《网上商业数据保护办法(专家代拟稿)》(精)

《网上商业数据保护办法（专家代拟稿）》

第一章总则

第一条（立法目的）

为加强网上商业数据的保护与管理，保障商业数据所有者的合法权益，促进电子商务的健康发展，根据《中华人民共和国电子签名法》、《中华人民共和国著作权法》、《中华人民共和国信息网络传播权保护条例》及相关行政法规，制定本办法。

第二条（适用范围）

本办法适用于中华人民共和国境内网上商业数据的采集、整理、传递、使用、存储、维护和销毁等活动。

国家机关或者具有公共管理职能的机构行使公共管理职能收集的数据，不是商业数据，不适用本办法。

第三条（定义）

本办法所称网上商业数据，是指自然人、法人或者其他组织收集、整理的并可以通过信息网络上传输、储存的各类与商业活动有关的数据。

第四条（保护原则）

涉及网上商业数据的相关活动应遵守合法、诚实信用、合理谨慎的原则。依法生成或者收集的网上商业数据受法律保护，非法数据以及不良信息不受法律保护。

第五条[监管部门]

商务部负责对网络商业数据实施监督管理。相关部门在各自

职权范围内依法保护。

第七条（个人信息保护）

商业数据中含有隐私等个人信息的，不得违反相关法律法规的规定。

第二章数据收集和整理

第八条（数据收集范围）

数据收集人可以收集与自身商业活动相关的数据。

第九条（说明义务）

数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

第十条（数据变更）

被收集人有正当理由的，有权要求数据收集人修改、删除已提供的数据。该数据被修改、删除后，数据收集者不得再使用被收集人提供的原数据。

数据收集人应当允许注册用户能够按照注册时原途径或更为便捷的途径注销账户数据，当事人另有约定的除外。

第十一条（禁止获取数据）

数据收集人不得以盗窃、欺诈、胁迫、非法访问或其他不正当手段获取商业数据。

第十二条（数据整理）

数据收集人在整理数据时不得恶意修改被收集者的数据。

第十三条（商业数据生成）

数据收集人通过对非商业机构的数据库进行复制，整理生成商业

数据的，应当取得该机构的同意。对违法或可能侵害他人权益的，有关部门可以禁止利用此类数据。

第三章数据使用

第十四条（使用约定）

数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。

第十五条（数据移转）

数据收集人向数据使用人提供或移转数据时，双方可以另行约定合法的使用目的和范围。数据使用人向他人再行转让时，适用本条。

因业务或管理需要确需向境外转移有关网上商业数据的，应遵守有关法律法规的规定。

未经数据收集者的允许，提供信息技术服务的专业机构不得将数据收集者的数据向第三方转移，法律法规另有规定的除外。

第十六条（数据挖掘）

鼓励对网上商业数据进行数据挖掘并在商业活动中使用。数据收集人和使用人经过数据挖掘而形成的数据受法律保护。

第十七条（禁止使用行为）

禁止下列针对网上商业数据的行为：

（一）未经数据所有人同意浏览、复制、使用、修改、删除商业数据；

（二）数据收集者将收集到的数据用于被收集者同意以外的

用途；

（三）数据使用过程中违反约定，对外披露和传播。

第十八条（非公务使用）

国家机关及其授权组织非公务使用商业数据，应遵守本办法。

第十九条（合理使用）

因科学研究或个人学习目的可以无偿使用公开的商业数据，但应当注明出处。

第四章数据存储与维护

第二十条（数据备份）

提供网络物理接入的企业和提供网络数据服务的机构，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。

从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。

设备更新维修或系统维护时应及时备份数据。

商业数据自生成日起的保存期限不得少于2年。

第二十一条（数据备份提示）

提供信息技术服务的专业机构，应当提示或协助服务对象进行数据备份，因未提示或协助而造成数据丢失的，应当依法承担责任。

第二十二条（数据存储制度）

提供数据备份、数据处理服务的企业，应当建立数据存储制

度，并采取符合国家有关保密标准的安全措施，确保非经权利人许可的个人或组织无法接触数据内容。

第二十三条（数据备份和处理中心建立）

鼓励企业和行业协会建立数据备份和处理中心。鼓励跨国企业在中华人民共和国境内建立数据处理中心。

境内企业的商业数据处理中心应设置在中华人民共和国境内。设置在境外时，应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备，能够满足管理部门现场检查的要求。

第二十四条（账户注销）

网上商业数据服务提供者应在服务协议中明确告知用户允许账户休眠的期限。未告知的，服务商对休眠不满2年的账户不得注销。

第二十五条（数据销毁）

提供网络数据服务的企业应当制定数据销毁制度。对于敏感数据、保密数据或没有使用价值的数据，数据收集人或使用人应按规定或约定程序销毁。

第五章数据保护

第二十六条（数据保护职责）

使用网上商业数据的法人、其他组织和个人（自然人）应当履行下列数据保护职责：

（一）建立健全网上商业数据保护管理制度，落实商业数据安全保护的责任制，加强从业人员网上商业数据的安全管理教育

和培训；

（二）依据国家管理规范和技术标准建设数据库和网上商业数据服务系统，配备完善的数据保护设施，保证商业数据交换的安全性；

（三）定期进行商业数据安全状况检测和风险评估；

（四）大型数据库和数据服务系统应实施商业数据安全等级管理，对数据系统中发生的安全事件应有等级响应和处置方案；

（五）其他应当履行的数据安全保护职责。

第二十七条（保密义务）

网上商业数据符合企业商业秘密条件的，企业可以根据相关法律法规加以保护，并可以要求接触该商业数据的相关工作人员履行保密义务。

提供网上商业数据的网站可以根据情况对网络信息系统采取系统访问控制、数据保护和系统安全保密监控管理等技术措施，鼓励使用电子签名传输数据，防止泄密和窃密。

第二十八条（外包服务中的数据保护）

网络外包服务供应商在提供外包服务时，应与服务对象就系统开发、网站建设、数据保存、电子商务平台、电子支付平台等签订合同，确定双方的权利、义务，并明确规定外包服务供应商对网络商业数据的安全保护义务与责任。

第二十九条（禁止行为）

网上商业数据服务提供者和使用者不得实施下列破坏网上商业数据的非法行为：