中华人民共和国国务院令 第790号 《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过，现予公布， 自2025年1月1日起施行。 总理李强 2024年9月24日 网络数据安全管理条例 第一章总则 第一条为了规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用， 保护个人、组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》、 《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律，制定本条例。 第二条在中华人民共和国境内开展网络数据处理活动及其安全监督管理，适用本条例。 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，符合《中华人民共 和国个人信息保护法》第三条第二款规定情形的，也适用本条例。 在中华人民共和国境外开展网络数据处理活动，损害中华人民共和国国家安全、公共利益或 者公民、组织合法权益的，依法追究法律责任。 第三条网络数据安全管理工作坚持中国共产党的领导，贯彻总体国家安全观，统筹促进网 络数据开发利用与保障网络数据安全。 第四条国家鼓励网络数据在各行业、各领域的创新应用，加强网络数据安全防护能力建设， 支持网络数据相关技术、产品、服务创新，开展网络数据安全宣传教育和人才培养，促进网 络数据开发利用和产业发展。 第五条国家根据网络数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露 或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度， 对网络数据实行分类分级保护。 第六条国家积极参与网络数据安全相关国际规则和标准的制定，促进国际交流与合作。 第七条国家支持相关行业组织按照章程，制定网络数据安全行为规范，加强行业自律，指 导会员加强网络数据安全保护，提高网络数据安全保护水平，促进行业健康发展。 第二章一般规定 第八条任何个人、组织不得利用网络数据从事非法活动，不得从事窃取或者以其他非法方 式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。任何个人、组织不得提供专门用于从事前款非法活动的程序、工具；明知他人从事前款非法 活动的，不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提 供广告推广、支付结算等帮助。 第九条网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络 安全等级保护的基础上，加强网络数据安全防护，建立健全网络数据安全管理制度，采取加 密、备份、访问控制、安全认证等技术措施和其他必要措施，保护网络数据免遭篡改、破坏、 泄露或者非法获取、非法利用，处置网络数据安全事件，防范针对和利用网络数据实施的违 法犯罪活动，并对所处理网络数据的安全承担主体责任。 第十条网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求；发现 网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知 用户并向有关主管部门报告；涉及危害国家安全、公共利益的，网络数据处理者还应当在 24小时内向有关主管部门报告。 第十一条网络数据处理者应当建立健全网络数据安全事件应急预案，发生网络数据安全事 件时，应当立即启动预案，采取措施防止危害扩大，消除安全隐患，并按照规定向有关主管 部门报告。 网络数据安全事件对个人、组织合法权益造成危害的，网络数据处理者应当及时将安全事件 和风险情况、危害后果、已经采取的补救措施等，以电话、短信、即时通信工具、电子邮件 或者公告等方式通知利害关系人；法律、行政法规规定可以不通知的，从其规定。网络数据 处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的，应当按照规定向公安机关、 国家安全机关报案，并配合开展侦查、调查和处置工作。 第十二条网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的， 应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等，并对网 络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和 重要数据的处理情况记录，应当至少保存3年。 网络数据接收方应当履行网络数据安全保护义务，并按照约定的目的、方式、范围等处理个 人信息和重要数据。 两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的，应当约 定各自的权利和义务。 第十三条网络数据处理者开展网络数据处理活动，影响或者可能影响国家安全的，应当按 照国家有关规定进行国家安全审查。 第十四条网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的，网络数 据接收方应当继续履行网络数据安全保护义务。第十五条国家机关委托他人建设、运行、维护电子政务系统，存储、加工政务数据，应当 按照国家有关规定经过严格的批准程序，明确受托方的网络数据处理权限、保护责任等，监 督受托方履行网络数据安全保护义务。 第十六条网络数据处理者为国家机关、关键信息基础设施运营者提供服务，或者参与其他 公共基础设施、公共服务系统建设、运行、维护的，应当依照法律、法规的规定和合同约定 履行网络数据安全保护义务，提供安全、稳定、持续的服务。 前款规定的网络数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他 人提供网络数据，不得对网络数据进行关联分析。 第十七条为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据 安全管理，保障网络数据安全。 第十八条网络数据处理者使用自动化工具访问、收集网络数据，应当评估对网络服务带来 的影响，不得非法侵入他人网络，不得干扰网络服务正常运行。 第十九条提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理 活动的安全管理，采取有效措施防范和处置网络数据安全风险。 第二十条面向社会提供产品、服务的网络数据处理者应当接受社会监督，建立便捷的网络 数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理并处理网络数据安全投诉、 举报。 第三章个人信息保护 第二十一条网络数据处理者在处理个人信息前，通过制定个人信息处理规则的方式依法向 个人告知的，个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具 体、清晰易懂，包括但不限于下列内容： （一）网络数据处理者的名称或者姓名和联系方式； （二）处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影 响； （三）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的 确定方法； （四）个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回 同意的方法和途径等。 网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目 的、方式、种类以及网络数据接收方信息的，应当以清单等形式予以列明。网络数据处理者 处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则。第二十二条网络数据处理者基于个人同意处理个人信息的，应当遵守下列规定： （一）收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、 欺诈、胁迫等方式取得个人同意； （二）处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信 息的，应当取得个人的单独同意； （三）处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的 同意； （四）不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息； （五）不得在个人明确表示不同意处理其个人信息后，频繁征求同意； （六）个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。 法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。 第二十三条个人请求查阅、复制、更正、补充、删除、限制处理其个人信息，或者个人注 销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方 法和途径，不得设置不合理条件限制个人的合理请求。 第二十四条因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人 同意的个人信息，以及个人注销账号的，网络数据处理者应当删除个人信息或者进行匿名化 处理。法律、行政法规规定的保存期限未届满，或者删除、匿名化处理个人信息从技术上难 以实现的，网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。 第二十五条对符合下列条件的个人信息转移请求，网络数据处理者应当为个人指定的其他 网络数据处理者访问、获取有关个人信息提供途径： （一）能够验证请求人的真实身份； （二）请求转移的是本人同意提供的或者基于合同收集的个人信息； （三）转移个人信息具备技术可行性； （四）转移个人信息不损害他人合法权益。 请求转移个人信息次数等明显超出合理范围的，网络数据处理者可以根据转移个人信息的成 本收取必要费用。