8月17日，個(ge) 人信息保護法草案三審稿提請十三屆全國人大常委會(hui) 第三十次會(hui) 議審議。草案進一步完善了個(ge) 人信息處理規則，特別是對應用程序過度收集個(ge) 人信息、“大數據殺熟”等作出了針對性規定，為(wei) 個(ge) 人信息處理活動劃出紅線。對此，眾(zhong) 多業(ye) 內(nei) 專(zhuan) 家均表示，個(ge) 人信息保護法草案能夠進一步維護廣大人民群眾(zhong) 的網絡空間合法權益，促進個(ge) 人信息合理利用。

　　“決(jue) 策”不能任性而動

　　“當前，社會(hui) 各方麵對於(yu) 用戶畫像、算法推薦等新技術新應用高度關(guan) 注，對相關(guan) 產(chan) 品和服務中存在的信息騷擾、‘大數據殺熟’等問題反映強烈。”全國人大常委會(hui) 法工委發言人臧鐵偉(wei) 在日前舉(ju) 行的記者會(hui) 上表示，個(ge) 人信息保護法草案立足於(yu) 維護廣大人民群眾(zhong) 的網絡空間合法權益，對利用個(ge) 人信息進行自動化決(jue) 策作出有針對性規範。

　　據介紹，公眾(zhong) 熟知的用戶畫像、算法推薦等均屬於(yu) 自動化決(jue) 策行為(wei) 。自動化決(jue) 策能夠通過程序自動分析使用者的行為(wei) 習(xi) 慣、興(xing) 趣愛好、信用狀況等，再進行決(jue) 策活動。一旦自動化決(jue) 策被違規使用，就可能會(hui) 對個(ge) 人在交易價(jia) 格等交易條件上產(chan) 生不合理的差別待遇。因此，個(ge) 人信息保護法草案對利用個(ge) 人信息進行自動化決(jue) 策作出了專(zhuan) 門規範。

　　此次草案明確，自動化決(jue) 策應當遵守個(ge) 人信息處理的一般規則，包括應遵循合法、正當、必要和誠信原則，目的明確和最小化處理原則等。自動化決(jue) 策應當在充分告知個(ge) 人信息處理相關(guan) 事項的前提下取得個(ge) 人同意，不得以個(ge) 人不同意為(wei) 由拒絕提供產(chan) 品或者服務。

　　在上述規則下，法律草案提出，個(ge) 人信息處理者要保證自動化決(jue) 策的透明度和結果的公平、公正，不得通過自動化決(jue) 策對個(ge) 人在交易價(jia) 格等交易條件上實行不合理的差別待遇，並在事前進行個(ge) 人信息保護影響評估。對於(yu) 違法處理個(ge) 人信息的應用程序，履行個(ge) 人信息保護職責的部門將責令暫停或者終止提供服務。

　　個(ge) 人有權拒絕自動化決(jue) 策

　　法律草案不僅(jin) 明確了企業(ye) 、平台等個(ge) 人信息處理者的行為(wei) 邊界，而且賦予個(ge) 人更加充分的權利保障。草案要求個(ge) 人信息處理者通過自動化決(jue) 策方式向個(ge) 人進行信息推送、商業(ye) 營銷時，應當同時提供不針對其個(ge) 人特征的選項，或者向個(ge) 人提供拒絕的方式;作出對個(ge) 人權益有重大影響的決(jue) 定，個(ge) 人有權要求予以說明，並有權拒絕僅(jin) 通過自動化決(jue) 策的方式作出決(jue) 定。

　　針對敏感個(ge) 人信息，草案也作出明確規定。敏感個(ge) 人信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴(yan) 受到侵害或者人身、財產(chan) 安全受到危害。這類個(ge) 人信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(ge) 人信息。

　　隻有在具有特定的目的和充分的必要性，並采取嚴(yan) 格保護措施的情形下，個(ge) 人信息處理者方可處理敏感個(ge) 人信息。處理敏感個(ge) 人信息應當取得個(ge) 人的單獨同意，法律、行政法規規定處理敏感個(ge) 人信息應當取得書(shu) 麵同意的，從(cong) 其規定。

　　製定個(ge) 人信息保護平台規則

　　上海段和段律師事務所律師劉春泉建議，軟件、硬件設計、網絡平台服務應當符合法律法規關(guan) 於(yu) 保護個(ge) 人隱私與(yu) 個(ge) 人信息的要求。“為(wei) 了體(ti) 現設計保護個(ge) 人信息的具體(ti) 製度建設，軟件和硬件必須從(cong) 設計開始就注重保護個(ge) 人信息。”

　　草案還增加規定，大型互聯網企業(ye) 應當遵循公開、公平、公正的原則，製定有關(guan) 個(ge) 人信息保護的平台規則;國家網信部門針對小型個(ge) 人信息處理者製定相關(guan) 規則。

　　北京師範大學網絡法治國際中心執行主任吳沈括表示，此次立法關(guan) 注大型互聯網企業(ye) 的個(ge) 人信息保護相關(guan) 平台治理體(ti) 係的製度型建設，切中數字生態治理要點，從(cong) 內(nei) 外兩(liang) 個(ge) 方麵要求提升平台保護水平，一方麵為(wei) 平台合規風控指明了努力的方向，另一方麵為(wei) 個(ge) 人信息主體(ti) 合法權益的有效保護提供了紮實的製度依據，這種內(nei) 外多方主體(ti) 共治的思路格局在全世界個(ge) 人信息保護立法浪潮中獨樹一幟。

　　據了解，部分常委委員和社會(hui) 公眾(zhong) 、部門、專(zhuan) 家提出，為(wei) 方便個(ge) 人獲取並轉移其個(ge) 人信息，建議借鑒有關(guan) 國家和地區的立法，增加個(ge) 人信息可攜帶權的規定。

　　全國人大憲法和法律委員會(hui) 經研究，建議增加規定：“個(ge) 人請求將其個(ge) 人信息轉移至其指定的個(ge) 人信息處理者，符合國家網信部門規定條件的，個(ge) 人信息處理者應當提供轉移的途徑。”

　　同時，為(wei) 完善個(ge) 人信息保護投訴、舉(ju) 報機製，並在案件查處方麵加強協同配合，草案增加規定，國家網信部門統籌協調有關(guan) 部門完善個(ge) 人信息保護投訴、舉(ju) 報工作機製。履行個(ge) 人信息保護職責的部門發現違法處理個(ge) 人信息涉嫌犯罪的，應當及時移送公安機關(guan) 依法處理;對有關(guan) 責任人員可以決(jue) 定禁止其在一定期限內(nei) 擔任相關(guan) 企業(ye) 的董事、監事、高級管理人員和個(ge) 人信息保護負責人等職務。

　　此外，侵害個(ge) 人信息權益造成損害，怎麽(me) 賠?按照草案建議，個(ge) 人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償(chang) 等侵權責任。損害賠償(chang) 責任按照個(ge) 人因此受到的損失或者個(ge) 人信息處理者因此獲得的利益確定;個(ge) 人因此受到的損失和個(ge) 人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償(chang) 數額。如果個(ge) 人信息處理者違反規定處理個(ge) 人信息，侵害眾(zhong) 多個(ge) 人的權益，人民檢察院、由國家網信部門確定的組織可以依法向人民法院提起訴訟。

　　據介紹，草案三審稿還將不滿十四周歲未成年人的個(ge) 人信息作為(wei) 敏感個(ge) 人信息，並要求個(ge) 人信息處理者對此製定專(zhuan) 門的個(ge) 人信息處理規則。同時完善個(ge) 人信息跨境提供的規則，增加個(ge) 人信息可攜帶權的規定，完善死者個(ge) 人信息保護的規定等。