《数据出境安全评估办法》已经2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起施行。
国家互联网信息办公室主任庄荣文
2022年7月7日
数据出境安全评估办法
第一条为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。
第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第四条数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(六)其他可能影响数据出境安全的事项。
第六条申报数据出境安全评估,应当提交以下材料:
(一)申报书;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第七条省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九条数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
第十条国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。
第十一条安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
评估结果应当书面通知数据处理者。
第十三条数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
第十四条通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
第十六条任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。
第十七条国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
第十八条违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十九条本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
第二十条本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
互联网信息服务算法
推荐管理规定
第一章总则
第一条为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。法律、行政法规另有规定的,依照其规定。
第四条提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则。
第二章信息服务规范
第六条算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善。
算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,应当采取措施防范和抵制传播不良信息。
第八条算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。
第九条算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。
发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。
第十条算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。
第十二条鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。
第十三条算法推荐服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,规范开展互联网新闻信息采编发布服务、转载服务和传播平台服务,不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。
第十五条算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制,或者妨碍、破坏其合法提供的互联网信息服务正常运行,实施垄断和不正当竞争行为。
第三章用户权益保护
第十六条算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。
算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。
算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任。
第十八条算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。
算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。
第十九条算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。
第二十一条算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。
第二十二条算法推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果。
第四章监督管理
第二十三条网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。
第二十四条具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。
算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。
算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。
第二十五条国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后,材料齐全的,应当在三十个工作日内予以备案,发放备案编号并进行公示;材料不齐全的,不予备案,并应当在三十个工作日内通知备案人并说明理由。
第二十六条完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。
第二十七条具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。
第二十八条网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。
算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。
第三十条任何组织和个人发现违反本规定行为的,可以向网信部门和有关部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
第五章法律责任
第三十一条算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十四条、第十六条、第十七条、第二十二条、第二十四条、第二十六条规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第三十二条算法推荐服务提供者违反本规定第六条、第九条第二款、第十一条、第十三条、第十五条、第十八条、第十九条、第二十条、第二十一条、第二十七条、第二十八条第二款规定的,由网信部门和电信、公安、市场监管等有关部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。
第三十三条具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。
第六章附则
第三十四条本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。
第三十五条本规定自2022年3月1日起施行。
管理规定
(二)建立健全用户个人信息保护制度,处理用户个人信息应当遵循合法、正当、必要和诚信原则,公开个人信息处理规则,告知个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等事项,并依法取得个人的同意。法律、行政法规另有规定的除外。
(八)配合网信部门依法开展监督检查工作,提供必要的技术、数据支持和协助。
任何组织和个人发现违反本规定行为的,可以向网信部门投诉举报。网信部门收到投诉举报后,应当及时依法处理。
国家互联网信息办公室关于开展境内金融信息服务报备工作的通知
各省、自治区、直辖市互联网信息办公室:
为贯彻落实《关于加快建立网络综合治理体系的意见》和《金融信息服务管理规定》要求,提高金融信息服务质量,促进金融信息服务业健康发展,定于2021年8月起开展境内金融信息服务报备工作,现就有关事项通知如下:
一、报备对象
本通知所称金融信息服务,是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和(或者)金融数据的服务。该服务不同于通讯社服务、互联网新闻信息服务、金融业务服务和征信业务服务。
本通知所称境内机构,是指实际控制人为境内法人(非外商投资企业法人)或自然人,且商事登记在境内的机构。
按照本通知进行报备的金融信息服务,应具备以下特征:为境内机构开展的金融信息服务,主要是以互联网终端或专用终端等特定方式,向金融机构或专业投资者等特定对象,提供包括信息和数据在内的信息业务服务,服务的目的是辅助金融决策。
二、报备原则
按照“自愿申报、统一标准、两级核验”的原则,由境内机构自主决定是否提交报备申请。境内机构商事登记所在地的省级互联网信息办公室初核后,提交国家互联网信息办公室复核。
三、报备定位
报备是对境内机构提供金融信息服务行为的确认,但不对境内机构在提供产品和服务过程中发生的任何法律纠纷承担责任。
境内机构在完成金融信息服务报备后,应严格按照《金融信息服务管理规定》和本通知有关要求提供金融信息服务,不得以已通过金融信息服务报备为名,推脱违法违规从事金融信息服务业务和其他业务的责任。
境内机构如从事金融业务,应按规定取得相应资质,并接受有关主管部门监管。以互联网站、应用程序、论坛、博客、公众账号、即时通信工具、网络直播等形式面向社会公众提供金融资讯的,不属于本通知所称的金融信息服务,有关机构应遵守《互联网新闻信息服务管理规定》等法律法规。
四、报备渠道
五、报备内容
报备按业务环节分为首次报送、重大事项报告和年度审核。
(一)境内机构首次申请金融信息服务报备,应如实填报下列信息或上传有关材料电子扫描件:
1.机构基本信息、业务范围、服务项目和产品、服务提供方式、用户情况等信息;
2.提供金融信息服务涉及的信息内容发布、信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护、合作对象资质核验等内部管理制度及执行情况说明;
4.机构法定代表人、高级管理人员近三年受到的刑事处罚、行政处罚、监管措施等情况;
5.上一年度财务报表以及审计报告;
6.国家互联网信息办公室规定的其他材料。
(二)境内机构在完成首次报送后,发生下列重大事项,应在重大事项发生后的10个工作日内通过报备系统如实填报下列信息或上传有关材料电子扫描件:
1.机构基本信息、业务范围、服务项目和产品、服务提供方式等发生变更;
2.新增服务项目和产品;
3.信息内容发布、信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护、合作对象资质核验等方面出现重大风险事件;
4.机构或者法定代表人、高级管理人员因涉嫌违法违规被立案调查、司法机关侦查,以及受到刑事处罚、行政处罚、监管措施等;
5.机构发生重大民事纠纷,进行诉讼或仲裁;
6.机构股权结构发生重大变更;
7.对业务发展可能产生重大影响的其他风险事件;
8.国家互联网信息办公室规定的其他重大事项。
(三)境内机构完成首次报送后,应于每年4月30日前通过报备系统提交年度审核信息。年度审核信息包括机构基本信息、经营情况,已报备产品运行情况,信息内容审核情况,以及国家互联网信息办公室规定的其他事项。
六、报备信息核验
省级互联网信息办公室应在收到境内机构报送信息后15个工作日内核验。对报送信息、材料不完备或者不符合规定的,省级互联网信息办公室应一次性告知需补正的全部内容。境内机构应在收到核验意见后按要求提交补正报送信息,超过10个工作日仍未按要求补正的,不予核验通过。
国家互联网应急中心作为技术支撑单位,负责金融信息服务报备系统的运营和维护,并协助对境内机构提交的报备材料进行形式核验。
七、报备信息公示和变更
境内机构完成首次报送后,其机构名称、报备编号、主要产品、服务方式等信息,由国家互联网信息办公室通过报备系统向社会公示。境内机构应在所提供服务、产品的明显位置明示报备信息,并链接报备系统网址,供用户查询核对。
境内机构提交重大事项变更和年度审核信息、材料后,省级互联网信息办公室应按照前述报备信息核验的有关要求进行初核,审核通过后提交国家互联网信息办公室复核。对涉及报备公示信息变更的,国家互联网信息办公室予以修改完善。
八、工作要求
(一)高度重视境内金融信息服务报备工作。开展境内金融信息服务报备是推动境内金融信息服务业健康发展,提升行业影响力的重要基础和关键环节,各省级互联网信息办公室务必高度重视此项工作,明确责任,加强统筹协调,组织开展好报备工作。
(二)分阶段完成境内金融信息服务报备工作。报备工作将常态化开展。请各省级互联网信息办公室于2021年10月30日前完成对现有境内金融信息服务的报备工作,并结合实际建立工作机制,扎实做好常态化工作。
(四)开展审视加强行业管理。金融信息服务事关意识形态安全和金融安全,各省级互联网信息办公室应指导通过报备的境内机构提供审视其所提供金融信息的必要条件。对发现境内机构存在违法违规的情形,依法依规予以处置。
特此通知。
移动互联网应用程序
信息服务管理规定
第一条为了规范移动互联网应用程序(以下简称应用程序)信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定,制定本规定。
第二条在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务,应当遵守本规定。
本规定所称应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。
本规定所称应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。
第三条国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。
第四条应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,遵循公序良俗,履行社会责任,维护清朗网络空间。
应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。
第五条应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
第二章应用程序提供者
第七条应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。
第八条应用程序提供者应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。
应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。
第九条应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。
第十一条应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。
第十二条应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
第十四条应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。
第十五条鼓励应用程序提供者积极采用互联网协议第六版(IPv6)向用户提供信息服务。
第三章应用程序分发平台
第十七条应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下材料:
(一)平台运营主体基本情况;
(二)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;
(五)平台管理规则、服务协议等。
省、自治区、直辖市网信部门收到备案材料后,材料齐全的应当予以备案。
国家网信部门及时公布已经履行备案手续的应用程序分发平台名单。
第十八条应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。
第二十条应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。
应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。
应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。
第二十二条应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。
第二十三条鼓励互联网行业组织建立健全行业自律机制,制定完善行业规范和自律公约,指导会员单位建立健全服务规范,依法依规提供信息服务,维护市场公平,促进行业健康发展。
第二十四条网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。
应用程序提供者和应用程序分发平台应当对网信部门和有关主管部门依法实施的监督检查予以配合,并提供必要的支持和协助。
第五章附则
第二十六条本规定所称移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。
本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。
本规定所称移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。
第二十七条本规定自2022年8月1日起施行。2016年6月28日公布的《移动互联网应用程序信息服务管理规定》同时废止。
互联网弹窗信息推送服务
第二条在中华人民共和国境内提供互联网弹窗信息推送服务,适用本规定。
本规定所称互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。
本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。
第三条提供互联网弹窗信息推送服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。
第四条互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。
第五条提供互联网弹窗信息推送服务的,应当遵守下列要求:
(四)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观,不得集中推送、炒作社会热点敏感事件、恶性案件、灾难事故等,引发社会恐慌;
(五)健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核;
(六)保障用户权益,以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等,充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份;
(七)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得利用算法实施恶意屏蔽信息、过度推荐等行为;不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息;
(九)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。
第六条互联网弹窗信息推送服务提供者应当自觉接受社会监督,设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。
第七条鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则,引导行业健康有序发展。
第八条网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制,监督指导互联网弹窗信息推送服务提供者依法依规提供服务。
第十条本规定自2022年9月30日起施行。
国家市场监督管理总局国家互联网信息办公室关于实施个人信息保护认证的公告
2022年第37号
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》实施认证。
特此公告。
国家市场监督管理总局国家互联网信息办公室
2022年11月4日
个人信息保护认证实施规则
1适用范围
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
2认证依据
个人信息处理者应当符合GB/T35273《信息安全技术个人信息安全规范》的要求。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。
上述标准、规范原则上应当执行最新版本。
3认证模式
个人信息保护认证的认证模式为:
技术验证+现场审核+获证后监督
4认证实施程序
4.1认证委托
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
4.2技术验证
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。
4.3现场审核
认证机构实施现场审核,并向认证委托人出具现场审核报告。
4.4认证结果评价和批准
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。
4.5获证后监督
4.5.1监督的频次
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。
4.5.2监督的内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。
4.5.3获证后监督结果的评价
4.6认证时限
5认证证书和认证标志
5.1认证证书
5.1.1认证证书的保持
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
5.1.2认证证书的变更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。
5.1.3认证证书的注销、暂停和撤销
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。
5.1.4认证证书的公布
5.2认证标志
不含跨境处理活动的个人信息保护认证标志如下:[~公式~]
包含跨境处理活动的个人信息保护认证标志如下:
[~公式~]
“ABCD”代表认证机构识别信息。
5.3认证证书和认证标志的使用
6认证实施细则
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
7认证责任
认证机构应当对现场审核结论、认证结论负责。
技术验证机构应当对技术验证结论负责。
认证委托人应当对认证委托资料的真实性、合法性负责。
工业和信息化部国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告
工信部联信管函〔2022〕269号
为进一步规范移动智能终端应用软件预置行为,保护用户权益,提升移动互联网应用服务供给水平,构建更加安全、更有活力的产业生态,促进移动互联网持续繁荣发展,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国电信条例》,现将有关事项通告如下:
一、本通告所称预置应用软件,是指由生产企业预置,在移动智能终端主屏幕和辅助屏界面内存在用户交互入口,为满足用户应用需求而提供的、可独立使用的软件程序。
二、移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷、最小必要的原则,依据谁预置、谁负责的要求,落实企业主体责任,尊重并依法维护用户知情权、选择权,保障用户合法权益。
三、生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择。
四、基本功能软件限于以下范围:
(一)操作系统基本组件:系统设置、文件管理;
(二)保证智能终端硬件正常运行的应用:多媒体摄录;
(四)应用软件下载通道:应用商店。
实现同一基本功能的预置应用软件,至多有一个可设置为不可卸载。
五、生产企业应完善移动智能终端权限管理机制,提升操作系统安全性,采取技术和管理措施预防在产品流通环节发生置换操作系统和安装应用软件的行为。
七、工业和信息化部会同国家互联网信息办公室加强对预置应用软件的监督检查。对违反本通告的行为,依照有关法律法规规定进行处理。