即将举行的十三届全国人大常委会第三十次会议将审议个人信息保护法草案三审稿，全国人大常委会法工委发言人臧铁伟13日介绍，三审稿进一

即将举行的十三届全国人大常委会第三十次会议将审议个人信息保护法草案三审稿，全国人大常委会法工委发言人臧铁伟13日介绍，三审稿进一步完善个人信息处理规则，对App过度收集个人信息、“大数据杀熟”等作出有针对性规范。将不满十四周岁未成年人的个人信息作为敏感个人信息，并要求个人信息处理者对此制定专门的个人信息处理规则。此外，草案三审稿完善个人信息跨境提供的规则，增加个人信息可携带权的规定，完善死者个人信息保护的规定等。 （新华社）

《个人信息保护法（草案）》日前提请全国人大常委会二审。

《个人信息保护法（草案）》日前提请全国人大常委会二审。 多位全国人大常委会委员建议进一步明确监管部门的职责，将执法权限从县级上收至省级，细化“情节严重”时顶格处罚的规定，以避免执法者自由裁量权过大产生的不平衡等问题。 财新记者获悉，草案二审稿在民事责任方面强化了与民法典的衔接。草案一审稿规定，因个人信息处理活动侵害个人信息权益，个人信息处理者能证明自己没有过错的，可以减轻或者免除责任。草案二审稿根据过错推定责任原则，将其调整为，个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这一调整被视为强化了民事诉讼中，企业自身举证的责任，而减轻了作为相对弱势方的个人的举证责任。 财新记者还了解到，此次草案二审稿提请全国人大常委会审议，有关监管体制、处罚和法律责任的问题再次引发热议。 在分组审议过程中，全国人大常委会委员吕薇建议提升监管层次，把对具有跨地域性的、具有全网特点的网络数据提升为省级以上部门监管，以体现中央事权的协调。她还表示，要依照《行政强制法》，对能够行使查封、扣押职权的部门、程序作出详细规定；进一步细化“情节严重”违法行为的类型，如，特别危害到重大的社会公共利益、国家安全的情形，要处以更严厉的处罚。 全国人大常委会委员孙建国对“多头治理”提出建议称，监管要突出主动，“作为信息化服务，出来一个软件、出来一个服务，相关部门都要责任很明确，不见得非要审批，但是要主动监管，主动检查信息服务，看这个协议符合不符合个人信息保护法的原则和规定”。另外，要突出关口前移，监管好收集环节，以及明确各部门的监管责任。“现在草案里看不到相关监管责任落到哪个部门，应该规定哪些部门的具体重要责任，这样人大监督才知道怎么监督，一些重点监管责任要在草案中写明确。” 针对“情节严重”的顶格处罚，全国人大常委会副委员长王东明指出，高额罚款能发挥法律的震慑作用，但其适用情节应进一步细化。“比如说什么是情节严重，这不太清楚，我担心实践中容易造成执法者自由裁量权过大，带来执法上的不平衡甚至混乱。” 王东明说。 全国人大常委会委员邓丽转述其接到的全国人大代表邱光和的材料称，保护个人信息应注意个人利益和社会利益的平衡，避免过度增加企业，特别是非专业从事信息处理业务，或以未基于信息处理活动开展主营业务类型企业的责任和负担。比如，草案二审稿在法律责任方面规定了“责令暂停相关业务”、“停业整顿”、“通报有关主管部门吊销相关业务许可或者营业执照”的重罚。而这是关系到企业生死存亡的行政处罚，其建议法律要慎用规定。 二审草案在完善个人信息保护相关原则的基础上，尤为强调对“超大型互联网平台”的监督。草案二审稿为此新增加了第57条规定，即提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；（二）对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者，停止提供服务；（三）定期发布个人信息保护社会责任报告，接受社会监督。 北京清律律师事务所首席合伙人、主任熊定中表示，主要由外部成员组成的独立机构能否见实效还有待观察。他说，对个人信息处理活动的监督不能仅看表面的隐私政策有没有写、用户协议有没有规范，还必须要了解企业处理个人信息运转的流程，但这中间又会涉及商业秘密。“这个涉及到企业本身很核心的商业机密，怎么让外部成员去监督？”熊定中担忧，这一规定在执行中极有可能流于形式，“比如邀请外部嘉宾看一看、介绍介绍、然后走一圈，就算完成监督了”。 同时，草案还从个人信息处理规则上，对此规定：通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。 对于一审草案中对安装图像采集、个人身份识别设备相关条文中所指称的“公共场所”，全国人大常委会香港基本法委员会副主任谭惠珠认为，应进一步明确“公共场所”的定义：“公共场所应该是指整体上供不特定公众使用的地方，比如图书馆、博物馆、医院、商场、公共交通设施等，而不应该包括私人场所的附带区域。对于公共场所的解释应该采用目的论的办法，要看这个场所是为了不特定的公众服务，还是特定的个人服务。例如居民小区等本质上属于私人场所的地方，则不能够以维护公共安全为由强制使用个人身份识别的设备。” 全国人大常委会委员周敏建议，公共场所的监控设备所收集的个人图像、个人身份特征信息除了“只能用于维护公共安全的目的”之外，还应在法律条文中明确其“不得用于商业等其他目的”，以便对违法行为人追究法律责任。 目前，个人信息保护已成为中国民众最关心最直接最现实的利益问题之一。近些年，各方对个人信息保护立法的呼声不绝于耳。 早先在2020年10月，个人信息保护法草案首次提请全国人大常委会审议。当月，草案全文公开向社会征求意见。 （财新1，2，中新社，21世纪经济报道，央广）

中国拟立法赋予公民对个人信息更强的控制权。8月17日提交立法机关三读的《个人信息保护法》草案，新增了个人信息可携带权的规定。该条

中国拟立法赋予公民对个人信息更强的控制权。8月17日提交立法机关三读的《个人信息保护法》草案，新增了个人信息可携带权的规定。该条款若最终获得通过，个人信息跨平台转移将有法定依据。受访法律界人士表示，此举有利于防止互联网巨头的信息垄断，保障个人对其信息的决定权，也会增加企业成本，产业界对这一规定入法意见较大。 个人信息可携带权利由《个人信息保护法》草案三审稿第四十五条第三款规定，即“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。根据立法流程，提交全国人大常委会会议审议的法律案，一般经三次审议后交付表决。有分析认为，这意味着个人信息保护立法工作已接近完成，正式的法律文本或将很快出台。 在初次征求意见阶段就有学者向财新记者表示，产业界就该法是否写入个人信息可携带权分歧较大，一些互联网巨头追求处理个人信息的自由度，减少企业责任和降低成本，所以反对写入或意见较多，以避免个人将数据转移至企业的竞争对手，因为个人数据被互联网企业视为重要资产。 个人信息可携带权由欧盟的《通用数据保护条例》（GDPR）第二十条创设，指的是数据主体有权获取其提供给数据控制者的个人数据，其所获取的个人数据应当是结构化的（structured）、经常使用的（commonly used）、可机读的（machine-readable），且不受障碍地将这些数据传输给其他数据控制者。这一权利被认为有利于防止企业利用数据优势形成垄断，利于强化个人对数据的控制，体现决定权。 中国人民大学法学院教授石佳友是呼吁立法明确个人信息可携带权的学者之一。他告诉财新记者，规定可携带权有助于打破信息垄断，促进信息共享流通，防止形成数据孤岛，同时强化个人的权利保护，使之能在更大程度上控制和利用个人信息。石佳友举例说，携号转网即是可携带权最常见的例子，即个人有权保留原手机号码而更换电信运营商。 石佳友表示，《个人信息保护法》草案三审稿写入相关条款，在立法上是一个很大的进步。但目前规定的可携带权写得较为原则，且前提是要“符合国家网信部门规定条件”，若该条款最终通过，仍有待网信部门出台实施细则。另外，可携带权的落实可能会增加企业的义务和成本，比如增加企业的额外工作量，或导致其流失客户资源，一直争议较大。此次立法料将对产业界产生重大影响。 《个人信息保护法》草案三审稿还有以下方面的修改：对App过度收集个人信息、“大数据杀熟”等作出针对性规范；将不满十四周岁未成年人的个人信息作为敏感个人信息；完善个人信息跨境提供的规则；完善死者个人信息保护的规定；对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求等等。 （财新）

吹尽狂沙始到金《个人信息保护法》有哪些亮点值得关注？

吹尽狂沙始到金《个人信息保护法》有哪些亮点值得关注？ 重典治乱象，追责清沉疴 个保法贯彻了保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用三大立法目标，呈现出不少兼具理论高度和现实关怀的立法亮点。我们相信这部法律的颁行，对于用户和行业都将产生深远的影响。 少数派

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。 明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制……这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。 个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。本法规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 针对过度收集信息、大数据杀熟的问题，本法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。 针对滥用人脸识别技术问题，本法要求，在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。 对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，本法特别规定了其需要履行的义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。 个人信息保护法还进一步强化了相关部门的监管职责，从严惩治违法行为。履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 （新华社）

全国人大常委会将审议《个人信息保护法》草案等法律法规草案、报告、公约等。

全国人大常委会将审议《个人信息保护法》草案等法律法规草案、报告、公约等。 新华社报道，十三届全国人大常委会第九十一次委员长会议16日下午在北京人民大会堂举行。栗战书委员长主持。会议决定，十三届全国人大常委会第二十八次会议4月26日至29日在北京举行。 委员长会议建议，十三届全国人大常委会第二十八次会议审议乡村振兴促进法草案、反食品浪费法草案、海上交通安全法修订草案、教育法修正草案、数据安全法草案、个人信息保护法草案、海南自由贸易港法草案、监察官法草案、军人地位和权益保障法草案；审议全国人大财政经济委员会关于提请审议期货法草案的议案；审议国务院关于提请审议道路交通安全法等9部法律的修正案草案的议案；审议中央军事委员会关于提请审议《中国人民解放军选举全国人民代表大会和县级以上地方各级人民代表大会代表的办法（修正草案）》的议案；审议委员长会议关于提请审议全国人大常委会关于加强中央预算审查监督的决定修订草案的议案等。 委员长会议建议，常委会第二十八次会议审议国务院关于提请审议关于授权国务院在自由贸易试验区暂时调整适用有关法律规定的决定草案的议案；审议国务院关于提请审议批准《〈上海合作组织成员国关于举行联合军事演习的协定〉补充议定书》的议案、《中华人民共和国和伊朗伊斯兰共和国关于刑事司法协助的条约》的议案、《中华人民共和国和伊朗伊斯兰共和国关于民事和商事司法协助的条约》的议案、《成立平方公里阵列天文台公约》的议案；审议国务院关于2020年度环境状况和环境保护目标完成情况、研究处理土壤污染防治法执法检查报告及审议意见情况、依法打好污染防治攻坚战工作情况的报告；审议全国人大常委会代表资格审查委员会关于个别代表的代表资格的报告；审议有关任免案等。 （新华社）