查看原文
其他

个人信息保护法草案首次提请审议 敏感个人信息处理应取得“单独同意”

陈曦整理 HIT专家网官微 2022-11-03

导读

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

10月13日,个人信息保护法草案在全国人大常委会会议上首次亮相。草案共分为八章、70条,明确了适用范围,从确立“告知—同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强个人信息的法律保护。

健全个人信息处理系列规则
根据草案规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
草案确立以“告知一同意”为核心的个人信息处理规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的,应当重新取得个人同意;不得以个人不同意为由,拒绝提供产品或者服务。
草案设专节明确敏感个人信息处理规则。所谓“敏感个人信息”,是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。草案规定:个人信息处理者应具有特定的目的和充分的必要性,方可处理敏感个人信息。基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的“单独同意”。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。草案还明确,应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或在紧急情况下保护自然人的生命健康等情况,作为处理个人信息的合法情形之一。并明确,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。
明确相关主体的权利和义务
草案与民法典的有关规定相衔接,对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
同时,草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
对违法行为设严格法律责任
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上、十万元以下罚款。
草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上、一百万元以下罚款。根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
此外,草案规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,数额无法确定的,由人民法院根据实际情况确定赔偿数额。
近期热文
HIT专家网∣致力推进中国卫生信息化长按二维码可申请加入HIT专家网专业交流群投稿:gong_chen@HIT180.com

商务合作:(010)82373062


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存