內地擬加強保護個人數據 禁止企業強制收集用戶生物特徵信息

撰文:朱加樟
出版:更新:

國家網信辦14日(周日)發布關於《網絡數據安全管理條例(徵求意見稿)》(以下簡稱《徵求意見稿》)公開徵求意見的通知,擬加強數據安全防護能力建設,保障數據有序自由流動,促進數據合理有效利用。

《徵求意見稿》指出,數據處理者不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。《徵求意見稿》還指出,按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意;處理個人生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意。

《徵求意見稿》還指出,處理不滿十四歲未成年人的個人信息,應當取得其監護人同意;不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意。

杭州師範大學學生利用人臉識別就餐購物。(中新社)

另外,當用戶提出終止服務或者個人注銷帳號時,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理。

內地此前有APP或住宅區強制用戶使用人臉識別。此次《徵求意見稿》指出,數據處理者利用生物特徵進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特徵信息。

《徵求意見稿》還指出,發生重要數據或者十萬人以上個人信息洩露、毀損、丟失等數據安全事件時,數據處理者還應當發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬採取的處置措施等。