重磅新规!用户数据将分类分级保护,人脸、指纹、定位等均为敏感个人信息 来源:证券时报
网络数据安全管理的操作规范开始征求意见。
11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。意见反馈截止12月13日。征求意见稿是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律在网络数据安全方面监管的进一步细化,具有较强操作性。
征求意见稿共九章,明确了条例的适用范围,开展数据处理活动的一般规定,并对个人信息保护、重要数据安全、数据跨境安全管理等作出了详细规定。
其中,文件明确数据处理者开展四类活动应当按照国家有关规定,申报网络安全审查。包括:处理一百万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的等。
建立数据分类分级保护制度
征求意见稿明确,在境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例。一是以向境内提供产品或者服务为目的;二是分析、评估境内个人、组织的行为;三是涉及境内重要数据处理;四是法律、行政法规规定的其他情形。自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
征求意见稿提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
何为重要数据信息。征求意见稿明确,各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。
并要求,重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。
征求意见稿提出,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
四类情形应申报网络安全审查
征求意见稿第十三条提出,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查。
一是汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的。
二是处理一百万人以上个人信息的数据处理者赴国外上市的。
三是数据处理者赴香港上市,影响或者可能影响国家安全的。
四是其他影响或者可能影响国家安全的数据处理活动。
并强调,大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
对比7月份发布的《网络安全审查办法(修订草案征求意见稿)》,本次文件的要求有了新变化。
此外,征求意见稿提出,数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
处理金融账户等敏感个人信息应当取得个人单独同意
个人信息保护法已于11月1日起实施。个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等列为敏感个人信息。征求意见稿明确,处理敏感个人信息应当取得个人单独同意。
数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
中国政法大学副校长时建中教授曾公开表示, “数据”一词没有出现在个人信息保护法中,但这并不意味着个人信息保护法和数据安全法没有关系。个人信息是以电子或其他形式记录的,而电子形式的信息,或者说以电子形式作为载体的个人信息,是要受到数据安全法的调整和规范的。
他呼吁,在关于数据、网络和个人信息方面的行为立法以及相对的基本框架搭建完成后,我们应当把立法的重点转到一个权利的立法上来。加快电信法的制定工作。
数据跨境应通过评估认证
在数据跨境方面,征求意见稿提出明确数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一。
一是通过国家网信部门组织的数据出境安全评估。二是数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。三是按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务。四是法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
值得注意的是,属于以下情形的,数据处理者应当通过国家网信部门组织的数据出境安全评估,包括:出境数据中包含重要数据;关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其它情形。
情节严重违法行为或收5000万或上年度营业额5%以下罚单
在法律责任方面,征求意见稿共分13条对不同行为的处罚予以规定。与个人信息保护法一致,征求意见稿明确,数据处理者不履行条例个人信息保护章节相关规定,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
征求意见稿也提出,数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
来源:证券时报 记者:江聃
