【合规】大数据法律法规政策文件及相关标准法律法规
第六章 隐私权和个人信息保护
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探侵扰泄露公开等方式侵害他人的隐私权。 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间私密活动私密信息。 第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为 一以电话短信即时通讯工具电子邮件传单等方式侵扰他人的私人生活安宁; 二进入拍摄窥视他人的住宅宾馆房间等私密空间; 三拍摄窥视窃听公开他人的私密活动; 四拍摄窥视他人身体的私密部位; 五处理他人的私密信息; 六以其他方式侵害他人的隐私权。 第一千零三十四条 自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名出生日期身份证件号码生物识别信息住址电话号码电子邮箱健康信息行踪信息等。 个人信息的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。 第一千零三十五条 处理个人信息的,应当遵循合法正当必要原则,不得过度处理,并符合下列条件 一征得该自然人或者其监护人同意,但是法律行政法规另有规定的除外; 二公开处理信息的规则; 三明示处理信息的目的方式和范围; 四不违反法律行政法规的规定和双方的约定。 个人信息的处理包括个人信息的收集存储使用加工传输提供公开等。 第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任 一在该自然人或者其监护人同意的范围内合理实施的行为; 二合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; 三为维护公利益或者该自然人合法权益,合理实施的其他行为。 第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。 自然人发现信息处理者违反法律行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。 第一千零三十八条 信息处理者不得泄露或者篡改其收集存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。 信息处理者应当采取技术措施和其他必要措施,确保其收集存储的个人信息安全,防止信息泄露篡改丢失;发生或者可能发生个人信息泄露篡改丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。 第一千零三十九条 家机关承担行政职能的法定机构及其工作人员对于履行职责过程知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。 第三章 数据安全制度 第二十一条 家建立数据分类分级保护制度,根据数据在经济社会发展的重要程度,以及一旦遭到篡改破坏泄露或者非法获取非法利用,对家安全公利益或者个人组织合法权益造成的危害程度,对数据实行分类分级保护。家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系家安全民经济命脉重要民生重大公利益等数据属于家核心数据,实行更加严格的管理制度。 各地区各部门应当按照数据分类分级保护制度,确定本地区本部门以及相关行业领域的重要数据具体目录,对列入目录的数据进行重点保护。 第二十二条 家建立集统一高效权威的数据安全风险评估报告信息享监测预警机制。家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取分析研判预警工作。 第二十三条 家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 第二十四条 家建立数据安全审查制度,对影响或者可能影响家安全的数据处理活动进行家安全审查。 依法作出的安全审查决定为最终决定。 第二十五条 家对与维护家安全和利益履行际义相关的属于管制物项的数据依法实施出口管制。 第二十六条 任何家或者地区在与数据和数据开发利用技术等有关的投资贸易等方面对华人民和采取歧视性的禁止限制或者其他类似措施的,华人民和可以根据实际情况对该家或者地区对等采取措施。 第四章 数据安全保护义 第二十七条 开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。 第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 第三十一条 关键信息基础设施的运营者在华人民和境内运营收集和生的重要数据的出境安全管理,适用华人民和网络安全法的规定;其他数据处理者在华人民和境内运营收集和生的重要数据的出境安全管理办法,由家网信部门会同有关部门制定。 第三十二条 任何组织个人收集数据,应当采取合法正当的方式,不得窃取或者以其他非法方式获取数据。 法律行政法规对收集使用数据的目的范围有规定的,应当在法律行政法规规定的目的和范围内收集使用数据。 第三十三条 从事数据交易介服的机构提供服,应当要求数据提供方说明数据源,审核交易双方的身份,并留存审核交易记录。 第三十四条 法律行政法规规定提供数据处理相关服应当取得行政许可的,服提供者应当依法取得许可。 第三十五条 公安机关家安全机关因依法维护家安全或者侦查犯罪的需要调取数据,应当按照家有关规定,经过严格的批准手续,依法进行,有关组织个人应当予以配合。 第三十六条 华人民和主管机关根据有关法律和华人民和缔结或者参加的际条约协定,或者按照等互惠原则,处理外司法或者执法机构关于提供数据的请求。非经华人民和主管机关批准,境内的组织个人不得向外司法或者执法机构提供存储于华人民和境内的数据。 第五章 政数据安全与开放 第三十七条 家大力推进电子政建设,提高政数据的科学性准确性时效性,提升运用数据服经济社会发展的能力。 第三十八条 家机关为履行法定职责的需要收集使用数据,应当在其履行法定职责的范围内依照法律行政法规规定的条件和程序进行;对在履行职责知悉的个人隐私个人信息商业秘密保密商信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 第三十九条 家机关应当依照法律行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政数据安全。 第四十条 家机关委托他人建设维护电子政系统,存储加工政数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义。受托方应当依照法律法规的规定和合同约定履行数据安全保护义,不得擅自留存使用泄露或者向他人提供政数据。 第四十一条 家机关应当遵循公正公便民的原则,按照规定及时准确地公开政数据。依法不予公开的除外。 第四十二条 家制定政数据开放目录,构建统一规范互联互通安全可控的政数据开放台,推动政数据开放利用。 第四十三条 法律法规授权的具有管理公事职能的组织为履行法定职责开展数据处理活动,适用本章规定。 第三章网络运行安全 第一节一般规定 第二十一条家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义,保障网络免受干扰破坏或者未经授权的访问,防止网络数据泄露或者被窃取篡改 一制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 二采取防范计算机病毒和网络攻击网络侵入等危害网络安全行为的技术措施; 三采取监测记录网络运行状态网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 四采取数据分类重要数据备份和加密等措施; 五法律行政法规规定的其他义。 第一条 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。 第二条 本法所称电子签名,是指数据电文以电子形式所含所附用于识别签名人身份并表明签名人认可其内容的数据。 本法所称数据电文,是指以电子光学磁或者类似手段生成发送接收或者储存的信息。 第三条 民事活动的合同或者其他文件单证等文书,当事人可以约定使用或者不使用电子签名数据电文。 当事人约定使用电子签名数据电文的文书,不得仅因为其采用电子签名数据电文的形式而否定其法律效力。 前款规定不适用下列文书 一涉及婚姻收养继承等人身关系的; 二涉及停止供水供热供气等公用事业服的; 三法律行政法规规定的不适用电子文书的其他情形。 第二章 数据电文 第四条 能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律法规要求的书面形式。 第五条 符合下列条件的数据电文,视为满足法律法规规定的原件形式要求 二能够可靠地保证自最终形成时起,内容保持完整未被更改。但是,在数据电文上增加背书以及数据交换储存和显示过程发生的形式变化不影响数据电文的完整性。 第六条 符合下列条件的数据电文,视为满足法律法规规定的文件保存要求 二数据电文的格式与其生成发送或者接收时的格式相同,或者格式不相同但是能够准确表现原生成发送或者接收的内容; 三能够识别数据电文的发件人收件人以及发送接收的时间。 第七条 数据电文不得仅因为其是以电子光学磁或者类似手段生成发送接收或者储存的而被拒绝作为证据使用。 第八条 审查数据电文作为证据的真实性,应当考虑以下因素 一生成储存或者传递数据电文方法的可靠性; 二保持内容完整性方法的可靠性; 三用以鉴别发件人方法的可靠性; 四其他相关因素。 第九条 数据电文有下列情形之一的,视为发件人发送 一经发件人授权发送的; 二发件人的信息系统自动发送的; 三收件人按照发件人认可的方法对数据电文进行验证后结果相符的。 当事人对前款规定的事项另有约定的,从其约定。 第十条 法律行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。 第十一条 数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。 收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。 当事人对数据电文的发送时间接收时间另有约定的,从其约定。 第十二条 发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。 当事人对数据电文的发送地点接收地点另有约定的,从其约定。 第三章 电子签名与认证 第十三条 电子签名同时符合下列条件的,视为可靠的电子签名 一电子签名制作数据用于电子签名时,属于电子签名人专有; 二签署时电子签名制作数据仅由电子签名人控制; 三签署后对电子签名的任何改动能够被发现; 四签署后对数据电文内容和形式的任何改动能够被发现。 当事人也可以选择使用符合其约定的可靠条件的电子签名。 第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。 第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。 第十六条 电子签名需要第三方认证的,由依法设立的电子认证服提供者提供认证服。 第十七条 提供电子认证服,应当具备下列条件 一取得企业法人资格; 二具有与提供电子认证服相适应的专业技术人员和管理人员; 三具有与提供电子认证服相适应的资金和经营场所; 四具有符合家安全标准的技术和设备; 五具有家密码管理机构同意使用密码的证明文件; 六法律行政法规规定的其他条件。 第十八条 从事电子认证服,应当向信息业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。信息业主管部门接到申请后经依法审查,征求商主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。 取得认证资格的电子认证服提供者,应当按照信息业主管部门的规定在互联网上公布其名称许可证号等信息。 第十九条 电子认证服提供者应当制定公布符合家有关规定的电子认证业规则,并向信息业主管部门备案。 电子认证业规则应当包括责任范围作业操作规范信息安全保障措施等事项。 第二十条 电子签名人向电子认证服提供者申请电子签名认证证书,应当提供真实完整和准确的信息。 电子认证服提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。 第二十一条 电子认证服提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容 一电子认证服提供者名称; 二证书持有人名称; 三证书序列号; 四证书有效期; 五证书持有人的电子签名验证数据; 六电子认证服提供者的电子签名; 七信息业主管部门规定的其他内容。 第二十二条 电子认证服提供者应当保证电子签名认证证书内容在有效期内完整准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。 第二十三条 电子认证服提供者拟暂停或者终止电子认证服的,应当在暂停或者终止服九十日前,就业承接及其他有关事项通知有关各方。 电子认证服提供者拟暂停或者终止电子认证服的,应当在暂停或者终止服六十日前向信息业主管部门报告,并与其他电子认证服提供者就业承接进行协商,作出妥善安排。 电子认证服提供者未能就业承接事项与其他电子认证服提供者达成协议的,应当申请信息业主管部门安排其他电子认证服提供者承接其业。 电子认证服提供者被依法吊销电子认证许可证书的,其业承接事项的处理按照信息业主管部门的规定执行。 第二十四条 电子认证服提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。 第二十五条 信息业主管部门依照本法制定电子认证服业的具体管理办法,对电子认证服提供者依法实施监督管理。 第二十六条 经信息业主管部门根据有关协议或者对等原则核准后,华人民和境外的电子认证服提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服提供者签发的电子签名认证证书具有同等的法律效力。 第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护家安全和社会公利益,保护公民法人和其他组织的合法权益,制定本法。 第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护安全认证的技术品和服。 第三条 密码工作坚持总体家安全观,遵循统一领导分级负责,创新发展服大局,依法管理保障安全的原则。 第四条 坚持对密码工作的领导。密码工作领导机构对全密码工作实行统一领导,制定家密码工作重大方针政策,统筹协调家密码重大事项和重要工作,推进家密码法治建设。 第五条 家密码管理部门负责管理全的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。 家机关和涉及密码工作的单位在其职责范围内负责本机关本单位或者本系统的密码工作。 第六条 家对密码实行分类管理。 密码分为核心密码普通密码和商用密码。 第七条 核心密码普通密码用于保护家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。 核心密码普通密码属于家秘密。密码管理部门依照本法和有关法律行政法规家有关规定对核心密码普通密码实行严格统一管理。 第八条 商用密码用于保护不属于家秘密的信息。 公民法人和其他组织可以依法使用商用密码保护网络与信息安全。 第九条 家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识权,促进密码科学技术进步和创新。 家加强密码人才培养和队伍建设,对在密码工作作出突出贡献的组织和个人,按照家有关规定给予表彰和奖励。 第十条 家采取多种形式加强密码安全教育,将密码安全教育纳入民教育体系和公员教育培训体系,增强公民法人和其他组织的密码安全意识。 第十一条 县级以上人民政府应当将密码工作纳入本级民经济和社会发展规划,所需经费列入本级财政预算。 第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。 任何组织或者个人不得利用密码从事危害家安全社会公利益他人合法权益等违法犯罪活动。 第二章 核心密码普通密码 第十三条 家加强核心密码普通密码的科学规划管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。 第十四条 在有线无线通信传递的家秘密信息,以及存储处理家秘密信息的信息系统,应当依照法律行政法规和家有关规定使用核心密码普通密码进行加密保护安全认证。 第十五条 从事核心密码普通密码科研生服检测装备使用和销毁等工作的机构以下统称密码工作机构应当按照法律行政法规家有关规定以及核心密码普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码普通密码的安全。 第十六条 密码管理部门依法对密码工作机构的核心密码普通密码工作进行指导监督和检查,密码工作机构应当配合。 第十七条 密码管理部门根据工作需要会同有关部门建立核心密码普通密码的安全监测预警安全风险评估信息通报重大事项会商和应急处置等协作机制,确保核心密码普通密码安全管理的协同联动和有序高效。 密码工作机构发现核心密码普通密码泄密或者影响核心密码普通密码安全的重大问题风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门密码管理部门报告,由保密行政管理部门密码管理部门会同有关部门组织开展调查处置,并指导有关密码工作机构及时消除安全隐患。 第十八条 家加强密码工作机构建设,保障其履行工作职责。 家建立适应核心密码普通密码工作需要的人员录用选调保密考核培训待遇奖惩交流退出等管理制度。 第十九条 密码管理部门因工作需要,按照家有关规定,可以提请公安交通运输海关等部门对核心密码普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。 第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。 第三章 商用密码 第二十一条 家鼓励商用密码技术的研究开发学术交流成果转化和推广应用,健全统一开放竞争有序的商用密码市场体系,鼓励和促进商用密码业发展。 各级人民政府及其有关部门应当遵循非歧视原则,依法等对待包括外商投资企业在内的商用密码科研生销售服进出口等单位以下统称商用密码从业单位。家鼓励在外商投资过程基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。 商用密码的科研生销售服和进出口,不得损害家安全社会公利益或者他人合法权益。 第二十二条 家建立和完善商用密码标准体系。 标准化行政主管部门和家密码管理部门依据各自职责,组织制定商用密码家标准行业标准。 家支持社会团体企业利用自主创新技术制定高于家标准行业标准相关技术要求的商用密码团体标准企业标准。 第二十三条 家推动参与商用密码际标准化活动,参与制定商用密码际标准,推进商用密码标准与外标准之间的转化运用。 家鼓励企业社会团体和教育科研机构等参与商用密码际标准化活动。 第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律行政法规商用密码强制性家标准以及该从业单位公开标准的技术要求。 家鼓励商 用密码从业单位采用商用密码推荐性家标准行业标准,提升商用密码的防护能力,维护用户的合法权益。 第二十五条 家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。 商用密码检测认证机构应当依法取得相关资质,并依照法律行政法规的规定和商用密码检测认证技术规范规则开展商用密码检测认证。 商用密码检测认证机构应当对其在商用密码检测认证所知悉的家秘密和商业秘密承担保密义。 第二十六条 涉及家安全计民生社会公利益的商用密码品,应当依法列入网络关键设备和网络安全专用品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码品检测认证适用华人民和网络安全法的有关规定,避免重复检测认证。 商用密码服使用网络关键设备和网络安全专用品的,应当经商用密码认证机构对该商用密码服认证合格。 第二十七条 法律行政法规和家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估网络安全等级测评制度相衔接,避免重复评估测评。 关键信息基础设施的运营者采购涉及商用密码的网络品和服,可能影响家安全的,应当按照华人民和网络安全法的规定,通过家网信部门会同家密码管理部门等有关部门组织的家安全审查。 第二十八条 商主管部门家密码管理部门依法对涉及家安全社会公利益且具有加密保护功能的商用密码实施进口许可,对涉及家安全社会公利益或者承担际义的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由商主管部门会同家密码管理部门和海关总署制定并公布。 大众消费类品所采用的商用密码不实行进口许可和出口管制制度。 第二十九条 家密码管理部门对采用商用密码技术从事电子政电子认证服的机构进行认定,会同有关部门负责政活动使用电子签名数据电文的管理。 第三十条 商用密码领域的行业协会等组织依照法律行政法规及其章程的规定,为商用密码从业单位提供信息技术培训等服,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。 第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事事后监管制度,建立统一的商用密码监督管理信息台,推进事事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。 密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测认证机构向其披露源代码等密码相关专有信息,并对其在履行职责知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
