近日,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》正式對(duì)外公布,自2025年1月1日起施行。
“條例”指出,國(guó)家鼓勵(lì)網(wǎng)絡(luò)數(shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)能力建設(shè),支持網(wǎng)絡(luò)數(shù)據(jù)相關(guān)技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新,開展網(wǎng)絡(luò)數(shù)據(jù)安全宣傳教育和人才培養(yǎng),促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。
國(guó)家根據(jù)網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度,對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。
“條例”明確,任何個(gè)人、組織不得利用網(wǎng)絡(luò)數(shù)據(jù)從事非法活動(dòng),不得從事竊取或者以其他非法方式獲取網(wǎng)絡(luò)數(shù)據(jù)、非法出售或者非法向他人提供網(wǎng)絡(luò)數(shù)據(jù)等非法網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)。任何個(gè)人、組織不得提供專門用于從事前款非法活動(dòng)的程序、工具;明知他人從事前款非法活動(dòng)的,不得為其提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通訊傳輸?shù)燃夹g(shù)支持,或者提供廣告推廣、支付結(jié)算等幫助。
網(wǎng)絡(luò)數(shù)據(jù)安全事件對(duì)個(gè)人、組織合法權(quán)益造成危害的,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等,以電話、短信、即時(shí)通信工具、電子郵件或者公告等方式通知利害關(guān)系人;法律、行政法規(guī)規(guī)定可以不通知的,從其規(guī)定。網(wǎng)絡(luò)數(shù)據(jù)處理者在處置網(wǎng)絡(luò)數(shù)據(jù)安全事件過程中發(fā)現(xiàn)涉嫌違法犯罪線索的,應(yīng)當(dāng)按照規(guī)定向公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)報(bào)案,并配合開展偵查、調(diào)查和處置工作。
網(wǎng)絡(luò)數(shù)據(jù)處理者向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供、委托處理個(gè)人信息和重要數(shù)據(jù)的,應(yīng)當(dāng)通過合同等與網(wǎng)絡(luò)數(shù)據(jù)接收方約定處理目的、方式、范圍以及安全保護(hù)義務(wù)等,并對(duì)網(wǎng)絡(luò)數(shù)據(jù)接收方履行義務(wù)的情況進(jìn)行監(jiān)督。向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供、委托處理個(gè)人信息和重要數(shù)據(jù)的處理情況記錄,應(yīng)當(dāng)至少保存3年。
對(duì)于“個(gè)人信息保護(hù)”方面明確,個(gè)人請(qǐng)求查閱、復(fù)制、更正、補(bǔ)充、刪除、限制處理其個(gè)人信息,或者個(gè)人注銷賬號(hào)、撤回同意的,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)受理,并提供便捷的支持個(gè)人行使權(quán)利的方法和途徑,不得設(shè)置不合理?xiàng)l件限制個(gè)人的合理請(qǐng)求。
因使用自動(dòng)化采集技術(shù)等無法避免采集到非必要個(gè)人信息或者未依法取得個(gè)人同意的個(gè)人信息,以及個(gè)人注銷賬號(hào)的,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)刪除個(gè)人信息或者進(jìn)行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除、匿名化處理個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
“重要數(shù)據(jù)安全”方面,掌握有關(guān)主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者,應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查,加強(qiáng)相關(guān)人員培訓(xùn)。審查時(shí),可以申請(qǐng)公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)協(xié)助。
重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的,應(yīng)當(dāng)采取措施保障網(wǎng)絡(luò)數(shù)據(jù)安全,并向省級(jí)以上有關(guān)主管部門報(bào)告重要數(shù)據(jù)處置方案、接收方的名稱或者姓名和聯(lián)系方式等;主管部門不明確的,應(yīng)當(dāng)向省級(jí)以上數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制報(bào)告。
“網(wǎng)絡(luò)平臺(tái)服務(wù)提供者義務(wù)”方面,國(guó)家鼓勵(lì)保險(xiǎn)公司開發(fā)網(wǎng)絡(luò)數(shù)據(jù)損害賠償責(zé)任險(xiǎn)種,鼓勵(lì)網(wǎng)絡(luò)平臺(tái)服務(wù)提供者、預(yù)裝應(yīng)用程序的智能終端等設(shè)備生產(chǎn)者投保。
提供應(yīng)用程序分發(fā)服務(wù)的網(wǎng)絡(luò)平臺(tái)服務(wù)提供者,應(yīng)當(dāng)建立應(yīng)用程序核驗(yàn)規(guī)則并開展網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)核驗(yàn)。發(fā)現(xiàn)待分發(fā)或者已分發(fā)的應(yīng)用程序不符合法律、行政法規(guī)的規(guī)定或者國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求的,應(yīng)當(dāng)采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。
大型網(wǎng)絡(luò)平臺(tái)服務(wù)提供者應(yīng)當(dāng)每年度發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,報(bào)告內(nèi)容包括但不限于個(gè)人信息保護(hù)措施和成效、個(gè)人行使權(quán)利的申請(qǐng)受理情況、主要由外部成員組成的個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)履行職責(zé)情況等。