《中華人民共和國個人信息保護法(草案)》
草案的五個重點解讀 重點1:明確個人信息定義 草案明確,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。 此次在規定個人信息的概念時,既強調了個人信息的權利保護,也強調了對個人信息權的規范行使和運用。 相比之下,今年5月通過的民法典規定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。 重點2:“告知—同意”為核心的個人信息處理規則 這一規則是個人信息保護立法中的核心制度點。 草案明確,處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。 且個人有權拒絕個人信息處理者僅通過自動化決策的方式作出決定,比如商業營銷、信息推送等,應當同時提供不針對個人特征的選項。簡而言之,這意味著用戶有權向平臺推送的個性化廣告說:不。 重點3:給敏感信息范圍畫圈 信息倒賣黑色產業鏈的現象層出不窮,從公眾人物航班信息曝光、到公民個人登記信息泄露被用于電信詐騙等犯罪活動,草案設專節對處理敏感個人信息作出嚴格限制。 根據草案,敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。個人信息處理者只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。 重點4:公共場所個人信息不得隨意公開 在公共場所安裝圖像采集、個人身份識別設備,所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律行政法規另有規定的除外。 重點5:加大懲處力度 草案對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了不同等級的規定。 情節嚴重的,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款。同時依照有關法律、行政法規的規定記入信用檔案,并予以公示。 除罰款以外,對侵害個人信息權益的民事賠償,按照個人所受損失或者個人信息處理者所獲利益確定數額,上述數額無法確定的,由人民法院根據實際情況確定賠償數額。
