【安防展覽網(wǎng) 時事聚焦】在《數(shù)據(jù)安全法》施行僅2個多月、《個人信息保護法》剛剛落地生效之際，為回應(yīng)網(wǎng)絡(luò)數(shù)據(jù)法治化治理的執(zhí)法和適法需求，一部更趨完備、更具可操作性的法律適用細則正呼之欲出。

　　11月14日，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(下稱“征求意見稿”)，該征求意見稿共計9章75條，以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等上位法為依據(jù)，明確建立數(shù)據(jù)分類分級保護制度，并進一步細化了數(shù)據(jù)處理者對重要數(shù)據(jù)和核心數(shù)據(jù)的保護要求，以及相關(guān)的網(wǎng)絡(luò)安全審查情形，其征求意見的截止時間為2021年12月13日。

　　作為正在施行的兩部上位法，《網(wǎng)安法》的網(wǎng)絡(luò)安全等級保護制度中已提出了數(shù)據(jù)分類，《數(shù)安法》中則提出重要數(shù)據(jù)保護目錄以及核心數(shù)據(jù)兩大重要概念。征求意見稿是在《網(wǎng)安法》、《數(shù)安法》的基礎(chǔ)上，進一步明確，國家要針對個人信息權(quán)益進行重點保護。

　　在《數(shù)據(jù)安全法》第三章第二十一條中，原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改、泄露等情形時的危害程度。

　　但對于“重要數(shù)據(jù)”的范疇，《數(shù)據(jù)安全法》并未做出具體界定。征求意見稿在上述法律的基礎(chǔ)上進行了細化。

　　建立數(shù)據(jù)分類分級保護制度

　　征求意見稿提出，國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。

　　其中明確，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)，共包括7類，如在密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術(shù)成果數(shù)據(jù)為代表的出口管制數(shù)據(jù)；電信、能源、金融等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù)；國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行及其安全數(shù)據(jù)等。

　　由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大，重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權(quán)限被予以下放。

　　征求意見稿稱，按照國家數(shù)據(jù)分類分級要求，各地區(qū)、各部門應(yīng)對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進行分類分級管理。

　　實體安防、生物識別相關(guān)影響

　　根據(jù)《意見稿》，處理個人信息應(yīng)當取得個人同意的，數(shù)據(jù)處理者應(yīng)當遵守以下規(guī)定：

　　按照服務(wù)類型分別向個人申請?zhí)幚韨€人信息的同意，不得使用概括性條款取得同意；

　　處理個人生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息應(yīng)當取得個人單獨同意；

　　處理不滿十四周歲未成年人的個人信息，應(yīng)當取得其監(jiān)護人同意；

　　不得以改善服務(wù)質(zhì)量、提升用戶體驗、研發(fā)新產(chǎn)品等為由，強迫個人同意處理其個人信息；

　　不得通過誤導(dǎo)、欺詐、脅迫等方式獲得個人的同意；

　　不得通過捆綁不同類型服務(wù)、批量申請同意等方式誘導(dǎo)、強迫個人進行批量個人信息同意；

　　不得超出個人授權(quán)同意的范圍處理個人信息；

　　不得在個人明確表示不同意后，頻繁征求同意、干擾正常使用服務(wù)。

　　尤其是針對個人生物特征，《意見稿》特別提出，數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應(yīng)當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。

　　更嚴“數(shù)據(jù)出境”監(jiān)管

　　此外，《意見稿》對數(shù)據(jù)處理者申報網(wǎng)絡(luò)安全審查的情況也作出說明，包括：

　　匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的網(wǎng)聯(lián)平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；

　　處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的；

　　數(shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的；

　　其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心，應(yīng)當向國家網(wǎng)信部門和主管部門報告。

　　明確處罰力度

　　以互聯(lián)網(wǎng)平臺運營者應(yīng)當建立與數(shù)據(jù)相關(guān)的平臺規(guī)則等義務(wù)為例，《意見稿》指出如平臺違反，由有關(guān)部門責令改正，予以警告；拒不改正，處五十萬元以上五百萬元以下罰款，對直接負責的主管人員和其他直接負責人員，處五萬元以上五十萬元以下罰款；

　　如互聯(lián)網(wǎng)平臺運營者利用數(shù)據(jù)以及平臺規(guī)則等，進行了違規(guī)活動，“由有關(guān)主管部門責令改正，給予警告；拒不改正的，處上一年度銷售額百分之一以上百分之五以下的罰款；情節(jié)嚴重的，可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

　　歐洲此前的GDPR(《通用數(shù)據(jù)保護條例》)，處罰力度非常高，高到足夠引起所有的公司重視。每次違反條例最高處罰金額為該公司年度營業(yè)額的 4%，或者 2000 萬歐元，取決于哪個數(shù)值更大。

　　我國對于數(shù)據(jù)保護的決心與力度正在加強：在《意見稿》發(fā)布之前，我國《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律也有關(guān)于數(shù)據(jù)安全管理的規(guī)定，但法律界人士表示，以上法律在罰款等條款上沒有具體的規(guī)定。而此次《意見稿》對此進行了細化。

　　因而可以預(yù)見，征求意見稿對于互聯(lián)網(wǎng)平臺運營者，尤其是大型互聯(lián)網(wǎng)平臺運營者設(shè)立了較多監(jiān)管措施，有利于細化并落實三部上位法。

　　征求意見稿中有關(guān)個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺運營者義務(wù)等方面的細化規(guī)定，對于數(shù)字平臺經(jīng)營的合規(guī)風控工作將產(chǎn)生廣泛指引意義。其落地之后，也將對互聯(lián)網(wǎng)產(chǎn)業(yè)、數(shù)字生態(tài)、數(shù)字經(jīng)濟帶來深度的、生態(tài)性的重組和改造。

文章鏈接：安防展覽網(wǎng) https://www.afzhan.com/news/detail/86423.html