十三届全国人大常委会第二十二次会议今天上午开幕。共八章七十条、聚焦目前个人信息保护突出问题的个人信息保护法草案(以下简称“草案”)首次提请审议。

全国人大常委会法制工作委员会副主任刘俊臣在作草案说明时表示,数据显示,截至2020年3月,我国互联网用户量已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。

草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

草案明确了个人信息处理活动中的权责,拟规定,个人信息处理活动中的个人具有知情权、决定权、查询权、更正权、删除权等各项权利。个人信息处理者须建立个人行使权利的申请受理和处理机制。国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

关于个人信息的处置,草案明确,应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。

草案确立以“告知-同意”为核心的个人信息处理一系列规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。

此外,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。

值得关注的是,对于敏感个人信息,草案对其定义为一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

草案设专节明确敏感个人信息处理规则,规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。

根据草案,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。个人信息处理者应当向个人告知处理敏感个人信息的必要性,以及对个人的影响。

鉴于在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持,本次草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。“需要强调的是,在上述情形下处理个人信息,也必须严格遵守草案规定的处理规则,履行个人信息保护义务。”刘俊臣说。

草案对违法处理个人信息行为设置严格的法律责任,加大惩处力度,具体包括:违规处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

在维护国家利益层面,草案重点完善个人信息跨境提供规则,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。

标签: 个人信息保护法