个人信息保护法草案首次亮相

10月13 日，个人信息保护法草案在全国人大常委会会议上首次亮相，从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面，全面加强个人信息的法律保护。

草案对本法中的个人信息作出界定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

而在今年5月通过的民法典中规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

草案明确，处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。

一些平台利用用户大数据推送个性化广告，草案对此强调，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

根据草案，敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

草案还将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一，并强调，在上述情形下处理个人信息，也必须履行个人信息保护义务。（李元）