《網(wǎng)絡數(shù)據(jù)安全管理條例》公布，明年1月1日起施行

近日，《網(wǎng)絡數(shù)據(jù)安全管理條例》正式對外公布，自2025年1月1日起施行。

“條例”指出，國家鼓勵網(wǎng)絡數(shù)據(jù)在各行業(yè)、各領域的創(chuàng)新應用，加強網(wǎng)絡數(shù)據(jù)安全防護能力建設，支持網(wǎng)絡數(shù)據(jù)相關技術、產(chǎn)品、服務創(chuàng)新，開展網(wǎng)絡數(shù)據(jù)安全宣傳教育和人才培養(yǎng)，促進網(wǎng)絡數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。

國家根據(jù)網(wǎng)絡數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對網(wǎng)絡數(shù)據(jù)實行分類分級保護。

“條例”明確，任何個人、組織不得利用網(wǎng)絡數(shù)據(jù)從事非法活動，不得從事竊取或者以其他非法方式獲取網(wǎng)絡數(shù)據(jù)、非法出售或者非法向他人提供網(wǎng)絡數(shù)據(jù)等非法網(wǎng)絡數(shù)據(jù)處理活動。任何個人、組織不得提供專門用于從事前款非法活動的程序、工具；明知他人從事前款非法活動的，不得為其提供互聯(lián)網(wǎng)接入、服務器托管、網(wǎng)絡存儲、通訊傳輸?shù)燃夹g支持，或者提供廣告推廣、支付結算等幫助。

網(wǎng)絡數(shù)據(jù)安全事件對個人、組織合法權益造成危害的，網(wǎng)絡數(shù)據(jù)處理者應當及時將安全事件和風險情況、危害后果、已經(jīng)采取的補救措施等，以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關系人；法律、行政法規(guī)規(guī)定可以不通知的，從其規(guī)定。網(wǎng)絡數(shù)據(jù)處理者在處置網(wǎng)絡數(shù)據(jù)安全事件過程中發(fā)現(xiàn)涉嫌違法犯罪線索的，應當按照規(guī)定向公安機關、國家安全機關報案，并配合開展偵查、調(diào)查和處置工作。

網(wǎng)絡數(shù)據(jù)處理者向其他網(wǎng)絡數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的，應當通過合同等與網(wǎng)絡數(shù)據(jù)接收方約定處理目的、方式、范圍以及安全保護義務等，并對網(wǎng)絡數(shù)據(jù)接收方履行義務的情況進行監(jiān)督。向其他網(wǎng)絡數(shù)據(jù)處理者提供、委托處理個人信息和重要數(shù)據(jù)的處理情況記錄，應當至少保存3年。

對于“個人信息保護”方面明確，個人請求查閱、復制、更正、補充、刪除、限制處理其個人信息，或者個人注銷賬號、撤回同意的，網(wǎng)絡數(shù)據(jù)處理者應當及時受理，并提供便捷的支持個人行使權利的方法和途徑，不得設置不合理條件限制個人的合理請求。

因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，以及個人注銷賬號的，網(wǎng)絡數(shù)據(jù)處理者應當刪除個人信息或者進行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除、匿名化處理個人信息從技術上難以實現(xiàn)的，網(wǎng)絡數(shù)據(jù)處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

“重要數(shù)據(jù)安全”方面，掌握有關主管部門規(guī)定的特定種類、規(guī)模的重要數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者，應當對網(wǎng)絡數(shù)據(jù)安全負責人和關鍵崗位的人員進行安全背景審查，加強相關人員培訓。審查時，可以申請公安機關、國家安全機關協(xié)助。

重要數(shù)據(jù)的處理者因合并、分立、解散、破產(chǎn)等可能影響重要數(shù)據(jù)安全的，應當采取措施保障網(wǎng)絡數(shù)據(jù)安全，并向省級以上有關主管部門報告重要數(shù)據(jù)處置方案、接收方的名稱或者姓名和聯(lián)系方式等；主管部門不明確的，應當向省級以上數(shù)據(jù)安全工作協(xié)調(diào)機制報告。

“網(wǎng)絡平臺服務提供者義務”方面，國家鼓勵保險公司開發(fā)網(wǎng)絡數(shù)據(jù)損害賠償責任險種，鼓勵網(wǎng)絡平臺服務提供者、預裝應用程序的智能終端等設備生產(chǎn)者投保。

提供應用程序分發(fā)服務的網(wǎng)絡平臺服務提供者，應當建立應用程序核驗規(guī)則并開展網(wǎng)絡數(shù)據(jù)安全相關核驗。發(fā)現(xiàn)待分發(fā)或者已分發(fā)的應用程序不符合法律、行政法規(guī)的規(guī)定或者國家標準的強制性要求的，應當采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。

大型網(wǎng)絡平臺服務提供者應當每年度發(fā)布個人信息保護社會責任報告，報告內(nèi)容包括但不限于個人信息保護措施和成效、個人行使權利的申請受理情況、主要由外部成員組成的個人信息保護監(jiān)督機構履行職責情況等。