4月26日,十三届全国人大常委会第二十八次会议在京举行。
会上,《中华人民共和国个人信息保护法(草案)》提请了二次审议。
不得通过“胁迫”方式处理个人信息
草案进一步明确:不得通过“胁迫”方式处理个人信息;増加规定:个人信息处理者应当为个人提供便捷的撤回同意的方式;个人撤回同意,不影响撤回同意前已进行的个人信息处理活动的效力。
通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。明确个人信息跨境提供的合同应“按照国家网信部门制定的标准合同”订立。
目前一些网络平台提供从生活消费到金融理财等各类服务,但海量用户数据集中于这些超级平台手中,也给用户信息安全带来诸多隐患。
个人信息保护法草案拟规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。
不得未经批准向境外执法机构提供数据
此次十三届全国人大常委会第二十八次会议还对《中华人民共和国数据安全法(草案)》修改情况提请审议。
草案规定了境外司法机构调取我国境内数据的原则。
草案明确,中华人民共和国境外的司法或执法机构要求调取存储于中华人民共和国境内的数据的,非经中华人民共和国主管机关批准,不得提供;中华人民共和国缔 结或参加的国际条约、协定有规定的,可以按照其规定执行。
未经主管机关批准向境外的司法或执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。
同时,草案明确,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。