为了规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家网信办昨天发布了《网络数据安全管理条例(征求意见稿)》,并向社会公开征求意见。
《网络数据安全管理条例(征求意见稿)》指出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
中国信息安全研究院副院长左晓栋:数据分类分级保护制度是《数据安全法》提出的一个重要制度,但是它没有规定这个制度的具体内容,《条例》(征求意见稿)这次把这个制度进一步具体化,因为数据的类型有很多种,在经济社会发展中重要程度也不同,而且出现安全事件以后的危害程度各不一样,所以要对数据进行分类分级保护。
据专家介绍,《网络数据安全管理条例(征求意见稿)》的上位法有三个,分别是《网络安全法》《数据安全法》和《个人信息保护法》。《网络数据安全管理条例(征求意见稿)》作为行政法规,是对上位法规定的执行、细化和补充,而且进一步增强了数据安全法律体系的完备性和可操作性。
不得将人脸等生物特征作为唯一身份认证
针对目前网络上个人隐私信息泄露情况时有发生,应用程序强制用户授权否则不能使用,甚至出现“不让人脸识别,自己小区门都进不去”的情况,《征求意见稿》在这些问题上都作了明确规定。
《网络数据安全管理条例(征求意见稿)》指出,数据处理者处理的个人信息是提供服务所必需的,不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
中国信息安全研究院副院长左晓栋:在上位法中提出了处理个人信息要征得同意,此外还有几种特殊情况要征得单独同意,比如说处理个人敏感信息,比如说数据要出境,要征得个人单独同意,但是什么叫单独同意,上位法是没有定义的,社会上也非常关注,因为这涉及大家的法律义务如何履行,所以《网络数据安全管理条例(征求意见稿)》这次对单独同意专门做了定义。
《网络数据安全管理条例(征求意见稿)》指出,处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;不得通过误导、欺诈、胁迫等方式获得个人的同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
中国信息安全研究院副院长左晓栋:《网络数据安全管理条例(征求意见稿)》的单独同意,它强调了两点,一个是处理个人信息的时刻,事发时候征得(个人)同意,另外一个是针对处理的具体个人信息,要征得(个人)同意,也就是说如果一揽子的提前征得个人同意,用户还不知道怎么回事呢,就稀里糊涂都同意了,这个是不行的。另外是要对处理用户的每一条个人信息,分别征得他的同意,这叫单独同意,这个要求还是很严的。
另外,《网络数据安全管理条例(征求意见稿)》指出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
数据处理者对所处理数据的安全负责
此次《网络数据安全管理条例(征求意见稿)》除了拟建立数据分类分级保护制度、规定个人信息处理规则,还对数据处理者作出多方面要求。
《网络数据安全管理条例(征求意见稿)》指出,任何个人和组织开展数据处理活动不得非法出售或者非法向他人提供数据;不得通过窃取或者以其他非法方式获取数据;不得侵害他人名誉权、隐私权、著作权和其他合法权益等。
另外,数据处理者应当保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。
《网络数据安全管理条例(征求意见稿)》对网络上一些“爬虫”进行规范,自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。