13日,個人信息保護法草案在全國人大常委會會議上首次亮相,從確立“告知——同意”為核心的個人信息處理壹系列規則、嚴格限制處理敏感個人信息、明確國家機關對個人信息的保護義務等方面,全面加強個人信息的法律保護。
看點壹:法律適用範圍更明確
草案對本法中的個人信息作出界定。個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
相比之下,今年5月通過的民法典規定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
北京理工大學法學院民法典研究中心主任孟強表示,該草案沒有具體列舉個人信息範圍,避免了立法重復;在規定個人信息的概念時,既強調了個人信息的權利保護,也強調了對個人信息權的規範行使和運用。
看點二:收集用戶大數據須用戶同意
在網上搜索了壹個商品,接著就會收到無數同類商品的廣告推送;購買了網站VIP會員,平臺卻突然變更規則,購買“VVIP會員”才能享受全部會員權利……對此類侵犯用戶權益的現象,網友“吐槽”聲不絕。
草案明確,處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。
壹些平臺利用用戶大數據推送個性化廣告,草案對此強調,通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。
中國社科院學部委員孫憲忠表示,信息的核心環節就是告知,草案確立“告知——同意”為核心的個人信息處理規則十分必要,這也是個人信息保護立法中的核心制度點。
孟強認為,“告知——同意”規則還可以規定得更為詳細,如區分自然人是否具有完全民事行為能力而采取不同的要求;對自然人權利的規定也可以進壹步細化,如在撤回權之外,規定查詢、更正、刪除等權利。
看點三:國家機關保護義務更明確
近年來,公眾人物航班行蹤等信息的買賣形成黑色產業鏈,嚴重侵犯個人隱私;公民在有關機構登記的個人信息頻遭泄露,甚至被用於電信詐騙等違法犯罪活動。
為此,草案設專節對處理敏感個人信息作出嚴格限制。根據草案,敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。個人信息處理者只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,並且應當取得個人的單獨同意或者書面同意。
國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度。國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。
草案還將應對突發公***衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之壹,並強調,在上述情形下處理個人信息,也必須履行個人信息保護義務。
王浩公認為,區分壹般個人信息與敏感信息有三個維度:泄露該信息是否會導致重大傷害、泄露該信息給信息主體帶來傷害的幾率是否較大、社會大多數人對該類信息的敏感度如何。“總體而言,草案對敏感個人信息的界定較為清晰準確,有助於更好地區分並作出有效保護。”他說。
“個人信息的處理和運用涉及社會生活的方方面面,如果還按照傳統的職能部門劃分進行治理,難以有效防治個人信息權被侵害的問題。”孟強建議,在立法進壹步完善的基礎上,還要綜合統籌協調各相關部門的執法行動、強化中央和地方的溝通配合,實現個人信息保護的有效綜合保障。