內地擬規定數據處理者赴港上市 若涉國家安全應作申報及審查

國家互聯網信息辦公室發布關於《網絡數據安全管理條例（徵求意見稿）》公開徵求意見的通知。

《意見稿》提出，數據處理者開展以下活動，應當按照國家有關規定，申報網絡安全審查。包括匯聚掌握大量關係國家安全、經濟發展、公共利益的數據資源的互聯網平台運營者實施合併、重組、分立，影響或者可能影響國家安全的；處理一百萬人以上個人信息的數據處理者赴國外上市的；數據處理者赴香港上市，影響或者可能影響國家安全的；其他影響或者可能影響國家安全的數據處理活動。大型互聯網平台運營者在境外設立總部或者運營中心、研發中心，應當向國家網信部門和主管部門報告。

文件提出，數據處理者因業務等需要，確需向中國境外提供數據的，應當通過國家網信部門組織的數據出境安全評估，數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證。存留相關日誌記錄和數據出境審批記錄三年以上。

文件指出，國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據採取不同的保護措施。國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。各地區、各部門應當按照國家數據分類分級要求，對本地區、本部門以及相關行業、領域的數據進行分類分級管理。

文件提出，數據處理者發生合併、重組、分立等情況的，數據接收方應當繼續履行數據安全保護義務，涉及重要數據和一百萬人以上個人信息的，應當向設區的市級主管部門報告；數據處理者發生解散、被宣告破產等情況的，應當向設區的市級主管部門報告，按照相關要求移交或刪除數據，主管部門不明確的，應當向設區的市級網信部門報告。數據處理者應當建立數據安全應急處置機制，發生數據安全事件時及時啟動應急響應機制，採取措施防止危害擴大，消除安全隱患。

文件提出，數據處理者利用生物特徵進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特徵信息。

文件提出，互聯網平台運營者應當建立與數據相關的平台規則、隱私政策和算法策略披露制度，及時披露制定程序、裁決程序，保障平台規則、隱私政策、算法公平公正。日活用戶超過一億的大型互聯網平台運營者平台規則、隱私政策制定或者對用戶權益有重大影響的修訂的，應當經國家網信部門認定的第三方機構評估，並報省級及以上網信部門和電信主管部門同意。