《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》公布，明年1月1日起施行

近日，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》正式對外公布，自2025年1月1日起施行。

“條例”指出，國家鼓勵網(wǎng)絡(luò)數(shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)能力建設(shè)，支持網(wǎng)絡(luò)數(shù)據(jù)相關(guān)技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新，開展網(wǎng)絡(luò)數(shù)據(jù)安全宣傳教育和人才培養(yǎng)，促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。

國家根據(jù)網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對網(wǎng)絡(luò)數(shù)據(jù)實(shí)行分類分級保護(hù)。

“條例”明確，任何個人、組織不得利用網(wǎng)絡(luò)數(shù)據(jù)從事非法活動，不得從事竊取或者以其他非法方式獲取網(wǎng)絡(luò)數(shù)據(jù)、非法出售或者非法向他人提供網(wǎng)絡(luò)數(shù)據(jù)等非法網(wǎng)絡(luò)數(shù)據(jù)處理活動。任何個人、組織不得提供專門用于從事前款非法活動的程序、工具；明知他人從事前款非法活動的，不得為其提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通訊傳輸?shù)燃夹g(shù)支持，或者提供廣告推廣、支付結(jié)算等幫助。

網(wǎng)絡(luò)數(shù)據(jù)安全事件對個人、組織合法權(quán)益造成危害的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)及時將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等，以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關(guān)系人；法律、行政法規(guī)規(guī)定可以不通知的，從其規(guī)定。網(wǎng)絡(luò)數(shù)據(jù)處理者在處置網(wǎng)絡(luò)數(shù)據(jù)安全事件過程中發(fā)現(xiàn)涉嫌違法犯罪線索的，應(yīng)當(dāng)按照規(guī)定向公安機(jī)關(guān)、國家安全機(jī)關(guān)報(bào)案，并配合開展偵查、調(diào)查和處置工作。

網(wǎng)絡(luò)數(shù)據(jù)處理者向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)通過合同等與網(wǎng)絡(luò)數(shù)據(jù)接收方約定處理目的、方式、范圍以及安全保護(hù)義務(wù)等，并對網(wǎng)絡(luò)數(shù)據(jù)接收方履行義務(wù)的情況進(jìn)行監(jiān)督。向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的處理情況記錄，應(yīng)當(dāng)至少保存3年。

對于“個人信息保護(hù)”方面明確，個人請求查閱、復(fù)制、更正、補(bǔ)充、刪除、限制處理其個人信息，或者個人注銷賬號、撤回同意的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)及時受理，并提供便捷的支持個人行使權(quán)利的方法和途徑，不得設(shè)置不合理?xiàng)l件限制個人的合理請求。

因使用自動化采集技術(shù)等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷賬號的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)刪除個人信息或者進(jìn)行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除、匿名化處理個人信息從技術(shù)上難以實(shí)現(xiàn)的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。

“重要數(shù)據(jù)安全”方面，掌握有關(guān)主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者，應(yīng)當(dāng)對網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查，加強(qiáng)相關(guān)人員培訓(xùn)。審查時，可以申請公安機(jī)關(guān)、國家安全機(jī)關(guān)協(xié)助。

重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的，應(yīng)當(dāng)采取措施保障網(wǎng)絡(luò)數(shù)據(jù)安全，并向省級以上有關(guān)主管部門報(bào)告重要數(shù)據(jù)處置方案、接收方的名稱或者姓名和聯(lián)系方式等；主管部門不明確的，應(yīng)當(dāng)向省級以上數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制報(bào)告。

“網(wǎng)絡(luò)平臺服務(wù)提供者義務(wù)”方面，國家鼓勵保險(xiǎn)公司開發(fā)網(wǎng)絡(luò)數(shù)據(jù)損害賠償責(zé)任險(xiǎn)種，鼓勵網(wǎng)絡(luò)平臺服務(wù)提供者、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者投保。

提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺服務(wù)提供者，應(yīng)當(dāng)建立應(yīng)用程序核驗(yàn)規(guī)則并開展網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗(yàn)。發(fā)現(xiàn)待分發(fā)或者已分發(fā)的應(yīng)用程序不符合法律、行政法規(guī)的規(guī)定或者國家標(biāo)準(zhǔn)的強(qiáng)制性要求的，應(yīng)當(dāng)采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。

大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)每年度發(fā)布個人信息保護(hù)社會責(zé)任報(bào)告，報(bào)告內(nèi)容包括但不限于個人信息保護(hù)措施和成效、個人行使權(quán)利的申請受理情況、主要由外部成員組成的個人信息保護(hù)監(jiān)督機(jī)構(gòu)履行職責(zé)情況等。