用戶的網(wǎng)絡(luò)記錄被平臺擅自收集用于商業(yè)推銷、公民在相關(guān)機構(gòu)登記的個人信息被泄露外傳……近年來，隨著大數(shù)據(jù)技術(shù)在各領(lǐng)域的廣泛應(yīng)用，公民個人隱私的邊界也頻頻遭遇挑戰(zhàn)。

　　13日，個人信息保護法草案在全國人大常委會會議上首次亮相，從確立“告知——同意”為核心的個人信息處理一系列規(guī)則、嚴格限制處理敏感個人信息、明確國家機關(guān)對個人信息的保護義務(wù)等方面，全面加強個人信息的法律保護。

　　看點一：法律適用范圍更明確

　　草案對本法中的個人信息作出界定。個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

　　相比之下，今年5月通過的民法典規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

　　北京理工大學(xué)法學(xué)院民法典研究中心主任孟強表示，該草案沒有具體列舉個人信息范圍，避免了立法重復(fù)；在規(guī)定個人信息的概念時，既強調(diào)了個人信息的權(quán)利保護，也強調(diào)了對個人信息權(quán)的規(guī)范行使和運用。

　　陜西省律師協(xié)會常務(wù)理事王浩公認為，以往立法中以能否“識別自然人個人身份”作為對個人信息判斷標(biāo)準，草案將其擴展到了“自然人有關(guān)的各種信息”，增大了個人信息的保護范圍；同時，草案對個人信息的界定不包括匿名化處理后的信息，使立法保護的對象范圍更明確。

　　看點二：收集用戶大數(shù)據(jù)要先取得用戶同意

　　在網(wǎng)上搜索了一個商品，接著就會收到無數(shù)同類商品的廣告推送；購買了網(wǎng)站VIP會員，平臺卻突然變更規(guī)則，購買“VVIP會員”才能享受全部會員權(quán)利……對此類侵犯用戶權(quán)益的現(xiàn)象，網(wǎng)友“吐槽”聲不絕。

　　草案明確，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

　　一些平臺利用用戶大數(shù)據(jù)推送個性化廣告，草案對此強調(diào)，通過自動化決策方式進行商業(yè)營銷、信息推送，應(yīng)當(dāng)同時提供不針對其個人特征的選項。

　　中國社科院學(xué)部委員孫憲忠表示，信息的核心環(huán)節(jié)就是告知，草案確立“告知——同意”為核心的個人信息處理規(guī)則十分必要，這也是個人信息保護立法中的核心制度點。

　　“草案要求事先告知應(yīng)當(dāng)以顯著方式、清晰易懂的語言來進行，這就要求個人信息處理者對自然人所做的告知必須誠實清楚，不能有意隱瞞欺騙；此外，草案強調(diào)重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意，這意味著取得自然人的同意一般不能以‘霸王條款’的方式一次性取得概括性授權(quán)同意。”孟強說。

　　孟強認為，“告知——同意”規(guī)則還可以規(guī)定得更為詳細，如區(qū)分自然人是否具有完全民事行為能力而采取不同的要求；對自然人權(quán)利的規(guī)定也可以進一步細化，如在撤回權(quán)之外，規(guī)定查詢、更正、刪除等權(quán)利。

　　看點三：處理敏感信息限制更嚴格 國家機關(guān)保護義務(wù)更明確

　　近年來，公眾人物航班行蹤等信息的買賣形成黑色產(chǎn)業(yè)鏈，嚴重侵犯個人隱私；公民在有關(guān)機構(gòu)登記的個人信息頻遭泄露，甚至被用于電信詐騙等違法犯罪活動。

　　為此，草案設(shè)專節(jié)對處理敏感個人信息作出嚴格限制。根據(jù)草案，敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等。個人信息處理者只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應(yīng)當(dāng)取得個人的單獨同意或者書面同意。

　　國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度。國家機關(guān)不得公開或者向他人提供其處理的個人信息，法律、行政法規(guī)另有規(guī)定或者取得個人同意的除外。

　　草案還將應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一，并強調(diào)，在上述情形下處理個人信息，也必須履行個人信息保護義務(wù)。

　　王浩公認為，區(qū)分一般個人信息與敏感信息有三個維度：泄露該信息是否會導(dǎo)致重大傷害、泄露該信息給信息主體帶來傷害的幾率是否較大、社會大多數(shù)人對該類信息的敏感度如何。“總體而言，草案對敏感個人信息的界定較為清晰準確，有助于更好地區(qū)分并作出有效保護。”他說。

　　孫憲忠表示，當(dāng)前一些管理部門過度收集信息的現(xiàn)象較為普遍，而管理不當(dāng)也給了不法分子可乘之機。今后立法要繼續(xù)在信息收集環(huán)節(jié)上下功夫，切實強化信息管理措施，針對民眾反映強烈的問題、事故多發(fā)的情況制定更多針對性措施。

　 “個人信息的處理和運用涉及社會生活的方方面面，如果還按照傳統(tǒng)的職能部門劃分進行治理，難以有效防治個人信息權(quán)被侵害的問題。”孟強建議，在立法進一步完善的基礎(chǔ)上，還要綜合統(tǒng)籌協(xié)調(diào)各相關(guān)部門的執(zhí)法行動、強化中央和地方的溝通配合，實現(xiàn)個人信息保護的有效綜合保障。