聚焦《个人信息保护法(草案)》

上海法治报 2020年11月02日

资料图片

  ■圆桌主持  陈宏光

本期嘉宾

上海光大律师事务所  潘轶

上海尚法律师事务所  和晓科

上海中夏律师事务所  李晓茂

主持人:

10月21日,《中华人民共和国个人信息保护法(草案)》(以下简称草案)在中国人大网上公布,并向全社会公开征求意见。草案进一步明确了如何保护公民个人信息,对于违法收集、处理个人信息的行为也制定了更为严厉的处罚措施。

那么,这部个人信息保护法有哪些值得关注的内容呢?

明确适用范围

草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

和晓科:要保护“个人信息”,首先就必须明确界定什么是个人信息。

草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

同时,草案还赋予个人信息保护必要的域外适用效力,以充分保护我国境内个人的权益。

草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法。

草案同时要求,境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。

完善处理规则

草案还确立了以“告知—同意”为核心的个人信息处理系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意。

潘轶:草案以专门一章的形式,明确了“个人信息处理规则”。

草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。

草案还确立了以“告知—同意”为核心的个人信息处理系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。

此外,草案还对基于个人同意以外合法处理个人信息的情形作了规定。

约束跨境提供

关键信息基础设施运营者和处理个人信息达到规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。

李晓茂:公民的个人信息不仅事关个人权益,从世界各国的立法来看,都对个人信息的跨境搜集、提供有所约束。为此草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。同时,草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,应依法申请有关主管部门批准。对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。

落实保护责任

个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。

潘轶:为了与《民法典》的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,主要包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

草案还明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。

个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。

草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

此外,草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。

在处罚方面,草案规定:违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万以下罚款;对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处十万元以上一百万元以下罚款。

■链接

不一揽子授权就无法使用APP将成历史

据新华社报道,10月21日,《中华人民共和国个人信息保护法(草案)》(以下简称草案)在中国人大网上公布,并向全社会公开征求意见。草案进一步明确了如何保护公民个人信息,对于违法收集、处理个人信息的行为也制定了更为严厉的处罚措施。

明明只是一款短视频类APP,却一定要读取我的地理位置、通讯录,否则就不能使用。类似这样的APP“霸王条款”,在草案中被明令禁止。

草案第17条提出,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

专家认为,相较于一年多前国家网信办发布的《数据安全管理办法(征求意见稿)》中提出的类似条款,草案的权威性更高。“如果是跟APP核心功能无关的权限,草案明确规定,如果用户不同意,你是不能以用户不授权为由拒绝为其提供服务的。”APP专项治理工作组专家、中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲表示,草案保障用户使用APP时充分的知情选择权,APP强制索权在法理层面将成为历史。

何延哲建议,对于部分APP厂商所提出的“用户个人信息授权与账户安全相关”的诉求,有关部门也需加快推进行业标准的制定,“有的APP为了保障用户账户安全,可能只需要三个信息要素,有的可能需要五个,这些也需要具体问题具体分析。”

SourcePh" style="display:none">