10月21日，中國人大網發布《中華人民共和國個人信息保護法（草案）》征求意見（以下簡稱征求意見稿）。

征求意見稿中指出，處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理。

數字顯示，截至2020年3月，我國互聯網用戶已達9億，互聯網網站超過400萬個，應用程序數量超過300萬個。強化個人信息保護變得尤為緊迫。

針對近年來出現的一些軟件強制收集個人信息的行為，征求意見稿中強調，個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務。

個人不同意處理其信息 不能拒絕為其提供產品或服務

近年來，社會各界呼吁出臺個人信息保護法的呼聲高漲，但是，隨著互聯網等信息技術的發展，個人信息的范圍是什么，如何保護好個人信息等成為了爭論的焦點。

征求意見稿中指出，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

同時，征求意見稿中指出，處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理。

此外，基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。

不得不提的是，征求意見稿進一步明確，個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。

個人信息也不得隨意轉手。征求意見稿中強調，個人信息處理者向第三方提供其處理的個人信息的,應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。

個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。

個人行蹤、個人生物特征等屬于敏感個人信息

除了個人信息外，征求意見稿中進一步對敏感個人信息的范圍和處理加強了規范。

征求意見稿指出，個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。

敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。

同時，基于個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。

征求意見稿第十八條規定，個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項:個人信息處理者的身份和聯系方式；個人信息的處理目的、處理方式,處理的個人信息種類、保存期限；個人行使本法規定權利的方式和程序；法律、行政法規規定應當告知的其他事項。

處理敏感個人信息時，在此基礎上提出了更為嚴格的要求，個人信息處理者處理敏感個人信息的,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。

違法處理個人信息或將面臨五千萬元以下罰款

征求意見稿中指出，違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告；拒不改正的,并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

同時，征求意見稿明確，因個人信息處理活動侵害個人信息權益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。

此外，個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。

責任編輯：韓希宇