近年来,应用程序(App)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等行为屡禁不止。今天提请十三届全国人大常委会第三十次会议审议的个人信息保护法草案三审稿进一步完善了个人信息处理规则,特别是对应用程序(App)过度收集个人信息、大数据杀熟等作出了针对性规范。
此外,针对未成年人个人信息安全问题,草案三审稿明确将未成年人个人信息作为敏感个人信息予以严格保护。
进一步完善个人信息处理规则
一些常委会组成人员和地方、部门、社会公众建议,进一步完善个人信息处理规则,特别是对这些行为作出有针对性规范。
对此,草案三审稿进一步明确了处理个人信息应当遵循合法、正当、必要原则。同时,将草案二审稿第六条修改为:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
草案三审稿还增加规定:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
值得注意的是,草案三审稿还对大型互联网平台和小型个人信息处理者进行了区分。
有的部门、专家提出,大型互联网企业制定有关个人信息保护的平台规则时,应当公平合理地对待平台内经营者。有的常委会委员和企业、专家提出,对处理信息数量少、处理活动简单的小型个人信息处理者,应适当减轻其合规成本。对此,草案三审稿规定,大型互联网企业应当遵循公开、公平、公正的原则,制定有关个人信息保护的平台规则;授权国家网信部门针对小型个人信息处理者制定相关规则。
对未成年人个人信息严格保护
随着触网年龄不断低龄化,未成年人个人信息保护一直备受关注,有些常委会组成人员建议,将未成年人个人信息作为敏感个人信息予以严格保护。
草案三审稿吸纳了上述建议,明确将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
一些常委会组成人员和地方、部门、企业、专家建议,要进一步做好草案有关条款与民法典有关规定的衔接。对此,草案三审稿将草案二审稿第二十八条修改为,个人信息处理者可以在合理的范围内处理已合法公开的个人信息,个人明确拒绝的除外;对个人权益有重大影响的,应当取得个人同意。
增加个人信息可携带权的规定
有的常委会委员和社会公众、部门、专家提出,为方便个人获取并转移其个人信息,建议借鉴有关国家和地区的立法,增加个人信息可携带权的规定。草案三审稿增加了相关规定:个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
草案二审稿第四十九条对死者个人信息的保护作了规定。有的常委会委员和专家提出,死者的近亲属行使相关权利应当有合理的理由,并尊重死者生前的安排,建议对上述规定再作研究。经研究后,草案三审稿将这一条修改为:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
完善个人信息保护投诉举报机制
有的常委会委员和部门、社会公众提出,有关部门应完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合。草案三审稿增加了相关规定,规定国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。此外,履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。