11月14日,据网信中国消息,为落实《网络安全法》《数据安全法》和《个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》(以下简称意见稿),向社会公开征求意见。
这是在2021年7月份就《网络安全审查办法(修订草案征求意见稿)》征求意见后,又一项对企业或拥有、使用数据的市场主体有着重要且实质影响的重要法规。
本次发布的《意见稿》主要在《网络安全法》《数据安全法》和《个人信息保护法》的基础之上,重点就国家建立数据分类分级保护制度、强化个人信息处理规则以及厘清数据处理者相关责任义务等方面做出了进一步的细化和补充。
国家拟建立数据分类分级保护制度
首先,《意见稿》指出,国家拟建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
国家将进一步推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
不得将人脸等生物特征作为唯一身份认证
在强化个人信息处理规则方面,针对目前网络上个人隐私信息泄露情况时有发生,应用程序强制用户授权否则不能使用,甚至出现“不让人脸识别,自己小区门都进不去”的情况,《征求意见稿》在这些问题上都作了明确规定。《意见稿》指出,数据处理者处理的个人信息是提供服务所必需的,不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
数据处理者处理个人信息应当遵守以下规定:
按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意; 处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;不得通过误导、欺诈、胁迫等方式获得个人的同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
数据处理者对所处理数据的安全负责
针对数据处理者相关责任义务,《意见稿》提出了更详尽的要求。
《意见稿》第四十三条规定,互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
针对数据处理者发生合并、重组、分立等情况的,《意见稿》提出,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
数据处理者应当保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。
在数据出境方面,《意见稿》提出,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当通过国家网信部门组织的数据出境安全评估,或者数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。
京公网安备 11010802033237号
