网信办：不得将人脸等生物特征作为唯一身份认证为了规范网络数据处理活动

为了规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家网信办昨天发布了《网络数据安全管理条例（征求意见稿）》，并向社会公开征求意见。
《网络数据安全管理条例（征求意见稿）》指出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

文章图片
中国信息安全研究院副院长左晓栋：数据分类分级保护制度是《数据安全法》提出的一个重要制度，但是它没有规定这个制度的具体内容，《条例》（征求意见稿）这次把这个制度进一步具体化，因为数据的类型有很多种，在经济社会发展中重要程度也不同，而且出现安全事件以后的危害程度各不一样，所以要对数据进行分类分级保护。

文章图片
据专家介绍，《网络数据安全管理条例（征求意见稿）》的上位法有三个，分别是《网络安全法》《数据安全法》和《个人信息保护法》。《网络数据安全管理条例（征求意见稿）》作为行政法规，是对上位法规定的执行、细化和补充，而且进一步增强了数据安全法律体系的完备性和可操作性。
不得将人脸等生物特征作为唯一身份认证
针对目前网络上个人隐私信息泄露情况时有发生，应用程序强制用户授权否则不能使用，甚至出现“不让人脸识别，自己小区门都进不去”的情况，《征求意见稿》在这些问题上都作了明确规定。

文章图片
《网络数据安全管理条例（征求意见稿）》指出，数据处理者处理的个人信息是提供服务所必需的，不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。

文章图片
中国信息安全研究院副院长左晓栋：在上位法中提出了处理个人信息要征得同意，此外还有几种特殊情况要征得单独同意，比如说处理个人敏感信息，比如说数据要出境，要征得个人单独同意，但是什么叫单独同意，上位法是没有定义的，社会上也非常关注，因为这涉及大家的法律义务如何履行，所以《网络数据安全管理条例（征求意见稿）》这次对单独同意专门做了定义。

文章图片
《网络数据安全管理条例（征求意见稿）》指出，处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定：

文章图片
按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意；处理不满十四周岁未成年人的个人信息，应当取得其监护人同意；不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；不得通过误导、欺诈、胁迫等方式获得个人的同意；不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。