个人信息保护法是保障个人信息安全的一部基础性、综合性法律。8月17日,十三届全国人大常委会第三十次会议对个人信息保护法草案三审稿进行了分组审议。与会人员普遍认为,草案三审稿在认真吸收各方面建议的基础上,积极回应当前信息技术发展的实践需要,针对应用程序过度收集个人信息、个人信息泄露等侵害用户权益等现象,完善了有关规定,草案内容更加成熟。
草案三审稿进一步明确细化了非法收集使用个人信息的行为方式和表现形式。但吕薇委员认为,很多地方规定仍比较原则,从字面上很难把握,比如,第六条第二款“收集个人信息,应当限于实现处理目的的最小范围”的表述中关于最小范围的含义比较模糊,建议改为“满足收集目的的适当范围”或将第一款和第二款合并起来,会更加明确。
“当前人民群众对于个人信息保护反映最大的就是个人信息处理者过度采集和占有公民个人信息,在这方面,法律不应留下过多自由发挥的空档。”彭勃委员也指出,草案第十六条规定中“处理个人信息属于提供产品或者服务所必需的除外”中的“必需”怎么认定?由谁来确定?要实现对个人信息的保护,最主要的就是要对供应和服务运营商、信息处理者进行严格、科学的约束和规范,建议对这一条进一步补充和完善。
李钺锋委员关注到了法律衔接的问题,建议进一步完善对个人信息定义的规定,加强与民法典的衔接。草案三审稿规定,个人信息是以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。由此可见,目前我国法律对个人信息的定义坚持了识别身份的标准,识别与身份是我国法律对个人信息界定的核心。草案中没有明确规定“已识别与可识别”的概念,没有突出“特定自然人”这一限缩要件,与民法典对个人信息的规定存在一定差别,建议进一步完善对个人信息定义的规定,加强与民法典的衔接。
今年9月1日起,数据安全法将施行,刘海星委员认为,个人信息保护法与数据安全法要统筹起来,但目前这两部法律某些方面衔接不够。比如,个人信息处理者的安全保护义务与数据安全管理制度缺乏衔接,草案三审稿规定,个人信息处理者应当采取必要措施确保个人信息安全,包括对个人信息实行分类管理,采取安全技术措施等。数据安全法则要求数据处理者建立健全全流程数据安全管理制度,两部法律应该就此进行更好统筹,避免出现交叉、重复管理等问题。(记者 赵晨熙)