国家网信办:不得将人脸等生物特征作为唯一的个人身份认证方式
2021-11-15 15:57:15 来源: 北京商报

<span class=

11月14日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》)。针对个人信息安全管理,《意见稿》指出,数据处理者不得通过误导等方式获得个人信息,不得在个人不同意分享个人信息后,频繁征求同意,也不得将人脸等生物特征作为唯一的个人身份认证方式,以强制个人同意收集信息。

《意见稿》还列举了互联网平台运营者的义务,包括不得利用所收集的数据,在产品推广中实行最低价销售等行为。根据《意见稿》,互联网平台还应该建立与数据相关的规则、隐私政策和算法策略披露制度等,如平台违反此规定,在主管部门给予警告后拒不改正的,将被处以50万-500万元罚款。

保护个人信息为重

“国家建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”,这是《意见稿》对网络数据安全管理的基本准则,并用一整章对个人信息保护做了详细说明。

根据《意见稿》,处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:

(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;(七)不得超出个人授权同意的范围处理个人信息;(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。

针对个人生物特征,《意见稿》特别提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

日活过亿的平台定隐私政策要上报

近年来,有关企业滥用用户个人信息的事件频出,国家相关部门持续披露涉及过度收集个人信息等问题的App。那么企业不得利用数据以及平台规则等做什么呢?(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。

“现在国家相关部门不光曝光过度收集个人信息的企业,还对企业使用网络数据的范围划红线,这是对个人信息保护更具体的表现,还促进了市场公平竞争”,比达咨询?分析师李锦清告诉北京商报记者。

另一个细化的要求是“日活用户超过1亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意”。

明确罚款数额,严重的停业整顿

实际上,在《意见稿》发布之前,国家《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律也有关于数据安全管理的规定,但法律界人士曾表示,在罚款等条款上没有具体的规定。《意见稿》对此进行了细化。

以互联网平台运营者应当建立与数据相关的平台规则等义务为例,《意见稿》指出,如平台违反,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

如互联网平台运营者利用数据以及平台规则等,进行了违规活动,“由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚”,《意见稿》写到。

和《网络安全审查办法(修订草案征求意见稿)》一样,《意见稿》对数据处理者申报网络安全审查的情况也作出说明,包括(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能影响国家安全的;(四)其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。(魏蔚)

责任编辑: 梅长苏