个人信息保护法草案本月将正式亮相

一直备受关注的个人信息保护法草案即将揭开神秘面纱于本月正式亮相。

消息显示，十三届全国人大常委会第七十二次委员长会议决定于10月13日至17日在京举行十三届全国人大常委会第二十二次会议。根据委员长会议建议，本次常委会将审议全国人大常委会委员长会议关于提请审议个人信息保护法草案的议案。

[[344883]]

就在不久前，一则“清华大学教授拒绝人脸识别门禁”的消息引发了热议。此前，江苏常州部分社区强制居民“刷脸进社区”也曾引发争议。近年来，随着大数据、人工智能等新技术的发展，个人信息的收集、应用更加广泛，加强个人信息保护的任务也更加艰巨。个人信息泄露事件频现，引发了广泛的公众关注。尤其是新冠疫情期间，个人信息泄露问题不时见诸媒体，包括人脸识别在内的人体生物信息采集技术的愈发广泛的应用，更是引发了个人信息保护的担忧。

在技术不断发展的今天，如何处理好个人信息利用和保护已经成为突出问题。

从2018年开始抓紧开展研究起草工作

个人信息保护事关广大人民群众的切身利益，事关国家信息安全，事关数字经济发展。一直以来，个人信息安全问题是社会各界关注的焦点，有关个人信息保护的立法呼声也很高。

近年来，按照党中央的决策部署，全国人大及其常委会在制定、修改网络安全法、刑法、电子商务法等法律中，对个人信息权益、个人信息处理规则、个人信息安全保护措施等都作出了相关的规定，不断完善个人信息保护相关法律制度，但是都不是集中的全面的规定，针对个人信息保护的专门性立法迟迟未出台。

据了解，按照全国人大常委会立法规划和立法工作计划安排，从2018年开始，法工委就会同中央网络安全和信息化委员会办公室在认真总结网络安全法等法律实施经验、深入研究个人信息利用和保护中的突出问题、借鉴有关国家和地区法律制度的基础上，抓紧开展个人信息保护法的研究起草工作。

民法典为专门立法提供基本依据

值得一提的是，今年5月，十三届全国人民代表大会第三次会议审议通过了我国首部民法典。民法典将于2021年1月1日施行。此次民法典的最大亮点之一就是人格权编单独成编，对个人信息受法律保护的权利内容及其行使等作了原则规定。

“应当说，民法典为个人信息保护法的制定提供了基本依据。” 谈及民法典与个人信息保护法之间的关系，清华大学法学院教授程啸指出，民法典作为市民社会和市场经济的基本法，其对个人信息保护的规定侧重于确立大的原则方向、规定最重大、最基本的问题，如个人信息的界定、私密信息保护的法律适用、个人信息权益的内容以及个人信息的合理使用制度等。而个人信息保护法在很大程度上就个人信息和隐私权保护领域中与民法典相关联、相配套的法律。

“个人信息保护法本身并非单纯的民事特别法，而是一部运用民事、行政、刑事等综合性手段对于个人信息加以保护，对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。”程啸说。

出台个人信息保护法必要且重要

在当前网络信息科技高速发展，尤其是世界各国都非常重视对于个人信息和数据保护的大背景下，对于个人信息保护进行专门的立法即制定个人信息保护法十分必要且重要。

“可以说，个人信息保护法是个人信息保护领域中最为全面最为集中的法律规范，有了这样一部法律，我国就真正形成了以民法典、个人信息保护法为核心的，相关领域特别法为辅助的科学合理的个人信息保护法律规范体系。”程啸说。

他同时强调指出，制定个人信息保护法的基本出发点就是落实宪法的规定，实现党的十九大提出的保护人民人身权、财产权和人格权的要求，充分保障自然人的人格尊严和自由，同时也能够更好地适应互联网和大数据时代发展的需要，推进国家治理体系和治理能力的现代化。特别是在当前复杂的国际斗争形势下，制定一部我国的个人信息保护立法也有利于全面提升我国的信息安全，更好地保护我国公民、法人和非法人组织的合法权益。

五大立法内容值得重点关注

那么，此次个人信息保护法中都有哪些内容需要重点关注呢?程啸认为，五方面内容值得期待：

首先，如何通过确立科学合理的个人信息处理规则来协调自然人的个人信息权益保护与信息自由流动、合理使用之间的关系。其中，告知和同意规则是个人信息处理的基本规则。一方面对于敏感的个人信息必须确立严格的告知和同意规则，即非经告知并取得同意不得处理，除非法律、行政法规基于公共利益或者维护信息主体自身合法权益而作出特别的规定。另一方面，非敏感的个人信息、公开的个人信息等在必须且合理的前提下还是应当尽量允许使用，同时要符合比例原则的要求。

其次，对于个人信息权益的内容和行使要进行更具体的规范。目前对于是否需要规定被遗忘权、个人数据可携带权等仍然存在很大的争论。此外，对于自然人就其个人信息的查询权、复制权、更正权、删除权等如何行使，也需要作出更具体、更明确的规定。

再次，对于国家机关和承担行政职能的法定机构处理个人信息的专门规定。政府部门处理个人信息不同于私人企业，它们是因为要履行法定的职责，是为了公共利益，具有强制性。也就是说，对于国家机关而言必须处理相应的个人信息，对于自然人而言，则必须提供相应的个人信息。同时，国家机关因为没有履行个人信息安全保护义务等违法行为而产生的赔偿责任，属于国家赔偿责任。

第四，对于个人信息的跨境转移加以科学规范。这涉及到国家安全、公共安全以及公共利益的保护的问题，因此要详细规范个人信息的境内存储和安全评估以及何种情形下可以进行跨境转移。

第五，个人信息安全问题，即如何通过综合的措施(自律和他律)来保护个人信息的安全，防止出现个人信息泄露、非法买卖、非法利用等，以及个人信息被泄露或被非法利用后的民事责任、行政责任以及刑事责任等。具体而言，在侵害个人信息的民事责任中需要明确归责原则究竟是过错责任、过错推定责任还是无过错责任，同时，明确赔偿的范围和计算方法等。

此外，由于目前我国个人信息保护领域存在“九龙治水”的局面，相关部门对于各自领域的个人信息都负有保护和管理职责，如网络、金融、医疗卫生、教育、工信、消费者保护、不动产登记等都涉及到对相应的个人信息进行管理和保护的职责，是否有必要设立一个独立的个人信息保护机构来专门负责个人信息的保护与执法工作，对于个人信息保护机构作出专门的规定，也是值得关注的问题。