不得将人脸、虹膜等生物特征作为唯一的个人身份认证方式

   记者14日从国家网信办获悉，为落实相关法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，国家网信办公布了《网络数据安全管理条例（征求意见稿）》（以下称为《意见稿》），并向社会公开征求意见。

    国家拟建立数据分类分级保护制度

    《意见稿》指出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

    根据《意见稿》，数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。

    《意见稿》要求，数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。

    企业不得利用数据从事以下活动

    《意见稿》对个人信息保护进行了具体规范，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

    《意见稿》指出，大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

    此外，《意见稿》提出，互联网平台运营者不得利用数据以及平台规则等从事以下活动：

    （一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；

    （二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为；

    （三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据；

    （四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。据央视新闻