国家网申处昨天公布了《网络数据安全管理条例(征求意见稿)》,并向社会公开征求了意见。
征求意见稿提出,国家建立数据分类分级保护制度。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
针对个人信息保护,意见稿提出,处理个人信息,不得通过误导、欺诈、胁迫等方式获得个人的同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意。
值得注意的是,在征求意见稿明确提出“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”后,再次对数据处理者进行网络安全审查的情形进行细化。
个人信息如何保护?处理个人信息应取得个人同意
数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
处理不满十四周岁未成年人个人信息,应监护人同意
处理个人信息应取得个人同意的,数据处理者应当遵守以下规定:处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;不得通过误导、欺诈、胁迫等方式获得个人的同意;不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;不得超出个人授权同意的范围处理个人信息;不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人要求删除个人信息的,应十五个工作日内处理
根据征求意见稿,个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
不得将人脸步态指纹等作为唯一个人身份认证方式
数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
处罚:有前款违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
互联网用户隐私如何保障?设置一键关闭允许用户拒绝推送
互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。
不得在平台算法、流量分配设置不合理限制
征求意见稿提出,互联网平台运营者不得利用数据以及平台规则等从事以下活动:利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
第三方产品服务损害用户,互联网平台运营者可先赔偿
征求意见稿提出,第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。同时,互联网平台运营者面向公众提供即时通信服务的,应当为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
收集个人信息用于个性化推荐,应取得个人单独同意
互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:收集个人信息用于个性化推荐时,应当取得个人单独同意;设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;允许个人删除定向推送信息服务收集产生的个人信息。
处罚:互联网平台运营者违反相关规定,拒不改正的,可处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
对赴港上市的数据处理者有何要求?涉国家安全须申报网络安全审查
征求意见稿第十三条开列了四种需要申报进行网络安全审查的情形:一是汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的。二是处理100万人以上个人信息的数据处理者赴国外上市的。三是数据处理者赴香港上市,影响或者可能影响国家安全的。四是其他影响或者可能影响国家安全的数据处理活动。
重要数据的使用者赴境外上市,处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。此外,数据处理者应当保留风险评估报告至少三年。 新华社
1.《14周岁可以独自办银行卡吗专题之不得捆绑服务强制收集个人信息》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《14周岁可以独自办银行卡吗专题之不得捆绑服务强制收集个人信息》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/caijing/2125546.html
