近日,《網絡數據安全管理條例》正式對外公布,自2025年1月1日起施行。
“條例”指出,國家鼓勵網絡數據在各行業(yè)、各領域的創(chuàng)新應用,加強網絡數據安全防護能力建設,支持網絡數據相關技術、產品、服務創(chuàng)新,開展網絡數據安全宣傳教育和人才培養(yǎng),促進網絡數據開發(fā)利用和產業(yè)發(fā)展。
國家根據網絡數據在經濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對網絡數據實行分類分級保護。
“條例”明確,任何個人、組織不得利用網絡數據從事非法活動,不得從事竊取或者以其他非法方式獲取網絡數據、非法出售或者非法向他人提供網絡數據等非法網絡數據處理活動。任何個人、組織不得提供專門用于從事前款非法活動的程序、工具;明知他人從事前款非法活動的,不得為其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助。
網絡數據安全事件對個人、組織合法權益造成危害的,網絡數據處理者應當及時將安全事件和風險情況、危害后果、已經采取的補救措施等,以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關系人;法律、行政法規(guī)規(guī)定可以不通知的,從其規(guī)定。網絡數據處理者在處置網絡數據安全事件過程中發(fā)現涉嫌違法犯罪線索的,應當按照規(guī)定向公安機關、國家安全機關報案,并配合開展偵查、調查和處置工作。
網絡數據處理者向其他網絡數據處理者提供、委托處理個人信息和重要數據的,應當通過合同等與網絡數據接收方約定處理目的、方式、范圍以及安全保護義務等,并對網絡數據接收方履行義務的情況進行監(jiān)督。向其他網絡數據處理者提供、委托處理個人信息和重要數據的處理情況記錄,應當至少保存3年。
對于“個人信息保護”方面明確,個人請求查閱、復制、更正、補充、刪除、限制處理其個人信息,或者個人注銷賬號、撤回同意的,網絡數據處理者應當及時受理,并提供便捷的支持個人行使權利的方法和途徑,不得設置不合理條件限制個人的合理請求。
因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息,以及個人注銷賬號的,網絡數據處理者應當刪除個人信息或者進行匿名化處理。法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除、匿名化處理個人信息從技術上難以實現的,網絡數據處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
“重要數據安全”方面,掌握有關主管部門規(guī)定的特定種類、規(guī)模的重要數據的網絡數據處理者,應當對網絡數據安全負責人和關鍵崗位的人員進行安全背景審查,加強相關人員培訓。審查時,可以申請公安機關、國家安全機關協助。
重要數據的處理者因合并、分立、解散、破產等可能影響重要數據安全的,應當采取措施保障網絡數據安全,并向省級以上有關主管部門報告重要數據處置方案、接收方的名稱或者姓名和聯系方式等;主管部門不明確的,應當向省級以上數據安全工作協調機制報告。
“網絡平臺服務提供者義務”方面,國家鼓勵保險公司開發(fā)網絡數據損害賠償責任險種,鼓勵網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者投保。
提供應用程序分發(fā)服務的網絡平臺服務提供者,應當建立應用程序核驗規(guī)則并開展網絡數據安全相關核驗。發(fā)現待分發(fā)或者已分發(fā)的應用程序不符合法律、行政法規(guī)的規(guī)定或者國家標準的強制性要求的,應當采取警示、不予分發(fā)、暫停分發(fā)或者終止分發(fā)等措施。
大型網絡平臺服務提供者應當每年度發(fā)布個人信息保護社會責任報告,報告內容包括但不限于個人信息保護措施和成效、個人行使權利的申請受理情況、主要由外部成員組成的個人信息保護監(jiān)督機構履行職責情況等。