重慶若可網(wǎng)絡安全測評技術有限公司- 數(shù)據(jù)處理者應落實等保要求，處理重要數(shù)據(jù)的系統(tǒng)應滿足三級以上

數(shù)據(jù)處理者應落實等保要求，處理重要數(shù)據(jù)的系統(tǒng)應滿足三級以上

漏洞資訊 | 2021-11-23

《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》一共9章75條，內(nèi)容較多，這里整理了一部分比較重要的條款供大家參考學習?！毒W(wǎng)絡數(shù)據(jù)安全管理條例》的出臺將規(guī)范數(shù)據(jù)處理活動，同時也對數(shù)據(jù)安全管理提出了更高的要求，對于數(shù)據(jù)處理者來說，需要做的工作還是非常多的。

第二條在中華人民共和國境內(nèi)利用網(wǎng)絡開展數(shù)據(jù)處理活動，以及網(wǎng)絡數(shù)據(jù)安全的監(jiān)督管理，適用本條例。

在中華人民共和國境外處理中華人民共和國境內(nèi)個人和組織數(shù)據(jù)的活動，有下列情形之一的，適用本條例：

（一）以向境內(nèi)提供產(chǎn)品或者服務為目的；

（二）分析、評估境內(nèi)個人、組織的行為；

（三）涉及境內(nèi)重要數(shù)據(jù)處理；

（四）法律、行政法規(guī)規(guī)定的其他情形。

自然人因個人或者家庭事務開展數(shù)據(jù)處理活動，不適用本條例。

第五條國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。

國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護。

各地區(qū)、各部門應當按照國家數(shù)據(jù)分類分級要求，對本地區(qū)、本部門以及相關行業(yè)、領域的數(shù)據(jù)進行分類分級管理。

第六條數(shù)據(jù)處理者對所處理數(shù)據(jù)的安全負責，履行數(shù)據(jù)安全保護義務，接受政府和社會監(jiān)督，承擔社會責任。

數(shù)據(jù)處理者應當按照有關法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，建立完善數(shù)據(jù)安全管理制度和技術保護機制。

第九條數(shù)據(jù)處理者應當采取備份、加密、訪問控制等必要措施，保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用，應對數(shù)據(jù)安全事件，防范針對和利用數(shù)據(jù)的違法犯罪活動，維護數(shù)據(jù)的完整性、保密性、可用性。

數(shù)據(jù)處理者應當按照網(wǎng)絡安全等級保護的要求，加強數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡、數(shù)據(jù)存儲環(huán)境等安全防護，處理重要數(shù)據(jù)的系統(tǒng)原則上應當滿足三級以上網(wǎng)絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關規(guī)定從嚴保護。

數(shù)據(jù)處理者應當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。

第十一條數(shù)據(jù)處理者應當建立數(shù)據(jù)安全應急處置機制，發(fā)生數(shù)據(jù)安全事件時及時啟動應急響應機制，采取措施防止危害擴大，消除安全隱患。安全事件對個人、組織造成危害的，數(shù)據(jù)處理者應當在三個工作日內(nèi)將安全事件和風險情況、危害后果、已經(jīng)采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人，無法通知的可采取公告方式告知，法律、行政法規(guī)規(guī)定可以不通知的從其規(guī)定。安全事件涉嫌犯罪的，數(shù)據(jù)處理者應當按規(guī)定向公安機關報案。

發(fā)生重要數(shù)據(jù)或者十萬人以上個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時，數(shù)據(jù)處理者還應當履行以下義務：

（一）在發(fā)生安全事件的八小時內(nèi)向設區(qū)的市級網(wǎng)信部門和有關主管部門報告事件基本信息，包括涉及的數(shù)據(jù)數(shù)量、類型、可能的影響、已經(jīng)或擬采取的處置措施等；

（二）在事件處置完畢后五個工作日內(nèi)向設區(qū)的市級網(wǎng)信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調(diào)查評估報告。

第十三條數(shù)據(jù)處理者開展以下活動，應當按照國家有關規(guī)定，申報網(wǎng)絡安全審查：

（一）匯聚掌握大量關系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；

（二）處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的；

（三）數(shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的；

（四）其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。

大型互聯(lián)網(wǎng)平臺運營者在境外設立總部或者運營中心、研發(fā)中心，應當向國家網(wǎng)信部門和主管部門報告。

第十四條數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的，數(shù)據(jù)接收方應當繼續(xù)履行數(shù)據(jù)安全保護義務，涉及重要數(shù)據(jù)和一百萬人以上個人信息的，應當向設區(qū)的市級主管部門報告；數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況的，應當向設區(qū)的市級主管部門報告，按照相關要求移交或刪除數(shù)據(jù)，主管部門不明確的，應當向設區(qū)的市級網(wǎng)信部門報告。

第十六條國家機關應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)安全。

第二十一條處理個人信息應當取得個人同意的，數(shù)據(jù)處理者應當遵守以下規(guī)定：

（一）按照服務類型分別向個人申請?zhí)幚韨€人信息的同意，不得使用概括性條款取得同意；

（二）處理個人生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意；

（三）處理不滿十四周歲未成年人的個人信息，應當取得其監(jiān)護人同意；

（四）不得以改善服務質量、提升用戶體驗、研發(fā)新產(chǎn)品等為由，強迫個人同意處理其個人信息；

（五）不得通過誤導、欺詐、脅迫等方式獲得個人的同意；

（六）不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意；

（七）不得超出個人授權同意的范圍處理個人信息；

（八）不得在個人明確表示不同意后，頻繁征求同意、干擾正常使用服務。

個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，數(shù)據(jù)處理者應當重新取得個人同意，并同步修改個人信息處理規(guī)則。

對個人同意行為有效性存在爭議的，數(shù)據(jù)處理者負有舉證責任。

第二十三條個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應當履行以下義務：

（一）提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數(shù)量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；

（二）提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能，且不得設置不合理條件；

（三）收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的，應當在十五個工作日內(nèi)處理并反饋。

法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

第二十五條數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。

法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

第二十六條數(shù)據(jù)處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。

第二十七條各地區(qū)、各部門按照國家有關要求和標準，組織本地區(qū)、本部門以及相關行業(yè)、領域的數(shù)據(jù)處理者識別重要數(shù)據(jù)和核心數(shù)據(jù)，組織制定本地區(qū)、本部門以及相關行業(yè)、領域重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并報國家網(wǎng)信部門。

第二十八條重要數(shù)據(jù)的處理者，應當明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構。數(shù)據(jù)安全管理機構在數(shù)據(jù)安全負責人的領導下，履行以下職責：

（一）研究提出數(shù)據(jù)安全相關重大決策建議；

（二）制定實施數(shù)據(jù)安全保護計劃和數(shù)據(jù)安全事件應急預案；

（三）開展數(shù)據(jù)安全風險監(jiān)測，及時處置數(shù)據(jù)安全風險和事件；

（四）定期組織開展數(shù)據(jù)安全宣傳教育培訓、風險評估、應急演練等活動；

（五）受理、處置數(shù)據(jù)安全投訴、舉報；

（六）按照要求及時向網(wǎng)信部門和主管、監(jiān)管部門報告數(shù)據(jù)安全情況。

數(shù)據(jù)安全負責人應當具備數(shù)據(jù)安全專業(yè)知識和相關管理工作經(jīng)歷，由數(shù)據(jù)處理者決策層成員承擔，有權直接向網(wǎng)信部門和主管、監(jiān)管部門反映數(shù)據(jù)安全情況。

第二十九條重要數(shù)據(jù)的處理者，應當在識別其重要數(shù)據(jù)后的十五個工作日內(nèi)向設區(qū)的市級網(wǎng)信部門備案，備案內(nèi)容包括：

（一）數(shù)據(jù)處理者基本信息，數(shù)據(jù)安全管理機構信息、數(shù)據(jù)安全負責人姓名和聯(lián)系方式等；

（二）處理數(shù)據(jù)的目的、規(guī)模、方式、范圍、類型、存儲期限、存儲地點等，不包括數(shù)據(jù)內(nèi)容本身；

（三）國家網(wǎng)信部門和主管、監(jiān)管部門規(guī)定的其他備案內(nèi)容。

處理數(shù)據(jù)的目的、范圍、類型及數(shù)據(jù)安全防護措施等有重大變化的，應當重新備案。

依據(jù)部門職責分工，網(wǎng)信部門與有關部門共享備案信息。

第三十一條重要數(shù)據(jù)的處理者，應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務。

第三十二條處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應當自行或者委托數(shù)據(jù)安全服務機構每年開展一次數(shù)據(jù)安全評估，并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設區(qū)的市級網(wǎng)信部門，年度數(shù)據(jù)安全評估報告的內(nèi)容包括：

（一）處理重要數(shù)據(jù)的情況；

（二）發(fā)現(xiàn)的數(shù)據(jù)安全風險及處置措施；

（三）數(shù)據(jù)安全管理制度，數(shù)據(jù)備份、加密、訪問控制等安全防護措施，以及管理制度實施情況和防護措施的有效性；

（四）落實國家數(shù)據(jù)安全法律、行政法規(guī)和標準情況；

（五）發(fā)生的數(shù)據(jù)安全事件及其處置情況；

（六）共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估情況；

（七）數(shù)據(jù)安全相關的投訴及處理情況；

（八）國家網(wǎng)信部門和主管、監(jiān)管部門明確的其他數(shù)據(jù)安全情況。

數(shù)據(jù)處理者應當保留風險評估報告至少三年。

依據(jù)部門職責分工，網(wǎng)信部門與有關部門共享報告信息。

數(shù)據(jù)處理者開展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估，應當重點評估以下內(nèi)容：

（一）共享、交易、委托處理、向境外提供數(shù)據(jù)，以及數(shù)據(jù)接收方處理數(shù)據(jù)的目的、方式、范圍等是否合法、正當、必要；

（二）共享、交易、委托處理、向境外提供數(shù)據(jù)被泄露、毀損、篡改、濫用的風險，以及對國家安全、經(jīng)濟發(fā)展、公共利益帶來的風險；

（三）數(shù)據(jù)接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況，承諾承擔的責任以及履行責任的能力等是否能夠有效保障數(shù)據(jù)安全；

（四）與數(shù)據(jù)接收方訂立的相關合同中關于數(shù)據(jù)安全的要求能否有效約束數(shù)據(jù)接收方履行數(shù)據(jù)安全保護義務；

（五）在數(shù)據(jù)處理過程中的管理和技術措施等是否能夠防范數(shù)據(jù)泄露、毀損等風險。

評估認為可能危害國家安全、經(jīng)濟發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)。

第三十三條數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應當征得設區(qū)的市級及以上主管部門同意，主管部門不明確的，應當征得設區(qū)的市級及以上網(wǎng)信部門同意。

第三十四條國家機關和關鍵信息基礎設施運營者采購的云計算服務，應當通過國家網(wǎng)信部門會同國務院有關部門組織的安全評估。

第三十五條數(shù)據(jù)處理者因業(yè)務等需要，確需向中華人民共和國境外提供數(shù)據(jù)的，應當具備下列條件之一：

（一）通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估；

（二）數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認定的專業(yè)機構進行的個人信息保護認證；

（三）按照國家網(wǎng)信部門制定的關于標準合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權利和義務；

（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

數(shù)據(jù)處理者為訂立、履行個人作為一方當事人的合同所必須向境外提供當事人個人信息的，或者為了保護個人生命健康和財產(chǎn)安全而必須向境外提供個人信息的除外。

第三十七條數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，屬于以下情形的，應當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估：

（一）出境數(shù)據(jù)中包含重要數(shù)據(jù)；

（二）關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；

（三）國家網(wǎng)信部門規(guī)定的其它情形。

法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。

第五十三條大型互聯(lián)網(wǎng)平臺運營者應當通過委托第三方審計方式，每年對平臺數(shù)據(jù)安全情況、平臺規(guī)則和自身承諾的執(zhí)行情況、個人信息保護情況、數(shù)據(jù)開發(fā)利用情況等進行年度審計，并披露審計結果。

第五十四條互聯(lián)網(wǎng)平臺運營者利用人工智能、虛擬現(xiàn)實、深度合成等新技術開展數(shù)據(jù)處理活動的，應當按照國家有關規(guī)定進行安全評估。

第五十五條國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)數(shù)據(jù)安全和相關監(jiān)督管理工作。

公安機關、國家安全機關等在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責。

工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責。

主管部門應當明確本行業(yè)、本領域數(shù)據(jù)安全保護工作機構和人員，編制并組織實施本行業(yè)、本領域的數(shù)據(jù)安全規(guī)劃和數(shù)據(jù)安全事件應急預案。

主管部門應當定期組織開展本行業(yè)、本領域的數(shù)據(jù)安全風險評估，對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務情況進行監(jiān)督檢查，指導督促數(shù)據(jù)處理者及時對存在的風險隱患進行整改。

第五十八條國家建立數(shù)據(jù)安全審計制度。數(shù)據(jù)處理者應當委托數(shù)據(jù)安全審計專業(yè)機構定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

主管、監(jiān)管部門組織開展對重要數(shù)據(jù)處理活動的審計，重點審計數(shù)據(jù)處理者履行法律、行政法規(guī)規(guī)定的義務等情況。

數(shù)據(jù)來源：中國網(wǎng)信網(wǎng)

文章整理：公眾號等級保護測評