个人信息保护法草案二审稿剑指过度收集个人信息乱象
记者 朱宁宁 个人信息保护事关广大人民群众的切身利益。继2020年10月首次提请审议,个人信息保护法草案今天再次亮相,提请十三届全国人大常委会第二十八次会议审议。相比草案一审稿,草案二次审议稿根据各方意见作出多处修改。 目前,非法收集、过度收集、强制收集个人信息的问题较为突出。草案二审稿针对突出问题,以保护个人信息权益为核心,以严格规制个人信息处理活动为重点,进一步完善了相关的制度规范。 值得关注的是,今年1月1日起,民法典正式施行。其中规定,死者的姓名、肖像、名誉等受到侵害的,其近亲属有权依法请求行为人承担民事责任。草案二审稿增加规定:自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。 完善个人信息处理应遵循的原则 当前,个人信息收集、使用规则不透明及过度收集、使用等问题突出。鉴于此,草案二审稿有针对性地完善了个人信息处理应遵循的原则。 草案二审稿进一步明确:不得通过“胁迫”方式处理个人信息;处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式;处理个人信息应当公开个人信息处理规则,明示处理目的、方式和范围,并应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 充实合法处理个人信息的规则 根据一些常委会组成人员和地方、部门、专家、企业、社会公众的意见,草案二审稿进一步完善了个人信息处理规则。 草案二审稿增加规定:个人信息处理者应当为个人提供便捷的撤回同意的方式;个人撤回同意,不影响撤回同意前已进行的个人信息处理活动的效力。同时规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。 有意见提出,接受委托处理个人信息的受托方不属于本法规定的个人信息处理者,但仍应履行相应的个人信息安全保护义务。鉴于此,草案二审稿增加规定:接受委托处理个人信息的受托方,应当履行第五章规定的相关义务,采取必要措施保障所处理的个人信息的安全。 此外,草案二审稿明确,个人信息跨境提供的合同应“按照国家网信部门制定的标准合同”订立。 强化超大型互联网平台的义务 有的部门、专家建议,强化超大型互联网平台的个人信息保护义务,并加强监督。草案二审稿增加了相关内容,对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务作出规定。 这些义务包括:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。 明确国家网信部门的有关职责 为了保证个人信息保护法的有效贯彻实施,草案二审稿明确,由国家网信部门统筹推进个人信息保护有关工作,包括:制定个人信息保护具体规则、标准;针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准;支持研究开发安全、方便的电子身份认证技术等。 此外,为了与民法典有关规定相衔接,草案二审稿还设置了严格的侵害个人信息权益的法律责任,规定:个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 本报北京4月26日讯