11月14日，国家互联网信息办公布《网络数据安全管理条例（征求意见稿）》（简称“《管理条例》”）。《管理条例》依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等关于数据安全管理的法律制定，是以上三法的具体化规定，操作性更强。《管理条例》主要围绕对个人信息和重要数据的保护、跨境数据，提出管理措施，同时明确了互联网平台运营者的义务。

一、适用范围

在境内利用网络开展数据处理活动，以及网络数据安全的监督管理。

在境外处理境内个人和组织数据的活动（如涉及境内重要数据，或向境内提供产品或服务等）。

二、基本定义

网络数据：以下简称“数据”，指任何以电子方式对信息的记录。

数据处理者：指在数据处理活动中自主决定处理目的和处理方式的个人和组织。

数据处理活动：指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

重要数据：指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。（包括未公开的政务、情报数据，出口管制数据，国家经济运行数据，重点行业领域的生产、运行数据，国家基础数据，国家基础设施、关键信息基础设施数据。）

三、监管部门及职责

国家网信部门：统筹协调数据安全和监督管理工作。

公安机关、国家安全机关：承担数据安全监管职责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门：承担本行业领域数据安全监管职责。

四、数据安全制度建设

建立数据分类分级保护制度：按照数据影响程度分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

建立健全数据交易管理制度：明确数据交易机构设立、运行标准，规范数据流通交易行为，确保数据依法有序流通。

建立健全数据安全管理制度：落实数据安全保护责任，保障政务数据安全。

建立健全数据安全应急处置机制：将数据安全事件纳入国家网络安全事件应急响应机制。

建立数据安全审计制度：数据处理者应委托数据安全审计专业机构定期对其处理个人信息的情况进行合规审计。

建立数据跨境安全网关：有效阻断来自境外的、法律禁止发布的信息。任何组织和个人不得为穿透、绕过数据跨境安全网关提供服务。

建设网络身份认证公共服务基础设施：为网民提供个人身份认证公共服务。

五、数据处理者应履行的职责

（一）数据处理总体要求

1.采取备份、加密、访问控制，防止数据泄露、窃取、丢失、非法使用等，维护数据完整性、保密性、可用性。

2.按照网络安全等级保护的要求，处理重要数据应当满足三级以上要求。

3.使用密码对重要数据和核心数据进行保护。

（二）处理个人信息的特别要求

1.遵循最小必要、最短周期、最低频次、个人权益影响最小化的数据处理原则。

2.处理个人生物识别、医疗健康、金融账户等敏感个人信息应当取得个人单独同意。

3.处理不满十四周岁未成年人的个人信息，应当取得其监护人同意。

4.为个人提供个人信息转移服务。

（三）处理个人信息的强制性要求

1.不得因个人拒绝提供个人信息以外的其他信息，而拒绝提供服务。

2.不得使用概括性条款来取得个人同意。

3.不得将人脸、指纹、虹膜等生物特征作为唯一的个人身份认证方式。

（四）处理重要数据的特别要求

1.赴境外上市的，应自行或者委托数据安全服务机构每年开展一次数据安全评估。

2.共享、交易、委托处理重要数据的，应征得市级及以上主管部门同意。

（五）处理跨境数据的特别要求

1.应先通过数据出境安全评估。

2.数据处理者和接收方均通过专业机构认定的个人信息保护认证。

3.向境外提供个人信息时，应向个人告知境外接收方具体信息，并取得个人单独同意。

4.个人信息出境后确需再转移的，应事先与个人约定，再转移。

5.建立健全数据跨境安全监管要求。

六、互联网平台运营者需履行的义务

1.不得利用数据进行差异化定价，实行最低价销售等损害公平的行为。

2.不得在平台规则、算法、技术、流量分配等方面设置障碍，限制中小企业平台的市场。

3.提供即时通信服务时，应为其他互联网平台运营者的即时通信服务提供数据接口。

4.利用个人信息和个性化推送算法向用户提供信息的，应取得个人单独同意，并提供一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息。

5.允许个人删除定向推送信息服务收集产生的个人信息。

《管理条例》基于数据的全类型、全场景、全生命周期，以数据分级分类保护制度为基础，对网络数据中的一般数据、个人信息、重要数据等提出具体要求，数据安全管理将面临更高要求。

闪捷信息将在数据安全相关政策法规指引下，通过数据分级分类、加密、脱敏、审计、防泄漏等多种数据安全技术，以敏感数据保护为核心，通过数据安全咨询服务能力、数据全生命周期安全技术能力以及数据安全运营支撑能力，为用户提供一体化、定制化、智能化的 “产品+服务”矩阵，助力数据安全合规体系建设，筑牢数据安全底座。

关于闪捷信息：

闪捷信息（Secsmart）是一家专注数据安全的高新技术企业，创新性提出“云·管·端”立体化动态数据安全理念，在业界率先将人工智能、前沿密码技术成功应用于数据安全领域，实现对结构化和非结构化数据资产的全面防护。产品范围涉及大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全、数据安全治理以及数据安全治理服务等，已广泛应用于政府、电力、金融、运营商、医疗、教育等行业。