個人信息保護法草案首次亮相

10月13 日，個人信息保護法草案在全國人大常委會會議上首次亮相，從確立“告知——同意”為核心的個人信息處理一系列規則、嚴格限制處理敏感個人信息、明確國家機關對個人信息的保護義務等方面，全面加強個人信息的法律保護。

草案對本法中的個人信息作出界定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

而在今年5月通過的民法典中規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

草案明確，處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。

一些平臺利用用戶大數據推送個性化廣告，草案對此強調，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特征的選項。

根據草案，敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。個人信息處理者只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。

國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。國家機關不得公開或者向他人提供其處理的個人信息，法律、行政法規另有規定或者取得個人同意的除外。

草案還將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一，并強調，在上述情形下處理個人信息，也必須履行個人信息保護義務。（李元）