全国人民代表大会常务委员会:
常委会第二十八次会议对个人信息保护法草案进行了二次审议。会后,法制工作委员会在中国人大网全文公布草案征求社会公众意见。宪法和法律委员会、法制工作委员会召开座谈会,分别听取有关专家、企业和法院系统的意见;就草案的有关问题与有关方面交换意见,共同研究。宪法和法律委员会于7月14日召开会议,根据7月9日委员长会议精神、常委会组成人员审议意见和各方面的意见,对草案进行了逐条审议。中央网络安全和信息化委员会办公室有关负责同志列席了会议。7月28日,宪法和法律委员会召开会议,再次进行了审议。宪法和法律委员会认为,为加强个人信息保护,维护人民群众在网络空间的合法权益,并促进信息合理利用,制定本法是必要的,草案经过两次审议修改,已经比较成熟。同时,提出以下主要修改意见:
一、有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,建议在草案二次审议稿第一条中增加规定“根据宪法”制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳。
二、一些常委会组成人员和地方、部门、社会公众建议,进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范。宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:一是进一步明确处理个人信息应当遵循合法、正当、必要原则。二是将第六条修改为:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。三是增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。四是增加规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。五是增加规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
三、有的常委委员和企业、专家提出,现实中有关企业、单位在人力资源管理工作中需要处理个人信息,建议在草案中将此类情况作为允许收集和处理个人信息的情形。宪法和法律委员会经研究,建议采纳上述意见,在草案二次审议稿第十三条中增加相应规定。
四、一些常委会组成人员和地方、部门、企业、专家建议,进一步做好草案有关条款与民法典有关规定的衔接。宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:一是将第二十八条修改为,个人信息处理者可以在合理的范围内处理已合法公开的个人信息,个人明确拒绝的除外;对个人权益有重大影响的,应当取得个人同意。二是将第五十六条中的“个人信息泄露”修改为“个人信息泄露、篡改、丢失”。
五、有些常委会组成人员建议,将未成年人个人信息作为敏感个人信息予以严格保护。宪法和法律委员会经研究,建议明确将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
六、有的常委委员和部门、专家提出,按照我国缔结或者参加的经贸合作等国际条约,可以向境外提供个人信息,草案中应当考虑规定这种情形,同时,也需要规定,对转移到境外的个人信息的保护,不应低于我国的保护标准。宪法和法律委员会经研究,建议增加规定:中华人民共和国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行;个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
七、有的常委委员和社会公众、部门、专家提出,为方便个人获取并转移其个人信息,建议借鉴有关国家和地区的立法,增加个人信息可携带权的规定。宪法和法律委员会经研究,建议增加规定:个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
八、草案二次审议稿第四十九条对死者个人信息的保护作了规定。有的常委委员和专家提出,死者的近亲属行使相关权利应当有合理的理由,并尊重死者生前的安排,建议对上述规定再作研究。宪法和法律委员会经研究,建议将这一条修改为:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
九、有的部门、专家提出,大型互联网企业制定有关个人信息保护的平台规则时,应当公平合理地对待平台内经营者。有的常委委员和企业、专家提出,对处理信息数量少、处理活动简单的小型个人信息处理者,应适当减轻其合规成本。宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:一是增加规定,大型互联网企业应当遵循公开、公平、公正的原则,制定有关个人信息保护的平台规则;二是授权国家网信部门针对小型个人信息处理者制定相关规则。
十、有的常委委员和部门、社会公众提出,有关部门应完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合。宪法和法律委员会经研究,建议在草案二次审议稿中增加以下规定:一是国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。二是履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
此外,还对草案二次审议稿作了一些文字修改。
7月28日,法制工作委员会召开会议,邀请部分全国人大代表、专家学者以及基层立法联系点、地方有关部门、企业等方面的代表,就草案中主要制度规范的可行性、法律出台时机、法律实施的社会效果和可能出现的问题等进行评估。普遍认为,草案适应我国信息化发展需要,聚集人民群众重大关切,深入总结现行法律实施经验,健全完善个人信息保护制度规则,对于维护广大人民群众网络空间合法权益具有重要意义。草案内容全面、系统,针对性和可操作性较强,并具有一定的包容性、前瞻性,建议尽快通过实施。与会人员还对草案提出了一些具体修改意见,有的意见已经采纳。
草案三次审议稿已按上述意见作了修改,宪法和法律委员会建议提请本次常委会会议审议通过。
草案三次审议稿和以上报告是否妥当,请审议。
全国人民代表大会宪法和法律委员会
2021年8月17日