个人信息保护法草案的主要内容
点击标题下「网络法前哨」可快速关注
前哨按语
备受关注的个人信息保护法草案今天提请十三届全国人大常委会第二十二次会议审议,以下是相关媒体报道披露的草案主要内容。
个人信息保护法草案首次亮相
前哨综合自法治日报、中国青年报
备受关注的个人信息保护法草案今天提请十三届全国人大常委会第二十二次会议审议。
数字显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。应当看到,虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
草案共八章七十条。从内容上看,草案聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大违法行为惩处力度。
个人信息处理拟遵循“告知——同意”规则
个人信息及其处理包括哪些内容?草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
草案明确了个人信息处理活动中的权责,规定个人信息处理活动中的个人具有知情权、决定权、查询权、更正权、删除权等各项权利。个人信息处理者须建立个人行使权利的申请受理和处理机制。国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
草案确立以“告知——同意”为核心的个人信息处理一系列规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
此外,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。
建立敏感个人信息处理规则
值得关注的是,对于敏感个人信息,草案对其定义为一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
草案设专节明确敏感个人信息处理规则,规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。
根据草案,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
草案还明确,个人信息处理者应当向个人告知处理敏感个人信息的必要性,以及对个人的影响。
鉴于在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持,本次草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
“需要强调的是,在上述情形下处理个人信息,也必须严格遵守草案规定的处理规则,履行个人信息保护义务。”刘俊臣说。
本次草案对处理敏感个人信息作出更严格的限制,规定,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
明确适用范围 赋予本法必要域外适用效力
——赋予个人信息保护法必要的域外适用效力,以充分保护我国境内个人的权益
草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
同时,借鉴有关国家和地区的做法,草案还赋予了必要的域外适用效力,以充分保护我国境内个人的权益。
草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
维护国家利益 完善个人信息跨境提供规则
——对跨境提供个人信息的“告知—同意”作出更严格的要求
草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
同时,草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。
落实保护责任 明确相关主体的权利和义务
——要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督
与民法典的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
与此同时,草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
明确职责分工 突出网信部门统筹协调作用
——国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作
个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。
草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
加大惩处力度 对违法行为设严格法律责任
——侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款
草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他安志杰责任人员处十万元以上一百万元以下罚款。
根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
此外,草案规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。
近期热点文章
公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》全文
工信部《通信短信息和语音呼叫服务管理规定(征求意见稿)》全文
北京互联网法院一审宣判|抖音、微信读书app均有侵害用户个人信息的情形
3·15曝光丨SDK插件窃取用户隐私、趣头条推送非法广告、嗨学网虚假承诺退款难
全国人大法工委 | 个人信息保护法草案稿已形成 争取及早提请审议
美国封禁TikTok、Wechat事件追踪
甲骨文确认与字节跳动达成协议,成为TikTok可信技术提供商
维权!字节跳动宣布起诉特朗普政府,中国公司告赢美国总统有先例
外交部、字节跳动、腾讯回应来了!特朗普下令限制TikTok、微信事件追踪
近期国内数据立法汇总
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君