十三届全国人大常委会第二十二次会议于10月13日~10月17日举行,备受关注的个人信息保护法草案将首次提交审议。日前,全国人大常委会法工委发言人臧铁伟在记者会上介绍,制定个人信息保护法,将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。
草案明确了适用范围,健全了个人信息处理规则,完善了个人信息跨境提供规则,并明确个人信息处理活动中个人的权利和处理者义务,并明确履行个人信息保护职责的部门,共8章70条。
根据草案,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
在处理规则方面,草案确立以“告知一同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。同时,草案设专节明确敏感个人信息处理规则,规定基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。
在处理敏感个人信息方面,草案指出,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。并明确,敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
草案规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
草案还明确,应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
此外,在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。并明确,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。