网络数据安全管理条例

网络数据安全管理条例一、总则（一）立法目的。为规范网络数据安全管理，保护公民、法人和其他组织合法权益，维护国家安全和社会公共利益，促进网络数据依法有序流动，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律，制定本条例。（二）适用范围。本条例适用于网络数据的收集、存储、使用、加工、传输、提供、公开、删除等处理活动，以及网络数据安全保护义务、监督管理、法律责任等。法律、行政法规对网络数据安全管理另有规定的，适用其规定。（三）基本原则。网络数据安全管理应当遵循合法、正当、必要原则，保障数据安全和个人信息权益，促进数据要素市场健康发展。网络数据处理活动应当符合国家数据安全战略，提升数据安全治理能力，加强数据安全风险防控，确保数据安全有序流动。二、数据分类分级（一）分类标准。网络数据按照敏感性、重要性、安全性等标准进行分类，分为一般数据、重要数据和核心数据。一般数据是指不涉及国家安全、公共利益和个人隐私的数据；重要数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据；核心数据是指关系国家安全和核心利益的数据。（二）分级管理。重要数据按照重要程度分为一般重要数据和特别重要数据。特别重要数据是指对国家安全、国民经济、社会稳定等具有重大影响的数据。数据分类分级应当根据实际情况动态调整，并定期进行评估和更新。（三）分级要求。数据处理者应当根据数据分类分级采取相应的安全管理措施。核心数据禁止出境，重要数据出境应当经过严格的安全评估和审批。数据处理者应当建立健全数据分类分级管理制度，明确数据分类分级标准、流程和责任。三、数据处理活动规范（一）收集规范。数据处理者在收集网络数据时，应当明确收集目的、方式和范围，并经被收集者同意。收集个人信息应当遵循合法、正当、必要原则，不得过度收集。数据处理者应当记录数据收集情况，并定期进行审查和更新。（二）存储规范。数据处理者应当采取加密、脱敏、访问控制等技术措施，确保数据存储安全。数据存储设施应当符合国家有关安全标准，并定期进行安全检查和维护。数据处理者应当制定数据存储管理制度，明确数据存储期限、备份和恢复流程。（三）使用规范。数据处理者在使用网络数据时，应当遵循收集目的，不得超出收集范围使用。数据处理者应当建立健全数据使用管理制度，明确数据使用权限、流程和责任。数据处理者应当对数据使用情况进行监控和审计，确保数据使用合法合规。（四）传输规范。数据处理者在传输网络数据时，应当采取加密、安全通道等技术措施，防止数据泄露、篡改和丢失。数据处理者应当制定数据传输管理制度，明确数据传输方式、路径和责任。数据处理者应当对数据传输情况进行监控和记录，确保数据传输安全可靠。（五）提供和公开规范。数据处理者在提供和公开网络数据时，应当进行安全评估，并经被提供者或公开对象同意。数据处理者应当采取必要措施，防止数据提供和公开过程中发生数据泄露、滥用等风险。数据处理者应当记录数据提供和公开情况，并定期进行审查和更新。（六）删除规范。数据处理者在删除网络数据时，应当确保数据无法恢复，并符合国家有关数据删除标准。数据处理者应当制定数据删除管理制度，明确数据删除范围、流程和责任。数据处理者应当对数据删除情况进行监控和记录，确保数据删除彻底。四、数据安全保护义务（一）风险评估。数据处理者应当定期进行数据安全风险评估，识别和评估数据安全风险，并采取相应的风险控制措施。数据处理者应当制定数据安全风险评估管理制度，明确风险评估范围、流程和责任。（二）安全防护。数据处理者应当采取技术和管理措施，保障数据安全。技术措施包括加密、脱敏、访问控制、入侵检测、安全审计等。管理措施包括制定数据安全管理制度、明确数据安全责任、加强数据安全培训等。（三）应急响应。数据处理者应当制定数据安全应急预案，明确应急响应流程、责任和措施。数据处理者应当定期进行应急演练，提高应急响应能力。数据处理者应当在发生数据安全事件时，及时采取措施，防止事件扩大，并按照规定向有关部门报告。（四）安全审计。数据处理者应当定期进行数据安全审计，检查数据安全管理制度落实情况，评估数据安全风险控制措施有效性。数据处理者应当制定数据安全审计管理制度，明确审计范围、流程和责任。数据处理者应当对审计结果进行整改，并持续改进数据安全管理工作。（五）数据安全事件处置。数据处理者在发生数据安全事件时，应当立即采取措施，防止事件扩大，并按照规定向有关部门报告。数据处理者应当对事件进行调查，查明事件原因，并采取补救措施。数据处理者应当对事件处置情况进行记录和总结，并持续改进数据安全管理工作。五、监督管理（一）主管部门。国务院网络安全和信息化部门负责统筹协调网络数据安全管理工作。国务院有关部门按照职责分工，负责网络数据安全相关管理工作。地方各级人民政府有关部门按照职责分工，负责本行政区域内网络数据安全相关管理工作。（二）监管措施。主管部门和有关部门应当加强对网络数据安全工作的监督检查，对违反本条例的行为进行查处。监督检查包括现场检查、远程检查、数据抽查等。主管部门和有关部门应当建立网络数据安全监管信息系统，实现监管信息共享和协同处置。（三）投诉举报。任何组织和个人有权对违反本条例的行为进行投诉举报。主管部门和有关部门应当建立投诉举报处理机制，及时处理投诉举报，并保护投诉举报人的合法权益。（四）信用监管。主管部门和有关部门应当建立网络数据安全信用体系，对数据处理者的数据安全行为进行信用评价。信用评价结果应当依法向社会公开。数据处理者应当根据信用评价结果，改进数据安全管理工作。六、法律责任（一）行政责任。数据处理者违反本条例规定，有下列情形之一的，由主管部门和有关部门责令改正，给予警告，没收违法所得，对单位处十万元以上五十万元以下罚款，对个人处一万元以上十万元以下罚款；情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、吊销相关业务许可或者吊销营业执照：1.未按照规定进行数据分类分级管理的；2.未按照规定采取数据安全保护措施的；3.未按照规定进行数据安全风险评估的；4.未按照规定制定数据安全应急预案的；5.未按照规定进行数据安全审计的；6.发生数据安全事件未按照规定报告的；7.未按照规定采取措施防止事件扩大的；8.未按照规定采