10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,以下是草案全文和说明、以及征求意见通知。
关于《个人信息保护法(草案)》的说明
  一、关于制定本法的必要性
  随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。社会各方面广泛呼吁出台专门的个人信息保护法,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。党中央高度重视网络空间法治建设,对个人信息保护立法工作作出部署。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。
  第一,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求。党的十八大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
  第二,制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。因此,应当制定出台专门法律,以严密的制度、严格的标准、严厉的责任,规范个人信息处理活动,落实企业、机构等个人信息处理者的法律义务和责任,维护网络空间良好生态。
  第三,制定个人信息保护法是促进数字经济健康发展的重要举措。当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。
二、关于起草工作和把握的几点
  制定个人信息保护法列入了十三届全国人大常委会立法规划和年度立法工作计划。栗战书委员长和王晨副委员长等常委会领导同志高度重视这项立法工作,多次作出指示批示。2018年全国人大常委会法制工作委员会会同中央网络安全和信息化委员会办公室,着手研究起草个人信息保护法草案。在起草过程中,认真梳理研究近年来全国人大代表、政协委员提出的建议,召开座谈会听取部分全国人大代表的意见;委托专家组开展专题研究,搜集整理国内外立法资料,形成研究报告;通过多种方式深入调研,广泛征求有关部门、企业和专家等各方面意见。在上述工作的基础上,经反复研究修改,形成了《中华人民共和国个人信息保护法(草案)》。
  起草工作注意把握以下几点:一是,坚持立足国情与借鉴国际经验相结合。从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,将行之有效的做法和措施上升为法律规范。从上世纪70年代开始,经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规,有140多个国家和地区制定了个人信息保护方面的法律。草案充分借鉴有关国际组织和国家、地区的有益做法,建立健全适应我国个人信息保护和数字经济发展需要的法律制度。二是,坚持问题导向和立法前瞻性相结合。既立足于个人信息保护领域存在的突出问题和人民群众的重大关切,建立完善可行的制度规范。同时,对一些尚存争议的理论问题,在本法中留下必要空间,对新技术新应用带来的新问题,在充分研究论证的基础上作出必要规定,体现法律的包容性、前瞻性。三是,处理好与有关法律的关系。把握权益保护的立法定位,与民法典等有关法律规定相衔接,细化、充实个人信息保护制度规则。同时,与网络安全法和已提请全国人大常委会审议的数据安全法草案相衔接,对于网络安全法、数据安全法草案确立的网络和数据安全监管相关制度措施,本法不再作规定。
 三、关于草案的主要内容
  草案共八章七十条,主要内容包括:
  (一)明确本法适用范围
  一是,对本法相关用语作出界定,规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。(草案第四条)
  二是,明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。(草案第三条、第五十二条)
 (二)健全个人信息处理规则
  一是,确立个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(草案第五条至第九条)
  二是,确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。(草案第十三条至第十九条)
  三是,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(草案第二十一条至第二十八条)
  四是,设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。(草案第二十九条至第三十二条)
  五是,设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(草案第三十三条至第三十七条)
  在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。
 (三)完善个人信息跨境提供规则
  一是,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。(草案第三十八条、第四十条)
  二是,对跨境提供个人信息的“告知—同意”作出更严格的要求。(草案第三十九条)
  三是,对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。(草案第四十一条)
  四是,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。(草案第四十二条、第四十三条)
(四)明确个人信息处理活动中个人的权利和处理者义务
  一是,与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(草案第四十四条至第四十九条)
  二是,明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。(草案第五十条、第五十一条、第五十三条至第五十五条)
 (五)关于履行个人信息保护职责的部门
  个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。(草案第五十六条)
  此外,草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
个人信息保护法(草案)征求意见
第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议。现将《中华人民共和国个人信息保护法(草案)》在中国人大网公布,社会公众可以直接登录中国人大网(www.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明个人信息保护法草案征求意见)。征求意见截止日期:2020年11月19日。
(来源:数据法律观察)
往期回顾
【直播回顾】监管律所支招,助力APP安心上架!
GDPR下的“consent” PK 中国法下的“同意”
开放银行与个人金融信息安全(一)「实务经验介绍暨往期沙龙回顾」
开放银行与个人金融信息安全(二)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(三)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(四)「实务经验暨往期沙龙」
开放银行与个人金融信息安全(五)「实务经验暨往期沙龙」
“人脸识别第一案”开庭,对强制刷脸能否说不?
网络爬虫与大数据安全「往期沙龙回顾」
侵害公民个人信息刑事风险的识别与控制「往期沙龙回顾」
我们刚做的这个等保2.0,得分接近90
本栏目由大成律师事务所陈立彤、赵云虎、刘骥、赵中星、张建民、马朗、朱海斌律师等组成的网络安全与数据治理团队主持。
陈立彤律师
陈立彤律师为中国律师、美国纽约州律师、福特公司前亚太区合规总监;香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”,钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务,是“数据120”首席数据合规顾问,该平台运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一包括《信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(征求意见稿)以及《信息安全技术 移动智能终端个人信息保护技术要求》等。
赵云虎律师
赵云虎律师执业于北京大成(上海)律师事务所,上海交通大学金融学士、工学硕士,华东政法大学法律硕士,拥有律师执业资格、基金从业人员资格、专利代理人资格以及高级程序员资格,曾任职于华为、中兴、先进半导体等企业。赵律师的执业领域主要为公司法、争议解决、以及科技法,包括高新技术企业投资、知识产权等高新科技领域的法律业务,能够将数理逻辑和法律相结合为客户提供更专业、差异化的法律服务。赵律师曾经或正在服务的客户主要来自于高科技行业及金融类机构。
刘骥律师
刘骥律师是耶鲁创新学者、广东省律协涉外领军人才、广东省律协信息网络与高新技术法律专业委员会委员,大成律师事务所中国区科技、传媒、通讯行业领导人、大成律师事务所知识产权专业委员会理事。刘骥律师对高科技产业的趋势和方向具有极高的敏锐度,为创业技术与新兴成长企业提供融资、股权激励、投资并购、合规等创造性的解决方案和灵活的策略,帮助企业迅速应对,推动事业发展。
赵中星律师
赵中星律师的执业领域为网络安全和数据合规、外商直接投资、境外投资和公司事务。赵中星律师专注于为科技、媒体和电信行业客户的日常运营、投融资、行业监管和数据合规等方面提供法律解决方案。赵中星律师曾为全球知名电商企业、数据分析公司、网络营销公司、互联网和手机安全产品公司、互联网金融公司、区块链、共享单车平台等商业模式所涉及的诸多与数据相关的前沿法律和监管问题提供咨询和建议。赵中星律师也是汤森路透Practical Law数据库的特约作者之一,曾就网络安全和数据合规、外商投资、境投融资、互联网行业监管多个专题撰写律师实务指引文章。
张建民律师
张建民律师为狗熊会联合创始人,数据合规研究中心主任。主要从事私募股权、证券投资基金,投融资并购以及衍生的争议解决业务,张律师是数据资产调查(数据FTA)法律服务产品的首创者,对数据合规、隐私保护、数据治理有着长期、深入的研究。
马朗律师
马朗律师执业以来,共办理各类刑事案件200多件,尤其在职务犯罪、金融犯罪和知识产权犯罪领域有丰富的办案经验。基于丰富的刑事诉讼经验,马律师在企业合规领域所遇刑事法律风险的识别与控制,亦有独到且专业的法律见解与方案。马律师兼任中国案例法学研究会理事、上海市刑法学研究会理事、华东政法大学司法改革与判例研究中心副主任、上海市律师协会刑事法律业务研究会委员、大成律师事务所企业合规与刑事法律风险防范研究中心执行主任等职。
朱海斌律师
朱海斌律师专注于金融证券、贪污贿赂、合同诈骗、涉税、非法集资、挪用侵占等各类型白领犯罪及金融领域犯罪案件的研究与办理。曾办理多起具有重大社会影响力的刑事犯罪案件,曾荣获大成首届“十佳刑辩律师”。曾在上海市公安局普陀分局、经济犯罪侦查总队办理经济犯罪案件十余年,侦办过百余起重特大经济金融犯罪案件。具有丰富的办案实战经验,获得上海市公安局、中国证监会授予的多项荣誉。
我们的服务范围包括:

政府调查与刑事辩护:
-行政监管调查应对
-刑事调查应对
-刑事辩护
-政府调查应对
监管分析
结合行业监管要求,对于数据驱动或涉及数据的业务模式或活动进行监管分析,包括:
-自动驾驶;
-大数据分析和应用;
-电商平台(包括跨境电商业务);
-智能硬件;
-网络营销;
-线上销售保险产品;
-政务数据的合作和使用。
网络安全等级保护制度
将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下:
-定级:确定系统等级
-备案:向公安机关备案
-安全建设整改:安全技术建设整改、安全管理建设整改
-等级保护测评(需要具有网络安全等级保护测评资质的机构进行,并且不能是安全建设整改供应商);
-安全自评。
数据自由应用尽职调查(FTA调查)
指对数据控制者/数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA调查适用于以下情景:
-以数据资产为标的的交易;
-包含数据资产的投资并购项目;
-以数据为纽带的企业间合作项目;
-基于数据衍生的数据类创业项目;
-数据企业的自我合规诊断与提升。
差距分析
对现时的数据收集和使用活动进行梳理,生成数据地图,并根据相关法律法规和内部数据治理制度的要求,评估违法违规的数据处理活动,并提出建议,协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。
数据影响评估
-个人隐私影响评估:为涉及个人信息收集和使用的业务开展个人隐私影响评估,出具评估报告,提示风险和建议
-供应商(上游)评估
-供应商(下游)评估
-第三方数据接收方评估
-第三方数据提供方评估。
数据合规体系建设
为客户建立全面的网络安全和数据治理合规体系制度,包括:
-《网络安全和数据保护政策》(纲领)
-《个人信息管理规范》
-《数据分类分级和权限管理规范》
-《实现数据主体权利管理规范》
-《向第三方输出数据管理规范》
-《从第三方接收数据管理规范》
-《数据安全事件管理制度》
区块链
-区块链赋能场景合规评估
-区块链监管与合规咨询
-区块链境外监管、合规及商用项目咨询
                                        扫描二维码 关注我们
继续阅读
阅读原文