關于《中華人民共和國個人信息保護法(草案)》的說明
——2020年10月13日在第十三屆全國人民代表大會常務委員會第二十二次會議上
全國人大常委會法制工作委員會副主任?劉俊臣
委員長、各位副委員長、秘書長、各位委員:
我受委員長會議的委托,作關于《中華人民共和國個人信息保護法(草案)》的說明。
一、關于制定本法的必要性
隨著信息化與經濟社會持續深度融合,網絡已成為生產生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年3月,我國互聯網用戶已達9億,互聯網網站超過400萬個、應用程序數量超過300萬個,個人信息的收集、使用更為廣泛。雖然近年來我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人,從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。社會各方面廣泛呼吁出臺專門的個人信息保護法,本屆以來,全國人大代表共有340人次提出39件相關議案、建議,全國政協委員共提出相關提案32件。黨中央高度重視網絡空間法治建設,對個人信息保護立法工作作出部署。習近平總書記多次強調,要堅持網絡安全為人民、網絡安全靠人民,保障個人信息安全,維護公民在網絡空間的合法權益,對加強個人信息保護工作提出明確要求。為及時回應廣大人民群眾的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門,將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義。
第一,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求。黨的十八大以來,全國人大及其常委會在制定關于加強網絡信息保護的決定、網絡安全法、電子商務法、修改消費者權益保護法等立法工作中,確立了個人信息保護的主要規則;在修改刑法中,完善了懲治侵害個人信息犯罪的法律制度;在編纂民法典中,將個人信息受法律保護作為一項重要民事權利作出規定。我國個人信息保護法律制度逐步建立,但仍難以適應信息化快速發展的現實情況和人民日益增長的美好生活需要。因此,應當在現行法律基礎上制定出臺專門法律,增強法律規范的系統性、針對性和可操作性,在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。
第二,制定個人信息保護法是維護網絡空間良好生態的現實需要。網絡空間是億萬民眾共同的家園,必須在法治軌道上運行。違法收集、使用個人信息等行為不僅損害人民群眾的切身利益,而且危害交易安全,擾亂市場競爭,破壞網絡空間秩序。因此,應當制定出臺專門法律,以嚴密的制度、嚴格的標準、嚴厲的責任,規范個人信息處理活動,落實企業、機構等個人信息處理者的法律義務和責任,維護網絡空間良好生態。
第三,制定個人信息保護法是促進數字經濟健康發展的重要舉措。當前,以數據為新生產要素的數字經濟蓬勃發展,數據的競爭已成為國際競爭的重要領域,而個人信息數據是大數據的核心和基礎。黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的任務要求。按照這一要求,應當統籌個人信息保護與利用,通過立法建立權責明確、保護有效、利用規范的制度規則,在保障個人信息權益的基礎上,促進信息數據依法合理有效利用,推動數字經濟持續健康發展。
二、關于起草工作和把握的幾點
制定個人信息保護法列入了十三屆全國人大常委會立法規劃和年度立法工作計劃。栗戰書委員長和王晨副委員長等常委會領導同志高度重視這項立法工作,多次作出指示批示。2018年全國人大常委會法制工作委員會會同中央網絡安全和信息化委員會辦公室,著手研究起草個人信息保護法草案。在起草過程中,認真梳理研究近年來全國人大代表、政協委員提出的建議,召開座談會聽取部分全國人大代表的意見;委托專家組開展專題研究,搜集整理國內外立法資料,形成研究報告;通過多種方式深入調研,廣泛征求有關部門、企業和專家等各方面意見。在上述工作的基礎上,經反復研究修改,形成了《中華人民共和國個人信息保護法(草案)》。
起草工作注意把握以下幾點:一是,堅持立足國情與借鑒國際經驗相結合。從我國實際出發,深入總結網絡安全法等法律、法規、標準的實施經驗,將行之有效的做法和措施上升為法律規范。從上世紀70年代開始,經濟合作與發展組織、亞太經濟合作組織和歐盟等先后出臺了個人信息保護相關準則、指導原則和法規,有140多個國家和地區制定了個人信息保護方面的法律。草案充分借鑒有關國際組織和國家、地區的有益做法,建立健全適應我國個人信息保護和數字經濟發展需要的法律制度。二是,堅持問題導向和立法前瞻性相結合。既立足于個人信息保護領域存在的突出問題和人民群眾的重大關切,建立完善可行的制度規范。同時,對一些尚存爭議的理論問題,在本法中留下必要空間,對新技術新應用帶來的新問題,在充分研究論證的基礎上作出必要規定,體現法律的包容性、前瞻性。三是,處理好與有關法律的關系。把握權益保護的立法定位,與民法典等有關法律規定相銜接,細化、充實個人信息保護制度規則。同時,與網絡安全法和已提請全國人大常委會審議的數據安全法草案相銜接,對于網絡安全法、數據安全法草案確立的網絡和數據安全監管相關制度措施,本法不再作規定。
三、關于草案的主要內容
草案共八章七十條,主要內容包括:
(一)明確本法適用范圍
一是,對本法相關用語作出界定,規定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
二是,明確在我國境內處理個人信息的活動適用本法的同時,借鑒有關國家和地區的做法,賦予本法必要的域外適用效力,以充分保護我國境內個人的權益,規定:以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動,也適用本法;并要求境外的個人信息處理者在境內設立專門機構或者指定代表,負責個人信息保護相關事務。
(二)健全個人信息處理規則
一是,確立個人信息處理應遵循的原則,強調處理個人信息應當采用合法、正當的方式,具有明確、合理的目的,限于實現處理目的的最小范圍,公開處理規則,保證信息準確,采取安全保護措施等,并將上述原則貫穿于個人信息處理的全過程、各環節。
二是,確立以“告知—同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。考慮到經濟社會生活的復雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規定。
三是,根據個人信息處理的不同環節、不同個人信息種類,對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。
四是,設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。
五是,設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。
在應對新冠肺炎疫情中,大數據應用為聯防聯控和復工復產提供了有力支持。為此,草案將應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務。
(三)完善個人信息跨境提供規則
一是,明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,規定了經專業機構認證等途徑。
二是,對跨境提供個人信息的“告知—同意”作出更嚴格的要求。
三是,對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。
四是,對從事損害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區,規定了可以采取的相應措施。
(四)明確個人信息處理活動中個人的權利和處理者義務
一是,與民法典的有關規定相銜接,明確在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,并要求個人信息處理者建立個人行使權利的申請受理和處理機制。
二是,明確個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。
(五)關于履行個人信息保護職責的部門
個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用;同時規定:國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。
此外,草案還對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。
個人信息保護法(草案)和以上說明是否妥當,請審議。