11 月 14 日訊息，國家網際網路資訊辦公室今日釋出關於《網路資料安全管理條例（徵求意見稿）》公開徵求意見的通知，向社會公開徵求意見，反饋截止時間為 2021 年 12 月 13 日。

瞭解到，《網路資料安全管理條例（徵求意見稿）》指出，國家建立資料分類分級保護制度。按照資料對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將資料分為一般資料、重要資料、核心資料，不同級別的資料採取不同的保護措施。國家對個人資訊和重要資料進行重點保護，對核心資料實行嚴格保護。

《網路資料安全管理條例（徵求意見稿）》全文：點此檢視

第三章 個人資訊保護

第十九條資料處理者處理個人資訊，應當具有明確、合理的目的，遵循合法、正當、必要的原則。基於個人同意處理個人資訊的，應當滿足以下要求：

• （一）處理的個人資訊是提供服務所必需的，或者是履行法律、行政法規規定的義務所必需的；

• （二）限於實現處理目的最短週期、最低頻次，採取對個人權益影響最小的方式；

• （三）不得因個人拒絕提供服務必需的個人資訊以外的資訊，拒絕提供服務或者干擾個人正常使用服務。

第二十條資料處理者處理個人資訊，應當制定個人資訊處理規則並嚴格遵守。個人資訊處理規則應當集中公開展示、易於訪問並置於醒目位置，內容明確具體、簡明通俗，系統全面地向個人說明個人資訊處理情況。

個人資訊處理規則應當包括但不限於以下內容：

• （一）依據產品或者服務的功能明確所需的個人資訊，以清單形式列明每項功能處理個人資訊的目的、用途、方式、種類、頻次或者時機、儲存地點等，以及拒絕處理個人資訊對個人的影響；

• （二）個人資訊儲存期限或者個人資訊儲存期限的確定方法、到期後的處理方式；

• （三）個人查閱、複製、更正、刪除、限制處理、轉移個人資訊，以及登出賬號、撤回處理個人資訊同意的途徑和方法；

• （四）以集中展示等便利使用者訪問的方式說明產品服務中嵌入的所有收集個人資訊的第三方程式碼、外掛的名稱，以及每個第三方程式碼、外掛收集個人資訊的目的、方式、種類、頻次或者時機及其個人資訊處理規則；

• （五）向第三方提供個人資訊情形及其目的、方式、種類，資料接收方相關資訊等；

• （六）個人資訊保安風險及保護措施；

• （七）個人資訊保安問題的投訴、舉報渠道及解決途徑，個人資訊保護負責人聯絡方式。

第二十一條處理個人資訊應當取得個人同意的，資料處理者應當遵守以下規定：

• （一）按照服務型別分別向個人申請處理個人資訊的同意，不得使用概括性條款取得同意；

• （二）處理個人生物識別、信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人資訊應當取得個人單獨同意；

• （三）處理不滿十四周歲未成年人的個人資訊，應當取得其監護人同意；

• （四）不得以改善服務質量、提升使用者體驗、研發新產品等為由，強迫個人同意處理其個人資訊；

• （五）不得通過誤導、欺詐、脅迫等方式獲得個人的同意；

• （六）不得通過捆綁不同型別服務、批量申請同意等方式誘導、強迫個人進行批量個人資訊同意；

• （七）不得超出個人授權同意的範圍處理個人資訊；

• （八）不得在個人明確表示不同意後，頻繁徵求同意、干擾正常使用服務。

個人資訊的處理目的、處理方式和處理的個人資訊種類發生變更的，資料處理者應當重新取得個人同意，並同步修改個人資訊處理規則。

對個人同意行為有效性存在爭議的，資料處理者負有舉證責任。

第二十二條有下列情況之一的，資料處理者應當在十五個工作日內刪除個人資訊或者進行匿名化處理：

• （一）已實現個人資訊處理目的或者實現處理目的不再必要；

• （二）達到與使用者約定或者個人資訊處理規則明確的儲存期限；

• （三）終止服務或者個人登出賬號；

• （四）因使用自動化採集技術等，無法避免採集到的非必要個人資訊或者未經個人同意的個人資訊。

刪除個人資訊從技術上難以實現，或者因業務複雜等原因，在十五個工作日內刪除個人資訊確有困難的，資料處理者不得開展除儲存和採取必要的安全保護措施之外的處理，並應當向個人作出合理解釋。

法律、行政法規另有規定的從其規定。

第二十三條個人提出查閱、複製、更正、補充、限制處理、刪除其個人資訊的合理請求的，資料處理者應當履行以下義務：

• （一）提供便捷的支援個人結構化查詢本人被收集的個人資訊型別、數量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；

• （二）提供便捷的支援個人複製、更正、補充、限制處理、刪除其個人資訊、撤回授權同意以及登出賬號的功能，且不得設定不合理條件；

• （三）收到個人複製、更正、補充、限制處理、刪除本人個人資訊、撤回授權同意或者登出賬號申請的，應當在十五個工作日內處理並反饋。

法律、行政法規另有規定的從其規定。

第二十四條符合下列條件的個人資訊轉移請求，資料處理者應當為個人指定的其他資料處理者訪問、獲取其個人資訊提供轉移服務：

• （一）請求轉移的個人資訊是基於同意或者訂立、履行合同所必需而收集的個人資訊；

• （二）請求轉移的個人資訊是本人資訊或者請求人合法獲得且不違揹他人意願的他人資訊；

• （三）能夠驗證請求人的合法身份。

資料處理者發現接收個人資訊的其他資料處理者有非法處理個人資訊風險的，應當對個人資訊轉移請求做合理的風險提示。

請求轉移個人資訊次數明顯超出合理範圍的，資料處理者可以收取合理費用。

第二十五條資料處理者利用生物特徵進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特徵資訊。

法律、行政法規另有規定的從其規定。

第二十六條資料處理者處理一百萬人以上個人資訊的，還應當遵守本條例第四章對重要資料的處理者作出的規定。

第六章 網際網路平臺運營者義務

第四十三條網際網路平臺運營者應當建立與資料相關的平臺規則、隱私政策和演算法策略披露制度，及時披露制定程式、裁決程式，保障平臺規則、隱私政策、演算法公平公正。

平臺規則、隱私政策制定或者對使用者權益有重大影響的修訂，網際網路平臺運營者應當在其官方網站、個人資訊保護相關行業協會網際網路平臺面向社會公開徵求意見，徵求意見時長不得少於三十個工作日，確保使用者能夠便捷充分表達意見。網際網路平臺運營者應當充分採納公眾意見，修改完善平臺規則、隱私政策，並以易於使用者訪問的方式公佈意見採納情況，說明未採納的理由，接受社會監督。

日活使用者超過一億的大型網際網路平臺運營者平臺規則、隱私政策制定或者對使用者權益有重大影響的修訂的，應當經國家網信部門認定的第三方機構評估，並報省級及以上網信部門和電信主管部門同意。

第四十四條網際網路平臺運營者應當對接入其平臺的第三方產品和服務承擔資料安全管理責任，通過合同等形式明確第三方的資料安全責任義務，並督促第三方加強資料安全管理，採取必要的資料安全保護措施。

第三方產品和服務對使用者造成損害的，使用者可以要求網際網路平臺運營者先行賠償。

行動通訊終端預裝第三方產品適用本條前兩款規定。

第四十五條國家鼓勵提供即時通訊服務的網際網路平臺運營者從功能設計上為使用者提供個人通訊和非個人通訊選擇。個人通訊的資訊按照個人資訊保護要求嚴格保護，非個人通訊的資訊按照公共資訊有關規定進行管理。

第四十六條網際網路平臺運營者不得利用資料以及平臺規則等從事以下活動：

• （一）利用平臺收集掌握的使用者資料，無正當理由對交易條件相同的使用者實施產品和服務差異化定價等損害使用者合法利益的行為；

• （二）利用平臺收集掌握的經營者資料，在產品推廣中實行最低價銷售等損害公平競爭的行為；

• （三）利用資料誤導、欺詐、脅迫使用者，損害使用者對其資料被處理的決定權，違背使用者意願處理使用者資料；

• （四）在平臺規則、演算法、技術、流量分配等方面設定不合理的限制和障礙，限制平臺上的中小企業公平獲取平臺產生的行業、市場資料等，阻礙市場創新。

第四十七條提供應用程式分發服務的網際網路平臺運營者，應當按照有關法律、行政法規和國家網信部門的規定，建立、披露應用程式稽核規則，並對應用程式進行安全稽核。對不符合法律、行政法規的規定和國家標準的強制性要求的應用程式，應當採取拒絕上架、督促整改、下架處置等措施。

第四十八條網際網路平臺運營者面向公眾提供即時通訊服務的，應當按照國務院電信主管部門的規定，為其他網際網路平臺運營者的即時通訊服務提供資料介面，支援不同即時通訊服務之間使用者資料互通，無正當理由不得限制使用者訪問其他網際網路平臺以及向其他網際網路平臺傳輸檔案。

第四十九條網際網路平臺運營者利用個人資訊和個性化推送演算法向用戶提供資訊的，應當對推送資訊的真實性、準確性以及來源合法性負責，並符合以下要求：

• （一）收集個人資訊用於個性化推薦時，應當取得個人單獨同意；

• （二）設定易於理解、便於訪問和操作的一鍵關閉個性化推薦選項，允許使用者拒絕接受定向推送資訊，允許使用者重置、修改、調整針對其個人特徵的定向推送引數；

• （三）允許個人刪除定向推送資訊服務收集產生的個人資訊，法律、行政法規另有規定或者與使用者另有約定的除外。

第五十條國家建設網路身份認證公共服務基礎設施，按照政府引導、網民自願原則，提供個人身份認證公共服務。

網際網路平臺運營者應當支援並優先使用國家網路身份認證公共服務基礎設施提供的個人身份認證服務。

第五十一條網際網路平臺運營者在為國家機關提供服務，參與公共基礎設施、公共服務系統建設運維管理，利用公共資源提供服務過程中收集、產生的資料不得用於其他用途。

第五十二條國務院有關部門履行法定職責需要調取或者訪問網際網路平臺運營者掌握的公共資料、公共資訊，應當明確調取或者訪問的範圍、型別、用途、依據，嚴格限定在履行法定職責範圍內，不得將調取或者訪問的公共資料、公共資訊用於履行法定職責之外的目的。

網際網路平臺運營者應當對有關部門調取或者訪問公共資料、公共資訊予以配合。

第五十三條大型網際網路平臺運營者應當通過委託第三方審計方式，每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人資訊保護情況、資料開發利用情況等進行年度審計，並披露審計結果。

第五十四條網際網路平臺運營者利用人工智慧、虛擬現實、深度合成等新技術開展資料處理活動的，應當按照國家有關規定進行安全評估。