為了規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護國家安全和公共利益，國家網(wǎng)信辦昨天發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》，并向社會公開征求意見。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》指出，國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴(yán)格保護。

中國信息安全研究院副院長 左曉棟：數(shù)據(jù)分類分級保護制度是《數(shù)據(jù)安全法》提出的一個重要制度，但是它沒有規(guī)定這個制度的具體內(nèi)容，《條例》(征求意見稿)這次把這個制度進一步具體化，因為數(shù)據(jù)的類型有很多種，在經(jīng)濟社會發(fā)展中重要程度也不同，而且出現(xiàn)安全事件以后的危害程度各不一樣，所以要對數(shù)據(jù)進行分類分級保護。

據(jù)專家介紹，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》的上位法有三個，分別是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》作為行政法規(guī)，是對上位法規(guī)定的執(zhí)行、細化和補充，而且進一步增強了數(shù)據(jù)安全法律體系的完備性和可操作性。

不得將人臉等生物特征作為唯一身份認證

針對目前網(wǎng)絡(luò)上個人隱私信息泄露情況時有發(fā)生，應(yīng)用程序強制用戶授權(quán)否則不能使用，甚至出現(xiàn)“不讓人臉識別，自己小區(qū)門都進不去”的情況，《征求意見稿》在這些問題上都作了明確規(guī)定。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》指出，數(shù)據(jù)處理者處理的個人信息是提供服務(wù)所必需的，不得因個人拒絕提供服務(wù)必需的個人信息以外的信息，拒絕提供服務(wù)或者干擾個人正常使用服務(wù)。

中國信息安全研究院副院長 左曉棟：在上位法中提出了處理個人信息要征得同意，此外還有幾種特殊情況要征得單獨同意，比如說處理個人敏感信息，比如說數(shù)據(jù)要出境，要征得個人單獨同意，但是什么叫單獨同意，上位法是沒有定義的，社會上也非常關(guān)注，因為這涉及大家的法律義務(wù)如何履行，所以《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》這次對單獨同意專門做了定義。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》指出，處理個人信息應(yīng)當(dāng)取得個人同意的，數(shù)據(jù)處理者應(yīng)當(dāng)遵守以下規(guī)定：

按照服務(wù)類型分別向個人申請?zhí)幚韨€人信息的同意，不得使用概括性條款取得同意；處理個人生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應(yīng)當(dāng)取得個人單獨同意； 處理不滿十四周歲未成年人的個人信息，應(yīng)當(dāng)取得其監(jiān)護人同意；不得以改善服務(wù)質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品等為由，強迫個人同意處理其個人信息；不得通過誤導(dǎo)、欺詐、脅迫等方式獲得個人的同意；不得通過捆綁不同類型服務(wù)、批量申請同意等方式誘導(dǎo)、強迫個人進行批量個人信息同意；不得在個人明確表示不同意后，頻繁征求同意、干擾正常使用服務(wù)。

中國信息安全研究院副院長 左曉棟：《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》的單獨同意，它強調(diào)了兩點，一個是處理個人信息的時刻，事發(fā)時候征得(個人)同意，另外一個是針對處理的具體個人信息，要征得(個人)同意，也就是說如果一攬子的提前征得個人同意，用戶還不知道怎么回事呢，就稀里糊涂都同意了，這個是不行的。另外是要對處理用戶的每一條個人信息，分別征得他的同意，這叫單獨同意，這個要求還是很嚴(yán)的。

另外，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》指出，數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應(yīng)當(dāng)對必要性、安全性進行風(fēng)險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。

數(shù)據(jù)處理者對所處理數(shù)據(jù)的安全負責(zé)

此次《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》除了擬建立數(shù)據(jù)分類分級保護制度、規(guī)定個人信息處理規(guī)則，還對數(shù)據(jù)處理者作出多方面要求。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》指出，任何個人和組織開展數(shù)據(jù)處理活動不得非法出售或者非法向他人提供數(shù)據(jù)；不得通過竊取或者以其他非法方式獲取數(shù)據(jù)；不得侵害他人名譽權(quán)、隱私權(quán)、著作權(quán)和其他合法權(quán)益等。

另外，數(shù)據(jù)處理者應(yīng)當(dāng)保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用，應(yīng)對數(shù)據(jù)安全事件，防范針對和利用數(shù)據(jù)的違法犯罪活動，維護數(shù)據(jù)的完整性、保密性、可用性。發(fā)生重要數(shù)據(jù)或者十萬人以上個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時，數(shù)據(jù)處理者還應(yīng)當(dāng)在發(fā)生安全事件的八小時內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門和有關(guān)主管部門報告事件基本信息，包括涉及的數(shù)據(jù)數(shù)量、類型、可能的影響、已經(jīng)或擬采取的處置措施等。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》對網(wǎng)絡(luò)上一些“爬蟲”進行規(guī)范，自動化工具訪問、收集數(shù)據(jù)違反法律、行政法規(guī)或者行業(yè)自律公約、影響網(wǎng)絡(luò)服務(wù)正常功能，或者侵犯他人知識產(chǎn)權(quán)等合法權(quán)益的，數(shù)據(jù)處理者應(yīng)當(dāng)停止訪問、收集數(shù)據(jù)行為并采取相應(yīng)補救措施。