《大数据应用合规管理办法 (试行)》

《大数据应用合规管理办法(试行)》第一条本办法适用于在中华人民共和国境内开展大数据应用活动的组织和个人（以下统称“数据处理者”），包括企业、事业单位、社会组织及其他类型主体。本办法所称大数据应用，是指通过收集、存储、分析、挖掘等技术手段处理规模大、类型多、增速快、价值密度低的数据资源，形成数据产品或服务，支撑决策、运营或社会服务的活动。涉及国家秘密、军事数据或法律、行政法规另有规定的特殊数据处理活动，从其规定。第二条大数据应用合规管理遵循以下原则：（一）合法正当性原则。数据处理活动须符合法律法规、国家标准及行业规范，不得侵害自然人、法人或其他组织的合法权益；（二）最小必要原则。数据收集、存储、使用的范围、类型、期限应严格限定于实现明确、具体目的的最小必要程度；（三）知情同意原则。数据处理者需以显著、清晰、易懂的方式向数据主体告知处理规则，取得其明确同意（法律、行政法规规定无需同意的情形除外）；（四）公开透明原则。数据处理的目的、方式、范围、存储期限、共享对象等信息应依法公开，接受监督；（五）安全可控原则。数据处理者须采取技术和管理措施保障数据安全，防范泄露、篡改、滥用等风险；（六）责任明确原则。数据处理者对全流程合规性负主体责任，明确各环节责任主体及追责机制。第三条数据收集环节，数据处理者应履行以下义务：（一）收集前通过书面、电子或其他可确认的方式向数据主体告知以下内容：数据类型（如个人基本信息、行为轨迹、设备信息等）、收集方式（如自动采集、用户主动填写）、处理目的（如产品优化、服务推荐）、存储期限（明确具体期限或确定期限的规则）、共享或转让的第三方信息（名称、数据用途）、数据主体的权利（如查询、删除、更正）及行使方式、拒绝提供数据的后果（仅适用于必要数据）；（二）收集行为须基于数据主体真实、自愿的同意，不得通过欺骗、诱导、捆绑授权（非必要功能与必要功能绑定）等方式获取同意；（三）不得收集与处理目的无关的数据，对超出最小必要范围的数据应及时删除或匿名化处理；（四）收集未成年人数据的，须取得其监护人同意，并采取额外保护措施（如限制数据类型、加强访问控制）。第四条数据存储环节，数据处理者应：（一）区分一般数据与敏感数据（包括个人生物识别信息、金融账户、健康医疗数据等），敏感数据须采用加密存储、访问控制（如多因素认证、权限分级）等技术措施，存储介质应符合国家信息安全等级保护要求；（二）明确数据存储期限，除法律、行政法规另有规定外，数据存储期限不应超过实现处理目的所需的合理期限，目的实现后应在30个工作日内删除或匿名化处理；（三）涉及数据异地存储或跨境传输的，须按照《数据安全法》《个人信息保护法》及相关规定，通过安全评估、认证或签订标准合同等方式保障数据安全，公共数据跨境传输还需符合国家数据跨境流动总体布局。第五条数据使用环节，数据处理者应：（一）严格限定数据使用范围，不得超出收集时告知的目的及授权范围，确需变更使用目的的，须重新取得数据主体同意；（二）利用数据进行分析、挖掘时，对可识别特定自然人的个人信息（如未完全匿名化的数据），需遵守个人信息保护相关规定；对已匿名化处理且无法复原识别的数据集，可在注明“匿名化数据”后用于统计分析、学术研究等非个人关联场景；（三）通过算法模型进行商业应用（如精准营销、信用评估）的，须确保算法透明度，向数据主体说明算法逻辑的主要影响因素，不得利用数据优势实施价格歧视、流量劫持等不正当竞争行为；（四）使用公共数据的，应通过合法渠道获取，遵守公共数据开放目录及使用协议，不得擅自扩大使用范围或转售牟利。第六条数据共享与转让环节，数据处理者应：（一）共享数据前，对接收方的数据安全能力、合规资质进行评估（如检查其是否通过ISO27001认证、是否建立数据安全管理制度），评估结果形成书面记录并保存至少3年；（二）与接收方签订数据共享协议，明确共享数据的类型、范围、用途、保密义务及违约责任，协议中须包含“接收方不得超出约定范围处理数据”“数据泄露责任划分”等条款；（三）共享可识别特定个人的数据时，须再次向数据主体告知共享的接收方信息及数据用途，取得其单独同意（已在首次告知中明确可能共享第三方且数据主体未反对的除外）；（四）转让数据所有权的，应向数据主体告知转让情况，受让人须继续履行原数据处理者的合规义务，数据主体有权要求原处理者停止共享并通知受让人删除相关数据。第七条数据安全管理方面，数据处理者应：（一）建立数据安全管理制度，包括数据分类分级规则、访问权限管理、日志审计（记录数据访问、修改、删除的时间、操作人、内容）、风险评估（每年至少开展1次，覆盖技术、管理、流程等维度）；（二）对重要数据（如涉及国家安全、公共利益的数据）和核心数据（如关键信息基础设施运营者收集的核心业务数据），实行清单管理，采取加密传输、容灾备份（异地备份频率不低于每日1次）、入侵检测等增强保护措施；（三）发生数据泄露、篡改、丢失等安全事件时，应立即启动应急预案，采取阻断传播、修复系统等控制措施，在24小时内向属地数据安全监管部门报告，并在72小时内通过官方网站、短信等方式通知受影响的数据主体（因特殊情况无法及时通知的，应在障碍消除后48小时内通知）；（四）委托第三方处理数据的，须签订安全保密协议，明确第三方的安全责任，并对其处理活动进行监督，监督记录保存至少3年。第八条数据主体权利保障方面，数据处理者应：（一）建立便捷的权利行使渠道（如客服热线、在线表单、移动端入口），明确受理、处理、反馈流程；（二）数据主体提出查询、复制数据请求的，应在15个工作日内提供数据副本（需技术处理的可延长至30个工作日，但需书面说明理由）；（三）数据主体要求更正不准确数据的，应在核实后10个工作日内完成更正；（四）数据主体要求删除数据的，应在15个工作日内删除（因法律义务需保留的，应告知保留依据及期限）；（五）数据主体撤回同意的，应停止基于该同意的处理活动，并删除相关数据（法律另有规定的除外）；（六）不得因数据主体行使权利而降低服务质量、限制功能使用或收取额外费用（合理成本除外）。第九条合规责任与监督机制：（一）数据处理者的法定代表人或主要负责人为合规第一责任人，须组织制定合规计划，定期听取合规报告（每季度至少1次）；（二）应设立或指定合规管理部门（可与法务、安全部门合署），配备专职或兼职合规人员，负责日常合规审查、培训及风险预警；（三）内部合规审计每年至少开展1次，重点检查数据处理流程、用户权利响应、安全事件处置等合规性，审计报告报主要负责人；（四）行业监管部门（如网信、工业和信息化、市场监管部门）可通过随机抽查、重点检查、数据安全检测等方式进行监督，发现违规行为的，责令限期整改（期限不超过30日），逾期未整改或情节严重的，处5万元以上50万元以下罚款（法