今日,国家互联网信息办公室就《数据安全管理办法(征求意见稿)》(以下简称“办法”)向社会公开征求意见。办法中明确提到,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
办法明确,在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。
数据收集应制定明确、通俗的公开收集使用规则
办法提出,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。而收集使用规则应当明确具体、简单通俗、易于访问,应当突出以下内容:
(一)网络运营者基本信息;
(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;
(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;
(四)个人信息保存地点、期限及到期后的处理方式;
(五)向他人提供个人信息的规则,如果向他人提供的;
(六)个人信息安全保护策略等相关信息;
(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;
(八)投诉、举报渠道和方法等;
(九)法律、行政法规规定的其他内容。
发生数据安全事件应当立即采取补救措施
根据办法,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。
网络运营者向他人提供个人信息前,应征得个人信息主体同意
办法规定,网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。
网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:
(一)从合法公开渠道收集且不明显违背个人信息主体意愿;
(二)个人信息主体主动公开;
(三)经过匿名化处理;
(四)执法机关依法履行职责所必需;
(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。