網信辦:擁逾百萬用戶科企境外上市 須經審查

文章日期:2021年11月15日

【明報專訊】中國網信辦就研究起草《網絡數據安全管理條例》公開徵求意見,草案提出多項規定,包括擁有100萬人以上個人信息的公司赴國外上市、可能影響國家安全的公司赴港上市等,均須申報網絡安全審查。此外,處理敏感個人信息須獲用戶同意,並不得將人臉、虹膜、聲紋等生物特徵作為唯一身分認證方式。

生物特徵禁成唯一認證方式

據草案條例規定,涉100萬人以上個人信息的數據處理者赴國外上市、可能影響國家安全的數據處理者赴港上市,以及掌握關乎國家安全的互聯網平台合併、重組、分立,均須申報審查。

此外,大型互聯網平台在境外設立總部或者營運和研發中心時,亦須向網信部門報告。

此外,草案亦將建立數據分級保護制,分為一般、重要及核心數據,重要數據處理者須成立數據安全管理機構,並自行或委托數據安全服務機構每年展開一次評估。

草案要求,處理個人生物識別、宗教信仰、行蹤軌迹等敏感個人信息須獲用戶同意;未滿14歲的個人信息,須取得其監護人同意。草案亦指,利用生物特徵進行身分認證,須對必要性、安全性作風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一身分認證方式,以強制用戶同意收集。

每年委託第三方審計平台數據安全

至於互聯網平台,在收集個人信息用於個人化推薦時,須獲用戶同意推送,並允許用戶重置、修改並調整針對其推送參數。大型互聯網平台須就平台規則、私隱政策或對用戶權益有重大影響的修訂,經第三方機構評估,並獲網信部門同意。另外,亦須每年委託第三方審計平台數據安全、開發利用等情况,並披露相關結果。