4月26日,备受关注的个人信息保护法(草案)、数据安全法(草案)在十三届全国人大常委会第二十八次会议上审议。同天,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,向社会公开征求意见。
虽然新颁布的民法典规定了涉及隐私权和个人信息权益的相关内容,但在个人隐私保护、数据安全等细则方面,还有待法律的立法明确。
《中华人民共和国个人信息保护法(草案)》明确,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
根据草案,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
与去年10月的“一审稿”相比
修改后的个人信息保护法草案针对当前个人信息过度收集使用等突出问题
●完善个人信息处理应遵循的原则;●完善、充实合法处理个人信息的情形、撤回同意、自动化决策、跨境提供个人信息等方面的规则;●增加死者个人信息保护的规定;●明确国家网信部门统筹推进个人信息保护工作的有关职责。
目前,一些网络平台提供从生活消费到金融理财等各类服务,为衣食住行带来许多便利。但是,海量用户数据集中于这些超级平台手中,也给用户信息安全带来诸多隐患。为此,个人信息保护法草案二审稿还进一步强化了超大型互联网平台的个人信息保护义务,并加强监督。
修改后的草案增加规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告,接受社会监督。
除了《中华人民共和国个人信息保护法(草案)》,此次人大会议二次审议的还有《中华人民共和国数据安全法(草案)》,该草案将对数据安全等用语的含义予以完善,完善数据分级分类和重要数据保护制度,充实数据出境安全管理规定。
未经批准擅自向境外提供数据或被罚
根据草案一审稿,网络安全法关于重要数据出境的安全评估等要求限于关键信息基础设施。有的地方、部门提出,应根据实践发展和数据安全管理工作的需要,相应扩大范围。对此,二审稿增加一条规定:关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用网络安全法的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
草案一审稿规定,境外司法和执法机构要求调取境内数据的,未经主管机关批准,不得提供。有的部门、专家建议,增加未经批准擅自提供数据的处罚规定,为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据。
草案就此增加规定:未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元(人民币,下同)以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。
4月26日,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(下称《征求意见稿》),并向社会公开征求意见。
此次《征求意见稿》共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
从目前对App的检查管理来看,今年以来,工信部已累计完成29万款App技术检测,对1862款违规App提出整改要求,公开通报319款整改不到位App,组织下架107款拒不整改的App。
随着信息技术和人类生产生活交汇融合,各类数据海量增长,对社会、经济都产生了重大而深刻的影响,数据安全已成为事关国家安全与经济社会发展的重大问题。将相关分散法律法规形成“合力”,从国家战略层面明确了数据安全的重要性,可以更好地适应大数据时代发展和国际形势变化的需要。
