《中华人民共和国网络安全法》2
第二十三条?个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。法律、行政法规另有规定的从其规定。第二十四条?符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;(三)能够验证请求人的合法身份。数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。第二十五条?数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。法律、行政法规另有规定的从其规定。第二十六条?数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。第四章 重要数据安全第二十七条?各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。第二十八条?重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:(一)研究提出数据安全相关重大决策建议;(二)制定实施数据安全保护计划和数据安全事件应急预案;(三)开展数据安全风险监测,及时处置数据安全风险和事件;(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;(五)受理、处置数据安全投诉、举报;(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。第二十九条?重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;(三)国家网信部门和主管、监管部门规定的其他备案内容。处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。依据部门职责分工,网信部门与有关部门共享备案信息。第三十条?重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。第三十一条?重要数据的处理者,应当优先采购安全可信的网络产品和服务。第三十二条?处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:(一)处理重要数据的情况;(二)发现的数据安全风险及处置措施;(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;(四)落实国家数据安全法律、行政法规和标准情况;(五)发生的数据安全事件及其处置情况;(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;(七)数据安全相关的投诉及处理情况;(八)国家网信部门和主管、监管部门明确的其他数据安全情况。数据处理者应当保留风险评估报告至少三年。依据部门职责分工,网信部门与有关部门共享报告信息。数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。第三十三条?数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。第三十四条?国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。第五章 数据跨境安全管理第三十五条?数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:(一)通过国家网信部门组织的数据出境安全评估;(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。