“网络数据安全管理条例”即将出台，人脸、指纹、定位等均为敏感个人信息

网络数据安全管理的操作规范开始征求意见。

11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》公开征求意见的通知。意见反馈截至12月13日。征求意见稿是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律在网络数据安全方面监管的进一步细化，具有较强操作性。

征求意见稿共九章，明确了条例的适用范围，开展数据处理活动的一般规定，并对个人信息保护、重要数据安全、数据跨境安全管理等作出了详细规定。

其中，文件明确数据处理者开展四类活动应当按照国家有关规定，申报网络安全审查。包括：处理一百万人以上个人信息的数据处理者赴国外上市的；数据处理者赴香港上市，影响或者可能影响国家安全的等。

建立数据分类分级保护制度

征求意见稿明确，在境外处理中华人民共和国境内个人和组织数据的活动，有下列情形之一的，适用本条例。一是以向境内提供产品或者服务为目的；二是分析、评估境内个人、组织的行为；三是涉及境内重要数据处理；四是法律、行政法规规定的其他情形。自然人因个人或者家庭事务开展数据处理活动，不适用本条例。

征求意见稿提出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

何为重要数据信息。征求意见稿明确，各地区、各部门按照国家有关要求和标准，组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据，组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。

并要求，重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。

征求意见稿提出，数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。

四类情形应申报网络安全审查

征求意见稿第十三条提出，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查。

一是汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的。

二是处理一百万人以上个人信息的数据处理者赴国外上市的。

三是数据处理者赴香港上市，影响或者可能影响国家安全的。

四是其他影响或者可能影响国家安全的数据处理活动。

并强调，大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

对比7月份发布的《网络安全审查办法（修订草案征求意见稿）》，本次文件的要求有了新变化。

此外，征求意见稿提出，数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。