网信办发布《网络数据安全管理条例(征求意见稿)》
国家拟建立数据分类分级保护制度
11月14日,国家网信办发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。北京青年报记者了解到,《意见稿》提出,国家建立数据分类分级保护制度;不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息;大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告等。
《网络数据安全管理条例(征求意见稿)》
发布并向社会公开征求意见
“网信中国”微信公众号发文称,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,网信办将同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。
北青报记者了解到,《意见稿》提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
数据处理者应当建立
数据安全应急处置机制
《意见稿》提出,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;处理100万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的;其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
《意见稿》提出,数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和100万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
《意见稿》规定,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当通过国家网信部门组织的数据出境安全评估,数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。存留相关日志记录和数据出境审批记录三年以上。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
不得将人脸等生物特征作为
唯一的个人身份验证方式
《意见稿》对个人信息保护进行了具体规范,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
此外,《意见稿》还规定,互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
此外,《意见稿》提出,互联网平台运营者不得利用数据以及平台规则等从事以下活动:利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
文/本报记者 张鑫
(张鑫)