个人信息保护法草案即将亮相

     全国人大常委会法工委发言人臧铁伟在12日举行的记者会上介绍，十三届全国人大常委会第二十二次会议将于10月13日至17日在北京举行。个人信息保护法草案将提请本次会议审议。随着信息化与经济社会持续深入融合，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但在现实生活中，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。为及时回应广大人民群众的呼声和期待，制定个人信息保护法，将进一步明确个人信息处理活动应遵循的原则，完善个人信息处理规则，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。个人信息保护法的制定，将进一步增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

     草案共八章70条，明确了适用范围，健全了个人信息处理规则，完善了个人信息跨境提供规则，明确个人信息处理活动中个人的权利和处理者义务，并明确履行个人信息保护职责的部门。
     根据草案，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
     草案确立以“告知—同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。
     同时，草案设专节明确敏感个人信息处理规则，规定：基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意。
     草案明确了敏感个人信息的定义：一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息。
     草案明确个人信息处理者的合规管理和保障个人信息安全等义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；履行个人信息泄露通知和补救义务等。