免费热线: 如何购买

首页 > 关于我们 > 新闻动态 > 《中华人民共和国个人信息保护法(草案)》全文公布

《中华人民共和国个人信息保护法(草案)》全文公布
2020-10-27
10月21日,《中华人民共和国个人信息保护法(草案)》于中国人大网公布,面向社会公众征求意见,截止日期:2020年11月19日。
《草案》共八章七十条,确立了处理个人信息所需遵循的原则——包括处理个人信息应具有明确、合理的目的,采用合法、正当的方式,采取安全保护措施等一系列内容,并将上述原则贯穿于个人信息处理的全过程及各环节。


《中华人民共和国个人信息保护法(草案)》

就医疗行业而言,患者信息隐私安全关系到医疗过程的安全,对患者个人健康信息进行保存、处理、分析研究,可以帮助医护工作者做出更为精确的诊断和决策。医疗数据中,通常含有个人姓名、电话、身份证号、居住地址、检验检查数据、就诊记录、处方记录等极为敏感的信息,如果信息泄露或被人恶意篡改,将影响患者的信息安全、财产安全以及影响医生对医疗过程的判断,给医院、社会和患者带来重大影响。患者的个人信息纳入医疗机构保密范围,未经患者同意公开病例资料的应该承担侵权责任。这进一步明确了个人健康信息泄露的责权。
就司法实践来看,侵害个人医疗信息刑事案件主要有三种形式:一是医疗机构、医疗单位的工作人员实施的侵犯个人信息案件;二是一些非正规医疗机构实施的侵犯个人信息案件;三是医疗单位、医疗机构成为侵犯公民个人信息行为的连带受害者,其信息数据系统被侵入之后造成的数据流失。
信息网络运营者承担着信息数据保护的义务(包括医疗机构、医疗单位在内的所有组织都要遵循),除了核心的个人信息,同时也必须保证避免上述三种消极后果的出现。因此,与这三个消极后果有关的所有措施都可以纳入到个人信息保护管理义务这个范畴内,可以说这个范围非常之广的。目前来看,医疗单位乃至所有医疗信息的运营者都承担着非常高和广的要求与责任。
图片


草案的五个重点解读


重点1:明确个人信息定义

草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

此次在规定个人信息的概念时,既强调了个人信息的权利保护,也强调了对个人信息权的规范行使和运用。

相比之下,今年5月通过的民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。


重点2:“告知—同意”为核心的个人信息处理规则

这一规则是个人信息保护立法中的核心制度点。

草案明确,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。

且个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定,比如商业营销、信息推送等,应当同时提供不针对个人特征的选项。简而言之,这意味着用户有权向平台推送的个性化广告说:不。


重点3:给敏感信息范围画圈

信息倒卖黑色产业链的现象层出不穷,从公众人物航班信息曝光、到公民个人登记信息泄露被用于电信诈骗等犯罪活动,草案设专节对处理敏感个人信息作出严格限制。

根据草案,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。

国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。


重点4:公共场所个人信息不得随意公开

在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律行政法规另有规定的除外。


重点5:加大惩处力度

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了不同等级的规定。

情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。同时依照有关法律、行政法规的规定记入信用档案,并予以公示。

除罚款以外,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。



面对国家、行业不断出台的监管要求,前沿信安基于医疗行业对数据安全的实际诉求,从行业痛点着手,提出了整体解决方案。