法律、行政法规另有规定的从其规定。
第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
第四章 重要数据安全
第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。
第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(一)研究提出数据安全相关重大决策建议;
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。
第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;