前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
第二十条 面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。
第三章 个人信息保护
第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:
(一)网络数据处理者的名称或者姓名和联系方式;
(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;
(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:
(一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;
(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;
(三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;
(四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;
(五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;
(六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第二十三条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。
第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。
第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
第四章 重要数据安全
第二十九条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。
网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。
国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要数据安全管理水平。
第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任: