個人信息保護法草案今天(13日)提請十三屆全國人大常委會第二十二次會議初次審議。草案明確了適用範圍,
健全了個人信息處理規則。根據草案,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
草案確立以“告知—同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。
草案設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,並且應當取得個人的單獨同意或者書面同意。
草案設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。
在應對新冠肺炎疫情中,大數據應用為聯防聯控和復工復產提供了有力支持。為此,草案將應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務。
個人信息保護法草案還完善了個人信息跨境提供規則,明確了個人信息處理活動中個人的權利和處理者義務,並明確了履行個人信息保護職責的部門。
草案明確,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對於其他需要跨境提供個人信息的,規定了經專業機構認證等途徑。草案對跨境提供個人信息的“告知—同意”作出更嚴格的要求。對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批准。對從事損害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國採取不合理措施的國家和地區,規定了可以採取的相應措施。
草案與民法典的有關規定相銜接,明確在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,並要求個人信息處理者建立個人行使權利的申請受理和處理機制。
草案明確個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定製定內部管理制度和操作規程,採取相應的安全技術措施,並指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息洩露通知和補救義務等。
個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用;同時規定:國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作。此外,草案還對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。(總檯央視記者 張賽)
