劉詢

2020年10月13日，備受關(guān)注的個人信息保護法草案提請十三屆全國人大常委會初次審議。草案從確立以“告知-同意”為核心的個人信息處理一系列規(guī)則、嚴格限制處理敏感個人信息、明確國家機關(guān)對個人信息的保護義務(wù)等方面，為全面加強個人信息的法律保護做出了明確性規(guī)定，是繼民法典后個人信息保護法立法的又一個重要里程碑。

草案出臺背景

有數(shù)據(jù)顯示，截至2020年3月，我國互聯(lián)網(wǎng)用戶已達9億，互聯(lián)網(wǎng)網(wǎng)站超過400萬個，應(yīng)用程序數(shù)量超過300萬個，個人信息的收集、使用更為廣泛。雖然近年來我國個人信息保護力度不斷加大，但在現(xiàn)實生活中，一些企業(yè)、機構(gòu)甚至個人，從商業(yè)利益出發(fā)，隨意收集、違法獲取、過度使用甚至非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出。

“為及時回應(yīng)廣大人民群眾的呼聲和期待，落實黨中央部署要求，制定一部個人信息保護方面的專門法律，將廣大人民群眾的個人信息權(quán)益實現(xiàn)好、維護好、發(fā)展好，具有重要意義?！比珖舜蟪Ｎ瘯üの敝魅蝿⒖〕急硎荆贫▊€人信息保護法是進一步加強個人信息保護法制保障的客觀要求，是維護網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實需要，也是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。

草案共八章七十條。從內(nèi)容上看，草案聚焦目前個人信息保護的突出問題，落實個人信息保護責任，加大違法行為懲處力度。

看點一：適用范圍更清晰

草案對本法中的個人信息作出界定。個人信息是以電子或者其他方式記錄的，與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供及公開等活動。

看點二：職責分工更明確

個人信息保護涉及各個領(lǐng)域和多個部門的職責。草案根據(jù)個人信息保護工作實際，明確國家網(wǎng)信部門負責個人信息保護工作的統(tǒng)籌協(xié)調(diào)，發(fā)揮其統(tǒng)籌協(xié)調(diào)作用。草案同時規(guī)定，國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作。

看點三：處理個人信息要先取得用戶同意

草案確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，即：處理個人信息應(yīng)當在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應(yīng)當重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

看點四：處理敏感信息限制更嚴格

草案設(shè)專節(jié)對處理敏感個人信息作出嚴格限制。根據(jù)草案，敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶及個人行蹤等。個人信息處理者只有在具有特定目的和充分必要性的情形下，方可處理敏感個人信息，并且應(yīng)當取得個人的單獨同意或者書面同意。

看點五：突發(fā)公共衛(wèi)生事件中個人信息保護

在應(yīng)對新型冠中病毒肺炎疫情中，大數(shù)據(jù)應(yīng)用為聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)提供了有力支持。為此，草案還將應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一，并強調(diào)，在上述情形下處理個人信息，也必須嚴格遵守本法規(guī)定的處理規(guī)則，履行個人信息保護義務(wù)。

看點六：嚴格規(guī)范跨境個人信息提供規(guī)則

個人信息保護法草案明確，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構(gòu)認證等途徑。同時，草案對跨境提供個人信息的“告知-同意”作出更嚴格的要求。對因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個人信息的，要求依法申請有關(guān)主管部門批準。

看點七：強化個人信息保護責任和義務(wù)

草案明確了個人信息處理者的合規(guī)管理以及保障個人信息安全等義務(wù)，要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負責人對其個人信息處理活動進行監(jiān)督；定期對個人信息活動進行合規(guī)審計；對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估；履行個人信息泄露通知和補救義務(wù)等。

看點八：情節(jié)嚴重違法行為處罰可達5 000萬

草案對違法處理個人信息行為設(shè)置嚴格的法律責任，加大懲處力度，具體包括：違規(guī)處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，并處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

上述違法行為情節(jié)嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處5 000萬元以下或者上一年度營業(yè)額5 %以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

根據(jù)草案，有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

近年來，隨著大數(shù)據(jù)技術(shù)在各領(lǐng)域的廣泛應(yīng)用，公民個人隱私的邊界也頻頻遭遇挑戰(zhàn)。個人信息保護法草案為捍衛(wèi)個人信息安全提供了強有力的法律保障，同時也將進一步推動數(shù)字經(jīng)濟的長足發(fā)展。