来源:央视财经

鉴于个人隐私信息在互联网上的泄露，以及app往往强制用户授权否则无法使用，14日，国家网信办发布《网络数据安全管理条例(征求意见稿)》公开征求意见的通知(以下简称征求意见稿)，意在加强数据安全保护能力建设。

如何规范个人信息处理？

征求意见稿指出数据处理者不得因个人拒绝提供服务所必需的个人信息以外的信息而拒绝提供服务或者干扰个人正常使用服务。数据处理器应遵守以下规定:

根据服务类型向个人申请处理个人信息的权限，不使用通用条款获取权限；

处理个人生物特征、宗教信仰、特定身份、医疗健康、财务账户、行踪和轨迹等敏感个人信息应获得个人同意；

处理未满14周岁未成年人的个人信息，应当征得其监护人的同意；

不得以提高服务质量、提升用户体验、开发新产品为由，强制个人同意处理其个人信息。

不得通过误导、欺诈、胁迫等方式取得个人同意。

不得通过捆绑不同类型服务、批量申请同意等方式诱导或强迫个人同意批量提供个人信息；

在个人明确表示不同意后，不要频繁征求同意或干扰服务的正常使用。

征求意见稿还提出当用户提出终止服务或者注销个人账户时，数据处理者应当在十五个工作日内删除个人信息或者进行匿名处理。

此外，征求意见稿指出国家建立数据分类和分级保护制度。根据数据对国家安全、公共利益或者个人和组织合法权益的影响和重要性，将数据分为一般数据、重要数据和核心数据，并对不同级别的数据采取不同的保护措施。

值得注意的是，曾有应用程序或住宅物业强迫用户识别他们的面孔。征求意见稿指出，数据处理者使用生物特征进行个人身份认证时，应当对必要性和安全性进行风险评估。不得使用人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，强迫个人同意收集其个人生物特征信息。

专家认为，公开征求意见的规定在法律法规框架内得到了进一步创新。例如，第四十三条指出，互联网平台经营者应当建立与数据相关的平台规则、隐私政策和算法政策的披露制度。这一制度进一步加强了公开和透明的原则。公开透明不仅是事后公开，事前让社会监督力量参与进来，也能更有效地预防问题。此外，第四十四条明确，第三方产品和服务对用户造成损害时，用户可以要求互联网平台经营者先行赔付。

中国电子技术标准化研究院网安中心评测实验室副主任何延哲:这个措施的意图非常明显。站在用户的角度考虑，虽然在实现过程中可能需要讨论一些细节，但实际传递的信号是非常清晰的，解决问题的方法也是非常明确的。这是一个非常实用的条款。

这些事不能做！

除了要规定的个人信息处理规则，征求意见稿还对数据处理者做出了各种要求，指出任何个人和组织不得在数据处理活动中非法出售或者向他人提供数据；不得通过窃取或其他非法手段获取数据；不得侵犯他人的名誉权、隐私权、著作权等合法权益。

征求意见稿指出数据处理者应当保护数据不被泄露、窃取、篡改、损坏、丢失和非法使用。发生10万人以上重要数据或个人信息泄露、损毁、丢失等数据安全事件时，数据处理人应在安全事件发生后8小时内向市网信部门和区相关主管部门报告事件基本情况，[/s2/]包括事件的金额、类型、可能造成的影响、已经采取或将要采取的处置措施等。