网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

此外，关键信息基础设施运营者在中国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

2.5.6 个人信息保护

• 收集、使用信息的原则：《网络安全法》要求，网络运营者收集、使用公民个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。这也是国内其他一些法律规定的对于收集、使用公民个人信息的原则。

• 匿名化使用：除以上原则之外，网络运营者不得泄露、篡改、毁损其收集的公民个人信息；未经被收集者同意，不得向他人提供公民个人信息。但是，经过处理无法识别特定个人且不能复原的除外。其实，此处的例外规定（即对个人信息作匿名化处理）已在法律圈和大数据运营商间成为行业共识，但却是国家首次以立法的形式予以认可。这将有助于扫清大数据分析行业的法律障碍，对其发展大有裨益。

• 删除和更正：信息主体发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

• 禁止出售和非法提供：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

2.5.7 个人信息和重要数据的跨境传输

根据《网络安全法》第37条，关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。而《安全评估办法（征求意见稿）》及《安全评估指南（草案）》似乎将数据本地化存储的义务扩大到所有网络运营者 （并不一定是关键信息基础设施的运营者）。我们尚不清楚《安全评估办法》和《安全评估指南》何时能够正式出台，但预计会在一年内。

《安全评估办法（征求意见稿）》中，“重要数据”是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南（即，《安全评估指南》）。《安全评估办法（征求意见稿）》要求：

• 首先，网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。

• 其次，网络运营者拟将个人信息传输出境的，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。

• 最后，网络运营者因业务需要确需向境外提供个人信息和重要数据的，应当按照《安全评估办法》进行安全评估。

网信办将统筹协调数据出境安全评估工作，各行业主管或监管部门将具体负责数据出境的安全评估和批准事宜，也就是说，当数据传输需要批准时，各行业主管或监管部门是主管部门。

《安全评估办法（征求意见稿）》还详细规定了个人信息和重要数据出境时进行安全评估的要求。但由于《安全评估办法》仍处于征求意见阶段，本指南不就安全评估的要求展开叙述。

2.6 执法

《网络安全法》将侵害个人信息的罚款金额提高到了一个历史性的新高度：
• 网络运营商或网络产品或服务提供商侵害个人信息依法得到保护的权利的（即，未经同意收集信息；未向个人告知收集目的、方式和范围且未取得同意；泄露、毁损个人信息，未经同意向他人提供个人信息；超出同意的范围使用个人信息等），将被处以或并处下列一项或多项处罚：
警告，没收违法所得，处违法所得一倍以上十倍以下罚款，无违法所得的，处一百万元以下的罚款，并对主管人员或其他直接责任人员处一万元以上十万元以下罚款；情节严重的，责令相关经营者或产品服务提供者暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或营业执照。
• 窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。
• 关键信息基础设施的运营者在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

2.7 刑事处罚

2.7.1 非法出售公民个人信息