全國(guó)咨詢(xún)熱線:010-67877741/42/43

數(shù)據(jù)安保力度升級(jí):生物信息不得作唯一身份認(rèn)證方式

發(fā)布時(shí)間:2021-11-19 09:44:00 人氣:482 來(lái)源:中國(guó)安全防范產(chǎn)品行業(yè)協(xié)會(huì)

  在《數(shù)據(jù)安全法》施行僅2個(gè)多月、《個(gè)人信息保護(hù)法》剛剛落地生效之際,為回應(yīng)網(wǎng)絡(luò)數(shù)據(jù)法治化治理的執(zhí)法和適法需求,一部更趨完備、更具可操作性的法律適用細(xì)則正呼之欲出。
  11月14日,國(guó)家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》(下稱(chēng)“征求意見(jiàn)稿”),該征求意見(jiàn)稿共計(jì)9章75條,以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等上位法為依據(jù),明確建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度,并進(jìn)一步細(xì)化了數(shù)據(jù)處理者對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的保護(hù)要求,以及相關(guān)的網(wǎng)絡(luò)安全審查情形,其征求意見(jiàn)的截止時(shí)間為2021年12月13日。
  作為正在施行的兩部上位法,《網(wǎng)安法》的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中已提出了數(shù)據(jù)分類(lèi),《數(shù)安法》中則提出重要數(shù)據(jù)保護(hù)目錄以及核心數(shù)據(jù)兩大重要概念。征求意見(jiàn)稿是在《網(wǎng)安法》、《數(shù)安法》的基礎(chǔ)上,進(jìn)一步明確,國(guó)家要針對(duì)個(gè)人信息權(quán)益進(jìn)行重點(diǎn)保護(hù)。
  在《數(shù)據(jù)安全法》第三章第二十一條中,原則性規(guī)定了數(shù)據(jù)分類(lèi)分級(jí)的依據(jù)為在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度和遭到篡改、泄露等情形時(shí)的危害程度。
  但對(duì)于“重要數(shù)據(jù)”的范疇,《數(shù)據(jù)安全法》并未做出具體界定。征求意見(jiàn)稿在上述法律的基礎(chǔ)上進(jìn)行了細(xì)化。
   建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度
  征求意見(jiàn)稿提出,國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。按照數(shù)據(jù)對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。
  其中明確,重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國(guó)家安全、公共利益的數(shù)據(jù),共包括7類(lèi),如在密碼、生物、電子信息、人工智能等領(lǐng)域?qū)?guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)為代表的出口管制數(shù)據(jù);電信、能源、金融等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù);國(guó)家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù)等。
  由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類(lèi)分級(jí)的具體規(guī)則和考慮因素差異巨大,重要數(shù)據(jù)具體目錄和具體分類(lèi)分級(jí)保護(hù)制度的制定權(quán)限被予以下放。
  征求意見(jiàn)稿稱(chēng),按照國(guó)家數(shù)據(jù)分類(lèi)分級(jí)要求,各地區(qū)、各部門(mén)應(yīng)對(duì)本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理。
   實(shí)體安防、生物識(shí)別相關(guān)影響
  根據(jù)《意見(jiàn)稿》,處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意的,數(shù)據(jù)處理者應(yīng)當(dāng)遵守以下規(guī)定:
  按照服務(wù)類(lèi)型分別向個(gè)人申請(qǐng)?zhí)幚韨€(gè)人信息的同意,不得使用概括性條款取得同意;
  處理個(gè)人生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡等敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意;
  處理不滿(mǎn)十四周歲未成年人的個(gè)人信息,應(yīng)當(dāng)取得其監(jiān)護(hù)人同意;
  不得以改善服務(wù)質(zhì)量、提升用戶(hù)體驗(yàn)、研發(fā)新產(chǎn)品等為由,強(qiáng)迫個(gè)人同意處理其個(gè)人信息;
  不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式獲得個(gè)人的同意;
  不得通過(guò)捆綁不同類(lèi)型服務(wù)、批量申請(qǐng)同意等方式誘導(dǎo)、強(qiáng)迫個(gè)人進(jìn)行批量個(gè)人信息同意;
  不得超出個(gè)人授權(quán)同意的范圍處理個(gè)人信息;
  不得在個(gè)人明確表示不同意后,頻繁征求同意、干擾正常使用服務(wù)。
  尤其是針對(duì)個(gè)人生物特征,《意見(jiàn)稿》特別提出,數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的,應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式,以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。
   更嚴(yán)“數(shù)據(jù)出境”監(jiān)管
  此外,《意見(jiàn)稿》對(duì)數(shù)據(jù)處理者申報(bào)網(wǎng)絡(luò)安全審查的情況也作出說(shuō)明,包括:
  匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的網(wǎng)聯(lián)平臺(tái)運(yùn)營(yíng)者實(shí)施合并、重組、分立,影響或者可能影響國(guó)家安全的;
  處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的;
  數(shù)據(jù)處理者赴香港上市,影響或者可能影響國(guó)家安全的;
  其他影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)。大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心,應(yīng)當(dāng)向國(guó)家網(wǎng)信部門(mén)和主管部門(mén)報(bào)告。
   明確處罰力度
  以互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)建立與數(shù)據(jù)相關(guān)的平臺(tái)規(guī)則等義務(wù)為例,《意見(jiàn)稿》指出如平臺(tái)違反,由有關(guān)部門(mén)責(zé)令改正,予以警告;拒不改正,處五十萬(wàn)元以上五百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員,處五萬(wàn)元以上五十萬(wàn)元以下罰款;
  如互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者利用數(shù)據(jù)以及平臺(tái)規(guī)則等,進(jìn)行了違規(guī)活動(dòng),“由有關(guān)主管部門(mén)責(zé)令改正,給予警告;拒不改正的,處上一年度銷(xiāo)售額百分之一以上百分之五以下的罰款;情節(jié)嚴(yán)重的,可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。
  歐洲此前的GDPR(《通用數(shù)據(jù)保護(hù)條例》),處罰力度非常高,高到足夠引起所有的公司重視。每次違反條例最高處罰金額為該公司年度營(yíng)業(yè)額的 4%,或者 2000 萬(wàn)歐元,取決于哪個(gè)數(shù)值更大。
  我國(guó)對(duì)于數(shù)據(jù)保護(hù)的決心與力度正在加強(qiáng):在《意見(jiàn)稿》發(fā)布之前,我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律也有關(guān)于數(shù)據(jù)安全管理的規(guī)定,但法律界人士表示,以上法律在罰款等條款上沒(méi)有具體的規(guī)定。而此次《意見(jiàn)稿》對(duì)此進(jìn)行了細(xì)化。
  因而可以預(yù)見(jiàn),征求意見(jiàn)稿對(duì)于互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者,尤其是大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者設(shè)立了較多監(jiān)管措施,有利于細(xì)化并落實(shí)三部上位法。
  征求意見(jiàn)稿中有關(guān)個(gè)人信息保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等方面的細(xì)化規(guī)定,對(duì)于數(shù)字平臺(tái)經(jīng)營(yíng)的合規(guī)風(fēng)控工作將產(chǎn)生廣泛指引意義。其落地之后,也將對(duì)互聯(lián)網(wǎng)產(chǎn)業(yè)、數(shù)字生態(tài)、數(shù)字經(jīng)濟(jì)帶來(lái)深度的、生態(tài)性的重組和改造。

聯(lián)系我們
聯(lián)系方式

熱線電話

13910555092

上班時(shí)間

周一到周五

公司電話

010-67877741/42/43

二維碼
聯(lián)