個人信息保護法草案首次亮相！

在網上搜索一個商品，接著就收到無數同類商品的廣告推送……13日提請全國人大常委會會議審議的個人信息保護法草案對此類現象有說法了！

草案規定，處理個人信息應當在事先充分告知的前提下取得個人同意，並且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。

草案強調，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特徵的選項。

草案明確，國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和限度。國家機關不得公開或者向他人提供其處理的個人信息，法律、行政法規另有規定或者取得個人同意的除外。

草案還將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一，但在上述情形下處理個人信息，也必須履行個人信息保護義務。

草案共八章七十條。從內容上看，草案聚焦目前個人信息保護的突出問題，落實個人信息保護責任，加大違法行為懲處力度。

明確職責分工
突出網信部門統籌協調作用

——國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作

個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際，明確國家網信部門負責個人信息保護工作的統籌協調，發揮其統籌協調作用。

草案同時規定，國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作。

聚焦突出問題
健全個人信息處理系列規則

——設專節對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，並且應當取得個人的單獨同意或者書面同意

在應對新冠肺炎疫情中，大數據應用為聯防聯控和復工復產提供了有力支持。為此，草案將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一。

「需要強調的是，在上述情形下處理個人信息，也必須嚴格遵守本法規定的處理規則，履行個人信息保護義務。」劉俊臣說。

草案確立了個人信息處理應遵循的原則，強調處理個人信息應當採用合法、正當的方式，具有明確、合理的目的，限於實現處理目的的最小範圍，公開處理規則，保證信息準確，採取安全保護措施等，並將上述原則貫穿於個人信息處理的全過程、各環節。

同時，草案還確立了以「告知一同意」為核心的個人信息處理一系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，並且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。

考慮到經濟社會生活的複雜性和個人信息處理的不同情況，草案還對基於個人同意以外合法處理個人信息的情形作了規定。

草案還設專節對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，並且應當取得個人的單獨同意或者書面同意。

此外，草案設專節規定國家機關處理個人信息的規則，在保障國家機關依法履行職責的同時，要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。

明確適用範圍
賦予本法必要域外適用效力

——賦予個人信息保護法必要的域外適用效力，以充分保護我國境內個人的權益

草案明確規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息；個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

同時，借鑑有關國家和地區的做法，草案還賦予了必要的域外適用效力，以充分保護我國境內個人的權益。

草案規定，以向境內自然人提供產品或者服務為目的，或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動，也適用本法；並要求境外的個人信息處理者在境內設立專門機構或者指定代表，負責個人信息保護相關事務。

維護國家利益
完善個人信息跨境提供規則

——對跨境提供個人信息的「告知—同意」作出更嚴格的要求

草案明確，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估；對於其他需要跨境提供個人信息的，規定了經專業機構認證等途徑。

同時，草案對跨境提供個人信息的「告知—同意」作出更嚴格的要求。對因國際司法協助或者行政執法協助，需要向境外提供個人信息的，要求依法申請有關主管部門批准。

對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國採取不合理措施的國家和地區，草案規定了可以採取的相應措施。

落實保護責任
明確相關主體的權利和義務

——要求個人信息處理者按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，並指定負責人對其個人信息處理活動進行監督

與民法典的有關規定相銜接，草案對個人信息處理活動中個人的各項權利進行了明確，包括知情權、決定權、查詢權、更正權、刪除權等，並要求個人信息處理者建立個人行使權利的申請受理和處理機制。

與此同時，草案明確了個人信息處理者的合規管理和保障個人信息安全等義務，要求其按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，並指定負責人對其個人信息處理活動進行監督；定期對其個人信息活動進行合規審計；對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估；履行個人信息洩露通知和補救義務等。

加大懲處力度
對違法行為設嚴格法律責任

——侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款

草案對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。

草案規定，違反本法規定處理個人信息，或者處理個人信息未按照規定採取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

草案同時規定，有前款規定的違法行為，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他安志傑責任人員處十萬元以上一百萬元以下罰款。

根據草案，有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，並予以公示。

此外，草案規定，對侵害個人信息權益的民事賠償，按照個人所受損失或者個人信息處理者所獲利益確定數額，上述數額無法確定的，由人民法院根據實際情況確定賠償數額。

據了解，從2003年開始，當時的國務院信息化辦公室已經開始部署個人信息保護法的立法研究工作。近幾年來，隨著數字經濟時代的到來，多位全國人大代表、政協委員以及專家學者持續呼籲立法機構將「個人信息保護法」列入立法規劃。

2019年起，個人信息保護法立法提速。去年3月5日，在十三屆全國人大二次會議新聞發布會上，大會發言人張業遂表示，全國人大常委會已將制定個人信息保護法列入本屆立法規劃。今年兩會前夕，全國人大常委會法工委相關負責人介紹，個人信息保護法草案稿已形成。

「隨著信息化與經濟社會持續深入融合，個人信息的收集、使用更為廣泛。」全國人大常委會法工委發言人臧鐵偉稱，雖然近年來我國個人信息保護力度不斷加大，但在現實生活中，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。

他還表示，個人信息保護法將進一步明確個人信息處理活動應遵循的原則，完善個人信息處理規則，保障個人在個人信息處理活動中的各項權利，強化個人信息處理者的義務，明確個人信息保護的監管職責，並設置嚴格的法律責任。

臧鐵偉稱，個人信息保護立法堅持從我國實際出發，深入總結網絡安全法等法律、法規、標準的實施經驗，並充分借鑑有關國際組織和國家、地區的個人信息保護相關準則、指導原則和法規，建立健全適應我國個人信息保護需要的法律制度。

來源：網信廣東