11 月 14 日消息，國家互聯(lián)網(wǎng)信息辦公室今日發(fā)布關于《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》公開征求意見的通知，向社會公開征求意見，反饋截止時間為 2021 年 12 月 13 日。

　 《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》指出，國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護。

　　第三章 個人信息保護

　　第十九條 數(shù)據(jù)處理者處理個人信息，應當具有明確、合理的目的，遵循合法、正當、必要的原則?；趥€人同意處理個人信息的，應當滿足以下要求：

　?。ㄒ唬┨幚淼膫€人信息是提供服務所必需的，或者是履行法律、行政法規(guī)規(guī)定的義務所必需的；（二）限于實現(xiàn)處理目的最短周期、最低頻次，采取對個人權益影響最小的方式；（三）不得因個人拒絕提供服務必需的個人信息以外的信息，拒絕提供服務或者干擾個人正常使用服務。

　　第二十條 數(shù)據(jù)處理者處理個人信息，應當制定個人信息處理規(guī)則并嚴格遵守。個人信息處理規(guī)則應當集中公開展示、易于訪問并置于醒目位置，內(nèi)容明確具體、簡明通俗，系統(tǒng)全面地向個人說明個人信息處理情況。

　　個人信息處理規(guī)則應當包括但不限于以下內(nèi)容：

　?。ㄒ唬┮罁?jù)產(chǎn)品或者服務的功能明確所需的個人信息，以清單形式列明每項功能處理個人信息的目的、用途、方式、種類、頻次或者時機、保存地點等，以及拒絕處理個人信息對個人的影響；（二）個人信息存儲期限或者個人信息存儲期限的確定方法、到期后的處理方式；（三）個人查閱、復制、更正、刪除、限制處理、轉(zhuǎn)移個人信息，以及注銷賬號、撤回處理個人信息同意的途徑和方法；（四）以集中展示等便利用戶訪問的方式說明產(chǎn)品服務中嵌入的所有收集個人信息的第三方代碼、插件的名稱，以及每個第三方代碼、插件收集個人信息的目的、方式、種類、頻次或者時機及其個人信息處理規(guī)則；（五）向第三方提供個人信息情形及其目的、方式、種類，數(shù)據(jù)接收方相關信息等；（六）個人信息安全風險及保護措施；（七）個人信息安全問題的投訴、舉報渠道及解決途徑，個人信息保護負責人聯(lián)系方式。

　　第二十一條 處理個人信息應當取得個人同意的，數(shù)據(jù)處理者應當遵守以下規(guī)定：

　?。ㄒ唬┌凑辗疹愋头謩e向個人申請?zhí)幚韨€人信息的同意，不得使用概括性條款取得同意；（二）處理個人生物識別、信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意；（三）處理不滿十四周歲未成年人的個人信息，應當取得其監(jiān)護人同意；（四）不得以改善服務質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品等為由，強迫個人同意處理其個人信息；（五）不得通過誤導、欺詐、脅迫等方式獲得個人的同意；（六）不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意；（七）不得超出個人授權同意的范圍處理個人信息；（八）不得在個人明確表示不同意后，頻繁征求同意、干擾正常使用服務。

　　個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，數(shù)據(jù)處理者應當重新取得個人同意，并同步修改個人信息處理規(guī)則。

　　對個人同意行為有效性存在爭議的，數(shù)據(jù)處理者負有舉證責任。

　　第二十二條 有下列情況之一的，數(shù)據(jù)處理者應當在十五個工作日內(nèi)刪除個人信息或者進行匿名化處理：

　　（一）已實現(xiàn)個人信息處理目的或者實現(xiàn)處理目的不再必要；（二）達到與用戶約定或者個人信息處理規(guī)則明確的存儲期限；（三）終止服務或者個人注銷賬號；（四）因使用自動化采集技術等，無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息。

　　刪除個人信息從技術上難以實現(xiàn)，或者因業(yè)務復雜等原因，在十五個工作日內(nèi)刪除個人信息確有困難的，數(shù)據(jù)處理者不得開展除存儲和采取必要的安全保護措施之外的處理，并應當向個人作出合理解釋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應當履行以下義務：

　?。ㄒ唬┨峁┍憬莸闹С謧€人結構化查詢本人被收集的個人信息類型、數(shù)量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；（二）提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能，且不得設置不合理條件；（三）收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的，應當在十五個工作日內(nèi)處理并反饋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　第二十四條 符合下列條件的個人信息轉(zhuǎn)移請求，數(shù)據(jù)處理者應當為個人指定的其他數(shù)據(jù)處理者訪問、獲取其個人信息提供轉(zhuǎn)移服務：

　?。ㄒ唬┱埱筠D(zhuǎn)移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息；（二）請求轉(zhuǎn)移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；（三）能夠驗證請求人的合法身份。

　　數(shù)據(jù)處理者發(fā)現(xiàn)接收個人信息的其他數(shù)據(jù)處理者有非法處理個人信息風險的，應當對個人信息轉(zhuǎn)移請求做合理的風險提示。

　　請求轉(zhuǎn)移個人信息次數(shù)明顯超出合理范圍的，數(shù)據(jù)處理者可以收取合理費用。

　　第二十五條 數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　第二十六條 數(shù)據(jù)處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。

　　第六章  互聯(lián)網(wǎng)平臺運營者義務

　　第四十三條 互聯(lián)網(wǎng)平臺運營者應當建立與數(shù)據(jù)相關的平臺規(guī)則、隱私政策和算法策略披露制度，及時披露制定程序、裁決程序，保障平臺規(guī)則、隱私政策、算法公平公正。

　　平臺規(guī)則、隱私政策制定或者對用戶權益有重大影響的修訂，互聯(lián)網(wǎng)平臺運營者應當在其官方網(wǎng)站、個人信息保護相關行業(yè)協(xié)會互聯(lián)網(wǎng)平臺面向社會公開征求意見，征求意見時長不得少于三十個工作日，確保用戶能夠便捷充分表達意見?；ヂ?lián)網(wǎng)平臺運營者應當充分采納公眾意見，修改完善平臺規(guī)則、隱私政策，并以易于用戶訪問的方式公布意見采納情況，說明未采納的理由，接受社會監(jiān)督。

　　日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者平臺規(guī)則、隱私政策制定或者對用戶權益有重大影響的修訂的，應當經(jīng)國家網(wǎng)信部門認定的第三方機構評估，并報省級及以上網(wǎng)信部門和電信主管部門同意。

　　第四十四條 互聯(lián)網(wǎng)平臺運營者應當對接入其平臺的第三方產(chǎn)品和服務承擔數(shù)據(jù)安全管理責任，通過合同等形式明確第三方的數(shù)據(jù)安全責任義務，并督促第三方加強數(shù)據(jù)安全管理，采取必要的數(shù)據(jù)安全保護措施。

　　第三方產(chǎn)品和服務對用戶造成損害的，用戶可以要求互聯(lián)網(wǎng)平臺運營者先行賠償。

　　移動通信終端預裝第三方產(chǎn)品適用本條前兩款規(guī)定。

　　第四十五條 國家鼓勵提供即時通信服務的互聯(lián)網(wǎng)平臺運營者從功能設計上為用戶提供個人通信和非個人通信選擇。個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關規(guī)定進行管理。

　　第四十六條 互聯(lián)網(wǎng)平臺運營者不得利用數(shù)據(jù)以及平臺規(guī)則等從事以下活動：

　?。ㄒ唬├闷脚_收集掌握的用戶數(shù)據(jù)，無正當理由對交易條件相同的用戶實施產(chǎn)品和服務差異化定價等損害用戶合法利益的行為；（二）利用平臺收集掌握的經(jīng)營者數(shù)據(jù)，在產(chǎn)品推廣中實行最低價銷售等損害公平競爭的行為；（三）利用數(shù)據(jù)誤導、欺詐、脅迫用戶，損害用戶對其數(shù)據(jù)被處理的決定權，違背用戶意愿處理用戶數(shù)據(jù)；（四）在平臺規(guī)則、算法、技術、流量分配等方面設置不合理的限制和障礙，限制平臺上的中小企業(yè)公平獲取平臺產(chǎn)生的行業(yè)、市場數(shù)據(jù)等，阻礙市場創(chuàng)新。

　　第四十七條 提供應用程序分發(fā)服務的互聯(lián)網(wǎng)平臺運營者，應當按照有關法律、行政法規(guī)和國家網(wǎng)信部門的規(guī)定，建立、披露應用程序?qū)徍艘?guī)則，并對應用程序進行安全審核。對不符合法律、行政法規(guī)的規(guī)定和國家標準的強制性要求的應用程序，應當采取拒絕上架、督促整改、下架處置等措施。

　　第四十八條 互聯(lián)網(wǎng)平臺運營者面向公眾提供即時通信服務的，應當按照國務院電信主管部門的規(guī)定，為其他互聯(lián)網(wǎng)平臺運營者的即時通信服務提供數(shù)據(jù)接口，支持不同即時通信服務之間用戶數(shù)據(jù)互通，無正當理由不得限制用戶訪問其他互聯(lián)網(wǎng)平臺以及向其他互聯(lián)網(wǎng)平臺傳輸文件。

　　第四十九條 互聯(lián)網(wǎng)平臺運營者利用個人信息和個性化推送算法向用戶提供信息的，應當對推送信息的真實性、準確性以及來源合法性負責，并符合以下要求：

　?。ㄒ唬┦占瘋€人信息用于個性化推薦時，應當取得個人單獨同意；（二）設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項，允許用戶拒絕接受定向推送信息，允許用戶重置、修改、調(diào)整針對其個人特征的定向推送參數(shù)；（三）允許個人刪除定向推送信息服務收集產(chǎn)生的個人信息，法律、行政法規(guī)另有規(guī)定或者與用戶另有約定的除外。

　　第五十條 國家建設網(wǎng)絡身份認證公共服務基礎設施，按照政府引導、網(wǎng)民自愿原則，提供個人身份認證公共服務。

　　互聯(lián)網(wǎng)平臺運營者應當支持并優(yōu)先使用國家網(wǎng)絡身份認證公共服務基礎設施提供的個人身份認證服務。

　　第五十一條 互聯(lián)網(wǎng)平臺運營者在為國家機關提供服務，參與公共基礎設施、公共服務系統(tǒng)建設運維管理，利用公共資源提供服務過程中收集、產(chǎn)生的數(shù)據(jù)不得用于其他用途。

　　第五十二條 國務院有關部門履行法定職責需要調(diào)取或者訪問互聯(lián)網(wǎng)平臺運營者掌握的公共數(shù)據(jù)、公共信息，應當明確調(diào)取或者訪問的范圍、類型、用途、依據(jù)，嚴格限定在履行法定職責范圍內(nèi)，不得將調(diào)取或者訪問的公共數(shù)據(jù)、公共信息用于履行法定職責之外的目的。

　　互聯(lián)網(wǎng)平臺運營者應當對有關部門調(diào)取或者訪問公共數(shù)據(jù)、公共信息予以配合。

　　第五十三條 大型互聯(lián)網(wǎng)平臺運營者應當通過委托第三方審計方式，每年對平臺數(shù)據(jù)安全情況、平臺規(guī)則和自身承諾的執(zhí)行情況、個人信息保護情況、數(shù)據(jù)開發(fā)利用情況等進行年度審計，并披露審計結果。

　　第五十四條 互聯(lián)網(wǎng)平臺運營者利用人工智能、虛擬現(xiàn)實、深度合成等新技術開展數(shù)據(jù)處理活動的，應當按照國家有關規(guī)定進行安全評估。