6 月 15, 2022 国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行

来源：网信新疆 时间：2022-06-14 国家互联网信息办公室6月14日发布新修订的《移动互联网应用程序信息服务管理规定》（以下简称新《规定》）。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示，修订发布新《规定》旨在进一步依法监管移动互联网应用程序，促进应用程序信息服务健康有序发展。 国家互联网信息办公室有关负责人介绍，《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来，对于维护网络信息内容生态，保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用，新情况新问题不断出现，需要适应形势发展进行修订完善。新《规定》共27条，包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。 新《规定》提出，应用程序提供者和应用程序分发平台应当遵守法律法规，大力弘扬社会主义核心价值观，坚持正确政治方向、舆论导向和价值取向，自觉遵守公序良俗，积极履行社会责任，维护清朗网络空间。 新《规定》要求，应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。 国家互联网信息办公室有关负责人强调，应用程序提供者和应用程序分发平台应当按照新《规定》要求，切实履行责任和义务，依照相关法律法规加强自身管理，主动接受社会监督，不断促进应用程序信息服务健康有序发展。 移动互联网应用程序信息服务管理规定 第一章 总则 第一条 为了规范移动互联网应用程序（以下简称应用程序）信息服务，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定，制定本规定。 第二条 在中华人民共和国境内提供应用程序信息服务，以及从事互联网应用商店等应用程序分发服务，应当遵守本规定。 本规定所称应用程序信息服务，是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。 本规定所称应用程序分发服务，是指通过互联网提供应用程序发布、下载、动态加载等服务的活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。 第三条 国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。 第四条 应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规，弘扬社会主义核心价值观，坚持正确政治方向、舆论导向和价值取向，遵循公序良俗，履行社会责任，维护清朗网络空间。 应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。 第五条 应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，积极配合国家实施网络可信身份战略，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。 第二章 应用程序提供者 第六条 应用程序提供者为用户提供信息发布、即时通讯等服务的，应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息，或者冒用组织机构、他人身份信息进行虚假注册的，不得为其提供相关服务。 第七条 应用程序提供者通过应用程序提供互联网新闻信息服务的，应当取得互联网新闻信息服务许可，禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。 应用程序提供者提供其他互联网信息服务，依法须经有关主管部门审核同意或者取得相关许可的，经有关主管部门审核同意或者取得相关许可后方可提供服务。 第八条 应用程序提供者应当对信息内容呈现结果负责，不得生产传播违法信息，自觉防范和抵制不良信息。 应用程序提供者应当建立健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力。 第九条 应用程序提供者不得通过虚假宣传、捆绑下载等行为，通过机器或者人工刷榜、刷量、控评等方式，或者利用违法和不良信息诱导用户下载。 第十条 应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 第十一条 应用程序提供者开展应用程序数据处理活动，应当履行数据安全保护义务，建立健全全流程数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测，不得危害国家安全、公共利益，不得损害他人合法权益。 第十二条 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。 第十三条 应用程序提供者应当坚持最有利于未成年人的原则，关注未成年人健康成长，履行未成年人网络保护各项义务，依法严格落实未成年人用户账号真实身份信息注册和登录要求，不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务，不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。 第十四条 应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能，应当按照国家有关规定进行安全评估。 第十五条 鼓励应用程序提供者积极采用互联网协议第六版（IPv6）向用户提供信息服务。 第十六条 应用程序提供者应当依据法律法规和国家有关规定，制定并公开管理规则，与注册用户签订服务协议，明确双方相关权利义务。 对违反本规定及相关法律法规及服务协议的注册用户，应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施，保存记录并向有关主管部门报告。 第三章 应用程序分发平台 第十七条 应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时，应当提交以下材料： （一）平台运营主体基本情况； （二）平台名称、域名、接入服务、服务资质、上架应用程序类别等信息； （三）平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料； （四）本规定第五条要求建立健全的相关制度文件； （五）平台管理规则、服务协议等。 省、自治区、直辖市网信部门收到备案材料后，材料齐全的应当予以备案。 国家网信部门及时公布已经履行备案手续的应用程序分发平台名单。 第十八条 应用程序分发平台应当建立分类管理制度，对上架的应用程序实施分类管理，并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。 第十九条 应用程序分发平台应当采取复合验证等措施，对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质，公示提供者名称、统一社会信用代码等信息，方便社会监督查询。 第二十条 应用程序分发平台应当建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施。 应用程序分发平台应当对申请上架和更新的应用程序进行审核，发现应用程序名称、图标、简介存在违法和不良信息，与注册主体真实身份信息不相符，业务类型存在违法违规等情况的，不得为其提供服务。 应用程序提供的信息服务属于本规定第七条规定范围的，应用程序分发平台应当对相关许可等情况进行核验；属于本规定第十四条规定范围的，应用程序分发平台应当对安全评估情况进行核验。 应用程序分发平台应当加强对在架应用程序的日常管理，对含有违法和不良信息，下载量、评价指标等数据造假，存在数据安全风险隐患，违法违规收集使用个人信息，损害他人合法权益等的，不得为其提供服务。 第二十一条 应用程序分发平台应当依据法律法规和国家有关规定，制定并公开管理规则，与应用程序提供者签订服务协议，明确双方相关权利义务。 对违反本规定及相关法律法规及服务协议的应用程序，应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施，保存记录并向有关主管部门报告。 第四章 监督管理 第二十二条 应用程序提供者和应用程序分发平台应当自觉接受社会监督，设置醒目、便捷的投诉举报入口，公布投诉举报方式，健全受理、处置、反馈等机制，及时处理公众投诉举报。 第二十三条 鼓励互联网行业组织建立健全行业自律机制，制定完善行业规范和自律公约，指导会员单位建立健全服务规范，依法依规提供信息服务，维护市场公平，促进行业健康发展。 第二十四条 网信部门会同有关主管部门建立健全工作机制，监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。 应用程序提供者和应用程序分发平台应当对网信部门和有关主管部门依法实施的监督检查予以配合，并提供必要的支持和协助。 第二十五条 应用程序提供者和应用程序分发平台违反本规定的，由网信部门和有关主管部门在职责范围内依照相关法律法规处理。 第五章 附则 第二十六条 本规定所称移动互联网应用程序，是指运行在移动智能终端上向用户提供信息服务的应用软件。 本规定所称移动互联网应用程序提供者，是指提供信息服务的移动互联网应用程序所有者或者运营者。 本规定所称移动互联网应用程序分发平台，是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。 第二十七条 本规定自2022年8月1日起施行。2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。 原标题：《国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行》 阅读全文

3 月 03, 2022 国家网信办起草《互联网弹窗信息推送服务管理规定（征求意见稿）》

2022.03.02 来源: TechWeb.com.cn 【TechWeb】3月2日消息，国家网信办官方微信公众号今日发布消息称，为了进一步规范互联网弹窗信息推送服务管理，保障公民、法人和其他组织的合法权益，弘扬社会主义核心价值观，营造清朗网络空间，国家网信办起草了《互联网弹窗信息推送服务管理规定（征求意见稿）》，现向社会公开征求意见。意见反馈截止时间为2022年3月17日。 意见稿对互联网弹窗信息推送服务作出要求，其中指出，未取得互联网新闻信息服务许可，不得弹窗推送新闻信息；弹窗推送信息涉及其他互联网信息服务，依法须经有关主管部门审核同意或者取得相关许可的，应当经有关主管部门审核同意或者取得相关许可。 弹窗推送新闻信息，应当严格依据国家互联网信息办公室发布的最新版《互联网新闻信息稿源单位名单》执行，不得超范围转载，不得歪曲、篡改标题原意和内容，保证新闻来源可追溯和新闻信息真实、客观、全面。 此外，意见稿还规定，互联网弹窗信息推送服务不得扎堆推送、炒作社会热点敏感事件，渲染恶性案件、灾难事故等，引发社会恐慌。 以下为《互联网弹窗信息推送服务管理规定（征求意见稿）》： 第一条 为了规范互联网弹窗信息推送服务，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，促进行业健康有序发展，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》《中华人民共和国广告法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等法律法规，制定本规定。 第二条 在中华人民共和国境内提供操作系统、终端设备、应用软件、网站等服务的，开展互联网弹窗信息推送服务时应当遵守本规定。 本规定所称互联网弹窗信息推送服务，是指通过操作系统、终端设备、应用软件、网站等，以弹出消息窗口页面形式向互联网用户提供的信息推送服务。 本规定所称互联网弹窗信息推送服务提供者，是指提供互联网弹窗信息推送服务的操作系统、终端设备、应用软件、网站等所有者或者运营者。 第三条 互联网弹窗信息推送服务应当遵守法律法规，坚持正确政治方向、舆论导向和价值取向，弘扬社会主义核心价值观，推送向上向善的优质弹窗信息内容，发展积极健康的网络文化。 第四条 互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任，建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。 第五条 互联网弹窗信息推送服务应当严格遵守下列要求： （一）传播正能量，弘扬社会主义先进文化；积极推送向上向善的内容，用社会主流思想价值和道德文化滋养人心、滋润社会。 （二）不得推送《网络信息内容生态治理规定》明确的违法和不良信息，特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容；不得关联某一话题集中推送相关旧闻，恶意翻炒。 （三）未取得互联网新闻信息服务许可，不得弹窗推送新闻信息；弹窗推送信息涉及其他互联网信息服务，依法须经有关主管部门审核同意或者取得相关许可的，应当经有关主管部门审核同意或者取得相关许可。 （四）弹窗推送新闻信息，应当严格依据国家互联网信息办公室发布的最新版《互联网新闻信息稿源单位名单》执行，不得超范围转载，不得歪曲、篡改标题原意和内容，保证新闻来源可追溯和新闻信息真实、客观、全面。 （五）提升弹窗推送信息多样性，科学设定新闻信息和垂直领域内容占比，体现积极健康向上的主流价值观；不得扎堆推送、炒作社会热点敏感事件，渲染恶性案件、灾难事故等，引发社会恐慌。 （六）配备与服务规模相适应的人工力量，健全弹窗信息推送内容管理规范，完善信息筛选、编辑、推送等工作流程，确保弹窗信息推送必须经过人工审核。 （七）保障用户权益，以服务协议等方式明确告知用户弹窗信息推送服务的具体方式、内容频次、取消渠道等；充分考虑用户体验，科学规划推送频次，不得恶意对普通用户和会员用户进行差别频次推送；不得以任何形式干扰或者影响用户关闭弹窗；确保每条弹窗信息明确显示弹窗信息推送服务提供者身份。 （八）不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型；不得滥用个性化弹窗服务，利用算法屏蔽信息、过度推荐等；不得滥用算法，针对未成年用户进行画像，向未成年用户推送可能影响其身心健康的信息。 （九）弹窗推送广告信息，必须进行内容合规审查，不得违反国家相关法律法规；应当具有可识别性，显著标明“广告”，明示用户；确保弹窗广告一键关闭。 （十）不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息；不得通过弹窗信息推送服务诱导用户点击，实施流量造假、流量劫持。 第六条 互联网弹窗信息推送服务提供者应当自觉接受社会监督，设置便捷投诉举报入口，及时处理关于弹窗信息推送服务的公众投诉举报。 第七条 鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则，督促互联网弹窗信息推送服务提供者依法依规提供服务，接受社会监督。 第八条 网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制，监督指导互联网弹窗信息推送服务提供者依法依规提供服务。 第九条 互联网弹窗信息推送服务提供者违反本规定的，由网信、电信主管、市场监管等有关部门在职责范围内依照相关法律法规采取警告、罚款、暂停弹窗功能、停止服务等措施。 第十条 本规定自2022年 月 日起施行。 阅读全文

2 月 28, 2022 《互联网信息服务算法推荐管理规定》明日起正式施行

2022.02.28 来源: IT之家 2 月 28 日消息，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等四部门联合发布的《互联网信息服务算法推荐管理规定》（以下简称《规定》），将于明日（3 月 1 日）起正式施行。 据“网信中国”微信公众号，《规定》明确，应用算法推荐技术，是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。 《规定》明确了算法推荐服务提供者的信息服务规范，要求算法推荐服务提供者应当坚持主流价值导向，积极传播正能量，不得利用算法推荐服务从事违法活动或者传播违法信息，应当采取措施防范和抵制传播不良信息；建立健全用户注册、信息发布审核、数据安全和个人信息保护、安全事件应急处置等管理制度和技术措施，定期审核、评估、验证算法机制机理、模型、数据和应用结果等；建立健全用于识别违法和不良信息的特征库，发现违法和不良信息的，应当采取相应的处置措施；加强用户模型和用户标签管理，完善记入用户模型的兴趣点规则和用户标签管理规则；加强算法推荐服务版面页面生态管理，建立完善人工干预和用户自主选择机制，在重点环节积极呈现符合主流价值导向的信息；规范开展互联网新闻信息服务，不得生成合成虚假新闻信息或者传播非国家规定范围内的单位发布的新闻信息；不得利用算法实施影响网络舆论、规避监督管理以及垄断和不正当竞争行为。 《规定》明确了算法推荐服务提供者的用户权益保护要求，包括保障算法知情权，要求告知用户其提供算法推荐服务的情况，并公示服务的基本原理、目的意图和主要运行机制等；保障算法选择权，应当向用户提供不针对其个人特征的选项，或者便捷的关闭算法推荐服务的选项。此外，对向未成年人、老年人、劳动者和消费者等主体提供算法推荐服务的，《规定》明确了具体要求，如不得利用算法推荐服务诱导未成年人沉迷网络，应当便利老年人安全使用算法推荐服务，应当建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法，以及不得根据消费者的偏好、交易习惯等特征利用算法在交易价格等交易条件上实施不合理的差别待遇等。 《规定》要求，具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报备案信息，履行备案手续；备案信息发生变更的，应当在规定时间内办理变更手续。算法推荐服务提供者应当依法留存网络日志，配合有关部门开展安全评估和监督检查工作，并提供必要的技术、数据等支持和协助。 阅读全文

1 月 04, 2022 《家庭教育促进法》今日起施行：家长应合理安排未成年人学习娱乐等时间，预防其沉迷网络《家庭教育促进法》今日起施行：家长应合理安排未成年人学习娱乐等时间，预防其沉迷网络

2022.01.01 来源: IT之家 1 月 1 日消息，《家庭教育促进法》于 2021 年 10 月 23 日通过，自今日（2022 年 1 月 1 日）起施行。 《家庭教育促进法》明确未成年人的父母或者其他监护人负责实施家庭教育。国家和社会为家庭教育提供指导、支持和服务。 《家庭教育促进法》指出，未成年人的父母或者其他监护人应当合理安排未成年人学习、休息、娱乐和体育锻炼的时间，避免加重未成年人学习负担，预防未成年人沉迷网络。 国家新闻出版署于 2021 年 9 月 30 日正式上线运行防止未成年人沉迷网络游戏举报平台，督促游戏企业切实履行主体责任、严格执行防止未成年人沉迷网络游戏相关要求，发挥社会各方面监督作用。 此外，《家庭教育促进法》要求，县级以上地方人民政府应当加强监督管理，减轻义务教育阶段学生作业负担和校外培训负担，畅通学校家庭沟通渠道，推进学校教育和家庭教育相互配合。 阅读全文

1 月 04, 2022 《网络安全审查办法》发布 2022年2月15日起施行

2022.01.04 来源: 站长之家 1月4日 消息:近日，国家互联网信息办公室等十三部门联合修订发布《网络安全审查办法》，自 2022 年 2 月 15 日起施行。 《办法》将网络平台运营者开展数据处理活动影响，或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过 100 万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。 根据《数据安全法》，数据处理活动包括：数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动，影响或者可能影响国家安全的情形。 据悉，网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。 对此，国家互联网信息办公室有关负责人表示，《办法》修订对保障国家网络安全和数据安全具有重要意义。 以下为《办法》全文： 第一条为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。 第二条关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。 前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。 第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。 第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。 第五条关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。 关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。 第六条对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。 第七条掌握超过 100 万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。 第八条当事人申报网络安全审查，应当提交以下材料： （一）申报书； （二）关于影响或者可能影响国家安全的分析报告； （三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件； （四）网络安全审查工作需要的其他材料。 第九条网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起 10 个工作日内，确定是否需要审查并书面通知当事人。 第十条网络安全审查重点评估相关对象或者情形的以下国家安全风险因素： （一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险； （二）产品和服务供应中断对关键信息基础设施业务连续性的危害； （三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险； （四）产品和服务提供者遵守中国法律、行政法规、部门规章情况； （五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险； （六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险； （七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。 第十一条网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起 30 个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长 15 个工作日。 第十二条网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起 15 个工作日内书面回复意见。 网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。 第十三条按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。 第十四条特别审查程序一般应当在 90 个工作日内完成，情况复杂的可以延长。 第十五条网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 第十六条网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。 为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。 第十七条参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。 第十八条当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。 第十九条当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。 网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 第二十条当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。 第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 第二十二条涉及国家秘密信息的，依照国家有关保密规定执行。 国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。 第二十三条本办法自 2022 年 2 月 15 日起施行。 2020 年 4 月 13 日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第 6 号）同时废止。 阅读全文

12 月 28, 2021 最高法就网络消费纠纷司法解释公开征求意见

2021.12.28 来源: IT之家 12 月 28 日消息，最高人民法院 27 日发布了《关于审理网络消费纠纷案件适用法律若干问题的规定（一）》（以下简称征求意见稿），于 2022 年 1 月 7 日前向社会公开征求意见。 此次的征求意见稿共 24 条，对合同权利义务、网络消费欺诈、网络直播带货、外卖餐饮等方面纠纷的法律适用问题作出了进一步明确。 对于七日内无理由退货，征求意见稿规定，消费者因检查商品的必要对商品进行拆封查验且不影响商品完好，电子商务经营者以商品已拆封为由主张不适用消费者权益保护法第二十五条规定的无理由退货制度的，人民法院不予支持，但法律另有规定的除外。 针对网络购物中的虚假原价、优惠价问题，征求意见稿规定，平台内经营者在提供商品或者服务过程中以虚构原价、虚假优惠折价等方式实施欺诈消费者行为，消费者依据消费者权益保护法第五十五条第一款规定主张平台内经营者承担赔偿责任的，人民法院应予支持。 在网络直播带货方面，征求意见稿分两种方案明确直播间运营者责任。征求意见稿同时规定，平台内经营者通过网络直播方式销售商品，其员工在网络直播中因虚假宣传等给消费者造成损害，消费者主张平台内经营者承担赔偿责任的，人民法院应予支持。 最高法公告称，为进一步完善该司法解释，现通过最高人民法院政务网、中国法院网、人民法院报、最高人民法院民一庭公众号等向社会公开征求意见，欢迎社会各界人士踊跃提出宝贵意见。具体的修改意见反馈可采取书面寄送或者电子邮件的方式，征求意见截止日期为 2022 年 1 月 7 日。 附：《最高人民法院关于审理网络消费纠纷案件适用法律若干问题的规定（一）》（征求意见稿） 为妥善审理网络消费纠纷案件，依法保护消费者合法权益，促进网络经济健康持续发展，根据《中华人民共和国民法典》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律规定，结合民事审判实践，制定本规定。 一、合同权利义务 第一条【格式条款】电子商务经营者提供的格式条款约定以下内容，消费者主张该格式条款无效的，人民法院应予支持： （一）收货人签收商品即视为认可商品质量符合约定； （二）电子商务平台经营者依法应承担的责任一概由平台内经营者承担； （三）电子商务经营者享有单方解释权或者最终解释权； （四）排除或者限制消费者依法投诉、举报、请求调解、申请仲裁、提起诉讼的权利； （五）其他排除或者限制消费者权利、减轻或者免除电子商务经营者责任、加重消费者责任等对消费者不公平、不合理的约定。 第二条【管辖权异议】消费者以电子商务平台经营者和平台内经营者为共同被告提起诉讼，电子商务平台经营者仅以其与平台内经营者或者消费者分别签订的用户协议约定的诉讼管辖条款为由提出管辖权异议的，人民法院不予支持。 第三条【七日内无理由退货】电子商务经营者依据消费者权益保护法第二十五条第二款规定，根据商品性质以格式条款方式约定所售商品不适用七日无理由退货制度，但未依法履行提示说明义务且经消费者确认，消费者主张该条款不成为合同的内容的，人民法院应予支持。 第四条【七日内无理由退货】电子商务经营者就消费者权益保护法第二十五条第一款规定的四项除外商品做出无理由退货承诺，消费者主张电子商务经营者应当遵守其承诺的，人民法院应予支持。 第五条【七日内无理由退货】消费者因检查商品的必要对商品进行拆封查验且不影响商品完好，电子商务经营者以商品已拆封为由主张不适用消费者权益保护法第二十五条规定的无理由退货制度的，人民法院不予支持，但法律另有规定的除外。 第六条【平台自营业务民事责任】电子商务平台经营者以标记自营业务方式或者虽未标记自营但实际开展自营业务所销售的商品或者提供的服务给消费者造成损害，消费者主张电子商务平台经营者承担作为商品销售者或者服务提供者的赔偿责任的，人民法院应予支持。 电子商务平台经营者虽非实际开展自营业务，但其所作标识等足以误导消费者使消费者相信系电子商务平台经营者自营，消费者主张电子商务平台经营者承担作为商品销售者或者服务提供者的赔偿责任的，人民法院应予支持。 第七条【诱导平台外支付】平台内经营者的工作人员在出售商品或者提供服务过程中，引导消费者通过交易平台提供的支付方式以外的方式进行支付，经营行为侵害消费者合法权益，消费者主张平台内经营者承担商品销售者或者服务提供者责任，平台内经营者以未经过交易平台支付为由抗辩的，人民法院不予支持。 第八条【网络店铺转让】平台内经营者注册网络经营账号开设网络店铺后，通过协议等方式将网络账号及店铺转让给其他经营者，但未依法进行相关经营主体信息变更公示，实际经营者的经营活动给消费者造成损害，消费者主张注册经营者、实际经营者承担赔偿责任的，人民法院应予支持。 第九条【二手商品责任】消费者在二手商品网络交易平台购买二手商品受到损害，人民法院综合销售者出售商品的性质、来源、数量、价格、频率、是否有其他销售渠道、收入等情况，能够认定销售者系通过买卖二手商品从事商业经营活动，消费者主张商品销售者依据消费者权益保护法承担经营者责任的，人民法院应予支持。 第十条【促销奖品、赠品、换购商品】电子商务经营者在促销活动中提供的奖品、赠品或者消费者换购的商品不符合相关安全标准，给消费者造成损害，消费者主张电子商务经营者承担赔偿责任，电子商务经营者以奖品、赠品属于免费提供或者商品属于换购为由主张免责的，人民法院不予支持。 二、网络消费欺诈第十一条【虚假宣传】电子商务经营者与他人签订的以虚构交易、虚构点击量、编造用户评价等方式进行虚假宣传的合同，人民法院应当依法认定无效。 第十二条【虚假原价优惠价】平台内经营者在提供商品或者服务过程中以虚构原价、虚假优惠折价等方式实施欺诈消费者行为，消费者依据消费者权益保护法第五十五条第一款规定主张平台内经营者承担赔偿责任的，人民法院应予支持。 第十三条【更有利于消费者的承诺】平台内经营者经营假冒伪劣商品侵害消费者合法权益，平台内经营者向消费者承诺的赔偿标准高于法律规定的赔偿标准，消费者主张平台内经营者按照承诺赔偿的，人民法院应依法予以支持。 三、网络直播带货 第十四条【品牌自播】平台内经营者通过网络直播方式销售商品，其员工在网络直播中因虚假宣传等给消费者造成损害，消费者主张平台内经营者承担赔偿责任的，人民法院应予支持。 第十五条【直播间运营者责任】 方案一：消费者因在网络直播间点击购买商品合法权益受到损害，直播间运营者不能证明已经以足以使消费者辨别的方式标明其并非销售者并标明实际销售者的，消费者主张直播间运营者承担商品销售者责任的，人民法院应予支持。 直播间运营者能够证明已经以足以使消费者辨别的方式标明其并非销售者且标明实际销售者并以此为由抗辩的，人民法院应当综合交易外观、直播间运营者与经营者的约定、与经营者的合作模式、交易过程以及消费者主观认知等事实予以认定。 方案二：消费者因在网络直播间点击购买商品合法权益受到损害，消费者主张直播间运营者承担商品销售者责任的，人民法院应予支持。 接受经营者委托的网络直播间未在直播间提供点击购买链接，仅以网络直播形式向消费者推荐商品，构成商业广告的，因虚假宣传等侵害消费者合法权益，消费者主张直播间运营者依据广告法承担相应民事责任的，人民法院应予支持。 消费者与网络直播间之间构成委托合同等法律关系的，人民法院依据相关法律关系予以认定。 第十六条【直播营销平台自营责任】网络直播营销平台经营者通过网络直播方式开展自营业务销售商品，消费者主张其承担商品销售者责任的，人民法院应予支持。 第十七条【直播营销平台责任】网络直播营销平台经营者不能提供直播间运营者的真实姓名、名称、地址和有效联系方式的，消费者可以参照消费者权益保护法第四十四条向网络直播营销平台经营者请求赔偿。网络直播营销平台经营者承担责任后，有权向直播间运营者追偿。 第十八条【直播营销平台审核义务】网络直播营销平台经营者对销售食品的网络直播间的食品经营资质未依法尽到审核义务，给消费者造成损害，消费者主张网络直播营销平台经营者与直播间运营者承担连带责任的，人民法院应予支持。 第十九条【连带责任】网络直播营销平台经营者知道或者应当知道网络直播间销售的商品不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为，未采取必要措施，消费者依据电子商务法第三十八条主张网络直播营销平台经营者与直播间运营者承担连带责任的，人民法院应予支持。 直播间运营者、直播营销人员知道或者应当知道经营者提供的商品不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为，仍为其推广，给消费者造成损害，消费者主张直播间运营者、直播营销人员与提供该商品的经营者承担连带责任的，人民法院应予支持。 四、外卖餐饮 第二十条【外卖餐饮平台审查等义务】网络餐饮服务平台提供者违反食品安全法第六十二条和第一百三十一条规定，未对入网餐饮服务提供者进行实名登记、审查许可证，或者未履行报告、停止提供网络交易平台服务等义务，给消费者造成损害，消费者主张网络餐饮服务平台提供者与入网餐饮服务提供者承担连带责任的，人民法院应予支持。 第二十一条【餐具包装材料不符合安全标准】入网餐饮服务提供者在提供餐饮服务过程中使用明知是不符合强制性安全标准的食品容器、餐具和包装材料，消费者主张入网餐饮服务提供者依据食品安全法第一百四十八条第二款规定承担赔偿责任的，人民法院应予支持。 第二十二条【委托加工】入网餐饮服务提供者所经营食品给消费者造成损害，消费者主张入网餐饮服务提供者承担经营者责任，入网餐饮服务提供者以订单系委托他人加工制作为由抗辩的，人民法院不予支持。 五、其他 第二十三条【公益诉讼】电子商务经营者因经营行为侵害众多网络消费者合法权益，损害社会公共利益，民事诉讼法、消费者权益保护法、个人信息保护法等法律规定的机关和有关组织依法提起民事公益诉讼的，人民法院应予受理。 第二十四条【附则】本规定自 202X 年 XX 月 XX 日起施行。 本规定施行后人民法院正在审理的一审、二审案件适用本规定。 本规定施行前已经终审，本规定施行后当事人申请再审或者按照审判监督程序决定再审的案件，不适用本规定。 最高人民法院以前发布的司法解释与本规定不一致的，不再适用。 阅读全文

11 月 15, 2021 网信办关于《网络数据安全管理条例（征求意见稿）》公开征求意见

2021.11.14 来源: TechWeb.com.cn 【TechWeb】11月14日消息，网信中国官微发布消息，为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，我办会同相关部门研究起草《网络数据安全管理条例（征求意见稿）》，现向社会公开征求意见。 《征求意见稿》显示，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 关于重要数据安全，《征求意见稿》第三十四条规定，国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。 关于数据跨境安全管理，《征求意见稿》第三十六条规定，数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。 此外，关于互联网平台运营者义务，《征求意见稿》第四十三条规定，互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。 平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。 网络数据安全管理条例 （征求意见稿） 第一章 总则 第一条 为了规范网络数据处理活动，保障数据安全，保护个人、组织在网络空间的合法权益，维护国家安全、公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律，制定本条例。 第二条 在中华人民共和国境内利用网络开展数据处理活动，以及网络数据安全的监督管理，适用本条例。 在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动，有下列情形之一的，适用本条例： （一）以向境内提供产品或者服务为目的； （二）分析、评估境内个人、组织的行为； （三）涉及境内重要数据处理； （四）法律、行政法规规定的其他情形。 自然人因个人或者家庭事务开展数据处理活动，不适用本条例。 第三条 国家统筹发展和安全，坚持促进数据开发利用与保障数据安全并重，加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。 第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。 国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作，开展数据安全宣传教育和培训。 第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。 国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。 各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 第六条 数据处理者对所处理数据的安全负责，履行数据安全保护义务，接受政府和社会监督，承担社会责任。 数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制。 第七条 国家推动公共数据开放、共享，促进数据开发利用，并依法对公共数据实施监督管理。 国家建立健全数据交易管理制度，明确数据交易机构设立、运行标准，规范数据流通交易行为，确保数据依法有序流通。 第二章 一般规定 第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规，尊重社会公德和伦理，不得从事以下活动： （一）危害国家安全、荣誉和利益，泄露国家秘密和工作秘密； （二）侵害他人名誉权、隐私权、著作权和其他合法权益等； （三）通过窃取或者以其他非法方式获取数据； （四）非法出售或者非法向他人提供数据； （五）制作、发布、复制、传播违法信息； （六）法律、行政法规禁止的其他行为。 任何个人和组织知道或者应当知道他人从事前款活动的，不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。 第九条 数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。 数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。 数据处理者应当使用密码对重要数据和核心数据进行保护。 第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益等风险时，应当立即采取补救措施。 第十一条 数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。 发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务： （一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等； （二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。 第十二条 数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定： （一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外； （二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督； （三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。 数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查： （一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的； （二）处理一百万人以上个人信息的数据处理者赴国外上市的； （三）数据处理者赴香港上市，影响或者可能影响国家安全的； （四）其他影响或者可能影响国家安全的数据处理活动。 大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。 第十四条 数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。 第十五条 数据处理者从其他途径获取的数据，应当按照本条例的规定履行数据安全保护义务。 第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。 第十七条 数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。 自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。 第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。 数据处理者应当公布接受投诉、举报的联系方式、责任人信息，每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。 第三章 个人信息保护 第十九条 数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求： （一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的； （二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式； （三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。 第二十条 数据处理者处理个人信息，应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、简明通俗，系统全面地向个人说明个人信息处理情况。 个人信息处理规则应当包括但不限于以下内容： （一）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响； （二）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式； （三）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法； （四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则； （五）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等； （六）个人信息安全风险及保护措施； （七）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。 第二十一条 处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定： （一）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意； （二）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意； （三）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意； （四）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息； （五）不得通过误导、欺诈、胁迫等方式获得个人的同意； （六）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意； （七）不得超出个人授权同意的范围处理个人信息； （八）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，数据处理者应当重新取得个人同意，并同步修改个人信息处理规则。 对个人同意行为有效性存在争议的，数据处理者负有举证责任。 第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理： （一）已实现个人信息处理目的或者实现处理目的不再必要； （二）达到与用户约定或者个人信息处理规则明确的存储期限； （三）终止服务或者个人注销账号； （四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。 删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。 法律、行政法规另有规定的从其规定。 第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务： （一）提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制； （二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件； （三）收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的，应当在十五个工作日内处理并反馈。 法律、行政法规另有规定的从其规定。 第二十四条 符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务： （一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息； （二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息； （三）能够验证请求人的合法身份。 数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。 请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。 第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。 法律、行政法规另有规定的从其规定。 第二十六条 数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。 第四章 重要数据安全 第二十七条 各地区、各部门按照国家有关要求和标准，组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据，组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。 第二十八条 重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行以下职责： （一）研究提出数据安全相关重大决策建议； （二）制定实施数据安全保护计划和数据安全事件应急预案； （三）开展数据安全风险监测，及时处置数据安全风险和事件； （四）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动； （五）受理、处置数据安全投诉、举报； （六）按照要求及时向网信部门和主管、监管部门报告数据安全情况。 数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。 第二十九条 重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，备案内容包括： （一）数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式等； （二）处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等，不包括数据内容本身； （三）国家网信部门和主管、监管部门规定的其他备案内容。 处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应当重新备案。 依据部门职责分工，网信部门与有关部门共享备案信息。 第三十条 重要数据的处理者，应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 第三十一条 重要数据的处理者，应当优先采购安全可信的网络产品和服务。 第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括： （一）处理重要数据的情况； （二）发现的数据安全风险及处置措施； （三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性； （四）落实国家数据安全法律、行政法规和标准情况； （五）发生的数据安全事件及其处置情况； （六）共享、交易、委托处理、向境外提供重要数据的安全评估情况； （七）数据安全相关的投诉及处理情况； （八）国家网信部门和主管、监管部门明确的其他数据安全情况。 数据处理者应当保留风险评估报告至少三年。 依据部门职责分工，网信部门与有关部门共享报告信息。 数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容： （一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要； （二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险； （三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全； （四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务； （五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。 第三十三条 数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。 第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。 第五章 数据跨境安全管理 第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一： （一）通过国家网信部门组织的数据出境安全评估； （二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证； （三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务； （四）法律、行政法规或者国家网信部门规定的其他条件。 数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。 第三十六条 数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。 收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。 第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估： （一）出境数据中包含重要数据； （二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息； （三）国家网信部门规定的其它情形。 法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。 第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。 第三十九条 数据处理者向境外提供数据应当履行以下义务： （一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息； （二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据； （三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全； （四）接受和处理数据出境所涉及的用户投诉； （五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任； （六）存留相关日志记录和数据出境审批记录三年以上； （七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示； （八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救； （九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。 非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第四十条 向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况： （一）全部数据接收方名称、联系方式； （二）出境数据的类型、数量及目的； （三）数据在境外的存放地点、存储期限、使用范围和方式； （四）涉及向境外提供数据的用户投诉及处理情况； （五）发生的数据安全事件及其处置情况； （六）数据出境后再转移的情况； （七）国家网信部门明确向境外提供数据需要报告的其他事项。 第四十一条 国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。 任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。 境内用户访问境内网络的，其流量不得被路由至境外。 第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。 第六章 互联网平台运营者义务 第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。 平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。 第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。 第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。 移动通信终端预装第三方产品适用本条前两款规定。 第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护，非个人通信的信息按照公共信息有关规定进行管理。 第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动： （一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为； （二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为； （三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据； （四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。 第四十七条 提供应用程序分发服务的互联网平台运营者，应当按照有关法律、行政法规和国家网信部门的规定，建立、披露应用程序审核规则，并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序，应当采取拒绝上架、督促整改、下架处置等措施。 第四十八条 互联网平台运营者面向公众提供即时通信服务的，应当按照国务院电信主管部门的规定，为其他互联网平台运营者的即时通信服务提供数据接口，支持不同即时通信服务之间用户数据互通，无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。 第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求： （一）收集个人信息用于个性化推荐时，应当取得个人单独同意； （二）设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数； （三）允许个人删除定向推送信息服务收集产生的个人信息，法律、行政法规另有规定或者与用户另有约定的除外。 第五十条 国家建设网络身份认证公共服务基础设施，按照政府引导、网民自愿原则，提供个人身份认证公共服务。 互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。 第五十一条 互联网平台运营者在为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。 第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息，应当明确调取或者访问的范围、类型、用途、依据，严格限定在履行法定职责范围内，不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。 互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。 第五十三条 大型互联网平台运营者应当通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。 第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的，应当按照国家有关规定进行安全评估。 第七章 监督管理 第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。 公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。 主管部门应当定期组织开展本行业、本领域的数据安全风险评估，对数据处理者履行数据安全保护义务情况进行监督检查，指导督促数据处理者及时对存在的风险隐患进行整改。 第五十六条 国家建立健全数据安全应急处置机制，完善网络安全事件应急预案和网络安全信息共享平台，将数据安全事件纳入国家网络安全事件应急响应机制，加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。 第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查： （一）要求数据处理者相关人员就监督检查事项作出说明； （二）查阅、调取与数据安全有关的文档、记录； （三）按照规定程序，利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测； （四）核验数据出境类型、范围等； （五）法律、行政法规、规章规定的其他必要方式。 有关主管、监管部门开展数据安全监督检查，应当客观公正，不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要，不得用于其他用途。 数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合，包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，开放安全相关数据访问、提供必要技术支持等。 第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 主管、监管部门组织开展对重要数据处理活动的审计，重点审计数据处理者履行法律、行政法规规定的义务等情况。 第五十九条 国家支持相关行业组织按照章程，制定数据安全行为规范，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。 国家支持成立个人信息保护行业组织，开展以下活动： （一）接受个人信息保护投诉举报并进行调查、调解； （二）向个人提供信息和咨询服务，支持个人依法对损害个人信息权益的行为提起诉讼； （三）曝光损害个人信息权益的行为，对个人信息保护开展社会监督； （四）向有关部门反映个人信息保护情况、提供咨询、建议； （五）违法处理个人信息、侵害众多个人的权益的行为，依法向人民法院提起诉讼。 第八章 法律责任 第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者导致危害数据安全等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的，由有关部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为，情节严重的，由有关部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的，由有关部门责令改正，给予警告，对违法处理重要数据的系统及应用，责令暂停或者终止提供服务；拒不改正的，并处二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 有前款规定的违法行为，情节严重的，由有关部门责令改正，没收违法所得，并处二百万元以上五百万元以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 第六十三条 关键信息基础设施运营者违反第三十四条的规定，由有关部门责令改正，依照有关法律、行政法规的规定予以处罚。 第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定，由有关部门责令改正，给予警告，暂停数据出境，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第六十五条 违反本条例第三十九条第二款的规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第六十六条 个人和组织违反第四十一条的规定，由有关主管部门责令改正，给予警告、没收违法所得；拒不改正的，处违法所得一倍以上十倍以下的罚款，没有违法所得的，对直接负责的主管人员和其他直接负责人员，处五万元以上五十万元以下罚款；情节严重的，由有关主管部门依照相关法律、行政法规的规定，责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依照相关法律、行政法规的规定处罚。 第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定，由有关部门责令改正，予以警告；拒不改正，处五十万元以上五百万元以下罚款，对直接负责的主管人员和其他直接负责人员，处五万元以上五十万元以下罚款；情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定，由有关主管部门责令改正，给予警告；拒不改正的，处上一年度销售额百分之一以上百分之五以下的罚款；情节严重的，由有关主管部门依照相关法律、行政法规的规定，责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依照相关法律、行政法规的规定处罚。 第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定，由有关主管部门责令改正，予以警告；拒不改正，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第七十条 数据处理者违反本条例规定，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。 第七十一条 国家机关不履行本法规定的数据安全保护义务的，由其上级机关或者履行数据安全管理职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。 第七十二条 在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 第九章 附则 第七十三条 本条例下列用语的含义： （一）网络数据（简称数据）是指任何以电子方式对信息的记录。 （二）数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。 （三）重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。包括以下数据： 1.未公开的政务数据、工作秘密、情报数据和执法司法数据； 2.出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据； 3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等； 4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据； 5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据； 6.国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据； 7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 （四）核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 （五）数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。 （六）公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。 （七）委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。 （八）单独同意是指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。 （九）互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。 （十）大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。 （十一）数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。 （十二）公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。 第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动，按照国家有关规定执行。 第七十五条 本条例自 年 月 日起施行。 阅读全文

11 月 01, 2021 两份重磅文件明确互联网平台分类分级，淘宝、微信、抖音等将迎“超级监管”

来源：钛媒体 时间：10月30日 10月29日，国家市场监督管理总局发布关于对《互联网平台分类分级指南（征求意见稿）》（以下简称《分类分级意见稿》）、《互联网平台落实主体责任指南（征求意见稿）》（以下简称《落实责任意见稿》）公开征求意见的公告。 分类分级：六大类、三级别 《分类分级意见稿》提出，互联网平台拟划分为网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台、计算应用类平台六大类。 图源自《互联网平台分类分级指南（征求意见稿）》 网络销售类平台包括综合商品交易类、垂直商品交易类、商超团购类等；生活服务类平台包括出行服务类、旅游服务类、配送服务类、家政服务类等；社交娱乐类平台包括即时通讯类、游戏休闲类、视听服务类、直播视频类、短视频类、文学类。 值得注意的是，网络直播、短视频等新兴行业被纳入了社交娱乐类平台。直播即专门或者主要从事利用互联网及流媒体技术进行直播的平台。短视频即专门或者主要从事几秒到几分钟不等的短视频内容推送的平台，包括技能分享、幽默搞怪、时尚潮流、社会热点、街头采访、公益教育、广告创意、商业定制等主题。 另外，信息资讯类平台包括新闻门户类、搜索引擎类、用户内容生成（UGC）类、视听资讯类、新闻机构类等；金融服务类平台包括综合金融服务类、支付结算类、消费金融类、金融资讯类、证券投资类等；计算应用类平台包括操作系统类、手机软件（APP）应用商店类、信息管理类、云计算类、网络服务类、工业互联网类等。 与此同时，按照用户规模等,《意见稿》将互联网平台划分为超级平台、大型平台和 中小平台三级。 图源自《互联网平台分类分级指南（征求意见稿）》 其中，超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。超大用户规模，即平台上年度在中国的年活跃用户不低于5亿；超广业务种类，即平台核心业务至少涉及两类平台业务，该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面；超高经济体量，即平台上年底市值（估值）不低于10000亿人民币；超强限制能力，即平台具有超强的限制商户接触消费者（用户）的能力。 按此标准，微信、淘宝、抖音、支付宝等App将按照超级平台管理。 大型平台指同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强限制能力的平台。其中，较大用户规模，即平台上年度在中国的年活跃用户不低于5000万；较广业务种类，即平台具有表现突出的主营业务；较高经济体量，即平台上年底市值（估值）不低于1000亿人民币；较强限制能力，即平台具有较强的限制商户接触消费者（用户）的能力。 中小平台指具有一定用户规模、有限业务种类、有限经济体量、有限限制能力的平台。 超大型平台，匹配“超级监管” 《落实责任意见稿》提出的35条要求涉及公平竞争示范、平等治理、开放生态、数据管理、风险防控、安全审计、反垄断、知识产权保护、网络安全、促进创新等各个方面。其中，13次提及超大型平台经营者应担当的义务与责任。 具体来看，超大型平台经营者在公平竞争示范、平等治理、开放生态、数据管理、内部治理、风险评估、风险防控、安全审计、促进创新九大方面需要落实平台主体责任。 超大型平台经营者具有规模、数据、技术等优势，在与平台内经营者开展公平竞争时，无正当理由，不使用平台内经营者及其用户在使用平台服务时产生或提供的非公开数据。这些平台经营者在提供相关产品或服务时，要平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待。 针对信息安全和隐私安全等，《落实责任意见稿》提出，超大型平台经营者应当建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行，确保数据安全。平台经营者应当确定数据安全责任人，明确相关人员的名单与联系方式。 近年来，互联网大厂腐败事件逐渐上涨，超大型平台经营者应当设置平台合规部门、建立平台内部预防腐败机制及平台内部定期教育培训机制，提高平台整体依法合规经营意识。 在风险评估方面，超大型平台经营者应当至少每年进行一次风险评估，主要包括三大方面——传播非法内容；侵害消费者合法权益；不能正常提供平台服务，导致社会正常生活秩序、公共利益、国家安全受到侵害。经营者要重点考察内容审核系统、广告定向推荐系统、内容推荐与分发系统、平台安全稳定运营系统。 对于上述特定平台经营风险，要建立内容审核或广告推荐审核的内部机制，并定期发布风险评估报告，接受社会监督，并制定其他防范平台风险的应急保障措施。 互联网平台的义务与责任 《落实责任意见稿》中还提及了反垄断、反不正当竞争、数据获取、算法规制、价格行为规范等内容。 首先，互联网平台经营者应当遵守反垄断领域的法律、法规、规章等规定，不得从事垄断协议、滥用市场支配地位等垄断行为。互联网平台经营者在实施经营者集中前，应根据有关法律法规履行申报义务，在获得有关部门批准之前，不得实施集中。 其次，互联网平台经营者不得利用技术手段，通过影响用户选择或者其他方式，实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的不正当竞争行为。互联网平台经营者不得实施混淆行为，引人误认为是他人商品、服务或者与他人存在特定联系。互联网平台经营者不得编造、传播虚假信息或者误导性信息，损害竞争对手商业信誉、商品声誉。互联网平台经营者不得通过虚假交易、组织虚假交易等方式进行虚假宣传，不得帮助平台内经营者实施虚假交易行为，或者为虚假交易行为提供便利条件。 数据获取方面，未经用户同意，互联网平台经营者不得将经由平台服务所获取的个人数据与来自自身其他服务或第三方服务的个人数据合并使用。互联网平台经营者不得以合并个人数据为目的诱导、强迫用户登录并使用自身提供的其他服务。 具体到算法规制，互联网平台经营者利用其掌握的大数据进行产品推荐、订单分配、内容推送、价格形成、业绩考核、奖惩安排等运用时，需要遵守公平、公正、透明的原则，遵守法律、法规，尊重社会公德和基本的科学伦理，不得侵害公民基本权利以及企业合法权益。对于关涉社会公共利益的算法运用，应当遵守国家关于算法监管的有关规定，并接受社会监督。 互联网平台经营者在经营过程中应当遵守价格相关法律、法规，不得利用平台规则和数据、算法等技术手段实施价格歧视、哄抬价格、低价倾销等不正当价格行为，不得利用虚假的或者使人误解的价格手段诱骗消费者交易。互联网平台经营者在组织平台内经营者进行集中促销等活动时，应当对价格领域可能发生的违法违规行为进行专项的合规风险提示，并采取有效管理措施。 除此之外，《落实责任意见稿》对于网络黑灰产、网络安全、数据安全、自然人隐私与个人信息保护都提出了具体要求。 【网络黑灰产治理】互联网平台经营者应当加强对平台内违法犯罪行为的整治，净化网络空间秩序，建设健康有序的网络营商环境。互联网平台经营者与监管部门应积极沟通，建立健全信息共享、会商通报、专项整治、案件协助等工作机制，协同开展网络黑灰产治理工作。 【网络安全】互联网平台经营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问。互联网平台经营者应当制定网络安全事件应急预案，发生网络安全事件时，应当立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。 【数据安全】互联网平台经营者开展数据处理活动应当依照相关规定，落实数据分类分级保护制度相关要求，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。在网络安全等级保护制度的基础上，履行数据安全保护义务。处理重要数据的互联网平台经营者应当明确数据安全负责人和管理机构。 【自然人隐私与个人信息保护】互联网平台经营者在运营中应当切实遵守国家法律、法规以及与自然人隐私和个人信息保护相关的规定，履行自然人隐私与个人信息保护责任。 互联网平台经营者处理的用户个人信息发生或者可能发生泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人；造成或者可能造成严重后果的，应当立即向监管部门报告，配合监管部门进行调查处理，并承担相应责任。 阅读全文

11 月 01, 2021 个人信息保护法今起正式实施 明确不得大数据杀熟

2021.11.01 来源: IT之家 11 月 1 日消息，十三届全国人大常委会第三十次会议 8 月 20 日表决通过了《中华人民共和国个人信息保护法》，自 2021 年 11 月 1 日起施行。 《中华人民共和国个人信息保护法》明确： 通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式； 处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意； 对违法处理个人信息的应用程序，责令暂停或者终止提供服务。 IT之家了解到，个人信息保护法共 8 章 74 条，在有关法律的基础上，进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。 十大亮点： 确立个人信息保护原则。这是收集、使用个人信息的基本遵循，是构建个人信息保护具体规则的制度基础。《个人信息保护法》强调处理个人信息应遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。 规范处理活动保障权益。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益，构建以“告知-同意”为核心的个人信息处理规则。例如，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。 禁止“大数据杀熟”，规范自动化决策。当前，越来越多的企业用大数据分析和评估消费者的个人特征用于商业营销，最典型的就是社会反映突出的“大数据杀熟”。对此，《个人信息保护法》规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。 严格保护敏感个人信息。《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。此外，《个人信息保护法》将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。 规范国家机关处理活动。《个人信息保护法》对国家机关处理个人信息的活动作出规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。 赋予个人充分权利。《个人信息保护法》将个人在个人信息处理活动中的各项权利，总结提升为知情权、决定权，明确个人有权限制个人信息处理；同时，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。此外，《个人信息保护法》还对死者个人信息的保护作了专门规定。 强化个人信息处理者义务。《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息处理活动进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。 赋予大型网络平台特别义务。《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。 规范个人信息跨境流动。当今个人信息的跨境流动日益频繁，但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异，个人信息跨境流动风险越来越难以控制。《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。 健全个人信息保护工作机制。该法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。 阅读全文

10 月 29, 2021 网信办发布数据出境安全评估办法征求意见稿

2021-10-29  稿源：站长之家 站长之家（ChinaZ.com）10月29日 消息:10月29日，国家网信办发布了关于《数据出境安全评估办法（征求意见稿）》公开征求意见的通知，意见反馈截止时间为2021年11月28日。 征求意见稿指出，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 （一）关键信息基础设施的运营者收集和产生的个人信息和重要数据; （二）出境数据中包含重要数据; （三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; （四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息; （五）国家网信部门规定的其他需要申报数据出境安全评估的情形。 同时，数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项: （一）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; （二）出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; （三）数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险; （四）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; （五）数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等; （六）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项: （一）数据出境的目的、范围、方式等的合法性、正当性、必要性; （二）境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求; （三）出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险; （四）数据安全和个人信息权益是否能够得到充分有效保障; （五）数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务; （六）遵守中国法律、行政法规、部门规章情况; （七）国家网信部门认为需要评估的其他事项。 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容: （一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等; （二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施; （三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款; （四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施; （五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款; （六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。 数据出境评估结果有效期二年。在有效期内出现以下情形之一的，数据处理者应当重新申报评估: （一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的; （二）境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的; （三）出现影响出境数据安全的其他情形。 阅读全文