關(guān)于《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》的說(shuō)明
——2020年10月13日在第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十二次會(huì)議上
全國(guó)人大常委會(huì)法制工作委員會(huì)副主任?劉俊臣
委員長(zhǎng)、各位副委員長(zhǎng)、秘書(shū)長(zhǎng)、各位委員:
我受委員長(zhǎng)會(huì)議的委托,作關(guān)于《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》的說(shuō)明。
一、關(guān)于制定本法的必要性
隨著信息化與經(jīng)濟(jì)社會(huì)持續(xù)深度融合,網(wǎng)絡(luò)已成為生產(chǎn)生活的新空間、經(jīng)濟(jì)發(fā)展的新引擎、交流合作的新紐帶。截至2020年3月,我國(guó)互聯(lián)網(wǎng)用戶(hù)已達(dá)9億,互聯(lián)網(wǎng)網(wǎng)站超過(guò)400萬(wàn)個(gè)、應(yīng)用程序數(shù)量超過(guò)300萬(wàn)個(gè),個(gè)人信息的收集、使用更為廣泛。雖然近年來(lái)我國(guó)個(gè)人信息保護(hù)力度不斷加大,但在現(xiàn)實(shí)生活中,一些企業(yè)、機(jī)構(gòu)甚至個(gè)人,從商業(yè)利益等出發(fā),隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息,利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問(wèn)題仍十分突出。在信息化時(shí)代,個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一。社會(huì)各方面廣泛呼吁出臺(tái)專(zhuān)門(mén)的個(gè)人信息保護(hù)法,本屆以來(lái),全國(guó)人大代表共有340人次提出39件相關(guān)議案、建議,全國(guó)政協(xié)委員共提出相關(guān)提案32件。黨中央高度重視網(wǎng)絡(luò)空間法治建設(shè),對(duì)個(gè)人信息保護(hù)立法工作作出部署。習(xí)近平總書(shū)記多次強(qiáng)調(diào),要堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民,保障個(gè)人信息安全,維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益,對(duì)加強(qiáng)個(gè)人信息保護(hù)工作提出明確要求。為及時(shí)回應(yīng)廣大人民群眾的呼聲和期待,落實(shí)黨中央部署要求,制定一部個(gè)人信息保護(hù)方面的專(zhuān)門(mén),將廣大人民群眾的個(gè)人信息權(quán)益實(shí)現(xiàn)好、維護(hù)好、發(fā)展好,具有重要意義。
第一,制定個(gè)人信息保護(hù)法是進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)法制保障的客觀要求。黨的十八大以來(lái),全國(guó)人大及其常委會(huì)在制定關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定、網(wǎng)絡(luò)安全法、電子商務(wù)法、修改消費(fèi)者權(quán)益保護(hù)法等立法工作中,確立了個(gè)人信息保護(hù)的主要規(guī)則;在修改刑法中,完善了懲治侵害個(gè)人信息犯罪的法律制度;在編纂民法典中,將個(gè)人信息受法律保護(hù)作為一項(xiàng)重要民事權(quán)利作出規(guī)定。我國(guó)個(gè)人信息保護(hù)法律制度逐步建立,但仍難以適應(yīng)信息化快速發(fā)展的現(xiàn)實(shí)情況和人民日益增長(zhǎng)的美好生活需要。因此,應(yīng)當(dāng)在現(xiàn)行法律基礎(chǔ)上制定出臺(tái)專(zhuān)門(mén)法律,增強(qiáng)法律規(guī)范的系統(tǒng)性、針對(duì)性和可操作性,在個(gè)人信息保護(hù)方面形成更加完備的制度、提供更加有力的法律保障。
第二,制定個(gè)人信息保護(hù)法是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要。網(wǎng)絡(luò)空間是億萬(wàn)民眾共同的家園,必須在法治軌道上運(yùn)行。違法收集、使用個(gè)人信息等行為不僅損害人民群眾的切身利益,而且危害交易安全,擾亂市場(chǎng)競(jìng)爭(zhēng),破壞網(wǎng)絡(luò)空間秩序。因此,應(yīng)當(dāng)制定出臺(tái)專(zhuān)門(mén)法律,以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任,規(guī)范個(gè)人信息處理活動(dòng),落實(shí)企業(yè)、機(jī)構(gòu)等個(gè)人信息處理者的法律義務(wù)和責(zé)任,維護(hù)網(wǎng)絡(luò)空間良好生態(tài)。
第三,制定個(gè)人信息保護(hù)法是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措。當(dāng)前,以數(shù)據(jù)為新生產(chǎn)要素的數(shù)字經(jīng)濟(jì)蓬勃發(fā)展,數(shù)據(jù)的競(jìng)爭(zhēng)已成為國(guó)際競(jìng)爭(zhēng)的重要領(lǐng)域,而個(gè)人信息數(shù)據(jù)是大數(shù)據(jù)的核心和基礎(chǔ)。黨的十九大報(bào)告提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)、智慧社會(huì)的任務(wù)要求。按照這一要求,應(yīng)當(dāng)統(tǒng)籌個(gè)人信息保護(hù)與利用,通過(guò)立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則,在保障個(gè)人信息權(quán)益的基礎(chǔ)上,促進(jìn)信息數(shù)據(jù)依法合理有效利用,推動(dòng)數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。
二、關(guān)于起草工作和把握的幾點(diǎn)
制定個(gè)人信息保護(hù)法列入了十三屆全國(guó)人大常委會(huì)立法規(guī)劃和年度立法工作計(jì)劃。栗戰(zhàn)書(shū)委員長(zhǎng)和王晨副委員長(zhǎng)等常委會(huì)領(lǐng)導(dǎo)同志高度重視這項(xiàng)立法工作,多次作出指示批示。2018年全國(guó)人大常委會(huì)法制工作委員會(huì)會(huì)同中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室,著手研究起草個(gè)人信息保護(hù)法草案。在起草過(guò)程中,認(rèn)真梳理研究近年來(lái)全國(guó)人大代表、政協(xié)委員提出的建議,召開(kāi)座談會(huì)聽(tīng)取部分全國(guó)人大代表的意見(jiàn);委托專(zhuān)家組開(kāi)展專(zhuān)題研究,搜集整理國(guó)內(nèi)外立法資料,形成研究報(bào)告;通過(guò)多種方式深入調(diào)研,廣泛征求有關(guān)部門(mén)、企業(yè)和專(zhuān)家等各方面意見(jiàn)。在上述工作的基礎(chǔ)上,經(jīng)反復(fù)研究修改,形成了《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》。
起草工作注意把握以下幾點(diǎn):一是,堅(jiān)持立足國(guó)情與借鑒國(guó)際經(jīng)驗(yàn)相結(jié)合。從我國(guó)實(shí)際出發(fā),深入總結(jié)網(wǎng)絡(luò)安全法等法律、法規(guī)、標(biāo)準(zhǔn)的實(shí)施經(jīng)驗(yàn),將行之有效的做法和措施上升為法律規(guī)范。從上世紀(jì)70年代開(kāi)始,經(jīng)濟(jì)合作與發(fā)展組織、亞太經(jīng)濟(jì)合作組織和歐盟等先后出臺(tái)了個(gè)人信息保護(hù)相關(guān)準(zhǔn)則、指導(dǎo)原則和法規(guī),有140多個(gè)國(guó)家和地區(qū)制定了個(gè)人信息保護(hù)方面的法律。草案充分借鑒有關(guān)國(guó)際組織和國(guó)家、地區(qū)的有益做法,建立健全適應(yīng)我國(guó)個(gè)人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展需要的法律制度。二是,堅(jiān)持問(wèn)題導(dǎo)向和立法前瞻性相結(jié)合。既立足于個(gè)人信息保護(hù)領(lǐng)域存在的突出問(wèn)題和人民群眾的重大關(guān)切,建立完善可行的制度規(guī)范。同時(shí),對(duì)一些尚存爭(zhēng)議的理論問(wèn)題,在本法中留下必要空間,對(duì)新技術(shù)新應(yīng)用帶來(lái)的新問(wèn)題,在充分研究論證的基礎(chǔ)上作出必要規(guī)定,體現(xiàn)法律的包容性、前瞻性。三是,處理好與有關(guān)法律的關(guān)系。把握權(quán)益保護(hù)的立法定位,與民法典等有關(guān)法律規(guī)定相銜接,細(xì)化、充實(shí)個(gè)人信息保護(hù)制度規(guī)則。同時(shí),與網(wǎng)絡(luò)安全法和已提請(qǐng)全國(guó)人大常委會(huì)審議的數(shù)據(jù)安全法草案相銜接,對(duì)于網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法草案確立的網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)管相關(guān)制度措施,本法不再作規(guī)定。
三、關(guān)于草案的主要內(nèi)容
草案共八章七十條,主要內(nèi)容包括:
(一)明確本法適用范圍
一是,對(duì)本法相關(guān)用語(yǔ)作出界定,規(guī)定:個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息;個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)。
二是,明確在我國(guó)境內(nèi)處理個(gè)人信息的活動(dòng)適用本法的同時(shí),借鑒有關(guān)國(guó)家和地區(qū)的做法,賦予本法必要的域外適用效力,以充分保護(hù)我國(guó)境內(nèi)個(gè)人的權(quán)益,規(guī)定:以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者為分析、評(píng)估境內(nèi)自然人的行為等發(fā)生在我國(guó)境外的個(gè)人信息處理活動(dòng),也適用本法;并要求境外的個(gè)人信息處理者在境內(nèi)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或者指定代表,負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)。
(二)健全個(gè)人信息處理規(guī)則
一是,確立個(gè)人信息處理應(yīng)遵循的原則,強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?,具有明確、合理的目的,限于實(shí)現(xiàn)處理目的的最小范圍,公開(kāi)處理規(guī)則,保證信息準(zhǔn)確,采取安全保護(hù)措施等,并將上述原則貫穿于個(gè)人信息處理的全過(guò)程、各環(huán)節(jié)。
二是,確立以“告知—同意”為核心的個(gè)人信息處理一系列規(guī)則,要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意,并且個(gè)人有權(quán)撤回同意;重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個(gè)人同意;不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)??紤]到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性和個(gè)人信息處理的不同情況,草案還對(duì)基于個(gè)人同意以外合法處理個(gè)人信息的情形作了規(guī)定。
三是,根據(jù)個(gè)人信息處理的不同環(huán)節(jié)、不同個(gè)人信息種類(lèi),對(duì)個(gè)人信息的共同處理、委托處理、向第三方提供、公開(kāi)、用于自動(dòng)化決策、處理已公開(kāi)的個(gè)人信息等提出有針對(duì)性的要求。
四是,設(shè)專(zhuān)節(jié)對(duì)處理敏感個(gè)人信息作出更嚴(yán)格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個(gè)人信息,并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書(shū)面同意。
五是,設(shè)專(zhuān)節(jié)規(guī)定國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)則,在保障國(guó)家機(jī)關(guān)依法履行職責(zé)的同時(shí),要求國(guó)家機(jī)關(guān)處理個(gè)人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。
在應(yīng)對(duì)新冠肺炎疫情中,大數(shù)據(jù)應(yīng)用為聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)提供了有力支持。為此,草案將應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下保護(hù)自然人的生命健康,作為處理個(gè)人信息的合法情形之一。需要強(qiáng)調(diào)的是,在上述情形下處理個(gè)人信息,也必須嚴(yán)格遵守本法規(guī)定的處理規(guī)則,履行個(gè)人信息保護(hù)義務(wù)。
(三)完善個(gè)人信息跨境提供規(guī)則
一是,明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的處理者,確需向境外提供個(gè)人信息的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估;對(duì)于其他需要跨境提供個(gè)人信息的,規(guī)定了經(jīng)專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證等途徑。
二是,對(duì)跨境提供個(gè)人信息的“告知—同意”作出更嚴(yán)格的要求。
三是,對(duì)因國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向境外提供個(gè)人信息的,要求依法申請(qǐng)有關(guān)主管部門(mén)批準(zhǔn)。
四是,對(duì)從事?lián)p害我國(guó)公民個(gè)人信息權(quán)益等活動(dòng)的境外組織、個(gè)人,以及在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取不合理措施的國(guó)家和地區(qū),規(guī)定了可以采取的相應(yīng)措施。
(四)明確個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利和處理者義務(wù)
一是,與民法典的有關(guān)規(guī)定相銜接,明確在個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利,包括知情權(quán)、決定權(quán)、查詢(xún)權(quán)、更正權(quán)、刪除權(quán)等,并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。
二是,明確個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù),要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施,并指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督;定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì);對(duì)處理敏感個(gè)人信息、向境外提供個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng),事前進(jìn)行風(fēng)險(xiǎn)評(píng)估;履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。
(五)關(guān)于履行個(gè)人信息保護(hù)職責(zé)的部門(mén)
個(gè)人信息保護(hù)涉及各個(gè)領(lǐng)域和多個(gè)部門(mén)的職責(zé)。草案根據(jù)個(gè)人信息保護(hù)工作實(shí)際,明確國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)個(gè)人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào),發(fā)揮其統(tǒng)籌協(xié)調(diào)作用;同時(shí)規(guī)定:國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。
此外,草案還對(duì)違反本法規(guī)定行為的處罰及侵害個(gè)人信息權(quán)益的民事賠償?shù)茸髁艘?guī)定。
個(gè)人信息保護(hù)法(草案)和以上說(shuō)明是否妥當(dāng),請(qǐng)審議。