其他
个人信息保护法草案即将亮相,核心内容提前看
明确适用范围 赋予域外适用效力
草案共八章七十条,包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任及附则。草案规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。草案具有必要的域外适用效力,以充分保护我国境内个人的权益。根据草案,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
个人信息与敏感个人信息
草案确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言将个人信息处理者的身份、联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使本法规定权利的方式和程序等事项向个人告知。根据个人信息处理的不同环节、不同个人信息种类,草案第二十一条至第二十八条对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。草案对此明确,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。草案设专节对处理敏感个人信息作出更严格的限制。规定个人信息处理者只有在具有特定的目的和充分的必要性时,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。草案明确,敏感个人信息的定义是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。公共场所安装设备收集的个人图像等信息不得随意公开。草案规定,在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”刘俊臣表示。
完善个人信息跨境提供规则
草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
同时,草案对跨境提供个人信息的“告知同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。
明确职责分工 突出网信部门统筹协调作用
个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。
草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
明确个人权利和处理者义务
草案与民法典的有关规定相衔接,对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
明确法律责任 违法行为记入信用档案
草案对违反规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。根据草案,有本法规定的违法行为的,将依照有关法律、行政法规的规定记入信用档案,并予以公示。草案对违法处理个人信息行为设置严格的法律责任,加大惩处力度,具体包括:违规处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
2. 历届大会回顾 | 第十一届中国信息安全法律大会第2号通告
3. 加密货币执法框架——美国司法部总检察长办公室网络数字专案组报告
4. 商务部发布《不可靠实体清单规定》
5. 第五十四期网络安全政策法律动态半月刊(2020.9.1—2020.9.15)