首页> 图书频道> 政法> 法学

App违法违规收集使用个人信息行为认定方法

2026年03月01日
版权

规章及其他规范性文件

儿童个人信息网络保护规定

(2019年8月22日国家互联网信息办公室令第4号公布 自2019年10月1日起施行)

第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。

第二条 本规定所称儿童,是指不满十四周岁的未成年人。

第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

第五条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。

第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

(二)儿童个人信息存储的地点、期限和到期后的处理方式;

(三)儿童个人信息的安全保障措施;

(四)拒绝的后果;

(五)投诉、举报的渠道和方式;

(六)更正、删除儿童个人信息的途径和方法;

(七)其他应当告知的事项。

前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。

第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。

第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。

第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

前款规定的受委托方,应当履行以下义务:

(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;

(二)协助网络运营者回应儿童监护人提出的申请;

(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

(四)委托关系解除时及时删除儿童个人信息;

(五)不得转委托;

(六)其他依法应当履行的儿童个人信息保护义务。

第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。

第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;

(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;

(三)儿童监护人撤回同意的;

(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。

第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。

第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。

第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。

第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。

第二十九条 本规定自2019年10月1日起施行。

电信和互联网用户个人信息保护规定

(2013年7月16日工业和信息化部令第24号公布 自2013年9月1日起施行)

第一章 总则

第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。

第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。

第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。

第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。

第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。

第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二章 信息收集和使用规范

第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。

第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。

第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。

第三章 安全保障措施

第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:

(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;

(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;

(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;

(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;

(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;

(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;

(七)按照电信管理机构的规定开展通信网络安全防护工作;

(八)电信管理机构规定的其他必要措施。

第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。

电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。

第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。

第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

第四章 监督检查

第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。

电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。

电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。

第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。

第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。

第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。

第五章 法律责任

第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。

第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。

第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。

第六章 附则

第二十五条 本规定自2013年9月1日起施行。

个人信用信息基础数据库管理暂行办法

(2005年8月18日中国人民银行令第3号公布 自2005年10月1日起施行)

第一章 总则

第一条 为维护金融稳定,防范和降低商业银行的信用风险,促进个人信贷业务的发展,保障个人信用信息的安全和合法使用,根据《中华人民共和国中国人民银行法》等有关法律规定,制定本办法。

第二条 中国人民银行负责组织商业银行建立个人信用信息基础数据库(以下简称个人信用数据库),并负责设立征信服务中心,承担个人信用数据库的日常运行和管理。

第三条 个人信用数据库采集、整理、保存个人信用信息,为商业银行和个人提供信用报告查询服务,为货币政策制定、金融监管和法律、法规规定的其他用途提供有关信息服务。

第四条 本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。

前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

第五条 中国人民银行、商业银行及其工作人员应当为在工作中知悉的个人信用信息保密。

第二章 报送和整理

第六条 商业银行应当遵守中国人民银行发布的个人信用数据库标准及其有关要求,准确、完整、及时地向个人信用数据库报送个人信用信息。

第七条 商业银行不得向未经信贷征信主管部门批准建立或变相建立的个人信用信息基础数据库提供个人信用信息。

第八条 征信服务中心应当建立完善的规章制度和采取先进的技术手段确保个人信用信息安全。

第九条 征信服务中心根据生成信用报告的需要,对商业银行报送的个人信用信息进行客观整理、保存,不得擅自更改原始数据。

第十条 征信服务中心认为有关商业银行报送的信息可疑时,应当按有关规定的程序及时向该商业银行发出复核通知。

商业银行应当在收到复核通知之日起5个工作日内给予答复。

第十一条 商业银行发现其所报送的个人信用信息不准确时,应当及时报告征信服务中心,征信服务中心收到纠错报告应当立即进行更正。

第三章 查询

第十二条 商业银行办理下列业务,可以向个人信用数据库查询个人信用报告:

(一)审核个人贷款申请的;

(二)审核个人贷记卡、准贷记卡申请的;

(三)审核个人作为担保人的;

(四)对已发放的个人信贷进行贷后风险管理的;

(五)受理法人或其他组织的贷款申请或其作为担保人,需要查询其法定代表人及出资人信用状况的。

第十三条 除本办法第十二条第(四)项规定之外,商业银行查询个人信用报告时应当取得被查询人的书面授权。书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得。

第十四条 商业银行应当制定贷后风险管理查询个人信用报告的内部授权制度和查询管理程序。

第十五条 征信服务中心可以根据个人申请有偿提供其本人信用报告。

征信服务中心应当制定相应的处理程序,核实申请人身份。

第四章 异议处理

第十六条 个人认为本人信用报告中的信用信息存在错误(以下简称异议信息)时,可以通过所在地中国人民银行征信管理部门或直接向征信服务中心提出书面异议申请。

中国人民银行征信管理部门应当在收到异议申请的2个工作日内将异议申请转交征信服务中心。

第十七条 征信服务中心应当在接到异议申请的2个工作日内进行内部核查。

征信服务中心发现异议信息是由于个人信用数据库信息处理过程造成的,应当立即进行更正,并检查个人信用数据库处理程序和操作规程存在的问题。

第十八条 征信服务中心内部核查未发现个人信用数据库处理过程存在问题的,应当立即书面通知提供相关信息的商业银行进行核查。

第十九条 商业银行应当在接到核查通知的10个工作日内向征信服务中心作出核查情况的书面答复。异议信息确实有误的,商业银行应当采取以下措施:

(一)应当向征信服务中心报送更正信息;

(二)检查个人信用信息报送的程序;

(三)对后续报送的其他个人信用信息进行检查,发现错误的,应当重新报送。

第二十条 征信服务中心收到商业银行重新报送的更正信息后,应当在2个工作日内对异议信息进行更正。

异议信息确实有误,但因技术原因暂时无法更正的,征信服务中心应当对该异议信息作特殊标注,以有别于其他异议信息。

第二十一条 经过核查,无法确认异议信息存在错误的,征信服务中心不得按照异议申请人要求更改相关个人信用信息。

第二十二条 征信服务中心应当在接受异议申请后15个工作日内,向异议申请人或转交异议申请的中国人民银行征信管理部门提供书面答复;异议信息得到更正的,征信服务中心同时提供更正后的信用报告。

异议信息确实有误,但因技术原因暂时无法更正异议信息的,征信服务中心应当在书面答复中予以说明,待异议信息更正后,提供更正后的信用报告。

第二十三条 转交异议申请的中国人民银行征信管理部门应当自接到征信服务中心书面答复和更正后的信用报告之日起2个工作日内,向异议申请人转交。

第二十四条 对于无法核实的异议信息,征信服务中心应当允许异议申请人对有关异议信息附注100字以内的个人声明。个人声明不得包含与异议信息无关的内容,异议申请人应当对个人声明的真实性负责。

征信服务中心应当妥善保存个人声明原始档案,并将个人声明载入异议人信用报告。

第二十五条 征信服务中心应当对处于异议处理期的信息予以标注。

第五章 安全管理

第二十六条 商业银行应当根据中国人民银行的有关规定,制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程,并报中国人民银行备案。

第二十七条 商业银行应当建立用户管理制度,明确管理员用户、数据上报用户和信息查询用户的职责及操作规程。

商业银行管理员用户、数据上报用户和查询用户不得互相兼职。

第二十八条 商业银行管理员用户应当根据操作规程,为得到相关授权的人员创建相应用户。管理员用户不得直接查询个人信用信息。

管理员用户应当加强对同级查询用户、数据上报用户与下一级管理员用户的日常管理。查询用户工作人员调离,该用户应当立即予以停用。

第二十九条 商业银行管理员用户、数据上报用户和查询用户须报中国人民银行征信管理部门和征信服务中心备案。

前款用户工作人员发生变动,商业银行应当在2个工作日内向中国人民银行征信管理部门和征信服务中心变更备案。

第三十条 商业银行应当制定管理员用户和查询用户的口令控制制度,并定期检查口令控制执行情况。

第三十一条 商业银行应当建立保证个人信用信息安全的管理制度,确保只有得到内部授权的人员才能接触个人信用报告,不得将个人信用报告用于本办法第十二条规定以外的其它用途。

第三十二条 征信服务中心应当制定信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面的管理制度和操作规程,明确岗位职责,完善内控制度,保障个人信用数据库的正常运行和个人信用信息的安全。

第三十三条 征信服务中心及其工作人员不得违反法律、法规及本办法的规定,篡改、毁损、泄露或非法使用个人信用信息,不得与自然人、法人、其它组织恶意串通,提供虚假信用报告。

第三十四条 征信服务中心应当建立个人信用数据库内部运行和外部访问的监控制度,监督个人信用数据库用户和商业银行用户的操作,防范对个人信用数据库的非法入侵。

第三十五条 征信服务中心应当建立灾难备份系统,采取必要的安全保障措施,防止系统数据丢失。

第三十六条 征信服务中心应当对商业银行的所有查询进行记录,并及时向商业银行反馈。

第三十七条 商业银行应当经常对个人信用数据库的查询情况进行检查,确保所有查询符合本办法的规定,并定期向中国人民银行及征信服务中心报告查询检查结果。

征信服务中心应当定期核查商业银行对个人信用数据库的查询情况。

第六章 罚则

第三十八条 商业银行未按照本办法规定建立相应管理制度及操作规程的,由中国人民银行责令改正,逾期不改正的,给予警告,并处以三万元罚款。

第三十九条 商业银行有下列情形之一的,由中国人民银行责令改正,并处一万元以上三万元以下罚款;涉嫌犯罪的,依法移交司法机关处理:

(一)违反本办法规定,未准确、完整、及时报送个人信用信息的;

(二)违反本办法第七条规定的;

(三)越权查询个人信用数据库的;

(四)将查询结果用于本办法规定之外的其他目的的;

(五)违反异议处理规定的;

(六)违反本办法安全管理要求的。

第四十条 商业银行有本办法第三十八条至第三十九条规定情形的,中国人民银行可以建议商业银行对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分;涉嫌犯罪的,依法移交司法机关处理。

第四十一条 征信服务中心工作人员有下列情形之一的,由中国人民银行依法给予行政处分;涉嫌犯罪的,依法移交司法机关处理:

(一)违反本办法规定,篡改、毁损、泄露或非法使用个人信用信息的;

(二)与自然人、法人、其它组织恶意串通,提供虚假信用报告的。

第四十二条 中国人民银行其他工作人员有违反本办法规定的行为,造成个人信用信息被泄露的,依法给予行政处分;涉嫌犯罪的,依法移交司法机关处理。

第七章 附则

第四十三条 本办法所称商业银行,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社以及经国务院银行业监督管理机构批准的专门从事信贷业务的其他金融机构。

第四十四条 本办法由中国人民银行负责解释。

第四十五条 本办法自2005年10月1日起施行。

互联网安全保护技术措施规定

(2005年12月13日公安部令第82号公布 自2006年3月1日起施行)

第一条 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益,根据《计算机信息网络国际联网安全保护管理办法》,制定本规定。

第二条 本规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。

第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。

第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。

互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。

第五条 公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。

第六条 互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。

第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:

(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;

(二)重要数据库和系统主要设备的冗灾备份措施;

(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;

(四)法律、法规和规章规定应当落实的其他安全保护技术措施。

第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;

(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。

第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;

(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;

(四)开办电子公告服务的,具有用户注册信息和发布信息审计功能;

(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

第十条 提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

第十一条 提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。

第十二条 互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。

第十四条 互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为:

(一)擅自停止或者部分停止安全保护技术设施、技术手段运行;

(二)故意破坏安全保护技术设施;

(三)擅自删除、篡改安全保护技术设施、技术手段运行程序和记录;

(四)擅自改变安全保护技术措施的用途和范围;

(五)其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。

第十五条 违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。

第十六条 公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。

公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。

公安机关在监督检查时,监督检查人员不得少于二人,并应当出示执法身份证件。

第十七条 公安机关及其工作人员违反本规定,有滥用职权,徇私舞弊行为的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。

第十八条 本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。

本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。

本规定所称提供互联网数据中心服务的单位,是指提供主机托管、租赁和虚拟空间租用等服务的单位。

第十九条 本规定自2006年3月1日起施行。

常见类型移动互联网应用程序必要个人信息范围规定

(2021年3月12日 国信办秘字〔2021〕14号)

第一条 为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定本规定。

第二条 移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。

App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

第三条 本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。

第四条 App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

第五条 常见类型App的必要个人信息范围:

(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。

(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.乘车人出发地、到达地、位置信息、行踪轨迹;

3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。

(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.账号信息:账号、即时通信联系人账号列表。

(四)网络社区类,基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”,必要个人信息为:注册用户移动电话号码。

(五)网络支付类,基本功能服务为“网络支付、提现、转账等功能”,必要个人信息包括:

1.注册用户移动电话号码;

2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

(六)网上购物类,基本功能服务为“购买商品”,必要个人信息包括:

1.注册用户移动电话号码;

2.收货人姓名(名称)、地址、联系电话;

3.支付时间、支付金额、支付渠道等支付信息。

(七)餐饮外卖类,基本功能服务为“餐饮购买及外送”,必要个人信息包括:

1.注册用户移动电话号码;

2.收货人姓名(名称)、地址、联系电话;

3.支付时间、支付金额、支付渠道等支付信息。

(八)邮件快件寄递类,基本功能服务为“信件、包裹、印刷品等物品寄递服务”,必要个人信息包括:

1.寄件人姓名、证件类型和号码等身份信息;

2.寄件人地址、联系电话;

3.收件人姓名(名称)、地址、联系电话;

4.寄递物品的名称、性质、数量。

(九)交通票务类,基本功能服务为“交通相关的票务服务及行程管理(如票务购买、改签、退票、行程管理等)”,必要个人信息包括:

1.注册用户移动电话号码;

2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等;

3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)、车牌号及车牌颜色(ETC服务);

4.支付时间、支付金额、支付渠道等支付信息。

(十)婚恋相亲类,基本功能服务为“婚恋相亲”,必要个人信息包括:

1.注册用户移动电话号码;

2.婚恋相亲人的性别、年龄、婚姻状况。

(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:

1.注册用户移动电话号码;

2.求职者提供的简历。

(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

(十三)房屋租售类,基本功能服务为“个人房源信息发布、房屋出租或买卖”,必要个人信息包括:

1.注册用户移动电话号码;

2.房源基本信息:房屋地址、面积/户型、期望售价或租金。

(十四)二手车交易类,基本功能服务为“二手车买卖信息交换”,必要个人信息包括:

1.注册用户移动电话号码;

2.购买方姓名、证件类型和号码;

3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。

(十五)问诊挂号类,基本功能服务为“在线咨询问诊、预约挂号”,必要个人信息包括:

1.注册用户移动电话号码;

2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室;

3.问诊时需提供病情描述。

(十六)旅游服务类,基本功能服务为“旅游服务产品信息的发布与订购”,必要个人信息包括:

1.注册用户移动电话号码;

2.出行人旅游目的地、旅游时间;

3.出行人姓名、证件类型和号码、联系方式。

(十七)酒店服务类,基本功能服务为“酒店预订”,必要个人信息包括:

1.注册用户移动电话号码;

2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。

(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。

(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。

(二十)本地生活类,基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”,必要个人信息为:注册用户移动电话号码。

(二十一)女性健康类,基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”,无须个人信息,即可使用基本功能服务。

(二十二)用车服务类,基本功能服务为“共享单车、共享汽车、租赁汽车等服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;

3.支付时间、支付金额、支付渠道等支付信息;

4.使用共享单车、分时租赁汽车服务用户的位置信息。

(二十三)投资理财类,基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;

3.投资理财用户资金账户、银行卡号码或支付账号。

(二十四)手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;

3.转账时需提供收款人姓名、银行卡号码、开户银行信息。

(二十五)邮箱云盘类,基本功能服务为“邮箱、云盘等”,必要个人信息为:注册用户移动电话号码。

(二十六)远程会议类,基本功能服务为“通过网络提供音频或视频会议”,必要个人信息为:注册用户移动电话号码。

(二十七)网络直播类,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,无须个人信息,即可使用基本功能服务。

(二十八)在线影音类,基本功能服务为“影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服务。

(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。

(三十)新闻资讯类,基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务。

(三十一)运动健身类,基本功能服务为“运动健身训练”,无须个人信息,即可使用基本功能服务。

(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。

(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。

(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。

(三十五)电子图书类,基本功能服务为“电子图书搜索、阅读”,无须个人信息,即可使用基本功能服务。

(三十六)拍摄美化类,基本功能服务为“拍摄、美颜、滤镜等”,无须个人信息,即可使用基本功能服务。

(三十七)应用商店类,基本功能服务为“App搜索、下载”,无须个人信息,即可使用基本功能服务。

(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。

(三十九)演出票务类,基本功能服务为“演出购票”,必要个人信息包括:

1.注册用户移动电话号码;

2.观演场次、座位号(如有);

3.支付时间、支付金额、支付渠道等支付信息。

第六条 任何组织和个人发现违反本规定行为的,可以向相关部门举报。

相关部门收到举报后,应当依法予以处理。

第七条 本规定自2021年5月1日起施行。

寄递服务用户个人信息安全管理规定

(2014年3月19日 国邮发〔2014〕52号)

第一章 总则

第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人大常委会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。

第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作,适用本规定。

第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。

第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。

第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。

省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。

按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。

国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。

第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。

第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,防止寄递用户信息泄露、丢失。

第二章 一般规定

第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全管理和安全责任考核

第九条 以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法承担相应安全管理责任。

第十条 邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。

第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。

第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,接受并及时处理有关投诉。

第十三条 邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。

第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的,邮政企业、快递企业应当依法承担相应责任。

第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。

第十六条 公安机关、国家安全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快递企业应当配合,并对有关情况予以保密。

第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当立即采取补救措施,按照规定报告邮政管理部门,并配合邮政管理部门和相关部门的调查处理工作,不得迟报、漏报、谎报、瞒报。

第三章 寄递详情单实物信息安全管理

第十八条 邮政企业、快递企业应当加强寄递详情单管理,对空白寄递详情单发放情况进行登记,对号段进行全程跟踪,形成跟踪记录。

第十九条 邮政企业、快递企业应当加强营业场所、处理场所管理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。

第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。(https://www.daowen.com)

第二十一条 邮政企业、快递企业应当采用有效技术手段,防止实物信息在寄递过程中泄露。

第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。

第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中封闭管理,确定集中存放地,及时回收寄递详情单妥善保管。设立、变更集中存放地,应当及时报告所在地邮政管理部门。

第二十四条 邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理,采取必要的安全防护措施,确保存储安全。

第二十五条 邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。

第二十六条 寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖。

第二十七条 邮政企业、快递企业应当对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患。

第四章 寄递详情单电子信息安全管理

第二十八条 邮政企业、快递企业应当按照国家规定,加强寄递服务用户信息相关信息系统和网络设施的安全管理。

第二十九条 邮政企业、快递企业信息系统的网络架构应当符合国家信息安全管理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。

第三十条 邮政企业、快递企业应当配备必要的防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。

第三十一条 邮政企业、快递企业构建信息系统和网络,应当避免使用信息系统和网络供应商提供的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息采取加密措施,严格审查并监控对信息系统、网络设备的远程访问。

第三十二条 邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任,以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。

第三十三条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。

第三十四条 邮政企业、快递企业应当加强信息系统及网络的权限管理,基于权限最小化和权限分离原则,向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。

邮政企业、快递企业应当加强对信息系统和数据库的管理,使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管理员授权,并受到安全审计员的监控和审计。

第三十五条 邮政企业、快递企业应当加强信息系统密码管理,使用高安全级别密码策略,定期更换密码,禁止将密码透露给无关人员。

第三十六条 邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理,包括:

(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;

(二)采用加密方式存储寄递用户信息;

(三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除其中的寄递用户信息数据,并销毁硬件。

第三十七条 邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点和事项,留作信息安全审计依据。

第三十八条 邮政企业、快递企业应当加强对离岗人员的信息安全审计,及时删除或者禁用离岗人员系统账户。

第三十九条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,定期进行安全风险评估。

第五章 监督管理

第四十条 邮政管理部门依法履行下列职责:

(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;

(二)监督、指导邮政企业、快递企业落实信息安全责任制,督促企业加强寄递用户信息安全管理;

(三)对寄递用户信息安全进行监测、预警和应急管理;

(四)监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训;

(五)依法对邮政企业、快递企业实施寄递用户信息安全监督检查;

(六)组织调查或者参与调查寄递用户信息安全事故,依法查处违反寄递用户信息安全管理规定的行为;

(七)法律、行政法规和规章规定的其他职责。

第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户对个人信息安全保护的认识。

第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。

下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国家安全、商务和工商行政管理等相关部门。

第四十三条 邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度,规范从业人员信息安全保护行为,防范信息安全风险等情况进行检查。

第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进行调查处理。违法行为涉及其他部门管理职权的,邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。

第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。

第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。

第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。

第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的,移送司法机关追究刑事责任。

第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。

第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。

第五十一条 邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人提供。

第五十二条 邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。

第六章 附则

第五十三条 本规定自发布之日起施行。

互联网用户公众账号信息服务管理规定

(国家互联网信息办公室 2021年1月22日)

第一章 总则

第一条 为了规范互联网用户公众账号信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规和国家有关规定,制定本规定。

第二条 在中华人民共和国境内提供、从事互联网用户公众账号信息服务,应当遵守本规定。

第三条 国家网信部门负责全国互联网用户公众账号信息服务的监督管理执法工作。地方网信部门依据职责负责本行政区域内互联网用户公众账号信息服务的监督管理执法工作。

第四条 公众账号信息服务平台和公众账号生产运营者应当遵守法律法规,遵循公序良俗,履行社会责任,坚持正确舆论导向、价值取向,弘扬社会主义核心价值观,生产发布向上向善的优质信息内容,发展积极健康的网络文化,维护清朗网络空间。

鼓励各级党政机关、企事业单位和人民团体注册运营公众账号,生产发布高质量政务信息或者公共服务信息,满足公众信息需求,推动经济社会发展。

鼓励公众账号信息服务平台积极为党政机关、企事业单位和人民团体提升政务信息发布、公共服务和社会治理水平,提供充分必要的技术支持和安全保障。

第五条 公众账号信息服务平台提供互联网用户公众账号信息服务,应当取得国家法律、行政法规规定的相关资质。

公众账号信息服务平台和公众账号生产运营者向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可。

第二章 公众账号信息服务平台

第六条 公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,设置内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、生态治理、应急处置、网络安全、数据安全、个人信息保护、知识产权保护、信用评价等管理制度。

公众账号信息服务平台应当依据法律法规和国家有关规定,制定并公开信息内容生产、公众账号运营等管理规则、平台公约,与公众账号生产运营者签订服务协议,明确双方内容发布权限、账号管理责任等权利义务。

第七条 公众账号信息服务平台应当按照国家有关标准和规范,建立公众账号分类注册和分类生产制度,实施分类管理。

公众账号信息服务平台应当依据公众账号信息内容生产质量、信息传播能力、账号主体信用评价等指标,建立分级管理制度,实施分级管理。

公众账号信息服务平台应当将公众账号和内容生产与账号运营管理规则、平台公约、服务协议等向所在地省、自治区、直辖市网信部门备案;上线具有舆论属性或者社会动员能力的新技术新应用新功能,应当按照有关规定进行安全评估。

第八条 公众账号信息服务平台应当采取复合验证等措施,对申请注册公众账号的互联网用户进行基于移动电话号码、居民身份证号码或者统一社会信用代码等方式的真实身份信息认证,提高认证准确率。用户不提供真实身份信息的,或者冒用组织机构、他人真实身份信息进行虚假注册的,不得为其提供相关服务。

公众账号信息服务平台应当对互联网用户注册的公众账号名称、头像和简介等进行合法合规性核验,发现账号名称、头像和简介与注册主体真实身份信息不相符的,特别是擅自使用或者关联党政机关、企事业单位等组织机构或者社会知名人士名义的,应当暂停提供服务并通知用户限期改正,拒不改正的,应当终止提供服务;发现相关注册信息含有违法和不良信息的,应当依法及时处置。

公众账号信息服务平台应当禁止被依法依约关闭的公众账号以相同账号名称重新注册;对注册与其关联度高的账号名称,还应当对账号主体真实身份信息、服务资质等进行必要核验。

第九条 公众账号信息服务平台对申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的公众账号,应当要求用户在注册时提供其专业背景,以及依照法律、行政法规获得的职业资格或者服务资质等相关材料,并进行必要核验。

公众账号信息服务平台应当对核验通过后的公众账号加注专门标识,并根据用户的不同主体性质,公示内容生产类别、运营主体名称、注册运营地址、统一社会信用代码、联系方式等注册信息,方便社会监督查询。

公众账号信息服务平台应当建立动态核验巡查制度,适时核验生产运营者注册信息的真实性、有效性。

第十条 公众账号信息服务平台应当对同一主体在本平台注册公众账号的数量合理设定上限。对申请注册多个公众账号的用户,还应当对其主体性质、服务资质、业务范围、信用评价等进行必要核验。

公众账号信息服务平台对互联网用户注册后超过六个月不登录、不使用的公众账号,可以根据服务协议暂停或者终止提供服务。

公众账号信息服务平台应当健全技术手段,防范和处置互联网用户超限量注册、恶意注册、虚假注册等违规注册行为。

第十一条 公众账号信息服务平台应当依法依约禁止公众账号生产运营者违规转让公众账号。

公众账号生产运营者向其他用户转让公众账号使用权的,应当向平台提出申请。平台应当依据前款规定对受让方用户进行认证核验,并公示主体变更信息。平台发现生产运营者未经审核擅自转让公众账号的,应当及时暂停或者终止提供服务。

公众账号生产运营者自行停止账号运营,可以向平台申请暂停或者终止使用。平台应当按照服务协议暂停或者终止提供服务。

第十二条 公众账号信息服务平台应当建立公众账号监测评估机制,防范账号订阅数、用户关注度、内容点击率、转发评论量等数据造假行为。

公众账号信息服务平台应当规范公众账号推荐订阅关注机制,健全技术手段,及时发现、处置公众账号订阅关注数量的异常变动情况。未经互联网用户知情同意,不得以任何方式强制或者变相强制订阅关注其他用户公众账号。

第十三条 公众账号信息服务平台应当建立生产运营者信用等级管理体系,根据信用等级提供相应服务。

公众账号信息服务平台应当建立健全网络谣言等虚假信息预警、发现、溯源、甄别、辟谣、消除等处置机制,对制作发布虚假信息的公众账号生产运营者降低信用等级或者列入黑名单。

第十四条 公众账号信息服务平台与生产运营者开展内容供给与账号推广合作,应当规范管理电商销售、广告发布、知识付费、用户打赏等经营行为,不得发布虚假广告、进行夸大宣传、实施商业欺诈及商业诋毁等,防止违法违规运营。

公众账号信息服务平台应当加强对原创信息内容的著作权保护,防范盗版侵权行为。

平台不得利用优势地位干扰生产运营者合法合规运营、侵犯用户合法权益。

第三章 公众账号生产运营者

第十五条 公众账号生产运营者应当按照平台分类管理规则,在注册公众账号时如实填写用户主体性质、注册地、运营地、内容生产类别、联系方式等基本信息,组织机构用户还应当注明主要经营或者业务范围。

公众账号生产运营者应当遵守平台内容生产和账号运营管理规则、平台公约和服务协议,按照公众账号登记的内容生产类别,从事相关行业领域的信息内容生产发布。

第十六条 公众账号生产运营者应当履行信息内容生产和公众账号运营管理主体责任,依法依规从事信息内容生产和公众账号运营活动。

公众账号生产运营者应当建立健全选题策划编辑制作、发布推广、互动评论等全过程信息内容安全审核机制,加强信息内容导向性、真实性、合法性审核,维护网络传播良好秩序。

公众账号生产运营者应当建立健全公众账号注册使用、运营推广等全过程安全管理机制,依法、文明、规范运营公众账号,以优质信息内容吸引公众关注订阅和互动分享,维护公众账号良好社会形象。

公众账号生产运营者与第三方机构开展公众账号运营、内容供给等合作,应与第三方机构签订书面协议,明确第三方机构信息安全管理义务并督促履行。

第十七条 公众账号生产运营者转载信息内容的,应当遵守著作权保护相关法律法规,依法标注著作权人和可追溯信息来源,尊重和保护著作权人的合法权益。

公众账号生产运营者应当对公众账号留言、跟帖、评论等互动环节进行管理。平台可以根据公众账号的主体性质、信用等级等,合理设置管理权限,提供相关技术支持。

第十八条 公众账号生产运营者不得有下列违法违规行为:

(一)不以真实身份信息注册,或者注册与自身真实身份信息不相符的公众账号名称、头像、简介等;

(二)恶意假冒、仿冒或者盗用组织机构及他人公众账号生产发布信息内容;

(三)未经许可或者超越许可范围提供互联网新闻信息采编发布等服务;

(四)操纵利用多个平台账号,批量发布雷同低质信息内容,生成虚假流量数据,制造虚假舆论热点;

(五)利用突发事件煽动极端情绪,或者实施网络暴力损害他人和组织机构名誉,干扰组织机构正常运营,影响社会和谐稳定;

(六)编造虚假信息,伪造原创属性,标注不实信息来源,歪曲事实真相,误导社会公众;

(七)以有偿发布、删除信息等手段,实施非法网络监督、营销诈骗、敲诈勒索,谋取非法利益;

(八)违规批量注册、囤积或者非法交易买卖公众账号;

(九)制作、复制、发布违法信息,或者未采取措施防范和抵制制作、复制、发布不良信息;

(十)法律、行政法规禁止的其他行为。

第四章 监督管理

第十九条 公众账号信息服务平台应当加强对本平台公众账号信息服务活动的监督管理,及时发现和处置违法违规信息或者行为。

公众账号信息服务平台应当对违反本规定及相关法律法规的公众账号,依法依约采取警示提醒、限制账号功能、暂停信息更新、停止广告发布、关闭注销账号、列入黑名单、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。

第二十条 公众账号信息服务平台和生产运营者应当自觉接受社会监督。

公众账号信息服务平台应当在显著位置设置便捷的投诉举报入口和申诉渠道,公布投诉举报和申诉方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理公众投诉举报和生产运营者申诉。

鼓励互联网行业组织开展公众评议,推动公众账号信息服务平台和生产运营者严格自律,建立多方参与的权威调解机制,公平合理解决行业纠纷,依法维护用户合法权益。

第二十一条 各级网信部门会同有关主管部门建立健全协作监管等工作机制,监督指导公众账号信息服务平台和生产运营者依法依规从事相关信息服务活动。

公众账号信息服务平台和生产运营者应当配合有关主管部门依法实施监督检查,并提供必要的技术支持和协助。

公众账号信息服务平台和生产运营者违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。

第五章 附则

第二十二条 本规定所称互联网用户公众账号,是指互联网用户在互联网站、应用程序等网络平台注册运营,面向社会公众生产发布文字、图片、音视频等信息内容的网络账号。

本规定所称公众账号信息服务平台,是指为互联网用户提供公众账号注册运营、信息内容发布与技术保障服务的网络信息服务提供者。

本规定所称公众账号生产运营者,是指注册运营公众账号从事内容生产发布的自然人、法人或者非法人组织。

第二十三条 本规定自2021年2月22日起施行。本规定施行之前颁布的有关规定与本规定不一致的,按照本规定执行。

互联网群组信息服务管理规定

(国家互联网信息办公室 2017年9月7日)

第一条 为规范互联网群组信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条 在中华人民共和国境内提供、使用互联网群组信息服务,应当遵守本规定。

本规定所称互联网群组,是指互联网用户通过互联网站、移动互联网应用程序等建立的,用于群体在线交流信息的网络空间。本规定所称互联网群组信息服务提供者,是指提供互联网群组信息服务的平台。本规定所称互联网群组信息服务使用者,包括群组建立者、管理者和成员。

第三条 国家互联网信息办公室负责全国互联网群组信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的互联网群组信息服务的监督管理执法工作。

第四条 互联网群组信息服务提供者和使用者,应当坚持正确导向,弘扬社会主义核心价值观,培育积极健康的网络文化,维护良好网络生态。

第五条 互联网群组信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

互联网群组信息服务提供者应当制定并公开管理规则和平台公约,与使用者签订服务协议,明确双方权利义务。

第六条 互联网群组信息服务提供者应当按照“后台实名、前台自愿”的原则,对互联网群组信息服务使用者进行真实身份信息认证,用户不提供真实身份信息的,不得为其提供信息发布服务。

互联网群组信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

第七条 互联网群组信息服务提供者应当根据互联网群组的性质类别、成员规模、活跃程度等实行分级分类管理,制定具体管理制度并向国家或省、自治区、直辖市互联网信息办公室备案,依法规范群组信息传播秩序。

互联网群组信息服务提供者应当建立互联网群组信息服务使用者信用等级管理体系,根据信用等级提供相应服务。

第八条 互联网群组信息服务提供者应当根据自身服务规模和管理能力,合理设定群组成员人数和个人建立群数、参加群数上限。

互联网群组信息服务提供者应设置和显示唯一群组识别编码,对成员达到一定规模的群组要设置群信息页面,注明群组名称、人数、类别等基本信息。

互联网群组信息服务提供者应根据群组规模类别,分级审核群组建立者真实身份、信用等级等建群资质,完善建群、入群等审核验证功能,并标注群组建立者、管理者及成员群内身份信息。

第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。

互联网群组成员在参与群组信息交流时,应当遵守法律法规,文明互动、理性表达。

互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。

第十条 互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。

第十一条 互联网群组信息服务提供者应当对违反法律法规和国家有关规定的互联网群组,依法依约采取警示整改、暂停发布、关闭群组等处置措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当对违反法律法规和国家有关规定的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当建立黑名单管理制度,对违法违约情节严重的群组及建立者、管理者和成员纳入黑名单,限制群组服务功能,保存有关记录,并向有关主管部门报告。

第十二条 互联网群组信息服务提供者和使用者应当接受社会公众和行业组织的监督,建立健全投诉举报渠道,设置便捷举报入口,及时处理投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

鼓励互联网行业组织指导推动互联网群组信息服务提供者制定行业公约,加强行业自律,履行社会责任。

第十三条 互联网群组信息服务提供者应当配合有关主管部门依法进行的监督检查,并提供必要的技术支持和协助。

互联网群组信息服务提供者应当按规定留存网络日志不少于六个月。

第十四条 互联网群组信息服务提供者和使用者违反本规定的,由有关部门依照相关法律法规处理。

第十五条 本规定自2017年10月8日起施行。

互联网论坛社区服务管理规定

(国家互联网信息办公室 2017年8月25日)

第一条 为规范互联网论坛社区服务,促进互联网论坛社区行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条 在中华人民共和国境内从事互联网论坛社区服务,适用本规定。

本规定所称互联网论坛社区服务,是指在互联网上以论坛、贴吧、社区等形式,为用户提供互动式信息发布社区平台的服务。

第三条 国家互联网信息办公室负责全国互联网论坛社区服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网论坛社区服务的监督管理执法工作。

第四条 鼓励互联网论坛社区服务行业组织建立健全行业自律制度和行业准则,指导互联网论坛社区服务提供者建立健全服务规范,督促互联网论坛社区服务提供者依法提供服务、接受社会监督,提高互联网论坛社区服务从业人员的职业素养。

第五条 互联网论坛社区服务提供者应当落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息保护等信息安全管理制度,具有安全可控的防范措施,配备与服务规模相适应的专业人员,为有关部门依法履行职责提供必要的技术支持。

第六条 互联网论坛社区服务提供者不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息。

互联网论坛社区服务提供者应当与用户签订协议,明确用户不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息,情节严重的,服务提供者将封禁或者关闭有关账号、版块;明确论坛社区版块发起者、管理者应当履行与其权利相适应的义务,对违反法律规定和协议约定、履行责任义务不到位的,服务提供者应当依法依约限制或取消其管理权限,直至封禁或者关闭有关账号、版块。

第七条 互联网论坛社区服务提供者应当加强对其用户发布信息的管理,发现含有法律法规和国家有关规定禁止的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并及时向国家或者地方互联网信息办公室报告。

第八条 互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则,要求用户通过真实身份信息认证后注册账号,并对版块发起者和管理者实施真实身份信息备案、定期核验等。用户不提供真实身份信息的,互联网论坛社区服务提供者不得为其提供信息发布服务。

互联网论坛社区服务提供者应当加强对注册用户虚拟身份信息、版块名称简介等的审核管理,不得出现法律法规和国家有关规定禁止的内容。

互联网论坛社区服务提供者应当保护用户身份信息,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

第九条 互联网论坛社区服务提供者及其从业人员,不得通过发布、转载、删除信息或者干预呈现结果等手段,谋取不正当利益。

第十条 互联网论坛社区服务提供者开展经营和服务活动,必须遵守法律法规,尊重社会公德,遵守商业道德,诚实信用,承担社会责任。

第十一条 互联网论坛社区服务提供者应当建立健全公众投诉、举报制度,在显著位置公布投诉、举报方式,主动接受公众监督,及时处理公众投诉、举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

第十二条 互联网论坛社区服务提供者违反本规定的,由有关部门依照相关法律法规处理。

第十三条 本规定自2017年10月1日起施行。

互联网跟帖评论服务管理规定

(国家互联网信息办公室 2017年8月23日)

第一条 为规范互联网跟帖评论服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条 在中华人民共和国境内提供跟帖评论服务,应当遵守本规定。

本规定所称跟帖评论服务,是指互联网站、应用程序、互动传播平台以及其他具有新闻舆论属性和社会动员功能的传播平台,以发帖、回复、留言、“弹幕”等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务。

第三条 国家互联网信息办公室负责全国跟帖评论服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域的跟帖评论服务的监督管理执法工作。

各级互联网信息办公室应当建立健全日常检查和定期检查相结合的监督管理制度,依法规范各类传播平台的跟帖评论服务行为。

第四条 跟帖评论服务提供者提供互联网新闻信息服务相关的跟帖评论新产品、新应用、新功能的,应当报国家或者省、自治区、直辖市互联网信息办公室进行安全评估。

第五条 跟帖评论服务提供者应当严格落实主体责任,依法履行以下义务:

(一)按照“后台实名、前台自愿”原则,对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务。

(二)建立健全用户信息保护制度,收集、使用用户个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

(三)对新闻信息提供跟帖评论服务的,应当建立先审后发制度。

(四)提供“弹幕”方式跟帖评论服务的,应当在同一平台和页面同时提供与之对应的静态版信息内容。

(五)建立健全跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度,及时发现和处置违法信息,并向有关主管部门报告。

(六)开发跟帖评论信息安全保护和管理技术,创新跟帖评论管理方式,研发使用反垃圾信息管理系统,提升垃圾信息处置能力;及时发现跟帖评论服务存在的安全缺陷、漏洞等风险,采取补救措施,并向有关主管部门报告。

(七)配备与服务规模相适应的审核编辑队伍,提高审核编辑人员专业素养。

(八)配合有关主管部门依法开展监督检查工作,提供必要的技术、资料和数据支持。

第六条 跟帖评论服务提供者应当与注册用户签订服务协议,明确跟帖评论的服务与管理细则,履行互联网相关法律法规告知义务,有针对性地开展文明上网教育。

跟帖评论服务使用者应当严格自律,承诺遵守法律法规、尊重公序良俗,不得发布法律法规和国家有关规定禁止的信息内容。

第七条 跟帖评论服务提供者及其从业人员不得为谋取不正当利益或基于错误价值取向,采取有选择地删除、推荐跟帖评论等方式干预舆论。

跟帖评论服务提供者和用户不得利用软件、雇佣商业机构及人员等方式散布信息,干扰跟帖评论正常秩序,误导公众舆论。

第八条 跟帖评论服务提供者对发布违反法律法规和国家有关规定的信息内容的,应当及时采取警示、拒绝发布、删除信息、限制功能、暂停更新直至关闭账号等措施,并保存相关记录。

第九条 跟帖评论服务提供者应当建立用户分级管理制度,对用户的跟帖评论行为开展信用评估,根据信用等级确定服务范围及功能,对严重失信的用户应列入黑名单,停止对列入黑名单的用户提供服务,并禁止其通过重新注册等方式使用跟帖评论服务。

国家和省、自治区、直辖市互联网信息办公室应当建立跟帖评论服务提供者的信用档案和失信黑名单管理制度,并定期对跟帖评论服务提供者进行信用评估。

第十条 跟帖评论服务提供者应当建立健全违法信息公众投诉举报制度,设置便捷投诉举报入口,及时受理和处置公众投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

第十一条 跟帖评论服务提供者信息安全管理责任落实不到位,存在较大安全风险或者发生安全事件的,国家和省、自治区、直辖市互联网信息办公室应当及时约谈;跟帖管理服务提供者应当按照要求采取措施,进行整改,消除隐患。

第十二条 互联网跟帖评论服务提供者违反本规定的,由有关部门依照相关法律法规处理。

第十三条 本规定自2017年10月1日起施行。

互联网信息搜索服务管理规定

(国家互联网信息办公室 2016年6月25日)

第一条 为规范互联网信息搜索服务,促进互联网信息搜索行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条 在中华人民共和国境内从事互联网信息搜索服务,适用本规定。

本规定所称互联网信息搜索服务,是指运用计算机技术从互联网上搜集、处理各类信息供用户检索的服务。

第三条 国家互联网信息办公室负责全国互联网信息搜索服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网信息搜索服务的监督管理执法工作。

第四条 互联网信息搜索服务行业组织应当建立健全行业自律制度和行业准则,指导互联网信息搜索服务提供者建立健全服务规范,督促互联网信息搜索服务提供者依法提供服务、接受社会监督,提高互联网信息搜索服务从业人员的职业素养。

第五条 互联网信息搜索服务提供者应当取得法律法规规定的相关资质。

第六条 互联网信息搜索服务提供者应当落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息保护等信息安全管理制度,具有安全可控的防范措施,为有关部门依法履行职责提供必要的技术支持。

第七条 互联网信息搜索服务提供者不得以链接、摘要、快照、联想词、相关搜索、相关推荐等形式提供含有法律法规禁止的信息内容。

第八条 互联网信息搜索服务提供者提供服务过程中发现搜索结果明显含有法律法规禁止内容的信息、网站及应用,应当停止提供相关搜索结果,保存有关记录,并及时向国家或者地方互联网信息办公室报告。

第九条 互联网信息搜索服务提供者及其从业人员,不得通过断开相关链接或者提供含有虚假信息的搜索结果等手段,牟取不正当利益。

第十条 互联网信息搜索服务提供者应当提供客观、公正、权威的搜索结果,不得损害国家利益、公共利益,以及公民、法人和其他组织的合法权益。

第十一条 互联网信息搜索服务提供者提供付费搜索信息服务,应当依法查验客户有关资质,明确付费搜索信息页面比例上限,醒目区分自然搜索结果与付费搜索信息,对付费搜索信息逐条加注显著标识。

互联网信息搜索服务提供者提供商业广告信息服务,应当遵守相关法律法规。

第十二条 互联网信息搜索服务提供者应当建立健全公众投诉、举报和用户权益保护制度,在显著位置公布投诉、举报方式,主动接受公众监督,及时处理公众投诉、举报,依法承担对用户权益造成损害的赔偿责任。

第十三条 本规定自2016年8月1日起施行。

信息安全等级保护管理办法

(2007年6月22日 公通字〔2007〕43号)

第一章 总则

第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第二章 等级划分与保护

第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条 信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

第三章 等级保护的实施与管理

第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。

第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。

第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。

第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。

第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。

第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。

第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:

(一)系统拓扑结构及说明;

(二)系统安全组织机构和管理制度;

(三)系统安全保护设施设计实施方案或者改建实施方案;

(四)系统使用的信息安全产品清单及其认证、销售许可证明;

(五)测评后符合系统安全保护等级的技术检测评估报告;

(六)信息系统安全保护等级专家评审意见;

(七)主管部门审核批准信息系统安全保护等级的意见。

第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。

对第五级信息系统,应当由国家指定的专门部门进行检查。

公安机关、国家指定的专门部门应当对下列事项进行检查:

(一)信息系统安全需求是否发生变化,原定保护等级是否准确;

(二)运营、使用单位安全管理制度、措施的落实情况;

(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;

(四)系统安全等级测评是否符合要求;

(五)信息安全产品使用是否符合要求;

(六)信息系统安全整改情况;

(七)备案材料与运营、使用单位、信息系统的符合情况;

(八)其他应当进行监督检查的事项。

第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:

(一)信息系统备案事项变更情况;

(二)安全组织、人员的变动情况;

(三)信息安全管理制度、措施变更情况;

(四)信息系统运行状况记录;

(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;

(六)对信息系统开展等级测评的技术测评报告;

(七)信息安全产品使用的变更情况;

(八)信息安全事件应急预案,信息安全事件应急处置结果报告;

(九)信息系统安全建设、整改结果报告。

第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。

第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:

(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;

(二)产品的核心技术、关键部件具有我国自主知识产权;

(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;

(五)对国家安全、社会秩序、公共利益不构成危害;

(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:

(一)在中华人民共和国境内注册成立(港澳台地区除外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)从事相关检测评估工作两年以上,无违法记录;

(四)工作人员仅限于中国公民;

(五)法人及主要业务、技术人员无犯罪记录;

(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;

(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(八)对国家安全、社会秩序、公共利益不构成威胁。

第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:

(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;

(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;

(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。

第四章 涉及国家秘密信息系统的分级保护管理

第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。

第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。

第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。

第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。

第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。

涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:

(一)系统设计、实施方案及审查论证意见;

(二)系统承建单位资质证明材料;

(三)系统建设和工程监理情况报告;

(四)系统安全保密检测评估报告;

(五)系统安全保密组织机构和管理制度情况;

(六)其他有关材料。

第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。

第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。

第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:

(一)指导、监督和检查分级保护工作的开展;

(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;

(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;

(四)依法对涉密信息系统集成资质单位进行监督管理;

(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;

(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;

(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。

第五章 信息安全等级保护的密码管理

第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。

第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。

第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。

第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。

第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。

第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。

第六章 法律责任

第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:

(一)未按本办法规定备案、审批的;

(二)未按本办法规定落实安全管理制度、措施的;

(三)未按本办法规定开展系统安全状况检查的;

(四)未按本办法规定开展系统安全技术测评的;

(五)接到整改通知后,拒不整改的;

(六)未按本办法规定选择使用信息安全产品和测评机构的;

(七)未按本办法规定如实提供有关文件和证明材料的;

(八)违反保密管理规定的;

(九)违反密码管理规定的;

(十)违反本办法其他规定的。

违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。

第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。

第七章 附则

第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。

第四十三条 本办法所称“以上”包含本数(级)。

第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字〔2006〕7号)同时废止。

关于做好个人信息保护利用大数据支撑联防联控工作的通知

(中央网络安全和信息化委员会办公室 2020年2月4日)

各省、自治区、直辖市网络安全和信息化委员会,中央和国家机关有关部委:

为做好新型冠状病毒感染肺炎疫情联防联控中的个人信息保护,积极利用包括个人信息在内的大数据支撑联防联控工作,经中央网络安全和信息化委员会同意,现将有关事项通知如下:

1.各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。

2.收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。

3.为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。

4.收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。

5.鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。

6.任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。

App违法违规收集使用个人信息行为认定方法

(2019年11月28日 国信办秘字〔2019〕191号)

根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4.以默认选择同意隐私政策等非明示方式征求用户同意;

5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8.未向用户提供撤回同意收集个人信息的途径、方式;

9.违反其所声明的收集使用规则,收集使用个人信息。

四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4.收集个人信息的频度等超出业务功能实际需要;

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。

六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能;

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。