11月14日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》。
根据《意见稿》,处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
不得通过误导、欺诈、胁迫等方式获得个人的同意;
不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
不得超出个人授权同意的范围处理个人信息;
不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
针对个人生物特征,《意见稿》特别提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
图片来源:视觉中国
企业不得利用数据以及平台规则等做这些事:
利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
另一个细化的要求是“日活用户超过1亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意”。
图片来源:视觉中国
实际上,在《意见稿》发布之前,国家《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律也有关于数据安全管理的规定,但法律界人士曾表示,在罚款等条款上没有具体的规定。《意见稿》对此进行了细化。
以互联网平台运营者应当建立与数据相关的平台规则等义务为例,《意见稿》指出,如平台违反,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
如互联网平台运营者利用数据以及平台规则等,进行了违规活动,“由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚”,《意见稿》写到。
此外,《意见稿》对数据处理者申报网络安全审查的情况也作出说明,包括:
汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
处理一百万人以上个人信息的数据处理者赴国外上市的;
数据处理者赴香港上市,影响或者可能影响国家安全的;
其他影响或者可能影响国家安全的数据处理活动。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。