李強簽署國務院令 公佈《網絡數據安全管理條例》

中華人民共和國國務院令

第790號

《網絡數據安全管理條例》已經2024年8月30日國務院第40次常務會議通過,現予公佈,自2025年1月1日起施行。

總理 李強

2024年9月24日

網絡數據安全管理條例

第一章 總則

第一條 爲了規範網絡數據處理活動,保障網絡數據安全,促進網絡數據依法合理有效利用,保護個人、組織的合法權益,維護國家安全和公共利益,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律,制定本條例。

第二條 在中華人民共和國境內開展網絡數據處理活動及其安全監督管理,適用本條例。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,符合《中華人民共和國個人信息保護法》第三條第二款規定情形的,也適用本條例。

在中華人民共和國境外開展網絡數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。

第三條 網絡數據安全管理工作堅持中國共產黨的領導,貫徹總體國家安全觀,統籌促進網絡數據開發利用與保障網絡數據安全。

第四條 國家鼓勵網絡數據在各行業、各領域的創新應用,加強網絡數據安全防護能力建設,支持網絡數據相關技術、產品、服務創新,開展網絡數據安全宣傳教育和人才培養,促進網絡數據開發利用和產業發展。

第五條 國家根據網絡數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對網絡數據實行分類分級保護。

第六條 國家積極參與網絡數據安全相關國際規則和標準的制定,促進國際交流與合作。

第七條 國家支持相關行業組織按照章程,制定網絡數據安全行爲規範,加強行業自律,指導會員加強網絡數據安全保護,提高網絡數據安全保護水平,促進行業健康發展。

第二章 一般規定

第八條 任何個人、組織不得利用網絡數據從事非法活動,不得從事竊取或者以其他非法方式獲取網絡數據、非法出售或者非法向他人提供網絡數據等非法網絡數據處理活動。

任何個人、組織不得提供專門用於從事前款非法活動的程序、工具;明知他人從事前款非法活動的,不得爲其提供互聯網接入、服務器託管、網絡存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助。

第九條 網絡數據處理者應當依照法律、行政法規的規定和國家標準的強制性要求,在網絡安全等級保護的基礎上,加強網絡數據安全防護,建立健全網絡數據安全管理制度,採取加密、備份、訪問控制、安全認證等技術措施和其他必要措施,保護網絡數據免遭篡改、破壞、泄露或者非法獲取、非法利用,處置網絡數據安全事件,防範針對和利用網絡數據實施的違法犯罪活動,並對所處理網絡數據的安全承擔主體責任。

第十條 網絡數據處理者提供的網絡產品、服務應當符合相關國家標準的強制性要求;發現網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告;涉及危害國家安全、公共利益的,網絡數據處理者還應當在24小時內向有關主管部門報告。

第十一條 網絡數據處理者應當建立健全網絡數據安全事件應急預案,發生網絡數據安全事件時,應當立即啓動預案,採取措施防止危害擴大,消除安全隱患,並按照規定向有關主管部門報告。

網絡數據安全事件對個人、組織合法權益造成危害的,網絡數據處理者應當及時將安全事件和風險情況、危害後果、已經採取的補救措施等,以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關係人;法律、行政法規規定可以不通知的,從其規定。網絡數據處理者在處置網絡數據安全事件過程中發現涉嫌違法犯罪線索的,應當按照規定向公安機關、國家安全機關報案,並配合開展偵查、調查和處置工作。

第十二條 網絡數據處理者向其他網絡數據處理者提供、委託處理個人信息和重要數據的,應當通過合同等與網絡數據接收方約定處理目的、方式、範圍以及安全保護義務等,並對網絡數據接收方履行義務的情況進行監督。向其他網絡數據處理者提供、委託處理個人信息和重要數據的處理情況記錄,應當至少保存3年。

網絡數據接收方應當履行網絡數據安全保護義務,並按照約定的目的、方式、範圍等處理個人信息和重要數據。

兩個以上的網絡數據處理者共同決定個人信息和重要數據的處理目的和處理方式的,應當約定各自的權利和義務。

第十三條 網絡數據處理者開展網絡數據處理活動,影響或者可能影響國家安全的,應當按照國家有關規定進行國家安全審查。

第十四條 網絡數據處理者因合併、分立、解散、破產等原因需要轉移網絡數據的,網絡數據接收方應當繼續履行網絡數據安全保護義務。

第十五條 國家機關委託他人建設、運行、維護電子政務系統,存儲、加工政務數據,應當按照國家有關規定經過嚴格的批准程序,明確受託方的網絡數據處理權限、保護責任等,監督受託方履行網絡數據安全保護義務。

第十六條 網絡數據處理者爲國家機關、關鍵信息基礎設施運營者提供服務,或者參與其他公共基礎設施、公共服務系統建設、運行、維護的,應當依照法律、法規的規定和合同約定履行網絡數據安全保護義務,提供安全、穩定、持續的服務。

前款規定的網絡數據處理者未經委託方同意,不得訪問、獲取、留存、使用、泄露或者向他人提供網絡數據,不得對網絡數據進行關聯分析。

第十七條 爲國家機關提供服務的信息系統應當參照電子政務系統的管理要求加強網絡數據安全管理,保障網絡數據安全。

第十八條 網絡數據處理者使用自動化工具訪問、收集網絡數據,應當評估對網絡服務帶來的影響,不得非法侵入他人網絡,不得干擾網絡服務正常運行。

第十九條 提供生成式人工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理,採取有效措施防範和處置網絡數據安全風險。

第二十條 面向社會提供產品、服務的網絡數據處理者應當接受社會監督,建立便捷的網絡數據安全投訴、舉報渠道,公佈投訴、舉報方式等信息,及時受理並處理網絡數據安全投訴、舉報。

第三章 個人信息保護

第二十一條 網絡數據處理者在處理個人信息前,通過制定個人信息處理規則的方式依法向個人告知的,個人信息處理規則應當集中公開展示、易於訪問並置於醒目位置,內容明確具體、清晰易懂,包括但不限於下列內容:

(一)網絡數據處理者的名稱或者姓名和聯繫方式;

(二)處理個人信息的目的、方式、種類,處理敏感個人信息的必要性以及對個人權益的影響;

(三)個人信息保存期限和到期後的處理方式,保存期限難以確定的,應當明確保存期限的確定方法;

(四)個人查閱、複製、轉移、更正、補充、刪除、限制處理個人信息以及註銷賬號、撤回同意的方法和途徑等。

網絡數據處理者按照前款規定向個人告知收集和向其他網絡數據處理者提供個人信息的目的、方式、種類以及網絡數據接收方信息的,應當以清單等形式予以列明。網絡數據處理者處理不滿十四周歲未成年人個人信息的,還應當制定專門的個人信息處理規則。

第二十二條 網絡數據處理者基於個人同意處理個人信息的,應當遵守下列規定:

(一)收集個人信息爲提供產品或者服務所必需,不得超範圍收集個人信息,不得通過誤導、欺詐、脅迫等方式取得個人同意;

(二)處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的,應當取得個人的單獨同意;

(三)處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意;

(四)不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息;

(五)不得在個人明確表示不同意處理其個人信息後,頻繁徵求同意;

(六)個人信息的處理目的、方式、種類發生變更的,應當重新取得個人同意。

法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。

第二十三條 個人請求查閱、複製、更正、補充、刪除、限制處理其個人信息,或者個人註銷賬號、撤回同意的,網絡數據處理者應當及時受理,並提供便捷的支持個人行使權利的方法和途徑,不得設置不合理條件限制個人的合理請求。

第二十四條 因使用自動化採集技術等無法避免採集到非必要個人信息或者未依法取得個人同意的個人信息,以及個人註銷賬號的,網絡數據處理者應當刪除個人信息或者進行匿名化處理。法律、行政法規規定的保存期限未屆滿,或者刪除、匿名化處理個人信息從技術上難以實現的,網絡數據處理者應當停止除存儲和採取必要的安全保護措施之外的處理。

第二十五條 對符合下列條件的個人信息轉移請求,網絡數據處理者應當爲個人指定的其他網絡數據處理者訪問、獲取有關個人信息提供途徑:

(一)能夠驗證請求人的真實身份;

(二)請求轉移的是本人同意提供的或者基於合同收集的個人信息;

(三)轉移個人信息具備技術可行性;

(四)轉移個人信息不損害他人合法權益。

請求轉移個人信息次數等明顯超出合理範圍的,網絡數據處理者可以根據轉移個人信息的成本收取必要費用。

第二十六條 中華人民共和國境外網絡數據處理者處理境內自然人個人信息,依照《中華人民共和國個人信息保護法》第五十三條規定在境內設立專門機構或者指定代表的,應當將有關機構的名稱或者代表的姓名、聯繫方式等報送所在地設區的市級網信部門;網信部門應當及時通報同級有關主管部門。

第二十七條 網絡數據處理者應當定期自行或者委託專業機構對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第二十八條 網絡數據處理者處理1000萬人以上個人信息的,還應當遵守本條例第三十條、第三十二條對處理重要數據的網絡數據處理者(以下簡稱重要數據的處理者)作出的規定。

第四章 重要數據安全

第二十九條 國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的網絡數據進行重點保護。

網絡數據處理者應當按照國家有關規定識別、申報重要數據。對確認爲重要數據的,相關地區、部門應當及時向網絡數據處理者告知或者公開發布。網絡數據處理者應當履行網絡數據安全保護責任。

國家鼓勵網絡數據處理者使用數據標籤標識等技術和產品,提高重要數據安全管理水平。

第三十條 重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。網絡數據安全管理機構應當履行下列網絡數據安全保護責任:

(一)制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案;

(二)定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動,及時處置網絡數據安全風險和事件;

(三)受理並處理網絡數據安全投訴、舉報。

網絡數據安全負責人應當具備網絡數據安全專業知識和相關管理工作經歷,由網絡數據處理者管理層成員擔任,有權直接向有關主管部門報告網絡數據安全情況。

掌握有關主管部門規定的特定種類、規模的重要數據的網絡數據處理者,應當對網絡數據安全負責人和關鍵崗位的人員進行安全背景審查,加強相關人員培訓。審查時,可以申請公安機關、國家安全機關協助。

第三十一條 重要數據的處理者提供、委託處理、共同處理重要數據前,應當進行風險評估,但是屬於履行法定職責或者法定義務的除外。

風險評估應當重點評估下列內容:

(一)提供、委託處理、共同處理網絡數據,以及網絡數據接收方處理網絡數據的目的、方式、範圍等是否合法、正當、必要;

(二)提供、委託處理、共同處理的網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用的風險,以及對國家安全、公共利益或者個人、組織合法權益帶來的風險;

(三)網絡數據接收方的誠信、守法等情況;

(四)與網絡數據接收方訂立或者擬訂立的相關合同中關於網絡數據安全的要求能否有效約束網絡數據接收方履行網絡數據安全保護義務;

(五)採取或者擬採取的技術和管理措施等能否有效防範網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險;

(六)有關主管部門規定的其他評估內容。

第三十二條 重要數據的處理者因合併、分立、解散、破產等可能影響重要數據安全的,應當採取措施保障網絡數據安全,並向省級以上有關主管部門報告重要數據處置方案、接收方的名稱或者姓名和聯繫方式等;主管部門不明確的,應當向省級以上數據安全工作協調機制報告。

第三十三條 重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估,並向省級以上有關主管部門報送風險評估報告,有關主管部門應當及時通報同級網信部門、公安機關。

風險評估報告應當包括下列內容:

(一)網絡數據處理者基本信息、網絡數據安全管理機構信息、網絡數據安全負責人姓名和聯繫方式等;

(二)處理重要數據的目的、種類、數量、方式、範圍、存儲期限、存儲地點等,開展網絡數據處理活動的情況,不包括網絡數據內容本身;

(三)網絡數據安全管理制度及實施情況,加密、備份、標籤標識、訪問控制、安全認證等技術措施和其他必要措施及其有效性;

(四)發現的網絡數據安全風險,發生的網絡數據安全事件及處置情況;

(五)提供、委託處理、共同處理重要數據的風險評估情況;

(六)網絡數據出境情況;

(七)有關主管部門規定的其他報告內容。

處理重要數據的大型網絡平臺服務提供者報送的風險評估報告,除包括前款規定的內容外,還應當充分說明關鍵業務和供應鏈網絡數據安全等情況。

重要數據的處理者存在可能危害國家安全的重要數據處理活動的,省級以上有關主管部門應當責令其採取整改或者停止處理重要數據等措施。重要數據的處理者應當按照有關要求立即採取措施。

第五章 網絡數據跨境安全管理

第三十四條 國家網信部門統籌協調有關部門建立國家數據出境安全管理專項工作機制,研究制定國家網絡數據出境安全管理相關政策,協調處理網絡數據出境安全重大事項。

第三十五條 符合下列條件之一的,網絡數據處理者可以向境外提供個人信息:

(一)通過國家網信部門組織的數據出境安全評估;

(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;

(三)符合國家網信部門制定的關於個人信息出境標準合同的規定;

(四)爲訂立、履行個人作爲一方當事人的合同,確需向境外提供個人信息;

(五)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息;

(六)爲履行法定職責或者法定義務,確需向境外提供個人信息;

(七)緊急情況下爲保護自然人的生命健康和財產安全,確需向境外提供個人信息;

(八)法律、行政法規或者國家網信部門規定的其他條件。

第三十六條 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。

第三十七條 網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。網絡數據處理者按照國家有關規定識別、申報重要數據,但未被相關地區、部門告知或者公開發布爲重要數據的,不需要將其作爲重要數據申報數據出境安全評估。

第三十八條 通過數據出境安全評估後,網絡數據處理者向境外提供個人信息和重要數據的,不得超出評估時明確的數據出境目的、方式、範圍和種類、規模等。

第三十九條 國家採取措施,防範、處置網絡數據跨境安全風險和威脅。任何個人、組織不得提供專門用於破壞、避開技術措施的程序、工具等;明知他人從事破壞、避開技術措施等活動的,不得爲其提供技術支持或者幫助。

第六章 網絡平臺服務提供者義務

第四十條 網絡平臺服務提供者應當通過平臺規則或者合同等明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務,督促第三方產品和服務提供者加強網絡數據安全管理。

預裝應用程序的智能終端等設備生產者,適用前款規定。

第三方產品和服務提供者違反法律、行政法規的規定或者平臺規則、合同約定開展網絡數據處理活動,對用戶造成損害的,網絡平臺服務提供者、第三方產品和服務提供者、預裝應用程序的智能終端等設備生產者應當依法承擔相應責任。

國家鼓勵保險公司開發網絡數據損害賠償責任險種,鼓勵網絡平臺服務提供者、預裝應用程序的智能終端等設備生產者投保。

第四十一條 提供應用程序分發服務的網絡平臺服務提供者,應當建立應用程序覈驗規則並開展網絡數據安全相關覈驗。發現待分發或者已分發的應用程序不符合法律、行政法規的規定或者國家標準的強制性要求的,應當採取警示、不予分發、暫停分發或者終止分發等措施。

第四十二條 網絡平臺服務提供者通過自動化決策方式向個人進行信息推送的,應當設置易於理解、便於訪問和操作的個性化推薦關閉選項,爲用戶提供拒絕接收推送信息、刪除針對其個人特徵的用戶標籤等功能。

第四十三條 國家推進網絡身份認證公共服務建設,按照政府引導、用戶自願原則進行推廣應用。

鼓勵網絡平臺服務提供者支持用戶使用國家網絡身份認證公共服務登記、覈驗真實身份信息。

第四十四條 大型網絡平臺服務提供者應當每年度發佈個人信息保護社會責任報告,報告內容包括但不限於個人信息保護措施和成效、個人行使權利的申請受理情況、主要由外部成員組成的個人信息保護監督機構履行職責情況等。

第四十五條 大型網絡平臺服務提供者跨境提供網絡數據,應當遵守國家數據跨境安全管理要求,健全相關技術和管理措施,防範網絡數據跨境安全風險。

第四十六條 大型網絡平臺服務提供者不得利用網絡數據、算法以及平臺規則等從事下列活動:

(一)通過誤導、欺詐、脅迫等方式處理用戶在平臺上產生的網絡數據;

(二)無正當理由限制用戶訪問、使用其在平臺上產生的網絡數據;

(三)對用戶實施不合理的差別待遇,損害用戶合法權益;

(四)法律、行政法規禁止的其他活動。

第七章 監督管理

第四十七條 國家網信部門負責統籌協調網絡數據安全和相關監督管理工作。

公安機關、國家安全機關依照有關法律、行政法規和本條例的規定,在各自職責範圍內承擔網絡數據安全監督管理職責,依法防範和打擊危害網絡數據安全的違法犯罪活動。

國家數據管理部門在具體承擔數據管理工作中履行相應的網絡數據安全職責。

各地區、各部門對本地區、本部門工作中收集和產生的網絡數據及網絡數據安全負責。

第四十八條 各有關主管部門承擔本行業、本領域網絡數據安全監督管理職責,應當明確本行業、本領域網絡數據安全保護工作機構,統籌制定並組織實施本行業、本領域網絡數據安全事件應急預案,定期組織開展本行業、本領域網絡數據安全風險評估,對網絡數據處理者履行網絡數據安全保護義務情況進行監督檢查,指導督促網絡數據處理者及時對存在的風險隱患進行整改。

第四十九條 國家網信部門統籌協調有關主管部門及時彙總、研判、共享、發佈網絡數據安全風險相關信息,加強網絡數據安全信息共享、網絡數據安全風險和威脅監測預警以及網絡數據安全事件應急處置工作。

第五十條 有關主管部門可以採取下列措施對網絡數據安全進行監督檢查:

(一)要求網絡數據處理者及其相關人員就監督檢查事項作出說明;

(二)查閱、複製與網絡數據安全有關的文件、記錄;

(三)檢查網絡數據安全措施運行情況;

(四)檢查與網絡數據處理活動有關的設備、物品;

(五)法律、行政法規規定的其他必要措施。

網絡數據處理者應當對有關主管部門依法開展的網絡數據安全監督檢查予以配合。

第五十一條 有關主管部門開展網絡數據安全監督檢查,應當客觀公正,不得向被檢查單位收取費用。

有關主管部門在網絡數據安全監督檢查中不得訪問、收集與網絡數據安全無關的業務信息,獲取的信息只能用於維護網絡數據安全的需要,不得用於其他用途。

有關主管部門發現網絡數據處理者的網絡數據處理活動存在較大安全風險的,可以按照規定的權限和程序要求網絡數據處理者暫停相關服務、修改平臺規則、完善技術措施等,消除網絡數據安全隱患。

第五十二條 有關主管部門在開展網絡數據安全監督檢查時,應當加強協同配合、信息溝通,合理確定檢查頻次和檢查方式,避免不必要的檢查和交叉重複檢查。

個人信息保護合規審計、重要數據風險評估、重要數據出境安全評估等應當加強銜接,避免重複評估、審計。重要數據風險評估和網絡安全等級測評的內容重合的,相關結果可以互相採信。

第五十三條 有關主管部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等網絡數據應當依法予以保密,不得泄露或者非法向他人提供。

第五十四條 境外的組織、個人從事危害中華人民共和國國家安全、公共利益,或者侵害中華人民共和國公民的個人信息權益的網絡數據處理活動的,國家網信部門會同有關主管部門可以依法採取相應的必要措施。

第八章 法律責任

第五十五條 違反本條例第十二條、第十六條至第二十條、第二十二條、第四十條第一款和第二款、第四十一條、第四十二條規定的,由網信、電信、公安等主管部門依據各自職責責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處100萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款。

第五十六條 違反本條例第十三條規定的,由網信、電信、公安、國家安全等主管部門依據各自職責責令改正,給予警告,可以並處10萬元以上100萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款;拒不改正或者情節嚴重的,處100萬元以上1000萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

第五十七條 違反本條例第二十九條第二款、第三十條第二款和第三款、第三十一條、第三十二條規定的,由網信、電信、公安等主管部門依據各自職責責令改正,給予警告,可以並處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重後果的,處50萬元以上200萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處5萬元以上20萬元以下罰款。

第五十八條 違反本條例其他有關規定的,由有關主管部門依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律的有關規定追究法律責任。

第五十九條 網絡數據處理者存在主動消除或者減輕違法行爲危害後果、違法行爲輕微並及時改正且沒有造成危害後果或者初次違法且危害後果輕微並及時改正等情形的,依照《中華人民共和國行政處罰法》的規定從輕、減輕或者不予行政處罰。

第六十條 國家機關不履行本條例規定的網絡數據安全保護義務的,由其上級機關或者有關主管部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。

第六十一條 違反本條例規定,給他人造成損害的,依法承擔民事責任;構成違反治安管理行爲的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

第九章 附則

第六十二條 本條例下列用語的含義:

(一)網絡數據,是指通過網絡處理和產生的各種電子數據。

(二)網絡數據處理活動,是指網絡數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。

(三)網絡數據處理者,是指在網絡數據處理活動中自主決定處理目的和處理方式的個人、組織。

(四)重要數據,是指特定領域、特定羣體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。

(五)委託處理,是指網絡數據處理者委託個人、組織按照約定的目的和方式開展的網絡數據處理活動。

(六)共同處理,是指兩個以上的網絡數據處理者共同決定網絡數據的處理目的和處理方式的網絡數據處理活動。

(七)單獨同意,是指個人針對其個人信息進行特定處理而專門作出具體、明確的同意。

(八)大型網絡平臺,是指註冊用戶5000萬以上或者月活躍用戶1000萬以上,業務類型複雜,網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響的網絡平臺。

第六十三條 開展核心數據的網絡數據處理活動,按照國家有關規定執行。

自然人因個人或者家庭事務處理個人信息的,不適用本條例。

開展涉及國家秘密、工作秘密的網絡數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第六十四條 本條例自2025年1月1日起施行。