财产安全而必须向境外提供@@个人信息的除外@@。
第三@@十@@六@@条@@ 数据@@处理者向中华人民共和国境外提供@@个人信息的@@,应当向个人告知境外数据@@接收方的名称@@、联系方式@@@@、处理目的@@、处理方式@@@@、个人信息的种类@@以及个人向境外数据@@接收方行使个人信息权利的方式@@等事项@@,并取得个人的单独同意@@。
收集个人信息时已单独就个人信息出境取得个人同意@@,且按照取得同意的事项出境的@@,无@@需再次取得个人单独同意@@。
第三@@十@@七@@条@@ 数据@@处理者向境外提供@@在中华人民共和国境内收集和产生的数据@@@@,属于以下情形的@@,应当通过国家网信部门组织的数据@@出境安全评估@@@@:
(一@@)出境数据@@中包含重要数据@@@@@@;
(二@@)关键信息基础设施运营者和处理一@@百万人以上个人信息的数据@@处理者向境外提供@@个人信息@@;
(三@@)国家网信部门规定的其它情形@@。
法律@@、行政法规@@和国家网信部门规定可以不进行安全评估的@@,从其规定@@。
第三@@十@@八@@条@@ 中华人民共和国缔结或者参加的国际条约@@、协定对向中华人民共和国境外提供@@个人信息的条件等有规定的@@,可以按照其规定执行@@。
第三@@十@@九@@条@@ 数据@@处理者向境外提供@@数据@@@@应当履行以下义务@@:
(一@@)不得超出报送网信部门的个人信息保护@@影响评估报告中明确的目的@@、范围@@、方式@@和数据@@类型@@@@、规模@@等向境外提供@@个人信息@@;
(二@@)不得超出网信部门安全评估时明确的出境目的@@、范围@@、方式@@和数据@@类型@@@@、规模@@等向境外提供@@个人信息@@和重要数据@@@@@@;
(三@@)采取合同等有效措施监督数据@@接收方按照双方约定的目的@@、范围@@、方式@@使用@@数据@@@@,履行数据@@安全保护义务@@,保证数据@@安全@@;
(四@@)接受和处理数据@@出境所涉及的用户投诉@@;
(五@@)数据@@出境对个人@@、组织合法权益或者公共利益@@造成损害的@@,数据@@处理者应当依法承担责任@@;
(六@@)存留相关日@@志记录@@和数据@@出境审批记录@@三@@年@@以上@@;
(七@@)国家网信部门会同国务院有关部门核验向境外提供@@个人信息和重要数据@@@@的类型@@@@、范围@@时@@,数据@@处理者应当以明文@@、可读方式@@予以展示@@;
(八@@)国家网信部门认定不得出境的@@,数据@@处理者应当停止数据@@出境@@,并采取有效措施对已出境数据@@的安全予以补救@@;
(九@@)个人信息出境后确需再转移的@@,应当事先与个人约定再转移的条件@@,并明确数据@@接收方履行的安全保护义务@@。
非经中华人民共和国主管@@机关批准@@,境内的个人@@、组织不得向外国司法或者执法机构提供@@存储@@于中华人民共和国境内的数据@@@@。
第四@@十@@条@@ 向境外提供@@个人信息和重要数据@@@@的数据@@处理者@@,应当在每年@@@@1月@@31日@@前编制数据@@出境安全报告@@,向设区的市级网信部门报告上一@@年@@度以下数据@@出境情况@@:
(一@@)全部数据@@接收方名称@@、联系方式@@@@;
(二@@)出境数据@@的类型@@@@、数量及目的@@;
(三@@)数据@@在境外的存放地点@@、存储@@期限@@、使用@@范围@@和方式@@@@;
(四@@)涉及向境外提供@@数据@@@@的用户投诉及处理情况@@;
(五@@)发生的数据@@安全事件及其处置情况@@;
(六@@)数据@@出境后再转移的情况@@;
(七@@)国家网信部门明确向境外提供@@数据@@@@需要报告的其他事项@@。
第四@@十@@一@@@@条@@ 国家建立@@数据@@跨境安全网关@@,对来源于中华人民共和国境外@@、法律@@和行政法规@@禁止发布@@或者传输@@的信息予以阻断传播@@。
任何个人和组织不得提供@@用于穿透@@、绕过数据@@跨境安全网关的程序@@、工具@@、线路等@@,不得为穿透@@、绕过数据@@跨境安全网关提供@@互联网接入@@、服务器托管@@、技术@@支持@@、传播推广@@、支付@@结算@@、应用下载等服务@@。
境内用户访问境内网络@@的@@,其流量不得被路由至境外@@。
第四@@十@@二@@@@条@@ 数据@@处理者从事跨境数据@@活动应当按照国家数据@@跨境安全监管要求@@,建立@@健全相关技术@@和管理措施@@。
第六@@章@@ 互联网平台@@运营者义务@@
第四@@十@@三@@条@@ 互联网平台@@运营者应当建立@@与数据@@相关的平台@@规则@@@@、隐私政策@@和算法@@策略披露制度@@,及时披露制定程序@@、裁决程序@@,保障平台@@规则@@@@、隐私政策@@、算法@@公平公正@@。
平台@@规则@@、隐私政策@@制定或者对用户权益有重大影响的修订@@,互联网平台@@运营者应当在其官方网站@@、个人信息保护@@相关行业协会互联网平台@@面向社会@@公开@@征求意见@@,征求意见时长不得少于三@@十@@个工作日@@@@,确保用户能够便捷充分表达意见@@。互联网平台@@运营者应当充分采纳公众意见@@,修改@@完善平台@@规则@@@@、隐私政策@@,并以易于用户访问的方式@@公布意见采纳情况@@,说明未采纳的理由@@,接受社会@@监督@@。
日@@活用户超过一@@亿的大型互联网平台@@运营者平台@@规则@@@@、隐私政策@@制定或者对用户权益有重大影响的修订@@的@@,应当经国家网信部门认定的第三@@方机构评估@@,并报省级及以上网信部门和电信@@主管@@部门同意@@。
第四@@十@@四@@条@@ 互联网平台@@运营者应当对接入其平台@@的第三@@方产品@@和服务承担数据@@安全管理责任@@,通过合同等形式明确第三@@方的数据@@安全责任义务@@,并督促第三@@方加强数据@@安全管理@@,采取必要@@的数据@@安全保护措施@@。
第三@@方产品@@和服务对用户造成损害的@@,用户可以要求互联网平台@@运营者先行赔偿@@。
移动通信终端预装第三@@方产品@@适用本条前两款规定@@。
第四@@十@@五@@条@@ 国家鼓励提供@@即时通信服务的互联网平台@@运营者从功能设计上为用户提供@@个人通信和非个人通信选择@@。个人通信的信息按照个人信息保护@@要求严格保护@@,非个人通信的信息按照公共信息@@有关规定进行管理@@。
第四@@十@@六@@条@@ 互联网平台@@运营者不得利用数据@@以及平台@@规则@@等从事以下活动@@:
(一@@)利用平台@@收集掌握的用户数据@@@@,无@@正当@@理由对交易@@条件相同的用户实施产品@@和服务差异化定价等损害用户合法利益的行为@@;
(二@@)利用平台@@收集掌握的经营者数据@@@@,在产品@@推广中实行最低价销售等损害公平竞争的行为@@;
(三@@)利用数据@@误导@@、欺诈@@、胁迫用户@@,损害用户对其数据@@被处理的决定权@@,违背用户意愿处理用户数据@@@@;
(四@@)在平台@@规则@@@@、算法@@、技术@@、流量分配等方面设置不合理的限制和障碍@@,限制平台@@上的中小企业@@公平获取平台@@产生的行业@@、市场数据@@等@@,阻碍市场创新@@。
第四@@十@@七@@条@@ 提供@@应用程序分发服务的互联网平台@@运营者@@,应当按照有关法律@@@@、行政法规@@和国家网信部门的规定@@,建立@@、披露应用程序审核规则@@,并对应用程序进行安全审核@@。对不符合法律@@@@@@、行政法规@@的规定@@和国家标@@准的强制性要求@@的应用程序@@,应当采取拒绝上架@@、督促整改@@、下架处置等措施@@。
第四@@十@@八@@条@@ 互联网平台@@运营者面向公众提供@@即时通信服务的@@,应当按照国务院电信@@主管@@部门的规定@@,为其他互联网平台@@运营者的即时通信服务提供@@数据@@接口@@,支持不同即时通信服务之间用户数据@@互通@@,无@@正当@@理由不得限制用户访问其他互联网平台@@以及向其他互联网平台@@传输@@文件@@。
第四@@十@@九@@条@@ 互联网平台@@运营者利用个人信息和个性化推送算法@@向用户提供@@信息的@@,应当对推送信息的真实性@@、准确性以及来源合法性负责@@,并符合以下要求@@:
(一@@)收集个人信息用于个性化推荐时@@,应当取得个人单独同意@@;
(二@@)设置易于理解@@、便于访问和操作的一@@键关闭个性化推荐选项@@,允许用户拒绝接受定向推送信息@@,允许用户重置@@、修改@@、调整针对其个人特征的定向推送参数@@;
(三@@)允许个人删除@@定向推送信息服务收集产生的个人信息@@,法律@@、行政法规@@另有规定或者与用户另有约定的除外@@。
第五@@十@@条@@ 国家建设网络@@身份认证公共服务基础设施@@,按照政府引导@@、网民自愿原则@@,提供@@个人身份认证公共服务@@。
互联网平台@@运营者应当支持并优先使用@@国家网络@@身份认证公共服务基础设施提供@@的个人身份认证服务@@。
第五@@十@@一@@@@条@@ 互联网平台@@运营者在为国家机关提供@@服务@@,参与公共基础设施@@、公共服务系统建设运维管理@@,利用公共资源@@提供@@服务过程中收集@@、产生的数据@@不得用于其他用途@@@@@@。
第五@@十@@二@@@@条@@ 国务院有关部门履行法定职责需要调取或者访问互联网平台@@运营者掌握的公共数据@@@@、公共信息@@,应当明确调取或者访问的范围@@@@、类型@@、用途@@、依据@@,严格限定在履行法定职责范围@@内@@,不得将调取或者访问的公共数据@@@@、公共信息@@用于履行法定职责之外的目的@@。
互联网平台@@运营者应当对有关部门调取或者访问公共数据@@@@、公共信息@@予以配合@@。
第五@@十@@三@@条@@ 大型互联网平台@@运营者应当通过委托第三@@方审计方式@@@@,每年@@对平台@@数据@@安全情况@@、平台@@规则@@和自身承诺的执行情况@@、个人信息保护@@情况@@、数据@@开发利用情况等进行年@@度审计@@,并披露审计结果@@。
第五@@十@@四@@条@@ 互联网平台@@运营者利用人工智能@@、虚拟现实@@、深度合成等新技术@@开展数据@@处理活动的@@,应当按照国家有关规定@@进行安全评估@@。
第七@@章@@ 监督管理@@
第五@@十@@五@@条@@ 国家网信部门负责统筹协调数据@@安全和相关监督管理@@工作@@。
公安机关@@、国家安全机关等在各自职责范围@@内承担数据@@安全监管职责@@。
工业@@、电信@@、交通@@、金融@@、自然资源@@@@、卫生健康@@、教育@@、科技@@等主管@@部门承担本行业@@、本领域数据@@安全监管职责@@。
主管@@部门应当明确本行业@@、本领域数据@@安全保护工作机构和人员@@,编制并组织实施本行业@@、本领域的数据@@安全规划和数据@@安全事件应急预案@@。
主管@@部门应当定期组织开展本行业@@、本领域的数据@@安全风险评估@@@@,对数据@@处理者履行数据@@安全保护义务@@情况进行监督检查@@,指导督促数据@@处理者及时对存在的风险隐患进行整改@@。
第五@@十@@六@@条@@ 国家建立@@健全数据@@安全应急处置机制@@,完善网络@@安全事件应急预案和网络@@安全信息共享@@平台@@@@,将数据@@安全事件纳入国家网络@@安全事件应急响应机制@@,加强数据@@安全信息共享@@@@、数据@@安全风险和威胁监测预警以及数据@@安全事件应急处置工作@@。
第五@@十@@七@@条@@ 有关主管@@@@、监管部门可以采取以下措施对数据@@安全进行监督检查@@:
(一@@)要求数据@@处理者相关人员就监督检查事项作出说明@@;
(二@@)查阅@@、调取与数据@@安全有关的文档@@、记录@@;
(三@@)按照规定程序@@,利用检测工具@@或者委托专业机构对数据@@安全措施运行情况进行技术@@检测@@;
(四@@)核验数据@@出境类型@@@@、范围@@等@@;
(五@@)法律@@、行政法规@@、规章规定的其他必要@@方式@@@@。
有关主管@@@@、监管部门开展数据@@安全监督检查@@,应当客观公正@@,不得向被检查单位收取费用@@。在数据@@安全监督检查中获取的信息只能用于维护数据@@安全的需要@@,不得用于其他用途@@@@。
数据@@处理者应当对有关主管@@@@@@、监管部门的数据@@安全监督检查予以配合@@,包括对组织运作@@、技术@@系统@@、算法@@原理@@、数据@@处理程序等进行解释说明@@,开放安全相关数据@@访问@@、提供@@必要@@技术@@支持@@等@@。
第五@@十@@八@@条@@ 国家建立@@数据@@安全审计制度@@。数据@@处理者应当委托数据@@安全审计专业机构定期对其处理个人信息遵守法律@@@@、行政法规@@的情况进行合规审计@@。
主管@@、监管部门组织开展对重要数据@@@@处理活动的审计@@,重点审计数据@@处理者履行法律@@@@、行政法规@@规定的义务等情况@@。
第五@@十@@九@@条@@ 国家支持相关行业组织@@按照章程@@,制定数据@@安全行为规范@@,加强行业自律@@,指导会员加强数据@@安全保护@@,提高数据@@安全保护水平@@,促进行业健康发展@@。
国家支持成立个人信息保护@@行业组织@@@@,开展以下活动@@:
(一@@)接受个人信息保护@@投诉举报@@并进行调查@@、调解@@;
(二@@)向个人提供@@信息和咨询@@服务@@,支持个人依法对损害个人信息权益的行为提起诉讼@@;
(三@@)曝光损害个人信息权益的行为@@,对个人信息保护@@开展社会@@监督@@;
(四@@)向有关部门反映个人信息保护@@情况@@@@、提供@@咨询@@@@、建议@@;
(五@@)违法处理个人信息@@、侵害众多个人的权益的行为@@,依法向人民法院提起诉讼@@。
第八@@章@@ 法律@@责任@@
第六@@十@@条@@ 数据@@处理者不履行第九@@条@@@@、第十@@条@@、第十@@一@@@@条@@、第十@@二@@@@条@@、第十@@三@@条@@、第十@@四@@条@@、第十@@五@@条@@、第十@@八@@条@@的规定@@,由有关主管@@@@部门责令改正@@,给予警告@@,可以并处五@@万元以上五@@十@@万元以下罚款@@@@,对直接负责的主管@@人员和其他直接责任人员可以处一@@万元以上十@@万元以下罚款@@;拒不改正@@或者导致危害数据@@安全等严重后果的@@,处五@@十@@万元以上二@@百万元以下罚款@@,并可以责令暂停相关业务@@@@、停业整顿@@、吊销相关业务许可证或者吊销营业执照@@,对直接负责的主管@@人员和其他直接责任人员处五@@万元以上二@@十@@万元以下罚款@@。
第六@@十@@一@@@@条@@ 数据@@处理者不履行第十@@九@@条@@@@、第二@@十@@条@@、第二@@十@@一@@@@条@@、第二@@十@@二@@@@条@@、第二@@十@@三@@条@@、第二@@十@@四@@条@@、第二@@十@@五@@条@@规定的数据@@安全保护义务的@@,由有关部门责令改正@@,给予警告@@,没收违法所得@@,对违法处理个人信息@@的应用程序@@,责令暂停或者终止提供@@服务@@;拒不改正@@的@@,并处一@@百万元以下罚款@@;对直接负责的主管@@人员和其他直接责任人员处一@@万元以上十@@万元以下罚款@@。
有前款规定的违法行为@@,情节严重的@@,由有关部门责令改正@@,没收违法所得@@,并处五@@千万元以下或者上一@@年@@度营业额百分之五@@以下罚款@@,并可以责令暂停相关业务@@@@或者停业整顿@@@@、通报有关主管@@@@部门吊销相关业务许可证或者吊销营业执照@@@@;对直接负责的主管@@人员和其他直接责任人员处十@@万元以上一@@百万元以下罚款@@,并可以决定禁止其在一@@定期限内担任相关企业@@的董事@@、监事@@、高级管理人员和个人信息保护@@负责人@@。
第六@@十@@二@@@@条@@ 数据@@处理者不履行第二@@十@@八@@条@@@@、第二@@十@@九@@条@@、第三@@十@@条@@、第三@@十@@一@@@@条@@、第三@@十@@二@@@@条@@、第三@@十@@三@@条@@规定的数据@@安全保护义务的@@,由有关部门责令改正@@,给予警告@@,对违法处理重要数据@@@@的系统及应用@@,责令暂停或者终止提供@@服务@@;拒不改正@@的@@,并处二@@百万元以下罚款@@,对直接负责的主管@@人员和其他直接责任人员处五@@万元以上二@@十@@万元以下罚款@@。
有前款规定的违法行为@@,情节严重的@@,由有关部门责令改正@@,没收违法所得@@,并处二@@百万元以上五@@百万元以下罚款@@,并可以责令暂停相关业务@@@@或者停业整顿@@@@、通报有关主管@@@@部门吊销相关业务许可证或者吊销营业执照@@@@;对直接负责的主管@@人员和其他直接责任人员处二@@十@@万元以上一@@百万元以下罚款@@。
第六@@十@@三@@条@@ 关键信息基础设施运营者违反第三@@十@@四@@条@@的规定@@,由有关部门责令改正@@,依照有关法律@@@@、行政法规@@的规定@@予以处罚@@。
第六@@十@@四@@条@@ 数据@@处理者违反第三@@十@@五@@条@@@@、第三@@十@@六@@条@@、第三@@十@@七@@条@@、第三@@十@@九@@条@@第一@@款@@、第四@@十@@条@@、第四@@十@@二@@@@条@@的规定@@,由有关部门责令改正@@,给予警告@@,暂停数据@@出境@@,可以并处十@@万元以上一@@百万元以下罚款@@,对直接负责的主管@@人员和其他直接责任人员可以处一@@万元以上十@@万元以下罚款@@;情节严重的@@,处一@@百万元以上一@@千万元以下罚款@@,并可以责令暂停相关业务@@@@、停业整顿@@、吊销相关业务许可证或者吊销营业执照@@,对直接负责的主管@@人员和其他直接责任人员处十@@万元以上一@@百万元以下罚款@@。
第六@@十@@五@@条@@ 违反本条例第三@@十@@九@@条@@第二@@款的规定@@,未经主管@@机关批准向外国司法或者执法机构提供@@数据@@的@@,由有关主管@@@@部门给予警告@@@@,可以并处十@@万元以上一@@百万元以下罚款@@,对直接负责的主管@@人员和其他直接责任人员可以处一@@万元以上十@@万元以下罚款@@;造成严重后果的@@,处一@@百万元以上五@@百万元以下罚款@@,并可以责令暂停相关业务@@@@、停业整顿@@、吊销相关业务许可证或者吊销营业执照@@,对直接负责的主管@@人员和其他直接责任人员处五@@万元以上五@@十@@万元以下罚款@@@@。
第六@@十@@六@@条@@ 个人和组织违反第四@@十@@一@@@@条@@的规定@@,由有关主管@@@@部门责令改正@@,给予警告@@、没收违法所得@@;拒不改正@@的@@,处违法所得一@@倍以上十@@倍以下的罚款@@,没有违法所得的@@,对直接负责的主管@@人员和其他直接负责人员@@,处五@@万元以上五@@十@@万元以下罚款@@;情节严重的@@,由有关主管@@@@部门依照相关法律@@@@@@、行政法规@@的规定@@,责令其暂停相关业务@@、停业整顿@@、吊销相关业务许可证或者吊销营业执照@@;构成犯罪的@@,依照相关法律@@@@、行政法规@@的规定@@处罚@@。
第六@@十@@七@@条@@ 互联网平台@@运营者违反第四@@十@@三@@条@@@@、第四@@十@@四@@条@@、第四@@十@@五@@条@@、第四@@十@@七@@条@@、第五@@十@@三@@条@@的规定@@,由有关部门责令改正@@,予以警告@@;拒不改正@@,处五@@十@@万元以上五@@百万元以下罚款@@,对直接负责的主管@@人员和其他直接负责人员@@,处五@@万元以上五@@十@@万元以下罚款@@;情节严重的@@,可以责令暂停相关业务@@、停业整顿@@、关闭网站@@、吊销相关业务许可证或者吊销营业执照@@。
第六@@十@@八@@条@@ 互联网平台@@运营者违反第四@@十@@六@@条@@@@、第四@@十@@八@@条@@、第五@@十@@一@@@@条@@的规定@@,由有关主管@@@@部门责令改正@@,给予警告@@;拒不改正@@的@@,处上一@@年@@度销售额百分之一@@以上百分之五@@以下的罚款@@;情节严重的@@,由有关主管@@@@部门依照相关法律@@@@@@、行政法规@@的规定@@,责令其暂停相关业务@@、停业整顿@@、吊销相关业务许可证或者吊销营业执照@@;构成犯罪的@@,依照相关法律@@@@、行政法规@@的规定@@处罚@@。
第六@@十@@九@@条@@ 互联网平台@@运营者违反第四@@十@@九@@条@@@@、第五@@十@@四@@条@@的规定@@,由有关主管@@@@部门责令改正@@,予以警告@@;拒不改正@@,处五@@万元以上五@@十@@万元以下罚款@@,对直接负责的主管@@人员和其他直接责任人员处一@@万元以上十@@万元以下罚款@@;情节严重的@@,可由有关主管@@@@部门责令暂停相关业务@@、停业整顿@@、关闭网站@@、吊销相关业务许可证或者吊销营业执照@@。
第七@@十@@条@@ 数据@@处理者违反本条例规定@@,给他人造成损害的@@,依法承担民事责任@@;构成违反治安管理行为的@@,依法给予治安管理处罚@@;构成犯罪的@@,依法追究刑事责任@@。
第七@@十@@一@@@@条@@ 国家机关不履行本法规定的数据@@安全保护义务的@@,由其上级机关或者履行数据@@安全管理职责的部门责令改正@@;对直接负责的主管@@人员和其他直接责任人员依法给予处分@@。
第七@@十@@二@@@@条@@ 在中华人民共和国境外开展数据@@处理活动@@,损害中华人民共和国国家安全@@、公共利益@@或者公民@@、组织合法权益的@@,依法追究法律@@责任@@@@。
第九@@章@@ 附则@@
第七@@十@@三@@条@@ 本条例下列用语的含义@@:
(一@@)网络@@数据@@@@(简称数据@@@@)是指任何以电子方式@@对信息的记录@@@@。
(二@@)数据@@处理活动是指数据@@收集@@、存储@@、使用@@、加工@@、传输@@、提供@@、公开@@、删除@@等活动@@。
(三@@)重要数据@@@@是指一@@旦遭到篡改@@@@、破坏@@、泄露或者非法获取@@、非法利用@@,可能危害国家安全@@@@、公共利益@@的数据@@@@。包括以下数据@@@@:
1.未公开@@的政务数据@@@@、工作秘密@@、情报数据@@和执法司法数据@@@@;
2.出口管制数据@@@@,出口管制物项涉及的核心技术@@@@、设计方案@@、生产工艺等相关的数据@@@@,密码@@、生物@@、电子信息@@、人工智能等领域对国家安全@@、经济@@竞争实力有直接影响的科学技术@@成果数据@@@@;
3.国家法律@@@@、行政法规@@、部门规章明确规定需要保护或者控制传播的国家经济@@运行数据@@@@、重要行业业务数据@@@@、统计数据@@等@@;
4.工业@@、电信@@、能源@@、交通@@、水利@@、金融@@、国防科技@@工业@@@@、海关@@、税务等重点行业和领域安全生产@@、运行的数据@@@@,关键系统组件@@、设备供应链数据@@@@;
5.达到国家有关部门规定的规模@@或者精度的基因@@、地理@@、矿产@@、气象等人口与健康@@、自然资源@@@@与环境国家基础数据@@@@;
6.国家基础设施@@、关键信息基础设施建设运行及其安全数据@@@@,国防设施@@、军事@@管理区@@、国防科研生产单位等重要敏感区域的地理@@位置@@、安保情况等数据@@@@;
7.其他可能影响国家政治@@、国土@@、军事@@、经济@@、文化@@、社会@@、科技@@、生态@@、资源@@、核设施@@、海外利益@@、生物@@、太空@@、极地@@、深海等安全的数据@@@@。
(四@@)核心数据@@@@是指关系国家安全@@、国民经济@@命脉@@、重要民生和重大公共利益@@等的数据@@@@。
(五@@)数据@@处理者是指在数据@@处理活动中自主决定处理目的@@和处理方式@@@@的个人和组织@@。
(六@@)公共数据@@是指国家机关和法律@@@@、行政法规@@授权的具有管理公共事务职能的组织履行公共管理职责或者提供@@公共服务过程中收集@@、产生的各类数据@@@@,以及其他组织在提供@@公共服务中收集@@、产生的涉及公共利益@@的各类数据@@@@。
(七@@)委托处理@@是指数据@@处理者委托第三@@方按照约定的目的和方式@@开展的数据@@处理活动@@。
(八@@)单独同意是指数据@@处理者在开展具体数据@@处理活动时@@,对每项个人信息取得个人同意@@,不包括一@@次性针对多项个人信息@@、多种处理活动的同意@@。
(九@@)互联网平台@@运营者是指为用户提供@@信息发布@@@@、社交@@、交易@@、支付@@、视听等互联网平台@@服务的数据@@处理者@@。
(十@@)大型互联网平台@@运营者是指用户超过五@@千万@@、处理大量个人信息和重要数据@@@@@@、具有强大社会@@动员能力和市场支配地位的互联网平台@@运营者@@。
(十@@一@@@@)数据@@跨境安全网关是指阻断访问境外反动网站和有害信息@@、防止来自境外的网络@@攻击@@、管控跨境网络@@数据@@@@传输@@@@、防范侦查打击跨境网络@@犯罪的重要安全基础设施@@。
(十@@二@@@@)公共信息@@是指数据@@处理者在提供@@公共服务过程中收集@@、产生的具有公共传播特性的信息@@。包括公开@@发布@@信息@@、可转发信息@@、无@@明确接收人信息等@@。
第七@@十@@四@@条@@ 涉及国家秘密信息@@、核心数据@@@@、密码@@使用@@的数据@@处理活动@@,按照国家有关规定执行@@。
第七@@十@@五@@条@@ 本条例自@@ 年@@ 月@@ 日@@起施行@@。
