个人信息保护法草案首亮相:情节严重违法行为处罚可达五千万
10月13日,一直以来呼声很高的个人信息保护法草案(下称“草案”)提请十三届全国人大常委会第二十二次会议审议。
据《法治日报》报道,草案共八章七十条。从内容上看,草案聚焦目前个人信息保护的突出问题,加大违法行为惩处力度。
对于这部法律的定位,清华大学法学院教授、副院长程啸告诉南都记者,个人信息保护法本身并非单纯的民事特别法,而是一部运用民事、行政、刑事等综合性手段对于个人信息加以保护,对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。
编辑|石莹
明确公民拥有的个人信息权利
草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
在个人信息处理活动中,个人拥有哪些权利?草案对此进行了明确,包括知情权、决定权、查询权、更正权、删除权等。
那么,个人信息处理者需履行哪些义务?草案规定了个人信息处理者有合规管理和保障个人信息安全等义务。并且,草案要求其建立个人行使权利的申请受理和处理机制、按照规定制定内部管理制度和操作规程、采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督。
同时,草案要求个人信息处理者定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
强化国家机关对个人信息的保护义务
草案确立了以“告知一同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
对于敏感个人信息的处理,草案设专节作出更严格的限制。只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
值得注意的是,国家机关该如何处理个人信息?草案设专节规定处理规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。
此外,草案还对基于个人同意以外合法处理个人信息的情形作了规定。比如,在应对突然卫生公共事件等其他紧急情况时,个人信息该如何处理?全国人大常委会法工委副主任刘俊臣表示,“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”
机构设置:延续现有体制 国家网信部门统筹协调
近几年,多位学者和全国人大代表、政协委员都在呼吁建立独立的个人信息保护机构。是否有必要设立一个独立的机构来专门负责个人信息的保护与执法工作一直是学界业界争议的焦点
此前,中国社会科学院法学研究所研究员周汉华曾指出,目前,在个人信息保护领域,我国的行政执法呈现一种“九龙治水”的分散执法体制——网信、市场监管、工信、公安等相关领域的管理部门都负有相应的管理责任。这一管理格局的一个明显问题是,执法的责任边界不明确,可能容易出现推卸责任的后果。
竞天公诚律师事务所合伙人袁立志告诉南都记者,未来如能明确统一的执法机构,公民投诉举报则会更加顺畅。
与此同时,也有专家告诉南都记者,短期内设置一个专门机构是不太可能的,可以根据监管目标对机构的功能设置进行分解,只要相关部门负责其适合的领域,各个部门做到权责明确也是可以的。
此次草案延续了现有的设置,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。同时,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
情节严重违法行为处罚可达五千万
在明确个人信息保护的管理机构之后,如何让侵害公民个人信息的行为得到惩处也是重中之重。草案对违法行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
同时,草案规定,对于已规定的情节严重的违法行为,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处十万元以上一百万元以下罚款。
南都记者注意到,此条规定和欧盟《通用数据保护条例》(GDPR)类似。GDPR规定,一旦企业违反规定,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
值得一提的是,根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
此外,草案还规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。
综合自《法治日报》