第十七条　为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理，保障网络数据安全。

第十八条　网络数据处理者使用自动化工具访问、收集网络数据，应当评估对网络服务带来的影响，不得非法侵入他人网络，不得干扰网络服务正常运行。

第十九条　提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理，采取有效措施防范和处置网络数据安全风险。

第二十条　面向社会提供产品、服务的网络数据处理者应当接受社会监督，建立便捷的网络数据安全投诉、举报渠道，公布投诉、举报方式等信息，及时受理并处理网络数据安全投诉、举报。

第三章　个人信息保护

第二十一条　网络数据处理者在处理个人信息前，通过制定个人信息处理规则的方式依法向个人告知的，个人信息处理规则应当集中公开展示、易于访问并置于醒目位置，内容明确具体、清晰易懂，包括但不限于下列内容：

（一）网络数据处理者的名称或者姓名和联系方式；

（二）处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影响；

（三）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；

（四）个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。

网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的，应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则。

第二十二条　网络数据处理者基于个人同意处理个人信息的，应当遵守下列规定：

（一）收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；

（二）处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，应当取得个人的单独同意；

（三）处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；

（四）不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；

（五）不得在个人明确表示不同意处理其个人信息后，频繁征求同意；

（六）个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。

法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第二十三条　个人请求查阅、复制、更正、补充、删除、限制处理其个人信息，或者个人注销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。