10月21日，中国人大网公开《中华人民共和国个人信息保护法(草案)》(下称“草案”)并面向社会征求意见，截止时间为11月19日。

　　草案共八章七十条内容，包括“个人信息处理一般规定”、“敏感个人信息的处理规则”、“个人信息跨境提供的规则”等专门章节。

　　中国社会科学院法学研究所研究员周汉华认为，草案的一大亮点在于，相比过去零碎的、片段式的立法，草案对个人信息的整个生命周期进行了一个全流程的系统设计，解决了过去几部立法都没有解决的问题。

　　从个人信息生命周期角度进行系统设计

　　近年来，随着网络化、数字化技术的发展，人们在享受科技技术带来的便利服务的同时，也遇到许多新的问题。其中，因个人信息保护不周带来的电信诈骗、垃圾短信、大数据杀熟等问题切实损害了民众的利益。2016年，山东准大学生徐玉玉因个人信息泄露，被电信诈骗骗走学费9900元，郁结于心，最终导致心脏骤停不幸离世。

　　个人信息保护问题越来越被大众关注，社会各方面也一直呼吁出台专门的个人信息保护法。据人大法工委介绍，本届以来，全国人大代表共有340人次提出39件相关议案、建议，全国政协委员共提出相关提案32件。

　　针对个人信息保护问题，虽然一直没有专门立法，但在刑法、消费者权益保护法、网络安全法、民法典中都有相关规定。

　　“但(它们)都不是集中的全面的规定。”清华大学法学院教授、副院长程啸强调，个人信息保护法是个人信息保护领域中最为全面最为集中的法律规范，有了这样一部法律，我国就真正形成了以民法典、个人信息保护法为核心的，相关领域特别法为辅助的科学合理的个人信息保护法律规范体系。

　　“个人信息保护法不仅将(其他法律中)零散的条款，特别是它们背后的思想整合起来，更会规管这些条款尚未涉及的地方。”中国法学会民法典编纂领导小组侵权责任编召集人、中国人民大学法学院教授张新宝表示，它还积极回应了信息技术，特别是互联网应用对社会生活的影响，在强化对公民个人信息特别是私密信息保护的同时，为信息产业界划定合法合规创新发展经营的边界。

　　针对草案的亮点，中国社会科学院法学研究所研究员周汉华认为可归纳为一个“内”和一个“外”。“内”是指草案以个人权利为核心理念，体现在草案的整个制度构造中，把知情同意原则作为一条主线。

　　“过去好几部法律都规定了个人信息保护的内容，但是一直没有点出个人信息权这么一个概念。”他表示，这一次在立法说明当中，明确提出个人权利这个概念，意味着个人在现代社会是可以控制自己的信息的，这是国际社会的普遍经验，也就是草案内核的亮点。

　　“外”则是指和过去零碎的、片段式的立法相比，草案对个人信息的整个生命周期进行了一个全流程的系统设计。“从采集到使用，到安全保护、跨境提供，再到敏感个人信息的处理、管理部门的确定和法律责任……这是过去的几部立法都没有解决的问题。”周汉华说。

　　草案回应人脸识别等社会热点问题

　　自动化决策，指的是技术系统在没有人工干预的情况下自动作出决策。互联网平台基于用户画像进行的“千人千面”“猜你喜欢”的个性化推送，就是一种典型的自动化决策。

　　草案第二十五条规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

　　全国人大常委会委员吕薇对这条规定印象很深。她认为，自主化决策有利有弊。一方面，个性化信息流可以帮助消费者快速从海量商品信息中找到所用、所需的商品和信息;另一方面，也存在差别化定价、大数据杀熟等现象。

　　因此她提出，第二十五条的关键，是在推送方式上，不能是强制性的推送，应该允许消费者选择是否接受推送，并为消费者提供关闭选项。

　　草案还针对人脸识别这一社会热点问题做出了回应。第二十七条明确，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

　　记者注意到，一些商场门店已经开始使用人脸识别设备进行客流分析;疫情期间，多地小区也开始使用人脸识别设备进行防控。但上述场景能否上升到公共安全的高度，各方看法不一。

　　对于这条规定，吕薇认为，应该进一步明确“谁可以安装图像采集和个人身份识别设备，需要什么样的批准程序，由谁来批准”等问题。同时，要注意防范过度收集，保障被收集的信息不被用于公共安全以外的用途。

　　去年10月，因为不愿意被强制刷脸，浙江某大学特聘副教授郭兵将杭州野生动物世界告上法庭。案件引发广泛关注，被业内人士称为“国内人脸识别第一案”。

　　周汉华以此案为例指出，杭州野生动物世界显然不是为了公共安全考虑，而是为了提高效率，就不具备强制使用人脸识别的必要性。他认为，草案会对法院裁判该案起到很强的指导性作用。

　　不过，实际效果如何“还是要取决于法规的执行和实施”。他说，公共安全和公共利益一样，是一个伸缩性很强的概念，小区和商场可能都认为自己跟公共安全有关。“怎样使得公共安全真正落实而不流于形式，就需要社会各界的共同对话。”

　　处罚对大型公司和机构具有震慑力

　　据中国互联网络信息中心于9月份发布的第46次《中国互联网络发展状况统计报告》显示，截至2020年6月，我国网民规模为9.40亿，网站数量为468万个，App数量有359万个。毫无疑问，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。

　　然而，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。

　　对此，草案第六十二条规定，违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款。

　　记者梳理发现，《反垄断法》是我国第一部采用上年度营业额百分比作为处罚基准的法律，《个人信息保护法》可能成为第二部。上一年度营业额5%的罚款对于大型公司和机构来说，无疑极具震慑力。

　　在周汉华看来，这条规定将是未来审议中的焦点问题。他指出，5000万和上一年度营业额5%大大提高了现有的罚款额度。“会不会有市场主体认为太高?还是说力度还不够?实施当中是不是能够落得了地?我想会是一个大家广泛关注的问题。”

　　国家机关如何处理个人信息?草案第二章第三节设立专节——“国家机关处理个人信息的特别规定”。

　　第三十五条规定，国家机关为履行法定职责处理个人信息，应该依照本法规定向个人告知并取得同意。第三十六规定，国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

　　周汉华认为，草案中的这一章节也是亮点之一。他表示，该规定体现了对国家机关和市场主体同等对待的原则，是规则平等的一个表现，有重要意义。尤其是现在国家机关泄露或者滥用个人信息的情况的确存在，所以规定也具有现实意义。　　　　　　

据中国长安网

　　●委员声音

用更加完善的法律捍卫个人信息安全

□ 皮剑龙

　　个人信息保护法草案近日提请十三届全国人大常委会初次审议。笔者注意到，草案确立了个人信息处理应遵循的原则，强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。同时，草案还确立了以“告知―同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。相关的原则和规则为个人信息保护法和其他相关的法律法规提供了主要的规制思路和依据。

　　笔者认为，结合实际，在接下来的法律制定中，还需注意三个方面。

　　建立第三方或信息处理机构内部的通知制度和预先审查制度。在个人信息保护的过程中，如果有独立的第三方权威机构，对信息获取利用者的利用目的、手段、范围、相关格式条款和免责协议等作出预先审查，这无疑会有利于对权利主体的个人信息更有效地保护。具体来讲，预先通知制度，是个人信息本人之外的其他主体，在实施涉及个人信息的行为之前，应当首先向行政监管机构履行预先报告义务，申明所处理信息的相关事项。预先审查制度，是指行政监管部门对收到的预先通知内容进行审查和批准，决定是否许可信息处理者的信息行为。

　　确定统一的行政监管机构。统一的行政监管机构事权一致、权责清晰,不但可以加强各机构之间的交流联系，整合执法资源，也能摆脱监管真空和效率低下的缺陷;同时，统一的行政监管机构在有效保障信息主体权益基础上，无论是尚未发生的个人信息安全潜在风险还是已经发生的对个人信息的非法侵害，都能够借助行政监管分流处理，大大减轻法院的工作负担。

　　规定个人信息保护的救济方式。当个人信息遭受侵害时，被侵权人可以向个人信息监管部门投诉，监管部门根据申诉事项，依法律职权调查侵害行为，确定纠纷解决的具体方式。同时被侵权人也可选择司法救济、行政诉讼、行政复议的救济途径，充分尊重主体的自主选择。