数据安保力度升级:生物信息不得作唯一身份认证方式
- 来源:CPS中安网
- 2021/11/18 9:57:4040270
【安防展览网 时事聚焦】在《数据安全法》施行仅2个多月、《个人信息保护法》刚刚落地生效之际,为回应网络数据法治化治理的执法和适法需求,一部更趋完备、更具可操作性的法律适用细则正呼之欲出。
11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”),该征求意见稿共计9章75条,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法为依据,明确建立数据分类分级保护制度,并进一步细化了数据处理者对重要数据和核心数据的保护要求,以及相关的网络安全审查情形,其征求意见的截止时间为2021年12月13日。
作为正在施行的两部上位法,《网安法》的网络安全等级保护制度中已提出了数据分类,《数安法》中则提出重要数据保护目录以及核心数据两大重要概念。征求意见稿是在《网安法》、《数安法》的基础上,进一步明确,国家要针对个人信息权益进行重点保护。
在《数据安全法》第三章第二十一条中,原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。
但对于“重要数据”的范畴,《数据安全法》并未做出具体界定。征求意见稿在上述法律的基础上进行了细化。
建立数据分类分级保护制度
征求意见稿提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
其中明确,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,共包括7类,如在密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据为代表的出口管制数据;电信、能源、金融等重点行业和领域安全生产、运行的数据;国家基础设施、关键信息基础设施建设运行及其安全数据等。
由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大,重要数据具体目录和具体分类分级保护制度的制定权限被予以下放。
征求意见稿称,按照国家数据分类分级要求,各地区、各部门应对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
实体安防、生物识别相关影响
根据《意见稿》,处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
不得通过误导、欺诈、胁迫等方式获得个人的同意;
不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
不得超出个人授权同意的范围处理个人信息;
不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
尤其是针对个人生物特征,《意见稿》特别提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
更严“数据出境”监管
此外,《意见稿》对数据处理者申报网络安全审查的情况也作出说明,包括:
汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的网联平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
处理一百万人以上个人信息的数据处理者赴国外上市的;
数据处理者赴香港上市,影响或者可能影响国家安全的;
其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
明确处罚力度
以互联网平台运营者应当建立与数据相关的平台规则等义务为例,《意见稿》指出如平台违反,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;
如互联网平台运营者利用数据以及平台规则等,进行了违规活动,“由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
欧洲此前的GDPR(《通用数据保护条例》),处罚力度非常高,高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的 4%,或者 2000 万欧元,取决于哪个数值更大。
我国对于数据保护的决心与力度正在加强:在《意见稿》发布之前,我国《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律也有关于数据安全管理的规定,但法律界人士表示,以上法律在罚款等条款上没有具体的规定。而此次《意见稿》对此进行了细化。
因而可以预见,征求意见稿对于互联网平台运营者,尤其是大型互联网平台运营者设立了较多监管措施,有利于细化并落实三部上位法。
征求意见稿中有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面的细化规定,对于数字平台经营的合规风控工作将产生广泛指引意义。其落地之后,也将对互联网产业、数字生态、数字经济带来深度的、生态性的重组和改造。