十三届全国人大常委会第三十次会议日前对个人信息保护法草案三审稿进行了分组审议。全国人大常委会组成人员普遍认为,草案三审稿充分吸纳了各方意见建议,在完善个人信息处理规则、加强未成年人个人信息保护等方面作出调整完善,增强了系统性、针对性和可操作性,总体已经比较成熟,赞成本次会议表决通过。
加大对过度收集个人信息的约束力度
分组审议中,应用程序过度收集个人信息问题是一大焦点。
草案三审稿规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
彭勃委员表示,“必需”怎么认定、由谁来确定的问题十分关键。“要实现对个人信息的保护,最主要的就是要对运营商、信息处理者进行严格、科学的约束与规范。法律不能留下过多自由发挥的余地,建议对此进一步补充和完善。”
张少琴委员建议增加约束条款:任何应用软件,即使用户授权同意对手机存储器进行数据操作,也不得违规读取、复制、修改、传播、删除手机存储器中社交软件内的任何个人信息。
稳妥处理敏感个人信息
敏感个人信息与人格尊严、人身财产安全直接相关,草案三审稿设专章对这类信息的处理规则予以详细规定。敏感个人信息究竟应该怎么处理?与会人员展开热议。
草案三审稿明确,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
卫小春委员说,包括征信信息在内的信用评价信息,客观记录了信息主体当事人的信用活动,一旦泄露或被非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产受到危害,建议将此纳入敏感个人信息的范畴。
针对人脸识别技术等群众关切,草案三审稿规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。
李巍委员表示,人脸信息属于敏感个人信息中社交属性最强、容易采集的个人信息。一些场所以维护公共安全为由滥设人脸识别等生物识别装置,对此建议在“维护公共安全”后增加“履行法定义务所必需”的表述,防止技术被滥用。
做好与相关法律的衔接
一些与会人员还建议,进一步完善草案有关规定,做好与民法典、数据安全法等相关法律法规的衔接。
李钺锋委员说,草案三审稿规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;但民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。这种差别将在一定程度上影响法律的贯彻落实和可操作性,建议加强法律衔接。
刘海星委员建议,草案三审稿中个人信息处理者的安全保护义务与数据安全管理制度加强衔接。