8月17日,十三届全国人大常委会第三十次会议审议了个人信息保护法草案。此前,常委会第二十八次会议对个人信息保护法草案进行了二次审议。
据介绍,7月28日,全国人大常委会法制工作委员会召开会议,邀请部分全国人大代表、专家学者以及基层立法联系点、地方有关部门、企业等方面的代表,就草案中主要制度规范的可行性、法律出台时机、法律实施的社会效果和可能出现的问题等进行评估。普遍认为,草案适应我国信息化发展需要,聚集人民群众重大关切,深入总结现行法律实施经验,健全完善个人信息保护制度规则,对于维护广大人民群众网络空间合法权益具有重要意义。草案内容全面、系统,针对性和可操作性较强,并具有一定的包容性、前瞻性,建议尽快通过实施。
针对社会各方面对用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、大数据杀熟等问题反映强烈,一些常委会组成人员和地方、部门、社会公众建议,进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范。宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:一是进一步明确处理个人信息应当遵循合法、正当、必要原则。二是规定处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。三是增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。四是增加规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。五是增加规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
有的常委会委员和企业、专家提出,现实中有关企业、单位在人力资源管理工作中需要处理个人信息,建议在草案中将此类情况作为允许收集和处理个人信息的情形。宪法和法律委员会经研究,建议采纳上述意见。
为进一步做好草案有关条款与民法典有关规定的衔接,宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:一是明确个人信息处理者可以在合理的范围内处理已合法公开的个人信息,个人明确拒绝的除外;对个人权益有重大影响的,应当取得个人同意。二是将草案中的“个人信息泄露”修改为“个人信息泄露、篡改、丢失”。
有些常委会组成人员建议,将未成年人个人信息作为敏感个人信息予以严格保护。宪法和法律委员会经研究,建议明确将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
有的常委会委员和部门、专家提出,按照我国缔结或者参加的经贸合作等国际条约,可以向境外提供个人信息,草案中应当考虑规定这种情形,同时,也需要规定,对转移到境外的个人信息的保护,不应低于我国的保护标准。宪法和法律委员会经研究,建议增加规定:中华人民共和国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行;个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
为方便个人获取并转移其个人信息,有的常委委员和社会公众、部门、专家提出,建议借鉴有关国家和地区的立法,增加个人信息可携带权的规定。宪法和法律委员会经研究,建议增加规定:个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。(《 人民日报 》2021年08月18日第04 版 记者张天培)