大陸的《個人信息保護法草案》(下稱《草案》)已於10月13日提請十三屆全國人大常委會初次審議。草案確立以「告知—同意」為核心的個人資訊處理一系列規則,要求處理個人資訊應當在事先充分告知的前提下,取得個人同意,並且個人有權撤回同意。
草案共八章70條,明確了適用範圍,健全個人資訊處理規則,完善了個人資訊跨境提供規則,明確個人資訊處理活動中,個人的權利和處理者義務,並明確履行個人資訊保護職責的部門。
要求機關依法進行
草案對跨境提供個人資訊的「告知P意」做出更嚴格的要求。對因國際司法協助或行政執法協助,需要向境外提供個人資訊的,要求依法申請有關主管部門批准。
根據草案,個人資訊是以電子或其他方式記錄的,與已識別或可識別的自然人有關的各種資訊;個人資訊的處理包括個人資訊的收集、儲存、使用、加工、傳輸、提供、公開等活動。
草案確立以「告知P意」為核心的個人資訊處理一系列規則,要求處理個人資訊應當在事先充分告知的前提下,取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或服務。
草案設專節規定國家機關處理個人資訊的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人資訊應當依照法律、行政法規規定的許可權和程序進行。
在應對新冠肺炎疫情中,大數據應用為聯防聯控和復工復產提供了有力支持。為此,草案將應對突發公共衛生事件,或者緊急情況下,保護自然人的生命健康,作為處理個人資訊的合法情形之一。
設敏感個資處理規則
需要強調的是,在上述情形下處理個人資訊,也必須嚴格遵守本法規定的處理規則,履行個人資訊保護義務。以「告知P意」為核心的處理規則。
草案設專節明確敏感個人資訊處理規則,規定:基於個人同意處理敏感個人資訊的,個人資訊處理者應當取得個人的單獨同意。
草案明確了敏感個人資訊的定義:一旦洩漏或非法使用,可能導致個人受到歧視或人身、財產安全受到嚴重危害的個人資訊。包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤等。
草案與《民法典》的有關規定相銜接,明確在個人資訊處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,並要求個人資訊處理者,建立個人行使權利的申請受理和處理機制。
草案明確個人資訊處理者的合規管理和保障個人資訊安全等義務,要求其按照規定制定內部管理制度和操作規程,採取相應的安全技術措施,並指定負責人對其個人資訊處理活動進行監督。
在主管機關上,草案明確國家網信部門負責個人資訊保護工作的統籌協調,發揮其統籌協調作用。
違規不改罰百萬人幣
有關罰則上,草案規定,違反本法規定處理個人資訊,或處理個人資訊未按照規定採取必要的安全保護措施的,由履行個人資訊保護職責的部門責令改正,沒收違法所得,給予警告。
拒不改正的,並處100萬元(人民幣,下同)以下罰款。對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。草案特別指出,企業有前款規定的違法行為,情節嚴重的,由履行個人資訊保護職責的部門責令改正,沒收違法所得,並處5千萬元以下或上一年度營業額百分之五以下罰款。
並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。對直接負責的主管人員和其他直接責任人員處10萬元以上百萬元以下罰款。
另外,草案還指出,違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。(記者/連雋偉)