张一鸣|网信办拟规定:不得将人脸指纹等作为唯一身份认证( 三 )


(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市 , 影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动 。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心 , 应当向国家网信部门和主管部门报告 。
第十四条 数据处理者发生合并、重组、分立等情况的 , 数据接收方应当继续履行数据安全保护义务 , 涉及重要数据和一百万人以上个人信息的 , 应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的 , 应当向设区的市级主管部门报告 , 按照相关要求移交或删除数据 , 主管部门不明确的 , 应当向设区的市级网信部门报告 。
第十五条 数据处理者从其他途径获取的数据 , 应当按照本条例的规定履行数据安全保护义务 。
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求 , 建立健全数据安全管理制度 , 落实数据安全保护责任 , 保障政务数据安全 。
第十七条 数据处理者在采用自动化工具访问、收集数据时 , 应当评估对网络服务的性能、功能带来的影响 , 不得干扰网络服务的正常功能 。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能 , 或者侵犯他人知识产权等合法权益的 , 数据处理者应当停止访问、收集数据行为并采取相应补救措施 。
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道 , 及时受理、处置数据安全投诉举报 。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息 , 每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况 , 接受社会监督 。
第三章 个人信息保护
第十九条 数据处理者处理个人信息 , 应当具有明确、合理的目的 , 遵循合法、正当、必要的原则 。 基于个人同意处理个人信息的 , 应当满足以下要求:
(一)处理的个人信息是提供服务所必需的 , 或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次 , 采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息 , 拒绝提供服务或者干扰个人正常使用服务 。
第二十条 数据处理者处理个人信息 , 应当制定个人信息处理规则并严格遵守 。 个人信息处理规则应当集中公开展示、易于访问并置于醒目位置 , 内容明确具体、简明通俗 , 系统全面地向个人说明个人信息处理情况 。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息 , 以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等 , 以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息 , 以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称 , 以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类 , 数据接收方相关信息等;
(六)个人信息安全风险及保护措施;