网信办关于《网络数据安全管理条例(征求意见稿)》公开征求意见( 二 )


个人信息的处理目的、处理方式和处理的个人信息种类发生变更的 , 数据处理者应当重新取得个人同意 , 并同步修改个人信息处理规则 。
对个人同意行为有效性存在争议的 , 数据处理者负有举证责任 。
第二十二条 有下列情况之一的 , 数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等 , 无法避免采集到的非必要个人信息或者未经个人同意的个人信息 。
删除个人信息从技术上难以实现 , 或者因业务复杂等原因 , 在十五个工作日内删除个人信息确有困难的 , 数据处理者不得开展除存储和采取必要的安全保护措施之外的处理 , 并应当向个人作出合理解释 。
法律、行政法规另有规定的从其规定 。
第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的 , 数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径 , 不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能 , 且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的 , 应当在十五个工作日内处理并反馈 。
法律、行政法规另有规定的从其规定 。
第二十四条 符合下列条件的个人信息转移请求 , 数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份 。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的 , 应当对个人信息转移请求做合理的风险提示 。
请求转移个人信息次数明显超出合理范围的 , 数据处理者可以收取合理费用 。
第二十五条 数据处理者利用生物特征进行个人身份认证的 , 应当对必要性、安全性进行风险评估 , 不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式 , 以强制个人同意收集其个人生物特征信息 。
法律、行政法规另有规定的从其规定 。
第二十六条 数据处理者处理一百万人以上个人信息的 , 还应当遵守本条例第四章对重要数据的处理者作出的规定 。
第六章 互联网平台运营者义务
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度 , 及时披露制定程序、裁决程序 , 保障平台规则、隐私政策、算法公平公正 。
平台规则、隐私政策制定或者对用户权益有重大影响的修订 , 互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见 , 征求意见时长不得少于三十个工作日 , 确保用户能够便捷充分表达意见 。互联网平台运营者应当充分采纳公众意见 , 修改完善平台规则、隐私政策 , 并以易于用户访问的方式公布意见采纳情况 , 说明未采纳的理由 , 接受社会监督 。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的 , 应当经国家网信部门认定的第三方机构评估 , 并报省级及以上网信部门和电信主管部门同意 。