互联网企业数据安全管理条例

互联网企业数据安全管理条例第一章总则第一条目的与依据为规范互联网企业数据处理活动，保障数据安全，促进数据合理利用，保护自然人、法人和其他组织的合法权益，维护国家主权、安全和发展利益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，结合互联网行业特点及发展实际，制定本条例。第二条适用范围本条例适用于在中华人民共和国境内从事互联网信息服务、互联网平台服务、互联网应用服务等经营活动的企业（以下统称“互联网企业”）的数据安全管理。互联网企业在境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、法人、其他组织合法权益的，参照本条例有关规定进行规范。第三条定义本条例所称数据，是指任何以电子或者其他方式对信息的记录。所称数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。第四条基本原则互联网企业数据安全管理应当遵循以下原则：（一）数据安全与发展并重：坚持促进数据开发利用和保障数据安全并行，以安全保发展，以发展促安全。（二）分类分级与精准施策：根据数据的重要程度、敏感程度及潜在风险，对数据实施分类分级管理，采取差异化的安全保护措施。（三）权责统一与追溯可查：明确数据处理各环节的责任主体，确保数据处理行为全程可审计、可追溯。（四）风险预防与主动防控：树立底线思维，加强风险识别、评估和预警，建立健全数据安全风险防控体系。（五）开放共享与安全可控：在保障数据安全的前提下，促进数据依法有序流动和共享，激发数据要素价值。第二章数据安全管理核心要求第五条数据收集与接入管理互联网企业收集数据应当遵循合法、正当、必要的原则，不得窃取或者以其他非法方式获取数据。（一）合法性与明确性：收集数据前，应当向数据提供方明确告知收集数据的目的、范围、方式、存储期限以及数据提供方依法享有的权利等事项，并获得其明示同意。涉及个人信息的，还应当符合个人信息保护相关法律法规的要求。（二）最小必要与精准性：收集的数据应当与企业提供的服务直接相关，且为实现服务目的所必需的最小范围。不得超出服务场景过度收集数据。（三）数据来源可追溯：对数据来源进行记录和管理，确保数据来源的合法性和可追溯性。对于从第三方获取的数据，应当进行必要的审核和安全评估，明确双方的数据安全责任。第六条数据存储与传输安全互联网企业应当采取技术措施和其他必要措施，保障数据在存储和传输过程中的完整性、保密性和可用性。（一）存储安全：根据数据分类分级结果，采取相应的加密、去标识化、访问控制等安全存储措施。对重要数据和核心数据，应当采用加密等强安全保护措施，并进行异地备份和容灾备份。（二）传输安全：数据在传输过程中，应当采用加密等安全传输协议，防止数据被窃取、篡改或泄露。特别是涉及敏感信息和重要数据的传输，必须确保传输通道的安全可靠。（三）介质管理：对存储数据的介质进行规范管理，明确介质的使用、保管、销毁流程，防止介质丢失、被盗或滥用导致数据泄露。第七条数据使用与加工规范互联网企业使用和加工数据应当遵循法律法规规定和双方约定，不得违反目的限制，不得损害国家安全、公共利益和他人合法权益。（一）合规使用：数据的使用不得超出收集时明确告知的范围，不得用于其他未经授权的目的。如需扩大使用范围，应当重新获得数据提供方的同意。（二）算法治理与公平性：在使用算法对数据进行自动化决策时，应当保证算法的透明度和可解释性，避免利用算法实施歧视、欺诈等违法违规行为，保障数据使用的公平性。（三）数据脱敏与匿名化：在数据使用过程中，如需对外提供或用于非生产环境测试等场景，应当对敏感信息进行脱敏或匿名化处理，降低数据泄露风险。第八条数据共享与出境管理互联网企业向第三方共享数据或向境外提供数据，应当严格遵守国家相关法律法规，确保数据安全。（一）共享安全评估：共享数据前，应当对数据接收方的安全资质、数据安全能力进行评估，并通过协议明确双方的数据安全责任、共享范围、使用限制和保密义务。（二）出境安全合规：向境外提供数据，应当符合国家数据出境安全管理的相关规定。属于重要数据或核心数据的，应当按照要求进行安全评估，或通过其他合规途径实现数据出境。（三）个人信息跨境规则：向境外提供个人信息，应当取得个人单独同意，并确保接收方采取的保护措施达到国内同等水平。第九条数据销毁与退役管理互联网企业应当建立健全数据销毁和退役管理制度，确保数据在生命周期结束或不再需要时得到安全、彻底的处理。（一）销毁流程：明确数据销毁的条件、审批程序和技术方法，对存储介质上的数据进行彻底清除或销毁，确保数据无法被恢复。（二）退役数据管理：对于不再使用但仍需保留的历史数据，应当进行归档存储，并采取与当前数据同等的安全保护措施，防止非授权访问和泄露。第三章数据安全保障措施第十条组织与制度保障互联网企业应当建立健全数据安全管理组织体系和制度规范。（一）设立专门机构与岗位：明确数据安全管理的责任部门和负责人，配备与业务规模相适应的数据安全专业人员。鼓励关键信息基础设施运营者等重点企业设立首席数据安全官。（二）健全管理制度与流程：制定涵盖数据全生命周期的安全管理制度和操作规程，包括但不限于数据分类分级、风险评估、应急响应、安全审计、人员管理等。（三）定期培训与考核：对全体员工进行数据安全意识和技能培训，并将数据安全责任履行情况纳入考核体系。第十一条技术与能力保障互联网企业应当积极采用先进的技术手段，提升数据安全防护能力。（一）安全技术体系建设：部署必要的数据安全技术防护设施，如防火墙、入侵检测/防御系统、数据防泄漏系统、安全审计系统等，构建多层次的数据安全防护体系。（二）安全监测与应急响应：建立数据安全监测预警机制，及时发现和处置数据安全事件。制定数据安全事件应急预案，并定期组织演练，提高应急处置能力。（三）安全漏洞管理：建立常态化的安全漏洞发现、报告、修复和验证机制，及时修补系统和应用中的安全漏洞。第十二条风险评估与审计互联网企业应当定期开展数据安全风险评估和内部审计。（一）风险评估：至少每年进行一次全面的数据安全风险评估，识别数据处理活动中的安全风险，并采取针对性的改进措施。发生重大数据安全事件或业务发生重大变化时，应当及时重新评估。（二）内部审计：定期对数据安全管理制度的执行情况、安全措施的有效性进行内部审计，发现问题及时整改，并将审计结果向高级管理层报告。第十三条数据安全事件处置与报告互联网企业应当建立健全数据安全事件的发现、报告、调查和处置机制。（一）事件响应：发生数据安全事件后，应当立即启动应急预案，采取补救措施，防止事态扩大，减少损失。（二）事件报告：按照相关法律法规要求，及时向有关主管部门报告数据安全事件，不得迟报、漏报、谎报或瞒报。报告内容应当真实、准确、完整。（三）事件调查与改进：对数据安全事件进行调查，分析事件原因和责任，总结经验教训，并采取措施堵塞安全漏洞，完善安全管理体系。第四章监督与责任第十四条企业主体责任互联网企业是数据安全的责任主体，其主要负责人是数据安全第一责任人，对本企业的数据安全负全面责任。第十五条行业自律与社会监督鼓励互联网行业组织制定行业数据安全规范和标准，加强行业自律，引导企业落实数据安全责任。支持社会各界对互联网企业的数据安全行为进行监督，畅通投诉举报渠道。第十六条法律责任互联网企业违反本条例规定，导致数据安全事件发生，或者存在其他数据安全违法违规行为的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规的规定追究法律责任。第五章附则第十七条动态调整与解释本条例所涉及的数据分类分级标准、重要数据目录等，将根据国家法律法规和技术发