11 月 15, 2021 网信办关于《网络数据安全管理条例（征求意见稿）》公开征求意见

2021.11.14 来源: TechWeb.com.cn 【TechWeb】11月14日消息，网信中国官微发布消息，为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，我办会同相关部门研究起草《网络数据安全管理条例（征求意见稿）》，现向社会公开征求意见。 《征求意见稿》显示，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 关于重要数据安全，《征求意见稿》第三十四条规定，国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。 关于数据跨境安全管理，《征求意见稿》第三十六条规定，数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。 此外，关于互联网平台运营者义务，《征求意见稿》第四十三条规定，互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。 平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。 网络数据安全管理条例 （征求意见稿） 第一章 总则 第一条 为了规范网络数据处理活动，保障数据安全，保护个人、组织在网络空间的合法权益，维护国家安全、公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律，制定本条例。 第二条 在中华人民共和国境内利用网络开展数据处理活动，以及网络数据安全的监督管理，适用本条例。 在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动，有下列情形之一的，适用本条例： （一）以向境内提供产品或者服务为目的； （二）分析、评估境内个人、组织的行为； （三）涉及境内重要数据处理； （四）法律、行政法规规定的其他情形。 自然人因个人或者家庭事务开展数据处理活动，不适用本条例。 第三条 国家统筹发展和安全，坚持促进数据开发利用与保障数据安全并重，加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。 第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。 国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作，开展数据安全宣传教育和培训。 第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。 国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。 各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 第六条 数据处理者对所处理数据的安全负责，履行数据安全保护义务，接受政府和社会监督，承担社会责任。 数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制。 第七条 国家推动公共数据开放、共享，促进数据开发利用，并依法对公共数据实施监督管理。 国家建立健全数据交易管理制度，明确数据交易机构设立、运行标准，规范数据流通交易行为，确保数据依法有序流通。 第二章 一般规定 第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规，尊重社会公德和伦理，不得从事以下活动： （一）危害国家安全、荣誉和利益，泄露国家秘密和工作秘密； （二）侵害他人名誉权、隐私权、著作权和其他合法权益等； （三）通过窃取或者以其他非法方式获取数据； （四）非法出售或者非法向他人提供数据； （五）制作、发布、复制、传播违法信息； （六）法律、行政法规禁止的其他行为。 任何个人和组织知道或者应当知道他人从事前款活动的，不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。 第九条 数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。 数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。 数据处理者应当使用密码对重要数据和核心数据进行保护。 第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞，或者威胁国家安全、危害公共利益等风险时，应当立即采取补救措施。 第十一条 数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。 发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务： （一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等； （二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。 第十二条 数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定： （一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外； （二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督； （三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。 数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查： （一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的； （二）处理一百万人以上个人信息的数据处理者赴国外上市的； （三）数据处理者赴香港上市，影响或者可能影响国家安全的； （四）其他影响或者可能影响国家安全的数据处理活动。 大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。 第十四条 数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。 第十五条 数据处理者从其他途径获取的数据，应当按照本条例的规定履行数据安全保护义务。 第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。 第十七条 数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。 自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。 第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。 数据处理者应当公布接受投诉、举报的联系方式、责任人信息，每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况，接受社会监督。 第三章 个人信息保护 第十九条 数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求： （一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的； （二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式； （三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。 第二十条 数据处理者处理个人信息，应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、简明通俗，系统全面地向个人说明个人信息处理情况。 个人信息处理规则应当包括但不限于以下内容： （一）依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响； （二）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式； （三）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法； （四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则； （五）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等； （六）个人信息安全风险及保护措施； （七）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。 第二十一条 处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定： （一）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意； （二）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意； （三）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意； （四）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息； （五）不得通过误导、欺诈、胁迫等方式获得个人的同意； （六）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意； （七）不得超出个人授权同意的范围处理个人信息； （八）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，数据处理者应当重新取得个人同意，并同步修改个人信息处理规则。 对个人同意行为有效性存在争议的，数据处理者负有举证责任。 第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理： （一）已实现个人信息处理目的或者实现处理目的不再必要； （二）达到与用户约定或者个人信息处理规则明确的存储期限； （三）终止服务或者个人注销账号； （四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。 删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。 法律、行政法规另有规定的从其规定。 第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务： （一）提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制； （二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件； （三）收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的，应当在十五个工作日内处理并反馈。 法律、行政法规另有规定的从其规定。 第二十四条 符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务： （一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息； （二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息； （三）能够验证请求人的合法身份。 数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。 请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。 第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。 法律、行政法规另有规定的从其规定。 第二十六条 数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。 第四章 重要数据安全 第二十七条 各地区、各部门按照国家有关要求和标准，组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据，组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。 第二十八条 重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行以下职责： （一）研究提出数据安全相关重大决策建议； （二）制定实施数据安全保护计划和数据安全事件应急预案； （三）开展数据安全风险监测，及时处置数据安全风险和事件； （四）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动； （五）受理、处置数据安全投诉、举报； （六）按照要求及时向网信部门和主管、监管部门报告数据安全情况。 数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。 第二十九条 重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，备案内容包括： （一）数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式等； （二）处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等，不包括数据内容本身； （三）国家网信部门和主管、监管部门规定的其他备案内容。 处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应当重新备案。 依据部门职责分工，网信部门与有关部门共享备案信息。 第三十条 重要数据的处理者，应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 第三十一条 重要数据的处理者，应当优先采购安全可信的网络产品和服务。 第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括： （一）处理重要数据的情况； （二）发现的数据安全风险及处置措施； （三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性； （四）落实国家数据安全法律、行政法规和标准情况； （五）发生的数据安全事件及其处置情况； （六）共享、交易、委托处理、向境外提供重要数据的安全评估情况； （七）数据安全相关的投诉及处理情况； （八）国家网信部门和主管、监管部门明确的其他数据安全情况。 数据处理者应当保留风险评估报告至少三年。 依据部门职责分工，网信部门与有关部门共享报告信息。 数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容： （一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要； （二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险； （三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全； （四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务； （五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。 第三十三条 数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。 第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。 第五章 数据跨境安全管理 第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一： （一）通过国家网信部门组织的数据出境安全评估； （二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证； （三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务； （四）法律、行政法规或者国家网信部门规定的其他条件。 数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。 第三十六条 数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。 收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。 第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估： （一）出境数据中包含重要数据； （二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息； （三）国家网信部门规定的其它情形。 法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。 第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。 第三十九条 数据处理者向境外提供数据应当履行以下义务： （一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息； （二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据； （三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全； （四）接受和处理数据出境所涉及的用户投诉； （五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任； （六）存留相关日志记录和数据出境审批记录三年以上； （七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示； （八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救； （九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。 非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第四十条 向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况： （一）全部数据接收方名称、联系方式； （二）出境数据的类型、数量及目的； （三）数据在境外的存放地点、存储期限、使用范围和方式； （四）涉及向境外提供数据的用户投诉及处理情况； （五）发生的数据安全事件及其处置情况； （六）数据出境后再转移的情况； （七）国家网信部门明确向境外提供数据需要报告的其他事项。 第四十一条 国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。 任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。 境内用户访问境内网络的，其流量不得被路由至境外。 第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。 第六章 互联网平台运营者义务 第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。 平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。 第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。 第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。 移动通信终端预装第三方产品适用本条前两款规定。 第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护，非个人通信的信息按照公共信息有关规定进行管理。 第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动： （一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为； （二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为； （三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据； （四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。 第四十七条 提供应用程序分发服务的互联网平台运营者，应当按照有关法律、行政法规和国家网信部门的规定，建立、披露应用程序审核规则，并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序，应当采取拒绝上架、督促整改、下架处置等措施。 第四十八条 互联网平台运营者面向公众提供即时通信服务的，应当按照国务院电信主管部门的规定，为其他互联网平台运营者的即时通信服务提供数据接口，支持不同即时通信服务之间用户数据互通，无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。 第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求： （一）收集个人信息用于个性化推荐时，应当取得个人单独同意； （二）设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数； （三）允许个人删除定向推送信息服务收集产生的个人信息，法律、行政法规另有规定或者与用户另有约定的除外。 第五十条 国家建设网络身份认证公共服务基础设施，按照政府引导、网民自愿原则，提供个人身份认证公共服务。 互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。 第五十一条 互联网平台运营者在为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。 第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息，应当明确调取或者访问的范围、类型、用途、依据，严格限定在履行法定职责范围内，不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。 互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。 第五十三条 大型互联网平台运营者应当通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。 第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的，应当按照国家有关规定进行安全评估。 第七章 监督管理 第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。 公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 主管部门应当明确本行业、本领域数据安全保护工作机构和人员，编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。 主管部门应当定期组织开展本行业、本领域的数据安全风险评估，对数据处理者履行数据安全保护义务情况进行监督检查，指导督促数据处理者及时对存在的风险隐患进行整改。 第五十六条 国家建立健全数据安全应急处置机制，完善网络安全事件应急预案和网络安全信息共享平台，将数据安全事件纳入国家网络安全事件应急响应机制，加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。 第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查： （一）要求数据处理者相关人员就监督检查事项作出说明； （二）查阅、调取与数据安全有关的文档、记录； （三）按照规定程序，利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测； （四）核验数据出境类型、范围等； （五）法律、行政法规、规章规定的其他必要方式。 有关主管、监管部门开展数据安全监督检查，应当客观公正，不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要，不得用于其他用途。 数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合，包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，开放安全相关数据访问、提供必要技术支持等。 第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 主管、监管部门组织开展对重要数据处理活动的审计，重点审计数据处理者履行法律、行政法规规定的义务等情况。 第五十九条 国家支持相关行业组织按照章程，制定数据安全行为规范，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。 国家支持成立个人信息保护行业组织，开展以下活动： （一）接受个人信息保护投诉举报并进行调查、调解； （二）向个人提供信息和咨询服务，支持个人依法对损害个人信息权益的行为提起诉讼； （三）曝光损害个人信息权益的行为，对个人信息保护开展社会监督； （四）向有关部门反映个人信息保护情况、提供咨询、建议； （五）违法处理个人信息、侵害众多个人的权益的行为，依法向人民法院提起诉讼。 第八章 法律责任 第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者导致危害数据安全等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的，由有关部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为，情节严重的，由有关部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的，由有关部门责令改正，给予警告，对违法处理重要数据的系统及应用，责令暂停或者终止提供服务；拒不改正的，并处二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 有前款规定的违法行为，情节严重的，由有关部门责令改正，没收违法所得，并处二百万元以上五百万元以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 第六十三条 关键信息基础设施运营者违反第三十四条的规定，由有关部门责令改正，依照有关法律、行政法规的规定予以处罚。 第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定，由有关部门责令改正，给予警告，暂停数据出境，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第六十五条 违反本条例第三十九条第二款的规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第六十六条 个人和组织违反第四十一条的规定，由有关主管部门责令改正，给予警告、没收违法所得；拒不改正的，处违法所得一倍以上十倍以下的罚款，没有违法所得的，对直接负责的主管人员和其他直接负责人员，处五万元以上五十万元以下罚款；情节严重的，由有关主管部门依照相关法律、行政法规的规定，责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依照相关法律、行政法规的规定处罚。 第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定，由有关部门责令改正，予以警告；拒不改正，处五十万元以上五百万元以下罚款，对直接负责的主管人员和其他直接负责人员，处五万元以上五十万元以下罚款；情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定，由有关主管部门责令改正，给予警告；拒不改正的，处上一年度销售额百分之一以上百分之五以下的罚款；情节严重的，由有关主管部门依照相关法律、行政法规的规定，责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依照相关法律、行政法规的规定处罚。 第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定，由有关主管部门责令改正，予以警告；拒不改正，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第七十条 数据处理者违反本条例规定，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。 第七十一条 国家机关不履行本法规定的数据安全保护义务的，由其上级机关或者履行数据安全管理职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。 第七十二条 在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 第九章 附则 第七十三条 本条例下列用语的含义： （一）网络数据（简称数据）是指任何以电子方式对信息的记录。 （二）数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。 （三）重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。包括以下数据： 1.未公开的政务数据、工作秘密、情报数据和执法司法数据； 2.出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据； 3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等； 4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据； 5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据； 6.国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据； 7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 （四）核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 （五）数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。 （六）公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。 （七）委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。 （八）单独同意是指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。 （九）互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。 （十）大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。 （十一）数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。 （十二）公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。 第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动，按照国家有关规定执行。 第七十五条 本条例自 年 月 日起施行。 阅读全文

11 月 01, 2021 两份重磅文件明确互联网平台分类分级，淘宝、微信、抖音等将迎“超级监管”

来源：钛媒体 时间：10月30日 10月29日，国家市场监督管理总局发布关于对《互联网平台分类分级指南（征求意见稿）》（以下简称《分类分级意见稿》）、《互联网平台落实主体责任指南（征求意见稿）》（以下简称《落实责任意见稿》）公开征求意见的公告。 分类分级：六大类、三级别 《分类分级意见稿》提出，互联网平台拟划分为网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台、计算应用类平台六大类。 图源自《互联网平台分类分级指南（征求意见稿）》 网络销售类平台包括综合商品交易类、垂直商品交易类、商超团购类等；生活服务类平台包括出行服务类、旅游服务类、配送服务类、家政服务类等；社交娱乐类平台包括即时通讯类、游戏休闲类、视听服务类、直播视频类、短视频类、文学类。 值得注意的是，网络直播、短视频等新兴行业被纳入了社交娱乐类平台。直播即专门或者主要从事利用互联网及流媒体技术进行直播的平台。短视频即专门或者主要从事几秒到几分钟不等的短视频内容推送的平台，包括技能分享、幽默搞怪、时尚潮流、社会热点、街头采访、公益教育、广告创意、商业定制等主题。 另外，信息资讯类平台包括新闻门户类、搜索引擎类、用户内容生成（UGC）类、视听资讯类、新闻机构类等；金融服务类平台包括综合金融服务类、支付结算类、消费金融类、金融资讯类、证券投资类等；计算应用类平台包括操作系统类、手机软件（APP）应用商店类、信息管理类、云计算类、网络服务类、工业互联网类等。 与此同时，按照用户规模等,《意见稿》将互联网平台划分为超级平台、大型平台和 中小平台三级。 图源自《互联网平台分类分级指南（征求意见稿）》 其中，超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。超大用户规模，即平台上年度在中国的年活跃用户不低于5亿；超广业务种类，即平台核心业务至少涉及两类平台业务，该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面；超高经济体量，即平台上年底市值（估值）不低于10000亿人民币；超强限制能力，即平台具有超强的限制商户接触消费者（用户）的能力。 按此标准，微信、淘宝、抖音、支付宝等App将按照超级平台管理。 大型平台指同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强限制能力的平台。其中，较大用户规模，即平台上年度在中国的年活跃用户不低于5000万；较广业务种类，即平台具有表现突出的主营业务；较高经济体量，即平台上年底市值（估值）不低于1000亿人民币；较强限制能力，即平台具有较强的限制商户接触消费者（用户）的能力。 中小平台指具有一定用户规模、有限业务种类、有限经济体量、有限限制能力的平台。 超大型平台，匹配“超级监管” 《落实责任意见稿》提出的35条要求涉及公平竞争示范、平等治理、开放生态、数据管理、风险防控、安全审计、反垄断、知识产权保护、网络安全、促进创新等各个方面。其中，13次提及超大型平台经营者应担当的义务与责任。 具体来看，超大型平台经营者在公平竞争示范、平等治理、开放生态、数据管理、内部治理、风险评估、风险防控、安全审计、促进创新九大方面需要落实平台主体责任。 超大型平台经营者具有规模、数据、技术等优势，在与平台内经营者开展公平竞争时，无正当理由，不使用平台内经营者及其用户在使用平台服务时产生或提供的非公开数据。这些平台经营者在提供相关产品或服务时，要平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待。 针对信息安全和隐私安全等，《落实责任意见稿》提出，超大型平台经营者应当建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行，确保数据安全。平台经营者应当确定数据安全责任人，明确相关人员的名单与联系方式。 近年来，互联网大厂腐败事件逐渐上涨，超大型平台经营者应当设置平台合规部门、建立平台内部预防腐败机制及平台内部定期教育培训机制，提高平台整体依法合规经营意识。 在风险评估方面，超大型平台经营者应当至少每年进行一次风险评估，主要包括三大方面——传播非法内容；侵害消费者合法权益；不能正常提供平台服务，导致社会正常生活秩序、公共利益、国家安全受到侵害。经营者要重点考察内容审核系统、广告定向推荐系统、内容推荐与分发系统、平台安全稳定运营系统。 对于上述特定平台经营风险，要建立内容审核或广告推荐审核的内部机制，并定期发布风险评估报告，接受社会监督，并制定其他防范平台风险的应急保障措施。 互联网平台的义务与责任 《落实责任意见稿》中还提及了反垄断、反不正当竞争、数据获取、算法规制、价格行为规范等内容。 首先，互联网平台经营者应当遵守反垄断领域的法律、法规、规章等规定，不得从事垄断协议、滥用市场支配地位等垄断行为。互联网平台经营者在实施经营者集中前，应根据有关法律法规履行申报义务，在获得有关部门批准之前，不得实施集中。 其次，互联网平台经营者不得利用技术手段，通过影响用户选择或者其他方式，实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的不正当竞争行为。互联网平台经营者不得实施混淆行为，引人误认为是他人商品、服务或者与他人存在特定联系。互联网平台经营者不得编造、传播虚假信息或者误导性信息，损害竞争对手商业信誉、商品声誉。互联网平台经营者不得通过虚假交易、组织虚假交易等方式进行虚假宣传，不得帮助平台内经营者实施虚假交易行为，或者为虚假交易行为提供便利条件。 数据获取方面，未经用户同意，互联网平台经营者不得将经由平台服务所获取的个人数据与来自自身其他服务或第三方服务的个人数据合并使用。互联网平台经营者不得以合并个人数据为目的诱导、强迫用户登录并使用自身提供的其他服务。 具体到算法规制，互联网平台经营者利用其掌握的大数据进行产品推荐、订单分配、内容推送、价格形成、业绩考核、奖惩安排等运用时，需要遵守公平、公正、透明的原则，遵守法律、法规，尊重社会公德和基本的科学伦理，不得侵害公民基本权利以及企业合法权益。对于关涉社会公共利益的算法运用，应当遵守国家关于算法监管的有关规定，并接受社会监督。 互联网平台经营者在经营过程中应当遵守价格相关法律、法规，不得利用平台规则和数据、算法等技术手段实施价格歧视、哄抬价格、低价倾销等不正当价格行为，不得利用虚假的或者使人误解的价格手段诱骗消费者交易。互联网平台经营者在组织平台内经营者进行集中促销等活动时，应当对价格领域可能发生的违法违规行为进行专项的合规风险提示，并采取有效管理措施。 除此之外，《落实责任意见稿》对于网络黑灰产、网络安全、数据安全、自然人隐私与个人信息保护都提出了具体要求。 【网络黑灰产治理】互联网平台经营者应当加强对平台内违法犯罪行为的整治，净化网络空间秩序，建设健康有序的网络营商环境。互联网平台经营者与监管部门应积极沟通，建立健全信息共享、会商通报、专项整治、案件协助等工作机制，协同开展网络黑灰产治理工作。 【网络安全】互联网平台经营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问。互联网平台经营者应当制定网络安全事件应急预案，发生网络安全事件时，应当立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。 【数据安全】互联网平台经营者开展数据处理活动应当依照相关规定，落实数据分类分级保护制度相关要求，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。在网络安全等级保护制度的基础上，履行数据安全保护义务。处理重要数据的互联网平台经营者应当明确数据安全负责人和管理机构。 【自然人隐私与个人信息保护】互联网平台经营者在运营中应当切实遵守国家法律、法规以及与自然人隐私和个人信息保护相关的规定，履行自然人隐私与个人信息保护责任。 互联网平台经营者处理的用户个人信息发生或者可能发生泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人；造成或者可能造成严重后果的，应当立即向监管部门报告，配合监管部门进行调查处理，并承担相应责任。 阅读全文

11 月 01, 2021 个人信息保护法今起正式实施 明确不得大数据杀熟

2021.11.01 来源: IT之家 11 月 1 日消息，十三届全国人大常委会第三十次会议 8 月 20 日表决通过了《中华人民共和国个人信息保护法》，自 2021 年 11 月 1 日起施行。 《中华人民共和国个人信息保护法》明确： 通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式； 处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意； 对违法处理个人信息的应用程序，责令暂停或者终止提供服务。 IT之家了解到，个人信息保护法共 8 章 74 条，在有关法律的基础上，进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。 十大亮点： 确立个人信息保护原则。这是收集、使用个人信息的基本遵循，是构建个人信息保护具体规则的制度基础。《个人信息保护法》强调处理个人信息应遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。 规范处理活动保障权益。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益，构建以“告知-同意”为核心的个人信息处理规则。例如，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。 禁止“大数据杀熟”，规范自动化决策。当前，越来越多的企业用大数据分析和评估消费者的个人特征用于商业营销，最典型的就是社会反映突出的“大数据杀熟”。对此，《个人信息保护法》规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。 严格保护敏感个人信息。《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。此外，《个人信息保护法》将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。 规范国家机关处理活动。《个人信息保护法》对国家机关处理个人信息的活动作出规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。 赋予个人充分权利。《个人信息保护法》将个人在个人信息处理活动中的各项权利，总结提升为知情权、决定权，明确个人有权限制个人信息处理；同时，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。此外，《个人信息保护法》还对死者个人信息的保护作了专门规定。 强化个人信息处理者义务。《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息处理活动进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。 赋予大型网络平台特别义务。《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。 规范个人信息跨境流动。当今个人信息的跨境流动日益频繁，但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异，个人信息跨境流动风险越来越难以控制。《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。 健全个人信息保护工作机制。该法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。 阅读全文

10 月 29, 2021 网信办发布数据出境安全评估办法征求意见稿

2021-10-29  稿源：站长之家 站长之家（ChinaZ.com）10月29日 消息:10月29日，国家网信办发布了关于《数据出境安全评估办法（征求意见稿）》公开征求意见的通知，意见反馈截止时间为2021年11月28日。 征求意见稿指出，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 （一）关键信息基础设施的运营者收集和产生的个人信息和重要数据; （二）出境数据中包含重要数据; （三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; （四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息; （五）国家网信部门规定的其他需要申报数据出境安全评估的情形。 同时，数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项: （一）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; （二）出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; （三）数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险; （四）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; （五）数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等; （六）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项: （一）数据出境的目的、范围、方式等的合法性、正当性、必要性; （二）境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求; （三）出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险; （四）数据安全和个人信息权益是否能够得到充分有效保障; （五）数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务; （六）遵守中国法律、行政法规、部门规章情况; （七）国家网信部门认为需要评估的其他事项。 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容: （一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等; （二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施; （三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款; （四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施; （五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款; （六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。 数据出境评估结果有效期二年。在有效期内出现以下情形之一的，数据处理者应当重新申报评估: （一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的; （二）境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的; （三）出现影响出境数据安全的其他情形。 阅读全文

10 月 27, 2021 网信办：未成年注册网络账号应经监护人同意并提供身份证号

2021-10-26 稿源：站长之家 站长之家（ChinaZ.com）10月26日 消息:今日，国家网信办发布了《互联网用户账号名称信息管理规定（征求意见稿）》公开征求意见，意见反馈截止时间为2021年11月10日。 意见要求，互联网用户账号使用者注册、使用的账号名称信息，不得有下列情形: （一）违反《网络信息内容生态治理规定》第六条、第七条规定的; （二）假冒、仿冒、捏造党政军机关、企事业单位和人民团体等组织机构的名称、标识的; （三）假冒、仿冒、捏造新闻媒体的名称、标识，或擅自使用新闻、报道、报刊等具有新闻属性的名称信息的; （四）假冒、仿冒、关联国家行政区域、机构所在地，标志性建筑物等重要空间的地理名称、标识的; （五）故意夹带二维码、网址、邮箱、联系方式等，或者使用同音、谐音、相近文字，拼音、数字、符号、字母和无意义文字等侵犯他人合法权益、谋取非法利益或者损害公共利益的; （六）法律、行政法规禁止的其他行为。 同时，意见明确，互联网用户账号使用者注册账号时，应当与互联网用户账号服务平台签订协议，提供真实身份信息，遵守平台内容生产和账号管理规则、平台公约和服务协议。互联网用户账号使用者在注册、使用账号时，账号名称信息可与使用者的真实职业身份信息相一致。未成年人注册账号时，应当取得其监护人的同意并提供未成年人本人居民身份证号码用于真实身份信息核验。 此外，意见还要求，互联网用户账号服务平台应当采取必要措施，确保其收集、存储的个人信息及账号名称信息安全，防止未经授权的访问及信息泄露、篡改、丢失;未经互联网用户账号使用者授权同意，不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。不得非法买卖互联网用户账号名称信息。互联网用户账号使用者注销账号后，互联网用户账号服务平台应当依法删除其个人信息、账号名称信息。 阅读全文

7 月 14, 2021 工信部：任何组织或个人不得利用漏洞从事危害网络安全的活动

2021-07-13 稿源：站长之家 站长之家（ChinaZ.com）7月13日 消息:今日，工业和信息化部、国家互联网信息办公室、公安部联合印发网络产品安全漏洞管理规定的通知，自2021年9月1日起施行。 通知规定，任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。 此外，从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定: （一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。 （二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。 （三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。 （四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。 （五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。 （六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。 （七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。 （八）法律法规的其他相关规定。 阅读全文

7 月 12, 2021 国家网信办：掌握超过100万用户个人信息运营者赴国外上市需申报审查

2021.07.11 来源: TechWeb.com.cn 【TechWeb】7月11日消息，日前，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》（以下简称：征求意见稿）公开征求意见的通知。征求意见稿指出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。 网络安全审查办法（修订草案征求意见稿）如下： 网络安全审查办法 （修订草案征求意见稿） 第一条：为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。 第二条：关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。 第三条：网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 第四条：在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。 第五条：运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。 关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。 第六条：掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。 第七条：对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。 第八条：运营者申报网络安全审查，应当提交以下材料： （一）申报书； （二）关于影响或可能影响国家安全的分析报告； （三）采购文件、协议、拟签订的合同或拟提交的IPO材料等； （四）网络安全审查工作需要的其他材料。 第九条：网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。 第十条：网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素： （一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险； （二）产品和服务供应中断对关键信息基础设施业务连续性的危害； （三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险； （四）产品和服务提供者遵守中国法律、行政法规、部门规章情况； （五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险； （六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险； （七）其他可能危害关键信息基础设施安全和国家数据安全的因素。 第十一条：网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。 第十二条：网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。 第十三条：按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。 第十四条：特别审查程序一般应当在3个月内完成，情况复杂的可以延长。 第十五条：网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 第十六条：网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。 第十七条：参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。 第十八条：运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。 第十九条：运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。 网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 第二十条：运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。 第二十一条：本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 第二十二条：涉及国家秘密信息的，依照国家有关保密规定执行。 第二十三条：本办法自2021年 月 日起实施，《网络产品和服务安全审查办法（试行）》同时废止。 阅读全文

7 月 09, 2021 市场监管总局等五部门关于印发《公平竞争审查制度实施细则》的通知

来源：市场监管总局网站  成文日期：2021-06-29 市场监管总局等五部门关于印发《公平竞争审查制度实施细则》的通知 国市监反垄规〔2021〕2号 各省、自治区、直辖市人民政府，国务院各部委、各直属机构： 为深入贯彻党中央、国务院决策部署，全面落实公平竞争审查制度，市场监管总局、国家发展改革委、财政部、商务部、司法部会同有关部门修订了《公平竞争审查制度实施细则》，经国务院同意，现印发给你们，请遵照执行。 市场监管总局国家发展改革委财政部商务部司法部2021年6月29日 （此件公开发布） 公平竞争审查制度实施细则 第一章 总则 第一条 为全面落实公平竞争审查制度，健全公平竞争审查机制，规范有效开展审查工作，根据《中华人民共和国反垄断法》、《国务院关于在市场体系建设中建立公平竞争审查制度的意见》（国发〔2016〕34号，以下简称《意见》），制定本细则。 第二条 行政机关以及法律、法规授权的具有管理公共事务职能的组织（以下统称政策制定机关），在制定市场准入和退出、产业发展、招商引资、招标投标、政府采购、经营行为规范、资质标准等涉及市场主体经济活动的规章、规范性文件、其他政策性文件以及“一事一议”形式的具体政策措施（以下统称政策措施）时，应当进行公平竞争审查，评估对市场竞争的影响，防止排除、限制市场竞争。 经公平竞争审查认为不具有排除、限制竞争效果或者符合例外规定的，可以实施；具有排除、限制竞争效果且不符合例外规定的，应当不予出台或者调整至符合相关要求后出台；未经公平竞争审查的，不得出台。 第三条 涉及市场主体经济活动的行政法规、国务院制定的政策措施，以及政府部门负责起草的地方性法规、自治条例和单行条例，由起草部门在起草过程中按照本细则规定进行公平竞争审查。未经公平竞争审查的，不得提交审议。 以县级以上地方各级人民政府名义出台的政策措施，由起草部门或者本级人民政府指定的相关部门进行公平竞争审查。起草部门在审查过程中，可以会同本级市场监管部门进行公平竞争审查。未经审查的，不得提交审议。 以多个部门名义联合制定出台的政策措施，由牵头部门负责公平竞争审查，其他部门在各自职责范围内参与公平竞争审查。政策措施涉及其他部门职权的，政策制定机关在公平竞争审查中应当充分征求其意见。 第四条 市场监管总局、发展改革委、财政部、商务部会同有关部门，建立健全公平竞争审查工作部际联席会议制度，统筹协调和监督指导全国公平竞争审查工作。 县级以上地方各级人民政府负责建立健全本地区公平竞争审查工作联席会议制度（以下简称联席会议），统筹协调和监督指导本地区公平竞争审查工作，原则上由本级人民政府分管负责同志担任联席会议召集人。联席会议办公室设在市场监管部门，承担联席会议日常工作。 地方各级联席会议应当每年向本级人民政府和上一级联席会议报告本地区公平竞争审查制度实施情况，接受其指导和监督。 第二章 审查机制和程序 第五条 政策制定机关应当建立健全公平竞争内部审查机制，明确审查机构和程序，可以由政策制定机关的具体业务机构负责，也可以采取内部特定机构统一审查或者由具体业务机构初审后提交特定机构复核等方式。 第六条 政策制定机关开展公平竞争审查应当遵循审查基本流程（可参考附件1），识别相关政策措施是否属于审查对象、判断是否违反审查标准、分析是否适用例外规定。属于审查对象的，经审查后应当形成明确的书面审查结论。审查结论应当包括政策措施名称、涉及行业领域、性质类别、起草机构、审查机构、征求意见情况、审查结论、适用例外规定情况、审查机构主要负责人意见等内容（可参考附件2）。政策措施出台后，审查结论由政策制定机关存档备查。 未形成书面审查结论出台政策措施的，视为未进行公平竞争审查。 第七条 政策制定机关开展公平竞争审查，应当以适当方式征求利害关系人意见，或者通过政府部门网站、政务新媒体等便于社会公众知晓的方式公开征求意见，并在书面审查结论中说明征求意见情况。 在起草政策措施的其他环节已征求过利害关系人意见或者向社会公开征求意见的，可以不再专门就公平竞争审查问题征求意见。对出台前需要保密或者有正当理由需要限定知悉范围的政策措施，由政策制定机关按照相关法律法规处理。 利害关系人指参与相关市场竞争的经营者、上下游经营者、行业协会商会、消费者以及政策措施可能影响其公平参与市场竞争的其他市场主体。 第八条 政策制定机关进行公平竞争审查，可以咨询专家学者、法律顾问、专业机构的意见。征求上述方面意见的，应当在书面审查结论中说明有关情况。 各级联席会议办公室可以根据实际工作需要，建立公平竞争审查工作专家库，便于政策制定机关进行咨询。 第九条 政策制定机关可以就公平竞争审查中遇到的具体问题，向本级联席会议办公室提出咨询。提出咨询请求的政策制定机关，应当提供书面咨询函、政策措施文稿、起草说明、相关法律法规依据及其他相关材料。联席会议办公室应当在收到书面咨询函后及时研究回复。 对涉及重大公共利益，且在制定过程中被多个单位或者个人反映或者举报涉嫌排除、限制竞争的政策措施，本级联席会议办公室可以主动向政策制定机关提出公平竞争审查意见。 第十条 对多个部门联合制定或者涉及多个部门职责的政策措施，在公平竞争审查中出现较大争议或者部门意见难以协调一致时，政策制定机关可以提请本级联席会议协调。联席会议办公室认为确有必要的，可以根据相关工作规则召开会议进行协调。仍无法协调一致的，由政策制定机关提交上级机关决定。 第十一条 政策制定机关应当对本年度公平竞争审查工作进行总结，于次年1月15日前将书面总结报告报送本级联席会议办公室。 地方各级联席会议办公室汇总形成本级公平竞争审查工作总体情况，于次年1月20日前报送本级人民政府和上一级联席会议办公室，并以适当方式向社会公开。 第十二条 对经公平竞争审查后出台的政策措施，政策制定机关应当对其影响统一市场和公平竞争的情况进行定期评估。评估报告应当向社会公开征求意见，评估结果应当向社会公开。经评估认为妨碍统一市场和公平竞争的，应当及时废止或者修改完善。定期评估可以每三年进行一次，或者在定期清理规章、规范性文件时一并评估。 第三章 审查标准 第十三条 市场准入和退出标准。 （一）不得设置不合理或者歧视性的准入和退出条件，包括但不限于： 1.设置明显不必要或者超出实际需要的准入和退出条件，排斥或者限制经营者参与市场竞争； 2.没有法律、行政法规或者国务院规定依据，对不同所有制、地区、组织形式的经营者实施不合理的差别化待遇，设置不平等的市场准入和退出条件； 3.没有法律、行政法规或者国务院规定依据，以备案、登记、注册、目录、年检、年报、监制、认定、认证、认可、检验、监测、审定、指定、配号、复检、复审、换证、要求设立分支机构以及其他任何形式，设定或者变相设定市场准入障碍； 4.没有法律、行政法规或者国务院规定依据，对企业注销、破产、挂牌转让、搬迁转移等设定或者变相设定市场退出障碍； 5.以行政许可、行政检查、行政处罚、行政强制等方式，强制或者变相强制企业转让技术，设定或者变相设定市场准入和退出障碍。 （二）未经公平竞争不得授予经营者特许经营权，包括但不限于： 1.在一般竞争性领域实施特许经营或者以特许经营为名增设行政许可； 2.未明确特许经营权期限或者未经法定程序延长特许经营权期限； 3.未依法采取招标、竞争性谈判等竞争方式，直接将特许经营权授予特定经营者； 4.设置歧视性条件，使经营者无法公平参与特许经营权竞争。 （三）不得限定经营、购买、使用特定经营者提供的商品和服务，包括但不限于： 1.以明确要求、暗示、拒绝或者拖延行政审批、重复检查、不予接入平台或者网络、违法违规给予奖励补贴等方式，限定或者变相限定经营、购买、使用特定经营者提供的商品和服务； 2.在招标投标、政府采购中限定投标人所在地、所有制形式、组织形式，或者设定其他不合理的条件排斥或者限制经营者参与招标投标、政府采购活动； 3.没有法律、行政法规或者国务院规定依据，通过设置不合理的项目库、名录库、备选库、资格库等条件，排斥或限制潜在经营者提供商品和服务。 （四）不得设置没有法律、行政法规或者国务院规定依据的审批或者具有行政审批性质的事前备案程序，包括但不限于： 1.没有法律、行政法规或者国务院规定依据，增设行政审批事项，增加行政审批环节、条件和程序； 2.没有法律、行政法规或者国务院规定依据，设置具有行政审批性质的前置性备案程序。 （五）不得对市场准入负面清单以外的行业、领域、业务等设置审批程序，主要指没有法律、行政法规或者国务院规定依据，采取禁止进入、限制市场主体资质、限制股权比例、限制经营范围和商业模式等方式，限制或者变相限制市场准入。 第十四条 商品和要素自由流动标准。 （一）不得对外地和进口商品、服务实行歧视性价格和歧视性补贴政策，包括但不限于: 1.制定政府定价或者政府指导价时，对外地和进口同类商品、服务制定歧视性价格； 2.对相关商品、服务进行补贴时，对外地同类商品、服务，国际经贸协定允许外的进口同类商品以及我国作出国际承诺的进口同类服务不予补贴或者给予较低补贴。 （二）不得限制外地和进口商品、服务进入本地市场或者阻碍本地商品运出、服务输出，包括但不限于： 1.对外地商品、服务规定与本地同类商品、服务不同的技术要求、检验标准，或者采取重复检验、重复认证等歧视性技术措施； 2.对进口商品规定与本地同类商品不同的技术要求、检验标准，或者采取重复检验、重复认证等歧视性技术措施； 3.没有法律、行政法规或者国务院规定依据，对进口服务规定与本地同类服务不同的技术要求、检验标准，或者采取重复检验、重复认证等歧视性技术措施； 4.设置专门针对外地和进口商品、服务的专营、专卖、审批、许可、备案，或者规定不同的条件、程序和期限等； 5.在道路、车站、港口、航空港或者本行政区域边界设置关卡，阻碍外地和进口商品、服务进入本地市场或者本地商品运出和服务输出； 6.通过软件或者互联网设置屏蔽以及采取其他手段，阻碍外地和进口商品、服务进入本地市场或者本地商品运出和服务输出。 （三）不得排斥或者限制外地经营者参加本地招标投标活动，包括但不限于： 1.不依法及时、有效、完整地发布招标信息； 2.直接规定外地经营者不能参与本地特定的招标投标活动； 3.对外地经营者设定歧视性的资质资格要求或者评标评审标准； 4.将经营者在本地区的业绩、所获得的奖项荣誉作为投标条件、加分条件、中标条件或者用于评价企业信用等级，限制或者变相限制外地经营者参加本地招标投标活动； 5.没有法律、行政法规或者国务院规定依据，要求经营者在本地注册设立分支机构，在本地拥有一定办公面积，在本地缴纳社会保险等，限制或者变相限制外地经营者参加本地招标投标活动； 6.通过设定与招标项目的具体特点和实际需要不相适应或者与合同履行无关的资格、技术和商务条件，限制或者变相限制外地经营者参加本地招标投标活动。 （四）不得排斥、限制或者强制外地经营者在本地投资或者设立分支机构，包括但不限于： 1.直接拒绝外地经营者在本地投资或者设立分支机构； 2.没有法律、行政法规或者国务院规定依据，对外地经营者在本地投资的规模、方式以及设立分支机构的地址、模式等进行限制； 3.没有法律、行政法规或者国务院规定依据，直接强制外地经营者在本地投资或者设立分支机构； 4.没有法律、行政法规或者国务院规定依据，将在本地投资或者设立分支机构作为参与本地招标投标、享受补贴和优惠政策等的必要条件，变相强制外地经营者在本地投资或者设立分支机构。 （五）不得对外地经营者在本地的投资或者设立的分支机构实行歧视性待遇，侵害其合法权益，包括但不限于： 1.对外地经营者在本地的投资不给予与本地经营者同等的政策待遇； 2.对外地经营者在本地设立的分支机构在经营规模、经营方式、税费缴纳等方面规定与本地经营者不同的要求； 3.在节能环保、安全生产、健康卫生、工程质量、市场监管等方面，对外地经营者在本地设立的分支机构规定歧视性监管标准和要求。 第十五条 影响生产经营成本标准。 （一）不得违法给予特定经营者优惠政策，包括但不限于： 1.没有法律、行政法规或者国务院规定依据，给予特定经营者财政奖励和补贴； 2.没有专门的税收法律、法规和国务院规定依据，给予特定经营者税收优惠政策； 3.没有法律、行政法规或者国务院规定依据，在土地、劳动力、资本、技术、数据等要素获取方面，给予特定经营者优惠政策； 4.没有法律、行政法规或者国务院规定依据，在环保标准、排污权限等方面给予特定经营者特殊待遇； 5.没有法律、行政法规或者国务院规定依据，对特定经营者减免、缓征或停征行政事业性收费、政府性基金、住房公积金等。 给予特定经营者的优惠政策应当依法公开。 （二）安排财政支出一般不得与特定经营者缴纳的税收或非税收入挂钩，主要指根据特定经营者缴纳的税收或者非税收入情况，采取列收列支或者违法违规采取先征后返、即征即退等形式，对特定经营者进行返还，或者给予特定经营者财政奖励或补贴、减免土地等自然资源有偿使用收入等优惠政策。 （三）不得违法违规减免或者缓征特定经营者应当缴纳的社会保险费用，主要指没有法律、行政法规或者国务院规定依据，根据经营者规模、所有制形式、组织形式、地区等因素，减免或者缓征特定经营者需要缴纳的基本养老保险费、基本医疗保险费、失业保险费、工伤保险费、生育保险费等。 （四）不得在法律规定之外要求经营者提供或扣留经营者各类保证金，包括但不限于： 1.没有法律、行政法规依据或者经国务院批准，要求经营者交纳各类保证金； 2.限定只能以现金形式交纳投标保证金或履约保证金； 3.在经营者履行相关程序或者完成相关事项后，不依法退还经营者交纳的保证金及银行同期存款利息。 第十六条 影响生产经营行为标准。 （一）不得强制经营者从事《中华人民共和国反垄断法》禁止的垄断行为，主要指以行政命令、行政授权、行政指导等方式或者通过行业协会商会，强制、组织或者引导经营者达成垄断协议、滥用市场支配地位，以及实施具有或者可能具有排除、限制竞争效果的经营者集中等行为。 （二）不得违法披露或者违法要求经营者披露生产经营敏感信息，为经营者实施垄断行为提供便利条件。生产经营敏感信息是指除依据法律、行政法规或者国务院规定需要公开之外，生产经营者未主动公开，通过公开渠道无法采集的生产经营数据。主要包括：拟定价格、成本、营业收入、利润、生产数量、销售数量、生产销售计划、进出口数量、经销商信息、终端客户信息等。 （三）不得超越定价权限进行政府定价，包括但不限于： 1.对实行政府指导价的商品、服务进行政府定价； 2.对不属于本级政府定价目录范围内的商品、服务制定政府定价或者政府指导价； 3.违反《中华人民共和国价格法》等法律法规采取价格干预措施。 （四）不得违法干预实行市场调节价的商品和服务的价格水平，包括但不限于： 1.制定公布商品和服务的统一执行价、参考价； 2.规定商品和服务的最高或者最低限价； 3.干预影响商品和服务价格水平的手续费、折扣或者其他费用。 第四章 例外规定 第十七条 属于下列情形之一的政策措施，虽然在一定程度上具有限制竞争的效果，但在符合规定的情况下可以出台实施： （一）维护国家经济安全、文化安全、科技安全或者涉及国防建设的； （二）为实现扶贫开发、救灾救助等社会保障目的； （三）为实现节约能源资源、保护生态环境、维护公共卫生健康安全等社会公共利益的； （四）法律、行政法规规定的其他情形。 属于前款第一项至第三项情形的，政策制定机关应当说明相关政策措施对实现政策目的不可或缺，且不会严重限制市场竞争，并明确实施期限。 第十八条 政策制定机关应当在书面审查结论中说明政策措施是否适用例外规定。认为适用例外规定的，应当对符合适用例外规定的情形和条件进行详细说明。 第十九条 政策制定机关应当逐年评估适用例外规定的政策措施的实施效果，形成书面评估报告。实施期限到期或者未达到预期效果的政策措施，应当及时停止执行或者进行调整。 第五章 第三方评估 第二十条 政策制定机关可以根据工作实际，委托具备相应评估能力的高等院校、科研院所、专业咨询公司等第三方机构，对有关政策措施进行公平竞争评估，或者对公平竞争审查有关工作进行评估。 各级联席会议办公室可以委托第三方机构，对本地公平竞争审查制度总体实施情况开展评估。 第二十一条 政策制定机关在开展公平竞争审查工作的以下阶段和环节，均可以采取第三方评估方式进行： （一）对拟出台的政策措施进行公平竞争审查； （二）对经公平竞争审查出台的政策措施进行定期评估； （三）对适用例外规定出台的政策措施进行逐年评估； （四）对公平竞争审查制度实施情况进行综合评价； （五）与公平竞争审查工作相关的其他阶段和环节。 第二十二条 对拟出台的政策措施进行公平竞争审查时，存在以下情形之一的，应当引入第三方评估： （一）政策制定机关拟适用例外规定的； （二）被多个单位或者个人反映或者举报涉嫌违反公平竞争审查标准的。 第二十三条 第三方评估结果作为政策制定机关开展公平竞争审查、评价制度实施成效、制定工作推进方案的重要参考。对拟出台的政策措施进行第三方评估的，政策制定机关应当在书面审查结论中说明评估情况。最终做出的审查结论与第三方评估结果不一致的，应当在书面审查结论中说明理由。 第二十四条 第三方评估经费纳入预算管理。政策制定机关依法依规做好第三方评估经费保障。 第六章 监督与责任追究 第二十五条 政策制定机关涉嫌未进行公平竞争审查或者违反审查标准出台政策措施的，任何单位和个人可以向政策制定机关反映，也可以向政策制定机关的上级机关或者本级及以上市场监管部门举报。反映或者举报采用书面形式并提供相关事实依据的，有关部门要及时予以处理。涉嫌违反《中华人民共和国反垄断法》的，由反垄断执法机构依法调查。 第二十六条 政策制定机关未进行公平竞争审查出台政策措施的，应当及时补做审查。发现存在违反公平竞争审查标准问题的，应当按照相关程序停止执行或者调整相关政策措施。停止执行或者调整相关政策措施的，应当依照《中华人民共和国政府信息公开条例》要求向社会公开。 第二十七条 政策制定机关的上级机关经核实认定政策制定机关未进行公平竞争审查或者违反审查标准出台政策措施的，应当责令其改正；拒不改正或者不及时改正的，对直接负责的主管人员和其他直接责任人员依据《中华人民共和国公务员法》、《中华人民共和国公职人员政务处分法》、《行政机关公务员处分条例》等法律法规给予处分。本级及以上市场监管部门可以向政策制定机关或者其上级机关提出整改建议；整改情况要及时向有关方面反馈。违反《中华人民共和国反垄断法》的，反垄断执法机构可以向有关上级机关提出依法处理的建议。相关处理决定和建议依法向社会公开。 第二十八条 市场监管总局负责牵头组织政策措施抽查，检查有关政策措施是否履行审查程序、审查流程是否规范、审查结论是否准确等。对市场主体反映比较强烈、问题比较集中、滥用行政权力排除限制竞争行为多发的行业和地区，进行重点抽查。抽查结果及时反馈被抽查单位，并以适当方式向社会公开。对抽查发现的排除、限制竞争问题，被抽查单位应当及时整改。 各地应当结合实际，建立本地区政策措施抽查机制。 第二十九条 县级以上地方各级人民政府建立健全公平竞争审查考核制度，对落实公平竞争审查制度成效显著的单位予以表扬激励，对工作推进不力的进行督促整改，对工作中出现问题并造成不良后果的依法依规严肃处理。 第七章 附则 第三十条 各地区、各部门在遵循《意见》和本细则规定的基础上，可以根据本地区、本行业实际情况，制定公平竞争审查工作办法和具体措施。 第三十一条 本细则自公布之日起实施。《公平竞争审查制度实施细则（暂行）》（发改价监〔2017〕1849号）同时废止。 附件：1.公平竞争审查基本流程 　　　2.公平竞争审查表 阅读全文

7 月 05, 2021 国家市场监管总局：低价倾销、大数据杀熟等价格违法行为将被罚

2021.07.03 来源: TechWeb.com.cn 【TechWeb】7月3日消息，昨日，国家市场监管总局发布关于《价格违法行为行政处罚规定（修订征求意见稿）》公开征求意见的公告，称为贯彻落实1月20日国务院常务会议部署，加快修订价格违法行为行政处罚等方面法规，及时修改或废除不合理的行政处罚事项，更大激发市场主体活力，市场监管总局起草了《价格违法行为行政处罚规定（修订征求意见稿）》，现向社会公开征求意见。欢迎各有关单位和个人提出意见和建议，并于2021年8月2日前反馈市场监管总局。 以下为《价格违法行为行政处罚规定（修订征求意见稿）》主要条款： 【低价倾销】修订征求意见稿规定，为了排挤竞争对手或者独占市场，以低于成本的价格倾销，扰乱正常的生产经营秩序，损害国家利益或者其他经营者的合法权益的，责令改正，没收违法所得，可以并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【价格歧视】提供相同商品或者服务，对具有同等交易条件的其他经营者实行价格歧视的，责令改正，没收违法所得，并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【价格串通】相互串通，操纵市场价格，造成商品价格较大幅度上涨的，责令改正，没收违法所得，并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【哄抬价格】在市场供应紧张、价格发生异常波动期间，捏造、散布涨价信息，扰乱市场价格秩序的；除生产自用外，超出正常的存储数量或者存储周期，大量囤积商品不出售或少量出售，经价格监督管理部门告诫仍继续囤积的；通过强制搭售、高额收取或大幅提高其他费用等方式，推动商品或服务价格过快、过高上涨的。责令改正，没收违法所得，并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额或所囤积货值1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【价格欺诈】利用虚假的或者使人误解的价格手段，诱骗消费者或者其他经营者与其进行交易的，构成价格欺诈，责令改正，没收违法所得，并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【抬级抬价、压级压价】采取抬高等级或者压低等级等手段销售、收购商品或者提供服务，变相提高或者压低价格的，责令改正，没收违法所得，并处违法所得5倍以下的罚款；没有违法所得的，给予警告，可以并处违法行为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿，或者吊销营业执照。 【不执行政府指导价、政府定价】 经营者不执行政府 指导价、政府定价，有下列行为之一的，责令改正，没收违法所得， 并处违法所得5倍以下的罚款；没有违法所得的，可以并处违法行 为发生期间销售额1%以上10%以下的罚款；情节严重的，责令停业整顿。 【新业态中的价格违法】电子商务平台经营者利用大数据分析、算法等技术手段，根据消费者或者其他经营者的偏好、交易习惯等特征，基于成本或正当营销策略之外的因素，对同一商品或服务在同等交易条件下设置不同价格的；为了排挤竞争对手或者独占市场，尚不具有市场支配地位的电子商务平台经营者通过补贴等形式以低于成本的价格倾销，扰乱正常的生产经营秩序，损害国家利益或者其他经营者的合法权益的。行政法规、部门规章规定的电子商务平台竞争者的其他不正当价格行为。给予警告，可以并处上一年度销售总额1‰以上5‰以下的罚款，有违法所得的，没收违法所得；情节严重的，责令停业整顿，或者吊销营业执照。 【明码标价】不标明价格的；不按照规定的内容和方式明码标价的；在标价之外加价出售商品或者收取未标明的费用的；违反明码标价规定的其他行为。责令改正，没收违法所得，可以并处5000元以下的罚款；未实际损害消费者或其他经营者知情权并及时改正的，给予警告或者通报批评，或者不予处罚。 阅读全文

6 月 18, 2021 《中华人民共和国数据安全法》正式发布

来源:新华社  时间：2021-06-11 中华人民共和国数据安全法 （2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过）   目录 第一章　总则 第二章　数据安全与发展 第三章　数据安全制度  第四章　数据安全保护义务 第五章　政务数据安全与开放 第六章　法律责任 第七章　附则 第一章　总则 第一条　为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。 第二条　在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。  在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 第三条　本法所称数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 第四条　维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。  第五条　中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。  第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。  公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。  国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。 第七条　国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。 第八条　开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。 第九条　国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。 第十条　相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。 第十一条　国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。  第十二条　任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。 有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。 第二章　数据安全与发展  第十三条　国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。  第十四条　国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。 省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。 第十五条　国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。  第十六条　国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。 第十七条　国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 第十八条　国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。 国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。 第十九条　国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。 第二十条　国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。 第三章　数据安全制度 第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。  关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。 第二十二条　国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 第二十三条　国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。 第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。 依法作出的安全审查决定为最终决定。 第二十五条　国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 第二十六条　任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。 第四章　数据安全保护义务 第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。 第二十八条　开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。 第二十九条　开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。 第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。 第三十一条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。 第三十二条　任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。 第三十三条　从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。 第三十四条　法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。 第三十五条　公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。  第三十六条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第五章　政务数据安全与开放 第三十七条　国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。 第三十八条　国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。  第三十九条　国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。 第四十条　国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。  第四十一条　国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。 第四十二条　国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。 第四十三条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定。 第六章　法律责任 第四十四条　有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。 第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。 第四十六条　违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第四十七条　从事数据交易中介服务的机构未履行本法第三十三条规定的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。  第四十八条　违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。 第五十条　履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。 第五十一条　窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。 第五十二条　违反本法规定，给他人造成损害的，依法承担民事责任。 违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。 第七章　附则 第五十三条　开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。  在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。 第五十四条　军事数据安全保护的办法，由中央军事委员会依据本法另行制定。 第五十五条　本法自2021年9月1日起施行。 阅读全文