草案的五个重点解读

重点1：明确个人信息定义

草案明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

此次在规定个人信息的概念时，既强调了个人信息的权利保护，也强调了对个人信息权的规范行使和运用。

相比之下，今年5月通过的民法典规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

重点2：“告知—同意”为核心的个人信息处理规则

这一规则是个人信息保护立法中的核心制度点。

草案明确，处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。

且个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定，比如商业营销、信息推送等，应当同时提供不针对个人特征的选项。简而言之，这意味着用户有权向平台推送的个性化广告说：不。

重点3：给敏感信息范围画圈

信息倒卖黑色产业链的现象层出不穷，从公众人物航班信息曝光、到公民个人登记信息泄露被用于电信诈骗等犯罪活动，草案设专节对处理敏感个人信息作出严格限制。

根据草案，敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

重点4：公共场所个人信息不得随意公开

在公共场所安装图像采集、个人身份识别设备，所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律行政法规另有规定的除外。

重点5：加大惩处力度

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了不同等级的规定。

情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。同时依照有关法律、行政法规的规定记入信用档案，并予以公示。

除罚款以外，对侵害个人信息权益的民事赔偿，按照个人所受损失或者个人信息处理者所获利益确定数额，上述数额无法确定的，由人民法院根据实际情况确定赔偿数额。