个人信息保护法草案“看齐”欧盟 最高处罚年营业额5%
新京报贝壳财经讯(记者 罗亦丹)10月13日,十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案。贝壳财经记者浏览全国人大网站发现,此次草案从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强个人信息的法律保护。值得注意的是,草案规定侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。
据介绍,草案共八章七十条。草案确立了以“告知——同意”为核心的个人信息处理系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
“相比2017年由人大代表个人提起的个人信息保护法草案,此次个人信息保护法草案是全国人大法工委官方起草的。对于个人信息的范围,此次草案采取了识别说,和国际趋势比较一致。具体来看,草案中一些条款在实践中或会存在争议,如目前一些企业不收集信息就无法提供服务,这种情况下需要提供差异化服务,而此次罚款的力度非常大,未来监管机构是否会对企业满格处罚需要看执法的程度。”中国人民大学法学院未来法治研究院副院长、副教授丁晓东对贝壳财经记者表示。
贝壳财经记者综合新华社与法制日报发布的信息,发现该草案主要包括法律适用范围更明确、收集用户大数据要先取得用户同意、处理敏感信息限制更严格、加大违法行为惩处力度、明确部门职责分工几大看点。
个人信息不包括“匿名化处理后的信息” 专家:在实践中留出了空间
本次草案首先对何为个人信息做出了界定。
法律适用范围上,草案明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
丁晓东表示,个人信息的范围常常是争议较大的问题,在国外有的采取识别说(信息是否可以识别),还有的采取关联说(信息能不能关联到个人)。“草案采用了识别说,这和国际趋势比较一致。”
贝壳财经记者发现,今年5月通过的民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
需要注意的是,与民法典规定相比,本次草案明确了个人信息“不包括匿名化处理后的信息。”
“该条款在实践中留出了一定空间,因为匿名化处理之后的信息不属于个人信息,但某种程度上,被处理过的信息还能还原成个人信息,所以未来企业收集个人信息后进行了匿名化处理,此时还要不要承担储存、删除等义务,是一个值得探讨的问题。”丁晓东表示。
据了解,企业收集个人信息最常见的日常应用就是进行个性化推荐。如抖音推送的视频、淘宝的广告等。其中不少过于精准的推送甚至会让用户产生自己“被手机监听”的感觉。对此,草案对于饱受用户诟病的精准推送问题也做出了一定限制。对于一些平台利用用户大数据推送个性化广告,草案对此强调,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
草案明确,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
中国社科院学部委员孙宪忠表示,信息的核心环节就是告知,草案确立“告知——同意”为核心的个人信息处理规则十分必要,这也是个人信息保护立法中的核心制度点。
“企业不得因为个人不同意就拒绝服务,但这一条款在实践中也存在争议,因为有的企业可能会说不收集个人信息就无法提供很好的服务,比如滴滴如果不收集定位信息,打车叫车就会受到影响。这种情况下怎样去主张呢?我个人认为在实践中企业可能需要提供一些差异化服务。”丁晓东告诉记者。
敏感信息限制更严格 个人信息收集需知情同意
此外,对于明星身份信息、航班信息等频遭买卖,公民个人信息可通过“人肉搜索”花钱在黑产端找到,个人敏感信息“裸奔”的现象,草案也做出了更严格的规定。
草案设专节对处理敏感个人信息作出严格限制。根据草案,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
“同意机制是否对所有的信息都要明确同意,还是仅对敏感个人信息明确同意?此前我参加的法工委的讨论中,是区分了敏感信息和非敏感信息的,非敏感信息是一般同意,敏感信息是特别同意,但目前这个版本的草案看来又有所加强。”丁晓东表示。
值得注意的是,草案对疫情时期公民出行必须填写“健康码”等特殊情况也做出了规定。其将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
同时,国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。
“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”全国人大常委会法制工作委员会副主任刘俊臣说。
加大惩处力度 最高处罚营业额5%超过GDPR
贝壳财经记者发现,本次草案的一大亮点在于对侵害个人信息的处罚力度上,按照规定,顶格处罚的力度甚至超过以严格著称的欧盟《通用数据保护条例》(GDPR)。
草案首先对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。
此外,草案规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。
贝壳财经记者了解到,欧盟GDPR对严重违法行为的罚款上限是2000万欧元,或者最高为上一个财政年度全球全年营业收入的4%。照此看来,草案规定的5%罚款已经超越了GDPR。
“此次罚款力度很大,超出了我的预料,一些条款甚至超过了GDPR的规定,是非常高的。”丁晓东告诉记者,“不过仅从法条来看还不够,未来是否会按照5%满格进行处罚,还要根据监管机构能够执法到什么程度来看。”
值得注意的是,本次草案在明确个人信息保护的部门职责方面也做出了明确规定。
贝壳财经记者此前接触个人信息保护领域时发现,对该领域的监管涉及多个部门,如APP专项治理工作组就由网信办、工信部、公安部、市场监管总局四部委组成。
对此,草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
有熟悉监管层的人士对记者表示,此前四部委在个人信息保护领域合作时,通常也是网信办牵头,此次草案则进一步明确了部门分工。
新京报贝壳财经记者 罗亦丹
责任编辑:张玫