中评协〔2023〕17 号
各省、自治区、直辖市、计划单列市资产评估协会(有关注册会计师协会):
为规范数据资产评估执业行为,保护资产评估当事人合法权益和公共利益,在财政部指导下,中国资产评估协会制定了《数据资产评估指导意见》,现予印发,自2023年10月1日起施行。
请各地方协会将《数据资产评估指导意见》及时转发资产评估机构,组织学习和培训,并将执行过程中发现的问题及时上报中国资产评估协会。
中国资产评估协会
2023年9月8日
附件下载:中评协-数据资产评估指导意见2309
常见问题
数据资产入表问与答
数据资产入表指什么?
A:技术可行性:完成该数据资产以使其能够使用或出售在技术上具有可行性;
使用及出售意图:具有完成该数据资产并使用或出售的意图;
证明存在及作用:数据资产产生经济利益的方式,包括能够证明运用该数据资产生产的产品存在市场或无形资产自身存在市场;数据将在内部使用的,应当证明其有用性;
足够资源能力支撑:有足够的技术、财务资源和其他资源支持,以完成该数据资产的开发,并有能力使用或出售该数据资产;
能被可靠地计量:归属于该无形资产开发阶段的支出能够可靠地计量。
哪些数据是可以入表的?
A:技术可行性:完成该数据资产以使其能够使用或出售在技术上具有可行性;
使用及出售意图:具有完成该数据资产并使用或出售的意图;
证明存在及作用:数据资产产生经济利益的方式,包括能够证明运用该数据资产生产的产品存在市场或无形资产自身存在市场;数据将在内部使用的,应当证明其有用性;
足够资源能力支撑:有足够的技术、财务资源和其他资源支持,以完成该数据资产的开发,并有能力使用或出售该数据资产;
能被可靠地计量:归属于该无形资产开发阶段的支出能够可靠地计量。
什么样的数据资产是可预期能够为企业带来经济价值的??
A:技术可行性:完成该数据资产以使其能够使用或出售在技术上具有可行性;
使用及出售意图:具有完成该数据资产并使用或出售的意图;
证明存在及作用:数据资产产生经济利益的方式,包括能够证明运用该数据资产生产的产品存在市场或无形资产自身存在市场;数据将在内部使用的,应当证明其有用性;
足够资源能力支撑:有足够的技术、财务资源和其他资源支持,以完成该数据资产的开发,并有能力使用或出售该数据资产;
能被可靠地计量:归属于该无形资产开发阶段的支出能够可靠地计量。
数据资产相关政策、法规查阅及下载
关于开展全国数据资源调查的通知
国数综资源﹝2024﹞5号
各省、自治区、直辖市及计划单列市、新疆生产建设兵团数据管理机构、网信办、工业和信息化主管部门、公安厅(局),国家信息中心,各有关央企,各有关协会,各有关单位:
为贯彻落实《数字中国建设整体布局规划》工作部署,摸清数据资源底数,加快数据资源开发利用,更好发挥数据要素价值,国家数据局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合开展全国数据资源情况调查,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况,为相关政策制定、试点示范等工作提供数据支持。现将有关事项通知如下。
一、调查对象
1.省级数据管理机构、工业和信息化主管部门、公安厅(局)。
2.各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位。
3.中央企业。
4.行业协会商会。
5.国家信息中心。
二、调查内容和方式
各单位登录全国数据资源调查管理平台(https://wenjuan.data-smp.cn),填报相关调查表。调查标准时点为2023年12月31日。
(一)省级数据管理机构、网信办、工业和信息化主管部门
1.请省级数据管理机构、工业和信息化主管部门使用平台填报《省级政府公共数据资源调查表》(见附件1)。
2.组织本地区数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、国家实验室等单位使用平台填报调查表(名单见附件2)。其中,国家实验室填报《国家实验室数据资源调查表》(见附件3),数据采集和存储设备商填报《数据采集和存储设备商数据资源调查表》(见附件4),平台企业、大数据和人工智能技术企业填报《平台和数据技术企业数据资源调查表》(见附件5)。
3.组织本地区重点数据交易所使用平台填报《数据交易所数据资源调查表》(见附件6)。
4.组织本地区重点企业使用平台填报调查表。其中,东部地区省份组织100强企业填报;中部及东北地区省份组织80强企业填报;西部地区省份组织50强企业填报。按照企业注册类型,数据采集和存储设备商填报附件4,消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业等填报附件5,应用企业填报附件7。已列入附件2的企业无需重复填报。
5.各省级数据管理机构、网信办、工业和信息化主管部门应加强工作协同,负责联系、组织和协调相关单位开展数据填报。
(二)省级公安厅(局)
1.使用平台填报《省级政府公共数据资源调查表》(见附件1)。
2.按照公安部的要求组织填报《数据安全情况调查表》(见附件8),具体工作要求另行通知。
(三)央企
1.运营商使用平台填报《运营商数据资源调查表》(见附件9)。
2.其他央企使用平台填报《中央企业(运营商除外)数据资源调查表》(见附件10)。
(四)行业协会商会
1.请各行业协会商会业务主管单位或自律服务牵头单位组织相关行业协会商会使用平台填报《重点行业产品数据资源调查表》(行业协会商会名单及调查表见附件11)。
(五)国家信息中心
1.使用平台填报《国家各部门政府数据资源共享调查表》(见附件12)。
三、有关说明
1.请各省级数据管理机构、网信办、工业和信息化主管部门、央企集团、行业协会商会于2024年2月20日前,传真或电子邮箱反馈工作联系人信息(盖公章)至国家数据局数据资源司(见附件13)。各省级数据管理机构、工业和信息化主管部门的平台管理账号和密码将发送给工作联系人。
2.全国数据资源调查工作开展时间为2024年2月18日00:00至3月5日24:00。请相关单位在规定时间内登录全国数据资源调查管理平台(https://wenjuan.data-smp.cn)填报调查表。
联系人:
黄 洁 010-88686123
徐福龙 010-88685026
肖琳琳 010-89062317
平台技术支持:李清敏 010-88684332
传真:010-68632953 010-89062324
电子邮箱:data_smp@163.com
附件:
1.省级政府公共数据资源调查表
2.重点机构和企业名单
3.国家实验室数据资源调查表
4.数据采集和存储设备商数据资源调查表
5.平台和数据技术企业数据资源调查表
6.数据交易所数据资源调查表
7.地方重点应用企业数据资源调查表
8.数据安全情况调查表
9.运营商数据资源调查表
10.中央企业(运营商除外)数据资源调查表
11.重点行业产品数据资源调查表
12.国家各部门政府数据资源共享调查表
13.数据资源调查工作联系人信息反馈表
国家数据局综合司
中央网信办秘书局
工业和信息化部办公厅
公安部办公厅
2024年2月7日
全部附件下载:关于开展全国数据资源调查的通知
关于印发《关于加强数据资产管理的指导意见》的通知
财资〔2023〕141号
各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财政局:
为深入贯彻落实党中央关于构建数据基础制度的决策部署,规范和加强数据资产管理,更好推动数字经济发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等,我们制定了《关于加强数据资产管理的指导意见》。现印发给你们,请遵照执行。
附件:关于加强数据资产管理的指导意见
财政部
2023年12月31日
附件:
关于加强数据资产管理的指导意见
数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。为深入贯彻落实党中央决策部署,现就加强数据资产管理提出如下意见。
一、总体要求
(一)指导思想。
以习近平新时代中国特色社会主义思想为指导,全面深入贯彻落实党的二十大精神,完整、准确、全面贯彻新发展理念,加快构建新发展格局,坚持统筹发展和安全,坚持改革创新、系统谋划,把握全球数字经济发展趋势,建立数据资产管理制度,促进数据资产合规高效流通使用,构建共治共享的数据资产管理格局,为加快经济社会数字化转型、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑。
(二)基本原则。
——坚持确保安全与合规利用相结合。统筹发展和安全,正确处理数据资产安全、个人信息保护与数据资产开发利用的关系。以保障数据安全为前提,对需要严格保护的数据,审慎推进数据资产化;对可开发利用的数据,支持合规推进数据资产化,进一步发挥数据资产价值。
——坚持权利分置与赋能增值相结合。适应数据资产多用途属性,按照“权责匹配、保护严格、流转顺畅、利用充分”原则,明确数据资产管理各方权利义务,推动数据资产权利分置,完善数据资产权利体系,丰富权利类型,有效赋能增值,夯实开发利用基础。
——坚持分类分级与平等保护相结合。加强数据分类分级管理,建立数据资产分类分级授权使用规范。鼓励按用途增加公共数据资产供给,推动用于公共治理、公益事业的公共数据资产有条件无偿使用,平等保护各类数据资产权利主体合法权益。
——坚持有效市场与有为政府相结合。充分发挥市场配置资源的决定性作用,探索多样化有偿使用方式。支持用于产业发展、行业发展的公共数据资产有条件有偿使用。加大政府引导调节力度,探索建立公共数据资产开发利用和收益分配机制。强化政府对数据资产全过程监管,加强数据资产全过程管理。
——坚持创新方式与试点先行相结合。强化部门协同联动,完善数据资产管理体制机制。坚持顶层设计与基层探索相结合,坚持改革于法有据,既要发挥顶层设计指导作用,又要鼓励支持各方因地制宜、大胆探索。
(三)总体目标。
构建“市场主导、政府引导、多方共建”的数据资产治理模式,逐步建立完善数据资产管理制度,不断拓展应用场景,不断提升和丰富数据资产经济价值和社会价值,推进数据资产全过程管理以及合规化、标准化、增值化。通过加强和规范公共数据资产基础管理工作,探索公共数据资产应用机制,促进公共数据资产高质量供给,有效释放公共数据价值,为赋能实体经济数字化转型升级,推进数字经济高质量发展,加快推进共同富裕提供有力支撑。
二、主要任务
(四)依法合规管理数据资产。保护各类主体在依法收集、生成、存储、管理数据资产过程中的相关权益。鼓励各级党政机关、企事业单位等经依法授权具有公共事务管理和公共服务职能的组织(以下统称公共管理和服务机构)将其依法履职或提供公共服务过程中持有或控制的,预期能够产生管理服务潜力或带来经济利益流入的公共数据资源,作为公共数据资产纳入资产管理范畴。涉及处理国家安全、商业秘密和个人隐私的,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。相关部门结合国家有关数据目录工作要求,按照资产管理相关要求,组织梳理统计本系统、本行业符合数据资产范围和确认要求的公共数据资产目录清单,登记数据资产卡片,暂不具备确认登记条件的可先纳入资产备查簿。
(五)明晰数据资产权责关系。适应数据多种属性和经济社会发展要求,与数据分类分级、确权授权使用要求相衔接,落实数据资源持有权、数据加工使用权和数据产品经营权权利分置要求,加快构建分类科学的数据资产产权体系。明晰公共数据资产权责边界,促进公共数据资产流通应用安全可追溯。探索开展公共数据资产权益在特定领域和经营主体范围内入股、质押等,助力公共数据资产多元化价值流通。
(六)完善数据资产相关标准。推动技术、安全、质量、分类、价值评估、管理运营等数据资产相关标准建设。鼓励行业根据发展需要,自行或联合制定企业数据资产标准。支持企业、研究机构、高等学校、相关行业组织等参与数据资产标准制定。公共管理和服务机构应配套建立公共数据资产卡片,明确公共数据资产基本信息、权利信息、使用信息、管理信息等。在对外授予数据资产加工使用权、数据产品经营权时,在本单位资产卡片中对授权进行登记标识,在不影响本单位继续持有或控制数据资产的前提下,可不减少或不核销本单位数据资产。
(七)加强数据资产使用管理。鼓励数据资产持有主体提升数据资产数字化管理能力,结合数据采集加工周期和安全等级等实际情况及要求,对所持有或控制的数据资产定期更新维护。数据资产各权利主体建立健全全流程数据安全管理机制,提升安全保护能力。支持各类主体依法依规行使数据资产相关权利,促进数据资产价值复用和市场化流通。结合数据资产流通范围、流通模式、供求关系、应用场景、潜在风险等,不断完善数据资产全流程合规管理。在保障安全、可追溯的前提下,推动依法依规对公共数据资产进行开发利用。支持公共管理和服务机构为提升履职能力和公共服务水平,强化公共数据资产授权运营和使用管理。公共管理和服务机构要按照有关规定对授权运营的公共数据资产使用情况等重要信息进行更新维护。
(八)稳妥推动数据资产开发利用。完善数据资产开发利用规则,推进形成权责清晰、过程透明、风险可控的数据资产开发利用机制。严格按照“原始数据不出域、数据可用不可见”要求和资产管理制度规定,公共管理和服务机构可授权运营主体对其持有或控制的公共数据资产进行运营。授权运营前要充分评估授权运营可能带来的安全风险,明确安全责任。运营主体应建立公共数据资产安全可信的运营环境,在授权范围内推动可开发利用的公共数据资产向区域或国家级大数据平台和交易平台汇聚。支持运营主体对各类数据资产进行融合加工。探索建立公共数据资产政府指导定价机制或评估、拍卖竞价等市场价格发现机制。鼓励在金融、交通、医疗、能源、工业、电信等数据富集行业探索开展多种形式的数据资产开发利用模式。
(九)健全数据资产价值评估体系。推进数据资产评估标准和制度建设,规范数据资产价值评估。加强数据资产评估能力建设,培养跨专业、跨领域数据资产评估人才。全面识别数据资产价值影响因素,提高数据资产评估总体业务水平。推动数据资产价值评估业务信息化建设,利用数字技术或手段对数据资产价值进行预测和分析,构建数据资产价值评估标准库、规则库、指标库、模型库和案例库等,支撑标准化、规范化和便利化业务开展。开展公共数据资产价值评估时,要按照资产评估机构选聘有关要求,强化公平、公正、公开和诚实信用,有效维护公共数据资产权利主体权益。
(十)畅通数据资产收益分配机制。完善数据资产收益分配与再分配机制。按照“谁投入、谁贡献、谁受益”原则,依法依规维护各相关主体数据资产权益。支持合法合规对数据资产价值进行再次开发挖掘,尊重数据资产价值再创造、再分配,支持数据资产使用权利各个环节的投入有相应回报。探索建立公共数据资产治理投入和收益分配机制,通过公共数据资产运营公司对公共数据资产进行专业化运营,推动公共数据资产开发利用和价值实现。探索公共数据资产收益按授权许可约定向提供方等进行比例分成,保障公共数据资产提供方享有收益的权利。在推进有条件有偿使用过程中,不得影响用于公共治理、公益事业的公共数据有条件无偿使用,相关方要依法依规采取合理措施获取收益,避免向社会公众转嫁不合理成本。公共数据资产各权利主体依法纳税并按国家规定上缴相关收益,由国家财政依法依规纳入预算管理。
(十一)规范数据资产销毁处置。对经认定失去价值、没有保存要求的数据资产,进行安全和脱敏处理后及时有效销毁,严格记录数据资产销毁过程相关操作。委托他人代为处置数据资产的,应严格签订数据资产安全保密合同,明确双方安全保护责任。公共数据资产销毁处置要严格履行规定的内控流程和审批程序,严禁擅自处置,避免公共数据资产流失或泄露造成法律和安全风险。
(十二)强化数据资产过程监测。数据资产各权利主体均应落实数据资产安全管理责任,按照分类分级原则,在网络安全等级保护制度的基础上,落实数据安全保护制度,把安全贯彻数据资产开发、流通、使用全过程,提升数据资产安全保障能力。权利主体因合并、分立、收购等方式发生变更,新的权利主体应继续落实数据资产管理责任。数据资产各权利主体应当记录数据资产的合法来源,确保来源清晰可追溯。公共数据资产权利主体开放共享数据资产的,应当建立和完善安全管理和对外提供制度机制。鼓励开展区域性、行业性数据资产统计监测工作,提升对数据资产的宏观观测与管理能力。
(十三)加强数据资产应急管理。数据资产各权利主体应分类分级建立数据资产预警、应急和处置机制,深度分析相关领域数据资产风险环节,梳理典型应用场景,对数据资产泄露、损毁、丢失、篡改等进行与类别级别相适的预警和应急管理,制定应急处置预案。出现风险事件,及时启动应急处置措施,最大程度避免或减少资产损失。支持开展数据资产技术、服务和管理体系认证。鼓励开展数据资产安全存储与计算相关技术研发与产品创新。跟踪监测公共数据资产时,要及时识别潜在风险事件,第一时间采取应急管理措施,有效消除或控制相关风险。
(十四)完善数据资产信息披露和报告。鼓励数据资产各相关主体按有关要求及时披露、公开数据资产信息,增加数据资产供给。数据资产交易平台应对交易流通情况进行实时更新并定期进行信息披露,促进交易市场公开透明。稳步推进国有企业和行政事业单位所持有或控制的数据资产纳入本级政府国有资产报告工作,接受同级人大常委会监督。
(十五)严防数据资产价值应用风险。数据资产权利主体应建立数据资产协同管理的应用价值风险防控机制,多方联动细化操作流程及关键管控点。鼓励借助中介机构力量和专业优势,有效识别和管控数据资产化、数据资产资本化以及证券化的潜在风险。公共数据资产权利主体在相关资产交易或并购等活动中,应秉持谨慎性原则扎实开展可研论证和尽职调查,规范实施资产评估,严防虚增公共数据资产价值。加强监督检查,对涉及公共数据资产运营的重大事项开展审计,将国有企业所属数据资产纳入内部监督重点检查范围,聚焦高溢价和高减值项目,准确发现管理漏洞,动态跟踪价值变动,审慎开展价值调整,及时采取防控措施降低或消除价值应用风险。
三、实施保障
(十六)加强组织实施。切实提高政治站位,统一思想认识,把坚持和加强党的领导贯穿到数据资产管理全过程各方面,高度重视激发公共数据资产潜能,加强公共数据资产管理。加强统筹协调,建立推进数据资产管理的工作机制,促进跨地区跨部门跨层级协同联动,确保工作有序推进。强化央地联动,及时研究解决工作推进中的重大问题。探索将公共数据资产管理发展情况纳入有关考核评价指标体系。
(十七)加大政策支持。按照财政事权和支出责任相适应原则,统筹利用现有资金渠道,支持统一的数据资产标准和制度建设、数据资产相关服务、数据资产管理和运营平台等项目实施。统筹运用财政、金融、土地、科技、人才等多方面政策工具,加大对数据资产开发利用、数据资产管理运营的基础设施、试点试验区等扶持力度,鼓励产学研协作,引导金融机构和社会资本投向数据资产领域。
(十八)积极鼓励试点。坚持顶层设计与基层探索结合,形成鼓励创新、容错免责良好氛围。支持有条件的地方、行业和企业先行先试,结合已出台的文件制度,探索开展公共数据资产登记、授权运营、价值评估和流通增值等工作,因地制宜探索数据资产全过程管理有效路径。加大对优秀项目、典型案例的宣介力度,总结提炼可复制、可推广的经验和做法,以点带面推动数据资产开发利用和流通增值。鼓励地方、行业协会和相关机构促进数据资产相关标准、技术、产品和案例等的推广应用。
中评协关于印发《数据资产评估指导意见》的通知
关于印发《企业数据资源相关会计处理暂行规定》的通知
财会〔2023〕11号
国务院有关部委、有关直属机构,各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财政局,财政部各地监管局,有关单位:
为规范企业数据资源相关会计处理,强化相关会计信息披露,根据《中华人民共和国会计法》和相关企业会计准则,我们制定了《企业数据资源相关会计处理暂行规定》,现予印发,请遵照执行。
执行中如有问题,请及时反馈我部。
财 政 部
2023年8月1日
附件下载:企业数据资源相关会计处理暂行规定
国资发产权规〔2024〕8号
关于优化中央企业资产评估管理有关事项的通知
各中央企业:
为推动国有经济布局优化和结构调整,助力企业实现高质量发展,优化企业国有资产评估管理,现将有关事项通知如下:
一、加强重大资产评估项目管理
(一)中央企业应当对资产评估项目实施分类管理,综合考虑评估目的、评估标的资产规模、评估标的特点等因素,合理确定本集团重大资产评估项目划分标准,原则上,企业对外并购股权项目应纳入重大资产评估项目。中央企业应当研究制定重大资产评估项目管理制度或修订现行资产评估管理制度,并报送国务院国资委。
(二)中央企业集团公司资产评估管理工作人员应当参与重大资产评估项目涉及的经济行为研究论证、尽职调查结果审核(如有)、评估机构选聘等。必要时,可进行全程跟踪。
(三)中央企业应当通过公开招标、邀请招标、竞争性谈判等方式在本集团评估机构备选库内择优选聘评估机构执业重大资产评估项目。选聘评估机构应当制定选聘文件,明确项目信息、评价要素、评分标准等内容。评价要素至少包括项目团队人员组成及其评估标的相关行业的执业经验、评估工作方案、资源配备、质量控制、费用报价等。其中,费用报价的分值权重不高于15%,费用报价得分=(1-∣选聘基准价-费用报价∣/选聘基准价)×费用报价所占权重分值,选聘基准价为参与选聘的评估机构费用报价的平均值。
(四)中央企业备案重大资产评估项目过程中,如在评估方法、评估模型、重要参数选取以及其他可能对评估结论产生重大影响的特殊事项处理等方面遇到问题,可以书面向国务院国资委申请推荐专家进行论证。必要时,国务院国资委加强对项目的业务指导。
(五)重大资产评估项目完成备案后,中央企业集团公司和评估机构委托方资产评估管理工作人员以及参与项目评审的专家应当根据本通知所附评估机构执业质量评价表,对评估机构执业质量进行评价。评价结果作为后续优化调整评估机构备选库和选聘评估机构的重要参考依据之一。
二、进一步优化资产评估和估值事项
(一)中央企业及其子企业发生以下经济行为时,依照相关法律和企业章程履行决策程序后,可以不对相关标的进行评估:
1.符合国资监管有关规定无偿划转股权、资产;
2.履行出资人职责的机构对国家独资、全资出资企业增资、减资;
3.国有独资、国有全资企业之间进行交易;
4.企业原股东同比例增资、减资;
5.有限责任公司整体变更为股份有限公司或者股份有限公司变更为有限责任公司,股东及其持股比例不变;
6.中央企业内部同一控制下的母公司与其独资、全资子企业之间,或独资、全资子企业之间以及股东及其持股比例完全相同的子企业之间进行交易;
7.解散注销未发生债务或已将债务清偿且不涉及非货币资产在不同股东之间分配的企业,或资产、负债由原股东承继的一人有限责任公司;
8.拟通过公开挂牌方式转让无法获取标的企业资料的参股股权以及账面原值低于500万元(含500万元)的存货、固定资产等,或出售、租赁能够获取公开市场价格的房产。
(二)中央企业及其子企业发生以下经济行为时,依照相关法律和企业章程履行决策程序后,可以聘请专业机构对相关标的进行估值:
1.标的为境外企业或资产的交易;
2.并购上市公司;
3.标的为原创性技术、前沿性技术、涉密技术、“卡脖子”关键核心技术、战略性新兴产业企业,以及主要任务为研发首台(套)装备、首批次材料、首版次软件等产品且尚未形成稳定销售收入的企业的交易;
4.中央企业管理基金按照市场惯例对外投资或转让所持股权;
5.标的为有限合伙企业份额的交易。
除上述第一种情形集团公司应当履行备案程序外,其他经济行为涉及的估值事项管理方式和管理内容,包括管理主体、备案主体、审核主体、工作程序、估值机构选聘、估值结果使用等,由中央企业制定估值项目管理制度予以明确,并报送国务院国资委。
三、健全完善知识产权、科技成果、数据资产等资产交易流转定价
(一)中央企业及其子企业发生知识产权、科技成果、数据资产等资产转让、作价出资、收购等经济行为时,应当依据评估或估值结果作为定价参考依据。经咨询3家及以上专业机构,确难通过评估或估值方式对标的价值进行评定估算的,依照相关法律和企业章程履行决策程序后,可以通过挂牌交易、拍卖、询价、协议等方式确定交易价格,其中挂牌或拍卖底价可以参照其账面价值、历史投入成本等因素合理确定。
通过询价方式确定知识产权、科技成果、数据资产转让、作价出资等交易价格的,企业应当组成询价小组,结合资产特点编写询价书,采用询价公告或报价邀请函的方式通知有意向的交易方,对报价文件进行审阅评定,综合考虑交易方意图、实力、价格等因素确定最终交易方。
通过协议方式确定知识产权、科技成果、数据资产转让、作价出资或收购等交易价格的,应当结合其账面价值、历史投入成本等因素,邀请法律专家、财务专家、技术专家、行业专家在充分论证其法律价值、技术价值和经济价值的基础上综合确定,并在适当范围内进行公示。对于一次定价确有难度的,交易双方可以参照实际应用效果,约定价格调整原则、调整周期、重大事项节点等。
(二)许可使用知识产权、科技成果、数据资产,可以采用销售额或利润提成、许可入门费加销售额或利润提成等方式确定许可费用。许可入门费和提成率可参照《国家知识产权局办公室关于印发<专利开放许可使用费估算指引(试行)>的通知》(国知办发运字〔2022〕56号),结合所在行业的平均净资产收益率、营业收入利润率等水平、许可使用对象的数量、许可费用的支付方式等因素合理确定。
四、其他有关事项
(一)多个国有股东对同一评估对象发生相同经济行为时,经协商一致可以签订书面协议,明确由其中一方委托专业机构评估或估值,并依照其产权关系办理核准或备案手续。
(二)中央企业及其子企业参股的企业发生转让或者受让股权及资产、以非货币资产出资、非国有股东增资及减资、解散清算、收购非国有单位股权及资产等经济行为时,国有股东代表应当比照现行国有资产评估管理相关规定,发表对相关标的进行资产评估或估值的股东意见,最终以参股企业决策为准。
(三)企业实施需要进行资产评估或估值的经济行为时,应当以评估结果或估值结果作为参考依据,并结合经济行为目的、协同效应、交易双方谈判情况等合理确定交易价格。企业对外转让标的价格低于评估结果90%、对外收购标的价格高于评估结果110%时,应当经经济行为批准单位充分论证合理性并书面同意后继续交易。作价参考依据为估值区间的,交易价格应当在估值区间内。
五、附则
(一)各地国有资产监督管理机构可以根据本地区资产评估管理实际情况,参照执行本通知相关规定。
(二)本通知适用于境外中央企业及其子企业。
(三)本通知自印发之日起施行。
附件1:评估机构职业质量评价表
附件2:中央企业估值报告审核指引
中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见
(2022年12月2日)
数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。为加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势,现提出如下意见。
一、总体要求
(一)指导思想。以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,完整、准确、全面贯彻新发展理念,加快构建新发展格局,坚持改革创新、系统谋划,以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值、促进全体人民共享数字经济发展红利,为深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑。
(二)工作原则
——遵循发展规律,创新制度安排。充分认识和把握数据产权、流通、交易、使用、分配、治理、安全等基本规律,探索有利于数据安全保护、有效利用、合规流通的产权制度和市场体系,完善数据要素市场体制机制,在实践中完善,在探索中发展,促进形成与数字生产力相适应的新型生产关系。
——坚持共享共用,释放价值红利。合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性,激励创新创业创造,强化反垄断和反不正当竞争,形成依法规范、共同参与、各取所需、共享红利的发展模式。
——强化优质供给,促进合规流通。顺应经济社会数字化转型发展趋势,推动数据要素供给调整优化,提高数据要素供给数量和质量。建立数据可信流通体系,增强数据的可用、可信、可流通、可追溯水平。实现数据流通全过程动态管理,在合规流通使用中激活数据价值。
——完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。
——深化开放合作,实现互利共赢。积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排。鼓励探索数据跨境流动与合作的新途径新模式。
二、建立保障权益、合规使用的数据产权制度
探索建立数据产权制度,推动数据产权结构性分置和有序流通,结合数据要素特性强化高质量数据要素供给;在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。
(三)探索数据产权结构性分置制度。建立公共数据、企业数据、个人数据的分类分级确权授权制度。根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,为激活数据要素价值创造和价值实现提供基础性制度保障。研究数据产权登记新方式。在保障安全前提下,推动数据处理者依法依规对原始数据进行开发利用,支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。审慎对待原始数据的流转交易行为。
(四)推进实施公共数据确权授权机制。对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据,加强汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破“数据孤岛”。鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供,对不承载个人信息和不影响公共安全的公共数据,推动按用途加大供给使用范围。推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。依法依规予以保密的公共数据不予开放,严格管控未依法依规公开的原始公共数据直接进入市场,保障公共数据供给使用的公共利益。
(五)推动建立企业数据确权授权机制。对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据,市场主体享有依法依规持有、使用、获取收益的权益,保障其投入的劳动和其他要素贡献获得合理回报,加强数据要素供给激励。鼓励探索企业数据授权使用新模式,发挥国有企业带头作用,引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据,赋能中小微企业数字化转型。支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分析、数据服务等产业。政府部门履职可依法依规获取相关企业和机构数据,但须约定并严格遵守使用限制要求。
(六)建立健全个人信息数据确权授权机制。对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取“一揽子授权”、强制同意等方式过度收集个人信息,促进个人信息合理利用。探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工、使用的机制。对涉及国家安全的特殊个人信息数据,可依法依规授权有关单位使用。加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。
(七)建立健全数据要素各参与方合法权益保护制度。充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益。合理保护数据处理者对依法依规持有的数据进行自主管控的权益。在保护公共利益、数据安全、数据来源者合法权益的前提下,承认和保护依照法律规定或合同约定获取的数据加工使用权,尊重数据采集、加工等数据处理者的劳动和其他要素贡献,充分保障数据处理者使用数据和获得收益的权利。保护经加工、分析等形成数据或数据衍生产品的经营权,依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利,促进数据要素流通复用。建立健全基于法律规定或合同约定流转数据相关财产性权益的机制。在数据处理者发生合并、分立、解散、被宣告破产时,推动相关权利和义务依法依规同步转移。
三、建立合规高效、场内外结合的数据要素流通和交易制度
完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易;有序发展数据跨境流通和交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。
(八)完善数据全流程合规与监管规则体系。建立数据流通准入标准规则,强化市场主体数据全流程合规治理,确保流通数据来源合法、隐私保护到位、流通和交易规范。结合数据流通范围、影响程度、潜在风险,区分使用场景和用途用量,建立数据分类分级授权使用规范,探索开展数据质量标准化体系建设,加快推进数据采集和接口标准化,促进数据整合互通和互操作。支持数据处理者依法依规在场内和场外采取开放、共享、交换、交易等方式流通数据。鼓励探索数据流通安全保障技术、标准、方案。支持探索多样化、符合数据要素特性的定价模式和价格形成机制,推动用于数字化发展的公共数据按政府指导定价有偿使用,企业与个人信息数据市场自主定价。加强企业数据合规体系建设和监管,严厉打击黑市交易,取缔数据流通非法产业。建立实施数据安全管理认证制度,引导企业通过认证提升数据安全管理水平。
(九)统筹构建规范高效的数据交易场所。加强数据交易场所体系设计,统筹优化数据交易场所的规划布局,严控交易场所数量。出台数据交易场所管理办法,建立健全数据交易规则,制定全国统一的数据交易、安全等标准体系,降低交易成本。引导多种类型的数据交易场所共同发展,突出国家级数据交易场所合规监管和基础服务功能,强化其公共属性和公益定位,推进数据交易场所与数据商功能分离,鼓励各类数据商进场交易。规范各地区各部门设立的区域性数据交易场所和行业性数据交易平台,构建多层次市场交易体系,推动区域性、行业性数据流通使用。促进区域性数据交易场所和行业性数据交易平台与国家级数据交易场所互联互通。构建集约高效的数据流通基础设施,为场内集中交易和场外分散交易提供低成本、高效率、可信赖的流通环境。
(十)培育数据要素流通和交易服务生态。围绕促进数据要素合规高效、安全有序流通和交易需要,培育一批数据商和第三方专业服务机构。通过数据商,为数据交易双方提供数据产品开发、发布、承销和数据资产的合规化、标准化、增值化服务,促进提高数据交易效率。在智能制造、节能降碳、绿色建造、新能源、智慧城市等重点领域,大力培育贴近业务需求的行业性、产业化数据商,鼓励多种所有制数据商共同发展、平等竞争。有序培育数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议仲裁、风险评估、人才培训等第三方专业服务机构,提升数据流通和交易全流程服务能力。
(十一)构建数据安全合规有序跨境流通机制。开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,推进跨境数字贸易基础设施建设,以《全球数据安全倡议》为基础,积极参与数据流动、数据安全、认证评估、数字货币等国际规则和数字技术标准制定。坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,支持外资依法依规进入开放领域,推动形成公平竞争的国际化市场。针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制。对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查。按照对等原则,对维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法依规实施出口管制,保障数据用于合法用途,防范数据出境安全风险。探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系。反对数据霸权和数据保护主义,有效应对数据领域“长臂管辖”。
四、建立体现效率、促进公平的数据要素收益分配制度
顺应数字产业化、产业数字化发展趋势,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用。完善数据要素市场化配置机制,扩大数据要素市场化配置范围和按价值贡献参与分配渠道。完善数据要素收益的再分配调节机制,让全体人民更好共享数字经济发展成果。
(十二)健全数据要素由市场评价贡献、按贡献决定报酬机制。结合数据要素特征,优化分配结构,构建公平、高效、激励与规范相结合的数据价值分配机制。坚持“两个毫不动摇”,按照“谁投入、谁贡献、谁受益”原则,着重保护数据要素各参与方的投入产出收益,依法依规维护数据资源资产权益,探索个人、企业、公共数据分享价值收益的方式,建立健全更加合理的市场评价机制,促进劳动者贡献和劳动报酬相匹配。推动数据要素收益向数据价值和使用价值的创造者合理倾斜,确保在开发挖掘数据价值各环节的投入有相应回报,强化基于数据价值创造和价值实现的激励导向。通过分红、提成等多种收益共享方式,平衡兼顾数据内容采集、加工、流通、应用等不同环节相关主体之间的利益分配。
(十三)更好发挥政府在数据要素收益分配中的引导调节作用。逐步建立保障公平的数据要素收益分配体制机制,更加关注公共利益和相对弱势群体。加大政府引导调节力度,探索建立公共数据资源开放收益合理分享机制,允许并鼓励各类企业依法依规依托公共数据提供公益服务。推动大型数据企业积极承担社会责任,强化对弱势群体的保障帮扶,有力有效应对数字化转型过程中的各类风险挑战。不断健全数据要素市场体系和制度规则,防止和依法依规规制资本在数据领域无序扩张形成市场垄断等问题。统筹使用多渠道资金资源,开展数据知识普及和教育培训,提高社会整体数字素养,着力消除不同区域间、人群间数字鸿沟,增进社会公平、保障民生福祉、促进共同富裕。
五、建立安全可控、弹性包容的数据要素治理制度
把安全贯穿数据治理全过程,构建政府、企业、社会多方协同的治理模式,创新政府治理方式,明确各方主体责任和义务,完善行业自律机制,规范市场发展秩序,形成有效市场和有为政府相结合的数据要素治理格局。
(十四)创新政府数据治理机制。充分发挥政府有序引导和规范发展的作用,守住安全底线,明确监管红线,打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境。强化分行业监管和跨行业协同监管,建立数据联管联治机制,建立健全鼓励创新、包容创新的容错纠错机制。建立数据要素生产流通使用全过程的合规公证、安全审查、算法审查、监测预警等制度,指导各方履行数据要素流通安全责任和义务。建立健全数据流通监管制度,制定数据流通和交易负面清单,明确不能交易或严格限制交易的数据项。强化反垄断和反不正当竞争,加强重点领域执法司法,依法依规加强经营者集中审查,依法依规查处垄断协议、滥用市场支配地位和违法实施经营者集中行为,营造公平竞争、规范有序的市场环境。在落实网络安全等级保护制度的基础上全面加强数据安全保护工作,健全网络和数据安全保护体系,提升纵深防护与综合防御能力。
(十五)压实企业的数据治理责任。坚持“宽进严管”原则,牢固树立企业的责任意识和自律意识。鼓励企业积极参与数据要素市场建设,围绕数据来源、数据产权、数据质量、数据使用等,推行面向数据商及第三方专业服务机构的数据流通交易声明和承诺制。严格落实相关法律规定,在数据采集汇聚、加工处理、流通交易、共享利用等各环节,推动企业依法依规承担相应责任。企业应严格遵守反垄断法等相关法律规定,不得利用数据、算法等优势和技术手段排除、限制竞争,实施不正当竞争。规范企业参与政府信息化建设中的政务数据安全管理,确保有规可循、有序发展、安全可控。建立健全数据要素登记及披露机制,增强企业社会责任,打破“数据垄断”,促进公平竞争。
(十六)充分发挥社会力量多方参与的协同治理作用。鼓励行业协会等社会力量积极参与数据要素市场建设,支持开展数据流通相关安全技术研发和服务,促进不同场景下数据要素安全可信流通。建立数据要素市场信用体系,逐步完善数据交易失信行为认定、守信激励、失信惩戒、信用修复、异议处理等机制。畅通举报投诉和争议仲裁渠道,维护数据要素市场良好秩序。加快推进数据管理能力成熟度国家标准及数据要素管理规范贯彻执行工作,推动各部门各行业完善元数据管理、数据脱敏、数据质量、价值评估等标准体系。
六、保障措施
加大统筹推进力度,强化任务落实,创新政策支持,鼓励有条件的地方和行业在制度建设、技术路径、发展模式等方面先行先试,鼓励企业创新内部数据合规管理体系,不断探索完善数据基础制度。
(十七)切实加强组织领导。加强党对构建数据基础制度工作的全面领导,在党中央集中统一领导下,充分发挥数字经济发展部际联席会议作用,加强整体工作统筹,促进跨地区跨部门跨层级协同联动,强化督促指导。各地区各部门要高度重视数据基础制度建设,统一思想认识,加大改革力度,结合各自实际,制定工作举措,细化任务分工,抓好推进落实。
(十八)加大政策支持力度。加快发展数据要素市场,做大做强数据要素型企业。提升金融服务水平,引导创业投资企业加大对数据要素型企业的投入力度,鼓励征信机构提供基于企业运营数据等多种数据要素的多样化征信服务,支持实体经济企业特别是中小微企业数字化转型赋能开展信用融资。探索数据资产入表新模式。
(十九)积极鼓励试验探索。坚持顶层设计与基层探索结合,支持浙江等地区和有条件的行业、企业先行先试,发挥好自由贸易港、自由贸易试验区等高水平开放平台作用,引导企业和科研机构推动数据要素相关技术和产业应用创新。采用“揭榜挂帅”方式,支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术,建立创新容错机制,探索完善数据要素产权、定价、流通、交易、使用、分配、治理、安全的政策标准和体制机制,更好发挥数据要素的积极作用。
(二十)稳步推进制度建设。围绕构建数据基础制度,逐步完善数据产权界定、数据流通和交易、数据要素收益分配、公共数据授权使用、数据交易场所建设、数据治理等主要领域关键环节的政策及标准。加强数据产权保护、数据要素市场制度建设、数据要素价格形成机制、数据要素收益分配、数据跨境传输、争议解决等理论研究和立法研究,推动完善相关法律制度。及时总结提炼可复制可推广的经验和做法,以点带面推动数据基础制度构建实现新突破。数字经济发展部际联席会议定期对数据基础制度建设情况进行评估,适时进行动态调整,推动数据基础制度不断丰富完善。
工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知
工信部网安〔2022〕166号
各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,青海、宁夏无线电管理机构,部属各单位,部属各高校,各有关企业:
现将《工业和信息化领域数据安全管理办法(试行)》印发给你们,请认真遵照执行。
工业和信息化部
2022年12月8日
工业和信息化领域数据安全管理办法(试行)
第一章 总则
第一条 为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,制定本办法。
第二条 在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管,应当遵守相关法律、行政法规和本办法的要求。
第三条 工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。
电信数据是指在电信业务经营活动中产生和收集的数据。
无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。
第四条 在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)开展数据安全监管,对工业和信息化领域的数据处理活动和安全保护进行监督管理。
地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。
工业和信息化部及地方行业监管部门统称为行业监管部门。
行业监管部门按照有关法律、行政法规,依法配合有关部门开展的数据安全监管相关工作。
第五条 行业监管部门鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。
工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。
第六条 行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用工作。
第二章 数据分类分级管理
第七条 工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。
地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。
工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。
第八条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。
第九条 危害程度符合下列条件之一的数据为一般数据:
(一)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;
(二)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;
(三)其他未纳入重要数据、核心数据目录的数据。
第十条 危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)经工业和信息化部评估确定的其他重要数据。
第十一条 危害程度符合下列条件之一的数据为核心数据:
(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;
(三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。
第十二条 工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况报工业和信息化部;不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。
备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。
第三章 数据全生命周期安全管理
第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;
(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;
(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;
(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;
(五)定期对从业人员开展数据安全教育和培训;
(六)法律、行政法规等规定的其他措施。
工业和信息化领域重要数据和核心数据处理者,还应当:
(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;
(二)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;
(三)建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。
第十四条 工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据和核心数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录。
通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。
第十五条 工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
第十六条 工业和信息化领域数据处理者利用数据进行自动化决策的,应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的,还应当加强访问控制。
工业和信息化领域数据处理者提供数据处理服务,涉及经营电信业务的,应当按照相关法律、行政法规规定取得电信业务经营许可。
第十七条 工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
第十八条 工业和信息化领域数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。
第十九条 工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响,存在重大影响的不得公开。
第二十条 工业和信息化领域数据处理者应当建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的,工业和信息化领域数据处理者应当销毁相应数据。
工业和信息化领域数据处理者销毁重要数据和核心数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。
第二十一条 工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。
第二十二条 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的,应当履行备案变更手续。
第二十三条 工业和信息化领域数据处理者委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。
除法律、行政法规等另有规定外,未经委托方同意,受托方不得将数据提供给第三方。
第二十四条 跨主体提供、转移、委托处理核心数据的,工业和信息化领域数据处理者应当评估安全风险,采取必要的安全保护措施,并由本地区行业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。
第二十五条 工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。
第四章 数据安全监测预警与应急管理
第二十六条 工业和信息化部建立数据安全风险监测机制,组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,与相关部门加强信息共享。
地方行业监管部门分别建设本地区数据安全风险监测预警机制,组织开展数据安全风险监测,按照有关规定及时发布预警信息,通知本地区工业和信息化领域数据处理者及时采取应对措施。
工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
第二十七条 工业和信息化部建立数据安全风险信息上报和共享机制,统一汇集、分析、研判、通报数据安全风险信息,鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。
地方行业监管部门分别汇总分析本地区数据安全风险,及时将可能造成重大及以上安全事件的风险上报工业和信息化部。
工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。
第二十八条 工业和信息化部制定工业和信息化领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件,应当立即上报工业和信息化部,并及时报告事件发展和处置情况。
工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。
工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
第二十九条 工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道,地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道,依法接收、处理投诉举报,根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。
第五章 数据安全检测、认证、评估管理
第三十条 工业和信息化部指导、鼓励具备相应资质的机构,依据相关标准开展行业数据安全检测、认证工作。
第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。
地方行业监管部门分别负责组织开展本地区数据安全评估工作。
工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
第六章 监督检查
第三十二条 行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。
工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。
第三十三条 工业和信息化部在国家数据安全工作协调机制指导下,开展工业和信息化领域数据安全审查相关工作。
第三十四条 行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。
第七章 法律责任
第三十五条 行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。
第三十六条 有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第三十七条 中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。
第三十八条 开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第三十九条 涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。
第四十条 工业和信息化领域政务数据处理活动的具体办法,由工业和信息化部另行规定。
第四十一条 国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责,具体制度参照本办法另行制定。
第四十二条 本办法自2023年1月1日起施行。
中华人民共和国个人信息保护法
(2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)
目录
第一章 总则
第二章 个人信息处理规则
第一节 一般规定
第二节 敏感个人信息的处理规则
第三节 国家机关处理个人信息的特别规定
第三章 个人信息跨境提供的规则
第四章 个人在个人信息处理活动中的权利
第五章 个人信息处理者的义务
第六章 履行个人信息保护职责的部门
第七章 法律责任
第八章 附则
第一章 总则
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
第二章 个人信息处理规则
第一节 一般规定
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
第二节 敏感个人信息的处理规则
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
第三节 国家机关处理个人信息的特别规定
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
第三章 个人信息跨境提供的规则
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 个人在个人信息处理活动中的权利
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
第五章 个人信息处理者的义务
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
第六章 履行个人信息保护职责的部门
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
第七章 法律责任
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附则
第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
第七十四条 本法自2021年11月1日起施行。
中华人民共和国数据安全法
(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过)
目录
第一章 总则
第二章 数据安全与发展
第三章 数据安全制度
第四章 数据安全保护义务
第五章 政务数据安全与开放
第六章 法律责任
第七章 附则
第一章 总则
第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
第二章 数据安全与发展
第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章 数据安全制度
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 数据安全保护义务
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第五章 政务数据安全与开放
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
第六章 法律责任
第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条 本法自2021年9月1日起施行。
中华人民共和国网络安全法
(2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)
目 录
第一章 总 则
第二章 网络安全支持与促进
第三章 网络运行安全
第一节 一般规定
第二节 关键信息基础设施的运行安全
第四章 网络信息安全
第五章 监测预警与应急处置
第六章 法律责任
第七章 附 则
第一章 总 则
第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章 网络安全支持与促进
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
第三章 网络运行安全
第一节 一般规定
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第二节 关键信息基础设施的运行安全
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
第四章 网络信息安全
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
第五章 监测预警与应急处置
第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。
第五十七条 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。
第五十八条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
第六章 法律责任
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,
可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。
单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第七章 附 则
第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十八条 军事网络的安全保护,由中央军事委员会另行规定。
第七十九条 本法自2017年6月1日起施行。