2021年8月17日,全国人大常委会会议第三次审议《个人信息保护法》草案,这也预示着这个中国首部规范个人信息处理的法律距离出台施行更近了一步,《个人信息保护法》首次从法律层面对个人信息的处理做出了明确要求。
全国人大常委会法工委副主任刘俊臣之前接受媒体采访时表示,制定《个人信息保护法》是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
尤其是随着5G互联、车联网、物联网等应用的日益深入,像特斯拉、滴滴、“大数据杀熟”等涉及老百姓日常生活的各种应用都被爆出了疑似未经个人用户允许的个人信息泄露或者滥用的问题,个人信息的问题不仅仅是个人用户的问题,有些还涉及到国家安全的问题,尽快从法律层面规范个人信息处理刻不容缓。
《个人信息保护法》的制定,将推进个人信息的专门化、系统化保护,分领域制定规章制度,在金融、通信、电子商务、教育、医疗卫生、传媒等重点领域制定个人信息保护行政法规、部门规章,形成既反映实际需要又整体统一的法律保护体系。
《个人信息保护法》从六大方面为个人信息的处理划出了红线。
一 适用范围
在中国境内处理个人信息的活动
符合条件的在中国境外处理境内自然人个人信息的活动
二 个人信息处理者
自主决定处理目的、处理方式等个人信息处理事项的组织、个人
“特殊”的处理者:共同处理,委托和受托处理,第三方等
三 个人信息处理的合法基础
取得个人的同意
合同订立或履行、法定职责或义务履行、应对突发或紧急情况、为公共利益实施新闻报道、舆论监督等行为,法律、行政法规规定的其他情形
四 个人信息处理者的合规义务
组织人员、制度流程、技术防护等
受理和处理个人行使权利的申请
事前风险评估和事后定期审计
五 个人信息跨境提供
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内
事前风险评估和单独同意
六 法律责任
责令整改,没收违法所得,针对组织和人员的罚款,记入信用档案,赔偿损失等
罚款上限五千万元以下或上一年度营业额百分之五以下
作为国内首部对个人信息处理做出具体要求的法律,其中就明确要求个人信息处理者对个人信息采取“加密”等措施保障其安全,可以说国产商用密码是保障个人信息安全的重要抓手。
