作为敏感的个人信息,人面一旦泄露,很容易对人身和财产安全造成极大的伤害,甚至可能威胁公共安全。但在此之前,一些住宅物业、商业场所将面临识别作为唯一的验证途径;一些移动应用程序拒绝用户使用基本功能,因为他们不同意提供不必要的个人信息。这些问题有望得到监管。
国家互联网信息办公室(网信办)正就《网络数据安全管理条例(草案)》(以下简称《草案》)向社会公开征求意见,截止日期为2021年12月13日。
今年7月,苏州一位姓张的业主收到了来自他所在楼盘的通知,称门禁系统将被改成面部识别系统。物业业主需进行信息录入,否则不能进入小区。张先生将物业公司告上法庭,物业公司最终同意门禁系统增加门禁卡功能。
对此,《意见稿》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
针对一些用户反映强烈的不给APP授权就不能用问题,《意见稿》提出,数据处理者不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
记者此前在采访中发现,一些用户反映互联网账号注销难,且注销后也不知道自己的个人信息存储在何处,是否会被删除。此次《意见稿》明确,用户提出终止服务或者个人注销账号,数据处理者应当在15个工作日内删除个人信息或者进行匿名化处理。删除个人信息从技术上难以实现,或者因业务复杂等原因,在15个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
对于备受关注的数据出境问题,《意见稿》提出,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当通过国家网信部门组织的数据出境安全评估,数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证,存留相关日志记录和数据出境审批记录3年以上。
那么,企业在境外上市时应该注意哪些问题呢?《草案》明确,数据处理是开展下列活动的,应当按照国家有关规定,申报进行网络安全审查:掌握国家安全、经济发展、公共数据资源利益关系的互联网平台运营商实施合并、重组、分立,影响或可能影响国家安全。一个能处理100多万人个人信息的数据处理器被列在国外;数据处理器在香港上市,影响或可能影响国家安全等。大型互联网平台运营商在境外设立总部、运营中心或研发中心的,还应向国家网信办和主管部门报告。
草案还规定了互联网平台运营商应如何规范数据的使用。草案规定,互联网平台运营商不得利用数据和平台规则从事以下活动:利用平台收集的用户数据,无正当理由对具有相同交易条件的用户进行产品和服务的差异化定价;利用平台收集的运营商数据进行低价销售或者其他损害公平竞争的行为;利用数据对用户进行误导、欺骗、胁迫,损害用户决定处理其数据的权利,或者违背用户意愿处理用户数据的;在平台规则、算法、技术、流量分配等方面设置了不合理的限制和障碍,制约了中小企业公平获取平台产生的行业和市场数据,阻碍了市场创新。