數(shù)據(jù)立法管理辦法一、總則（一）目的為了加強數(shù)據(jù)管理，規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，維護數(shù)據(jù)主體合法權(quán)益，促進數(shù)據(jù)合理利用，依據(jù)相關(guān)法律法規(guī)，制定本辦法。（二）適用范圍本辦法適用于在中華人民共和國境內(nèi)開展的數(shù)據(jù)處理活動，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。（三）基本原則1.合法合規(guī)原則：數(shù)據(jù)處理活動應(yīng)當(dāng)遵守法律法規(guī)，不得危害國家安全、公共利益和數(shù)據(jù)主體合法權(quán)益。2.安全保障原則：采取必要措施保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改、丟失等風(fēng)險。3.主體權(quán)益保護原則：尊重和保護數(shù)據(jù)主體的知情權(quán)、同意權(quán)、刪除權(quán)等合法權(quán)益。4.誠信正當(dāng)原則：秉持誠信、正當(dāng)、必要的原則處理數(shù)據(jù)，不得濫用數(shù)據(jù)。二、數(shù)據(jù)處理主體責(zé)任（一）數(shù)據(jù)處理者定義本辦法所稱數(shù)據(jù)處理者，是指在數(shù)據(jù)處理活動中自主決定處理目的、處理方式的組織、個人。（二）一般責(zé)任1.數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)處理管理制度和操作規(guī)程，確保數(shù)據(jù)處理活動合法、合規(guī)、安全。2.明確數(shù)據(jù)處理活動的負責(zé)人，負責(zé)組織實施數(shù)據(jù)處理活動，并對數(shù)據(jù)處理活動的合法性、安全性負責(zé)。3.對數(shù)據(jù)處理活動進行記錄，記錄應(yīng)當(dāng)至少保存五年。記錄內(nèi)容包括數(shù)據(jù)處理活動的目的、方式、范圍、時間、處理的數(shù)據(jù)種類和數(shù)量等。（三）特殊責(zé)任1.關(guān)鍵信息基礎(chǔ)設(shè)施運營者除履行一般責(zé)任外，還應(yīng)當(dāng)履行下列責(zé)任：設(shè)立專門的數(shù)據(jù)安全管理機構(gòu)，配備專業(yè)的數(shù)據(jù)安全管理人員。對重要系統(tǒng)和數(shù)據(jù)庫進行加密存儲、傳輸和處理。定期開展數(shù)據(jù)安全評估和檢測，及時發(fā)現(xiàn)和處置安全隱患。制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期演練。2.網(wǎng)絡(luò)運營者除履行一般責(zé)任外，還應(yīng)當(dāng)履行下列責(zé)任：對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。采取技術(shù)措施和其他必要措施，防止其收集的個人信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。三、數(shù)據(jù)收集（一）收集原則1.合法、正當(dāng)、必要原則：數(shù)據(jù)收集應(yīng)當(dāng)具有合法依據(jù)，符合正當(dāng)目的，且為實現(xiàn)目的所必需。2.明示同意原則：收集個人數(shù)據(jù)時，應(yīng)當(dāng)向數(shù)據(jù)主體明示收集目的、范圍、方式等，并取得其明確同意。法律、行政法規(guī)另有規(guī)定的除外。（二）收集方式1.直接收集：數(shù)據(jù)處理者直接從數(shù)據(jù)主體處收集數(shù)據(jù)。2.間接收集：通過與其他數(shù)據(jù)處理者合作等方式間接獲取數(shù)據(jù)，但應(yīng)當(dāng)確保合作方合法收集數(shù)據(jù)，并對合作過程進行監(jiān)督。（三）收集限制1.不得收集與處理目的無關(guān)的數(shù)據(jù)。2.不得通過欺騙、誤導(dǎo)、強迫等不正當(dāng)手段收集數(shù)據(jù)。四、數(shù)據(jù)存儲（一）存儲安全要求1.采用安全的存儲技術(shù)和設(shè)備，確保數(shù)據(jù)存儲的保密性、完整性和可用性。2.對存儲的數(shù)據(jù)進行分類分級管理，采取相應(yīng)的安全防護措施。（二）存儲地點1.優(yōu)先選擇在中華人民共和國境內(nèi)存儲數(shù)據(jù)。確需在境外存儲的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定進行安全評估，并采取必要的安全措施。2.向境外提供數(shù)據(jù)時，應(yīng)當(dāng)確保境外接收方按照中國法律和本辦法的要求保護數(shù)據(jù)安全。（三）存儲期限根據(jù)數(shù)據(jù)處理目的和相關(guān)法律法規(guī)要求，合理確定數(shù)據(jù)存儲期限。存儲期限屆滿后，應(yīng)當(dāng)及時刪除或者進行匿名化處理。五、數(shù)據(jù)使用與加工（一）使用原則1.按照收集時明示的目的使用數(shù)據(jù)，不得超出目的范圍使用。2.不得將數(shù)據(jù)用于非法目的或者損害數(shù)據(jù)主體合法權(quán)益的目的。（二）加工要求1.數(shù)據(jù)加工應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，確保加工后的數(shù)據(jù)符合法律法規(guī)和本辦法的要求。2.對加工過程進行記錄，記錄內(nèi)容包括加工目的、方式、范圍、時間等。（三）共享與轉(zhuǎn)讓1.數(shù)據(jù)共享應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，確保共享數(shù)據(jù)的安全性和合規(guī)性。2.數(shù)據(jù)轉(zhuǎn)讓應(yīng)當(dāng)經(jīng)數(shù)據(jù)主體同意，并按照法律法規(guī)和本辦法的要求進行。六、數(shù)據(jù)傳輸（一）傳輸安全要求1.采用安全的傳輸技術(shù)和協(xié)議，確保數(shù)據(jù)傳輸過程中的保密性、完整性和可用性。2.對傳輸?shù)臄?shù)據(jù)進行加密處理，防止數(shù)據(jù)在傳輸過程中被竊取、篡改。（二）跨境傳輸1.數(shù)據(jù)處理者向境外傳輸數(shù)據(jù)的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定進行安全評估，并采取必要的安全措施。2.通過數(shù)據(jù)出境安全評估的，應(yīng)當(dāng)在與境外接收方簽訂的合同中約定數(shù)據(jù)安全保護責(zé)任和義務(wù)。七、數(shù)據(jù)提供與公開（一）提供原則1.數(shù)據(jù)提供應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，確保提供的數(shù)據(jù)符合法律法規(guī)和本辦法的要求。2.對提供的數(shù)據(jù)進行審核，確保數(shù)據(jù)的真實性、準確性和完整性。（二）公開要求1.數(shù)據(jù)公開應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，確保公開的數(shù)據(jù)符合法律法規(guī)和本辦法的要求。2.對公開的數(shù)據(jù)進行脫敏處理，防止數(shù)據(jù)主體信息泄露。（三）第三方合作1.與第三方合作提供數(shù)據(jù)或者公開數(shù)據(jù)的，應(yīng)當(dāng)簽訂合作協(xié)議，明確雙方的數(shù)據(jù)安全保護責(zé)任和義務(wù)。2.對第三方的數(shù)據(jù)處理活動進行監(jiān)督，確保第三方按照合作協(xié)議和本辦法的要求處理數(shù)據(jù)。八、數(shù)據(jù)安全保障（一）安全制度建設(shè)1.建立健全數(shù)據(jù)安全管理制度，包括數(shù)據(jù)分類分級管理制度、數(shù)據(jù)訪問控制制度、數(shù)據(jù)安全審計制度等。2.定期對數(shù)據(jù)安全管理制度進行評估和修訂，確保制度的有效性和適應(yīng)性。（二）安全技術(shù)措施1.采用先進的數(shù)據(jù)安全技術(shù)，如加密技術(shù)、訪問控制技術(shù)、數(shù)據(jù)脫敏技術(shù)等，保障數(shù)據(jù)安全。2.建立數(shù)據(jù)安全監(jiān)測預(yù)警機制，及時發(fā)現(xiàn)和處置數(shù)據(jù)安全事件。（三）人員安全管理1.加強對數(shù)據(jù)處理相關(guān)人員的安全培訓(xùn)，提高其安全意識和技能。2.對涉及數(shù)據(jù)處理的人員進行背景審查，簽訂保密協(xié)議，明確其數(shù)據(jù)安全責(zé)任。（四）應(yīng)急處置1.制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，明確應(yīng)急處置流程和責(zé)任分工。2.定期對應(yīng)急預(yù)案進行演練，提高應(yīng)急處置能力。3.發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取措施進行處置，并按照規(guī)定及時向有關(guān)主管部門報告。九、數(shù)據(jù)主體權(quán)益保護（一）知情權(quán)1.數(shù)據(jù)處理者應(yīng)當(dāng)向數(shù)據(jù)主體告知數(shù)據(jù)處理的目的、范圍、方式、存儲期限等信息。2.以清晰、易懂的方式向數(shù)據(jù)主體提供上述信息，并確保數(shù)據(jù)主體能夠方便地獲取。（二）同意權(quán)1.收集、使用個人數(shù)據(jù)時，應(yīng)當(dāng)取得數(shù)據(jù)主體的明確同意。法律、行政法規(guī)另有規(guī)定的除外。2.同意應(yīng)當(dāng)是明示的、具體的，且易于被數(shù)據(jù)主體理解。（三）刪除權(quán)1.數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)處理者刪除其個人數(shù)據(jù)。2.數(shù)據(jù)處理者收到數(shù)據(jù)主體刪除請求后，應(yīng)當(dāng)及時處理，并在規(guī)定期限內(nèi)刪除相關(guān)數(shù)據(jù)。（四）更正權(quán)1.數(shù)據(jù)主體發(fā)現(xiàn)其個人數(shù)據(jù)存在錯誤的，有權(quán)要求數(shù)據(jù)處理者及時更正。2.數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)進行核實，并在規(guī)定期限內(nèi)進行更正。（五）撤回同意權(quán)1.數(shù)據(jù)主體有權(quán)撤回其對數(shù)據(jù)處理的同意。2.數(shù)據(jù)處理者收到數(shù)據(jù)主體撤回同意請求后，應(yīng)當(dāng)停止相關(guān)數(shù)據(jù)處理活動，但法律、行政法規(guī)另有規(guī)定的除外。十、監(jiān)督管理（一）監(jiān)管部門職責(zé)1.國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。2.公安機關(guān)、國家安全機關(guān)等依照法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)數(shù)據(jù)安全保護和監(jiān)督管理工作。（二）監(jiān)督檢查措施1.監(jiān)管部門有權(quán)對數(shù)據(jù)處理者進行監(jiān)督檢查，數(shù)據(jù)處理者應(yīng)當(dāng)予以配合。2.監(jiān)督檢查可以采取現(xiàn)場檢查、網(wǎng)絡(luò)監(jiān)測、數(shù)據(jù)抽檢等方式。（三）違法行為處罰1.數(shù)據(jù)處理者違反本辦法規(guī)定的，由監(jiān)管部門責(zé)令改正，給予警告；拒不改正或者造成嚴重后果的，處一萬元以上十萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、