人脸作为敏感个人信息,一旦泄露容易对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。但此前,一些小区物业、经营场所将人脸识别作为出入的唯一验证方式;一些手机APP等因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能……这些问题有望得到规制。
近日,国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》)向社会公开征求意见,意见反馈截止时间为2021年12月13日。
今年7月,苏州业主张先生收到了所在大厦物业的通知,称门禁系统将改为人脸识别。物业要求业主办理信息录入,否则无法进小区。张先生将物业公司诉至法院后,物业公司最终同意为门禁系统增加了刷卡功能。
对此,《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
针对一些用户反映强烈的不给APP授权就不能用问题,《意见稿》提出,数据处理者不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
记者此前在采访中发现,一些用户反映互联网账号注销难,且注销后也不知道自己的个人信息存储在何处,是否会被删除。此次《意见稿》明确,用户提出终止服务或者个人注销账号,数据处理者应当在15个工作日内删除个人信息或者进行匿名化处理。删除个人信息从技术上难以实现,或者因业务复杂等原因,在15个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
对于备受关注的数据出境问题,《意见稿》提出,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当通过国家网信部门组织的数据出境安全评估,数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证,存留相关日志记录和数据出境审批记录3年以上。
那么,企业赴境外上市需要注意哪些问题?《意见稿》明确,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;处理100万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的等。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,也应当向国家网信部门和主管部门报告。
此外,《意见稿》还对互联网平台运营者如何规范利用数据问题作出了规定。《意见稿》提出,互联网平台运营者不得利用数据以及平台规则等从事以下活动:利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。