内地拟规定数据处理者赴港上市 若涉国家安全应作申报及审查

国家互联网信息办公室发布关于《网络数据安全管理条例（徵求意见稿）》公开徵求意见的通知。

《意见稿》提出，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查。包括汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；处理一百万人以上个人信息的数据处理者赴国外上市的；数据处理者赴香港上市，影响或者可能影响国家安全的；其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

文件提出，数据处理者因业务等需要，确需向中国境外提供数据的，应当通过国家网信部门组织的数据出境安全评估，数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。存留相关日志记录和数据出境审批记录三年以上。

文件指出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

文件提出，数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。

文件提出，数据处理者利用生物特徵进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特徵作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特徵信息。

文件提出，互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。