【掌握超過100萬用戶個人資訊的網路平臺運營者赴國外上市必須申報網路安全審查】
國家網信辦等十三部門聯合修訂釋出《網路安全審查辦法》,自2022年2月15日起施行。
辦法將網路平臺運營者開展資料處理活動影響或者可能影響國家安全等情形納入網路安全審查,並明確掌握超過100萬用戶個人資訊的網路平臺運營者赴國外上市必須向網路安全審查辦公室申報網路安全審查。根據審查實際需要,增加證監會作為網路安全審查工作機制成員單位,同時完善了國家安全風險評估因素等內容。
【全文】
國家網際網路資訊辦公室
中華人民共和國國家發展和改革委員會
中華人民共和國工業和資訊化部
中華人民共和國公安部
中華人民共和國國家安全部
中華人民共和國財政部
中華人民共和國商務部
中國人民銀行
國家市場監督管理總局
國家廣播電視總局
中國證券監督管理委員會
國家保密局
國家密碼管理局
令
第8號
《網路安全審查辦法》已經2021年11月16日國家網際網路資訊辦公室2021年第20次室務會議審議透過,並經國家發展和改革委員會、工業和資訊化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局同意,現予公佈,自2022年2月15日起施行。
國家網際網路資訊辦公室主任 莊榮文
國家發展和改革委員會主任 何立峰
工業和資訊化部部長 肖亞慶
公安部部長 趙克志
國家安全部部長 陳文清
財政部部長 劉 昆
商務部部長 王文濤
中國人民銀行行長 易 綱
國家市場監督管理總局局長 張 工
國家廣播電視總局局長 聶辰席
中國證券監督管理委員會主席 易會滿
國家保密局局長 李兆宗
國家密碼管理局局長 劉東方
2021年12月28日
網路安全審查辦法
第一條 為了確保關鍵資訊基礎設施供應鏈安全,保障網路安全和資料安全,維護國家安全,根據《中華人民共和國國家安全法》、《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《關鍵資訊基礎設施安全保護條例》,制定本辦法。
第二條 關鍵資訊基礎設施運營者採購網路產品和服務,網路平臺運營者開展資料處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網路安全審查。
前款規定的關鍵資訊基礎設施運營者、網路平臺運營者統稱為當事人。
第三條 網路安全審查堅持防範網路安全風險與促進先進技術應用相結合、過程公正透明與智慧財產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務以及資料處理活動安全性、可能帶來的國家安全風險等方面進行審查。
第四條 在中央網路安全和資訊化委員會領導下,國家網際網路資訊辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和資訊化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網路安全審查工作機制。
網路安全審查辦公室設在國家網際網路資訊辦公室,負責制定網路安全審查相關制度規範,組織網路安全審查。
第五條 關鍵資訊基礎設施運營者採購網路產品和服務的,應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。
關鍵資訊基礎設施安全保護工作部門可以制定本行業、本領域預判指南。
第六條 對於申報網路安全審查的採購活動,關鍵資訊基礎設施運營者應當透過採購檔案、協議等要求產品和服務提供者配合網路安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取使用者資料、非法控制和操縱使用者裝置,無正當理由不中斷產品供應或者必要的技術支援服務等。
第七條 掌握超過100萬用戶個人資訊的網路平臺運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。
第八條 當事人申報網路安全審查,應當提交以下材料:
(一)申報書;
(二)關於影響或者可能影響國家安全的分析報告;
(三)採購檔案、協議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請檔案;
(四)網路安全審查工作需要的其他材料。
第九條 網路安全審查辦公室應當自收到符合本辦法第八條規定的審查申報材料起10個工作日內,確定是否需要審查並書面通知當事人。
第十條 網路安全審查重點評估相關物件或者情形的以下國家安全風險因素:
(一)產品和服務使用後帶來的關鍵資訊基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵資訊基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心資料、重要資料或者大量個人資訊被竊取、洩露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵資訊基礎設施、核心資料、重要資料或者大量個人資訊被外國政府影響、控制、惡意利用的風險,以及網路資訊保安風險;
(七)其他可能危害關鍵資訊基礎設施安全、網路安全和資料安全的因素。
第十一條 網路安全審查辦公室認為需要開展網路安全審查的,應當自向當事人發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論建議和將審查結論建議傳送網路安全審查工作機制成員單位、相關部門徵求意見;情況複雜的,可以延長15個工作日。
第十二條 網路安全審查工作機制成員單位和相關部門應當自收到審查結論建議之日起15個工作日內書面回覆意見。
網路安全審查工作機制成員單位、相關部門意見一致的,網路安全審查辦公室以書面形式將審查結論通知當事人;意見不一致的,按照特別審查程式處理,並通知當事人。
第十三條 按照特別審查程式處理的,網路安全審查辦公室應當聽取相關單位和部門意見,進行深入分析評估,再次形成審查結論建議,並徵求網路安全審查工作機制成員單位和相關部門意見,按程式報中央網路安全和資訊化委員會批准後,形成審查結論並書面通知當事人。
第十四條 特別審查程式一般應當在90個工作日內完成,情況複雜的可以延長。
第十五條 網路安全審查辦公室要求提供補充材料的,當事人、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。
第十六條 網路安全審查工作機制成員單位認為影響或者可能影響國家安全的網路產品和服務以及資料處理活動,由網路安全審查辦公室按程式報中央網路安全和資訊化委員會批准後,依照本辦法的規定進行審查。
為了防範風險,當事人應當在審查期間按照網路安全審查要求採取預防和消減風險的措施。
第十七條 參與網路安全審查的相關機構和人員應當嚴格保護智慧財產權,對在審查工作中知悉的商業秘密、個人資訊,當事人、產品和服務提供者提交的未公開材料,以及其他未公開資訊承擔保密義務;未經資訊提供方同意,不得向無關方披露或者用於審查以外的目的。
第十八條 當事人或者網路產品和服務提供者認為審查人員有失客觀公正,或者未能對審查工作中知悉的資訊承擔保密義務的,可以向網路安全審查辦公室或者有關部門舉報。
第十九條 當事人應當督促產品和服務提供者履行網路安全審查中作出的承諾。
網路安全審查辦公室透過接受舉報等形式加強事前事中事後監督。
第二十條 當事人違反本辦法規定的,依照《中華人民共和國網路安全法》、《中華人民共和國資料安全法》的規定處理。
第二十一條 本辦法所稱網路產品和服務主要指核心網路裝置、重要通訊產品、高效能計算機和伺服器、大容量儲存裝置、大型資料庫和應用軟體、網路安全裝置、雲計算服務,以及其他對關鍵資訊基礎設施安全、網路安全和資料安全有重要影響的網路產品和服務。
第二十二條 涉及國家秘密資訊的,依照國家有關保密規定執行。
國家對資料安全審查、外商投資安全審查另有規定的,應當同時符合其規定。
第二十三條 本辦法自2022年2月15日起施行。2020年4月13日公佈的《網路安全審查辦法》(國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局令第6號)同時廢止。
【不得利用演算法推薦服務從事違法活動】
國家網際網路資訊辦公室等四部門近日釋出《網際網路資訊服務演算法推薦管理規定》,自2022年3月1日起施行。規定明確了演算法推薦服務提供者的資訊服務規範,要求演算法推薦服務提供者應當堅持主流價值導向,積極傳播正能量,不得利用演算法推薦服務從事違法活動或者傳播違法資訊,應當採取措施防範和抵制傳播不良資訊;規範開展網際網路新聞資訊服務,不得生成合成虛假新聞資訊或者傳播非國家規定範圍內的單位釋出的新聞資訊;不得利用演算法實施影響網路輿論、規避監督管理以及壟斷和不正當競爭行為。
【全文】
國家網際網路資訊辦公室
中華人民共和國工業和資訊化部
中華人民共和國公安部
國家市場監督管理總局
令
第9號
《網際網路資訊服務演算法推薦管理規定》已經2021年11月16日國家網際網路資訊辦公室2021年第20次室務會議審議透過,並經工業和資訊化部、公安部、國家市場監督管理總局同意,現予公佈,自2022年3月1日起施行。
國家網際網路資訊辦公室主任 莊榮文
工業和資訊化部部長 肖亞慶
公安部部長 趙克志
國家市場監督管理總局局長 張 工
2021年12月31日
網際網路資訊服務演算法推薦管理規定
第一章 總 則
第一條 為了規範網際網路資訊服務演算法推薦活動,弘揚社會主義核心價值觀,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,促進網際網路資訊服務健康有序發展,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》、《網際網路資訊服務管理辦法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內應用演算法推薦技術提供網際網路資訊服務(以下簡稱演算法推薦服務),適用本規定。法律、行政法規另有規定的,依照其規定。
前款所稱應用演算法推薦技術,是指利用生成合成類、個性化推送類、排序精選類、檢索過濾類、排程決策類等演算法技術向用戶提供資訊。
第三條 國家網信部門負責統籌協調全國演算法推薦服務治理和相關監督管理工作。國務院電信、公安、市場監管等有關部門依據各自職責負責演算法推薦服務監督管理工作。
地方網信部門負責統籌協調本行政區域內的演算法推薦服務治理和相關監督管理工作。地方電信、公安、市場監管等有關部門依據各自職責負責本行政區域內的演算法推薦服務監督管理工作。
第四條 提供演算法推薦服務,應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德,遵循公正公平、公開透明、科學合理和誠實信用的原則。
第五條 鼓勵相關行業組織加強行業自律,建立健全行業標準、行業準則和自律管理制度,督促指導演算法推薦服務提供者制定完善服務規範、依法提供服務並接受社會監督。
第二章 資訊服務規範
第六條 演算法推薦服務提供者應當堅持主流價值導向,最佳化演算法推薦服務機制,積極傳播正能量,促進演算法應用向上向善。
演算法推薦服務提供者不得利用演算法推薦服務從事危害國家安全和社會公共利益、擾亂經濟秩序和社會秩序、侵犯他人合法權益等法律、行政法規禁止的活動,不得利用演算法推薦服務傳播法律、行政法規禁止的資訊,應當採取措施防範和抵制傳播不良資訊。
第七條 演算法推薦服務提供者應當落實演算法安全主體責任,建立健全演算法機制機理稽核、科技倫理審查、使用者註冊、資訊釋出稽核、資料安全和個人資訊保護、反電信網路詐騙、安全評估監測、安全事件應急處置等管理制度和技術措施,制定並公開演算法推薦服務相關規則,配備與演算法推薦服務規模相適應的專業人員和技術支撐。
第八條 演算法推薦服務提供者應當定期稽核、評估、驗證演算法機制機理、模型、資料和應用結果等,不得設定誘導使用者沉迷、過度消費等違反法律法規或者違背倫理道德的演算法模型。
第九條 演算法推薦服務提供者應當加強資訊保安管理,建立健全用於識別違法和不良資訊的特徵庫,完善入庫標準、規則和程式。發現未作顯著標識的演算法生成合成資訊的,應當作出顯著標識後,方可繼續傳輸。
發現違法資訊的,應當立即停止傳輸,採取消除等處置措施,防止資訊擴散,儲存有關記錄,並向網信部門和有關部門報告。發現不良資訊的,應當按照網路資訊內容生態治理有關規定予以處置。
第十條 演算法推薦服務提供者應當加強使用者模型和使用者標籤管理,完善記入使用者模型的興趣點規則和使用者標籤管理規則,不得將違法和不良資訊關鍵詞記入使用者興趣點或者作為使用者標籤並據以推送資訊。
第十一條 演算法推薦服務提供者應當加強演算法推薦服務版面頁面生態管理,建立完善人工干預和使用者自主選擇機制,在首頁首屏、熱搜、精選、榜單類、彈窗等重點環節積極呈現符合主流價值導向的資訊。
第十二條 鼓勵演算法推薦服務提供者綜合運用內容去重、打散干預等策略,並最佳化檢索、排序、選擇、推送、展示等規則的透明度和可解釋性,避免對使用者產生不良影響,預防和減少爭議糾紛。
第十三條 演算法推薦服務提供者提供網際網路新聞資訊服務的,應當依法取得網際網路新聞資訊服務許可,規範開展網際網路新聞資訊採編釋出服務、轉載服務和傳播平臺服務,不得生成合成虛假新聞資訊,不得傳播非國家規定範圍內的單位釋出的新聞資訊。
第十四條 演算法推薦服務提供者不得利用演算法虛假註冊賬號、非法交易賬號、操縱使用者賬號或者虛假點贊、評論、轉發,不得利用演算法遮蔽資訊、過度推薦、操縱榜單或者檢索結果排序、控制熱搜或者精選等干預資訊呈現,實施影響網路輿論或者規避監督管理行為。
第十五條 演算法推薦服務提供者不得利用演算法對其他網際網路資訊服務提供者進行不合理限制,或者妨礙、破壞其合法提供的網際網路資訊服務正常執行,實施壟斷和不正當競爭行為。
第三章 使用者權益保護
第十六條 演算法推薦服務提供者應當以顯著方式告知使用者其提供演算法推薦服務的情況,並以適當方式公示演算法推薦服務的基本原理、目的意圖和主要執行機制等。
第十七條 演算法推薦服務提供者應當向用戶提供不針對其個人特徵的選項,或者向用戶提供便捷的關閉演算法推薦服務的選項。使用者選擇關閉演算法推薦服務的,演算法推薦服務提供者應當立即停止提供相關服務。
演算法推薦服務提供者應當向用戶提供選擇或者刪除用於演算法推薦服務的針對其個人特徵的使用者標籤的功能。
演算法推薦服務提供者應用演算法對使用者權益造成重大影響的,應當依法予以說明並承擔相應責任。
第十八條 演算法推薦服務提供者向未成年人提供服務的,應當依法履行未成年人網路保護義務,並透過開發適合未成年人使用的模式、提供適合未成年人特點的服務等方式,便利未成年人獲取有益身心健康的資訊。
演算法推薦服務提供者不得向未成年人推送可能引發未成年人模仿不安全行為和違反社會公德行為、誘導未成年人不良嗜好等可能影響未成年人身心健康的資訊,不得利用演算法推薦服務誘導未成年人沉迷網路。
第十九條 演算法推薦服務提供者向老年人提供服務的,應當保障老年人依法享有的權益,充分考慮老年人出行、就醫、消費、辦事等需求,按照國家有關規定提供智慧化適老服務,依法開展涉電信網路詐騙資訊的監測、識別和處置,便利老年人安全使用演算法推薦服務。
第二十條 演算法推薦服務提供者向勞動者提供工作排程服務的,應當保護勞動者取得勞動報酬、休息休假等合法權益,建立完善平臺訂單分配、報酬構成及支付、工作時間、獎懲等相關演算法。
第二十一條 演算法推薦服務提供者向消費者銷售商品或者提供服務的,應當保護消費者公平交易的權利,不得根據消費者的偏好、交易習慣等特徵,利用演算法在交易價格等交易條件上實施不合理的差別待遇等違法行為。
第二十二條 演算法推薦服務提供者應當設定便捷有效的使用者申訴和公眾投訴、舉報入口,明確處理流程和反饋時限,及時受理、處理並反饋處理結果。
第四章 監督管理
第二十三條 網信部門會同電信、公安、市場監管等有關部門建立演算法分級分類安全管理制度,根據演算法推薦服務的輿論屬性或者社會動員能力、內容類別、使用者規模、演算法推薦技術處理的資料重要程度、對使用者行為的干預程度等對演算法推薦服務提供者實施分級分類管理。
第二十四條 具有輿論屬性或者社會動員能力的演算法推薦服務提供者應當在提供服務之日起十個工作日內透過網際網路資訊服務演算法備案系統填報服務提供者的名稱、服務形式、應用領域、演算法型別、演算法自評估報告、擬公示內容等資訊,履行備案手續。
演算法推薦服務提供者的備案資訊發生變更的,應當在變更之日起十個工作日內辦理變更手續。
演算法推薦服務提供者終止服務的,應當在終止服務之日起二十個工作日內辦理登出備案手續,並作出妥善安排。
第二十五條 國家和省、自治區、直轄市網信部門收到備案人提交的備案材料後,材料齊全的,應當在三十個工作日內予以備案,發放備案編號並進行公示;材料不齊全的,不予備案,並應當在三十個工作日內通知備案人並說明理由。
第二十六條 完成備案的演算法推薦服務提供者應當在其對外提供服務的網站、應用程式等的顯著位置標明其備案編號並提供公示資訊連結。
第二十七條 具有輿論屬性或者社會動員能力的演算法推薦服務提供者應當按照國家有關規定開展安全評估。
第二十八條 網信部門會同電信、公安、市場監管等有關部門對演算法推薦服務依法開展安全評估和監督檢查工作,對發現的問題及時提出整改意見並限期整改。
演算法推薦服務提供者應當依法留存網路日誌,配合網信部門和電信、公安、市場監管等有關部門開展安全評估和監督檢查工作,並提供必要的技術、資料等支援和協助。
第二十九條 參與演算法推薦服務安全評估和監督檢查的相關機構和人員對在履行職責中知悉的個人隱私、個人資訊和商業秘密應當依法予以保密,不得洩露或者非法向他人提供。
第三十條 任何組織和個人發現違反本規定行為的,可以向網信部門和有關部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。
第五章 法律責任
第三十一條 演算法推薦服務提供者違反本規定第七條、第八條、第九條第一款、第十條、第十四條、第十六條、第十七條、第二十二條、第二十四條、第二十六條規定,法律、行政法規有規定的,依照其規定;法律、行政法規沒有規定的,由網信部門和電信、公安、市場監管等有關部門依據職責給予警告、通報批評,責令限期改正;拒不改正或者情節嚴重的,責令暫停資訊更新,並處一萬元以上十萬元以下罰款。構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第三十二條 演算法推薦服務提供者違反本規定第六條、第九條第二款、第十一條、第十三條、第十五條、第十八條、第十九條、第二十條、第二十一條、第二十七條、第二十八條第二款規定的,由網信部門和電信、公安、市場監管等有關部門依據職責,按照有關法律、行政法規和部門規章的規定予以處理。
第三十三條 具有輿論屬性或者社會動員能力的演算法推薦服務提供者透過隱瞞有關情況、提供虛假材料等不正當手段取得備案的,由國家和省、自治區、直轄市網信部門予以撤銷備案,給予警告、通報批評;情節嚴重的,責令暫停資訊更新,並處一萬元以上十萬元以下罰款。
具有輿論屬性或者社會動員能力的演算法推薦服務提供者終止服務未按照本規定第二十四條第三款要求辦理登出備案手續,或者發生嚴重違法情形受到責令關閉網站、吊銷相關業務許可證或者吊銷營業執照等行政處罰的,由國家和省、自治區、直轄市網信部門予以登出備案。
第六章 附 則
第三十四條 本規定由國家網際網路資訊辦公室會同工業和資訊化部、公安部、國家市場監督管理總局負責解釋。
第三十五條 本規定自2022年3月1日起施行。