“不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式”。
　　目前，网络上个人隐私信息泄露情况时有发生，App常常强制用户授权否则不能使用，甚至出现“不让人脸识别，自己小区门都进不去”的情况，以后这些事情的处理将有规可依了。
　　日前，国家网信办发布关于《网络数据安全管理条例（征求意见稿）》（以下简称《征求意见稿》）公开征求意见的通知。
　　《征求意见稿》分为9章，75条内容，涉及一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等。拟加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。意见反馈截止时间为2021年12月13日。

拟建立数据分类分级保护制度不同级别的数据采取不同的保护措施
　　《征求意见稿》提出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。同时，国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。
　　数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。

处理个人生物识别、行踪轨迹等敏感信息应当取得个人单独同意
　　《征求意见稿》指出，数据处理者不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。
　　《征求意见稿》还指出，按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意。“处理不满十四周岁未成年人的个人信息，应当取得其监护人同意；不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；不得通过误导、欺诈、胁迫等方式获得个人的同意；不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。”
　　另外，当用户提出终止服务或者个人注销账号时，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理。
　　值得注意的是，此前有App或小区物业强制用户人脸识别。此次《征求意见稿》指出，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

数据处理者不得非法出售或者非法向他人提供数据
　　除了拟规定个人信息处理规则，《征求意见稿》还对数据处理者作出多方面要求，指出任何个人和组织开展数据处理活动不得非法出售或者非法向他人提供数据；不得通过窃取或者以其他非法方式获取数据；不得侵害他人名誉权、隐私权、著作权和其他合法权益等。
　　“任何个人和组织知道或者应当知道他人从事前款活动的，不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。”
　　数据处理者应当保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。
　　“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。”《征求意见稿》指出。
　　另外，《征求意见稿》对网络上一些“爬虫”进行规范，自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能，或者侵犯他人知识产权等合法权益的，数据处理者应当停止访问、收集数据行为并采取相应补救措施。

处理重要数据或者赴境外上市的数据处理者每年开展一次数据安全评估
　　《征求意见稿》提出，处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
　　《征求意见稿》要求，数据处理者应当保留风险评估报告至少三年。依据部门职责分工，网信部门与有关部门共享报告信息。评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

不得以无正当理由对交易条件相同的用户实施产品和服务差异化定价
　　《征求意见稿》提出，日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。
　　《征求意见稿》强调，互联网平台运营者不得利用数据以及平台规则等从事以下活动：（一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；（二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为；（三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据；（四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。
　　（综合新华社、央广网）