十三届全国人大常委会第二十八次会议日前就个人信息保护法草案二审稿进行了分组审议。与会人员普遍认为,草案二审稿强化超大型互联网平台的个人信息保护义务,明确国家网信部门统筹推进个人信息保护的有关工作职责,为个人信息保护提供了更坚强的法律支撑。
李飞跃委员说,在现行法律基础上,针对个人信息整个生命周期制定出台专门法律,可以提供更强有力的法律保障,维护网络空间良好生态。与会人员认为,二审稿在一审稿基础上,相关规定更细化,内容指向更明确。与此同时,在敏感个人信息范围界定等方面,建议进一步细化并完善。
草案二审稿明确了敏感个人信息的性质和范围。周洪宇委员说,草案中列出敏感个人信息的多方面内容,但实际上很难列完整,建议增加授权条款:“敏感个人信息的范围、种类等由国家网信部门会同国务院有关部门根据经济社会发展情况作出规定,并向社会发布”。
敏感个人信息中,人脸等个人生物特征的采集和使用一直受到社会广泛关注。王超英委员说,当前人脸信息等个人生物信息在线上线下被广泛使用,草案对个人生物信息,特别是人脸识别技术的规范讲得不是特别清楚,建议对人脸、指纹等个人生物信息进行具体规范。
个人信息处理者在使用完相关信息后,或者个人撤回同意时,如何保证个人信息彻底不留痕迹?草案二审稿中明确了应删除个人信息的具体情形。
郭雷委员说,建议在个人信息处理包括的事项中,增加“复制、删除、销毁和评估”,这样可以体现信息处理活动的完整性。李巍委员说,要规定某些信息必须有一定的有效期限和特殊用途,以及限制使用范围,超过有效期就要自动销毁、删除、退出;规定有关主管部门和机构定期开展检查和监督,集中精力妥善解决好这些信息的退出和销毁问题。
王砚蒙委员说,草案二审稿补充了自然人死亡后的个人信息保护内容,也应该对自然人出生之前的信息保护问题作出规定。“未出生的胎儿也有其独特的生物识别信息,从怀孕开始到胎儿分娩,孕妇要在医疗机构进行多次孕产检查,这些检查会产生胎儿的影像、性别、血型、疾病基因、身体特征和是否残缺等生物识别信息,这些胎儿信息与父母信息一起都在医疗机构大量存储,有必要以法律形式加以保护。”
草案规定,基于个人同意而进行的个人信息处理活动,个人有权撤回同意。李飞跃委员说,建议进一步完善个人撤回同意的有关内容,明确撤回的方式、撤回时间的认定等,增强法条的针对性和操作性。
还有一些与会人员认为,建议草案中的个人信息概念界定与民法典等法律调整一致。杜小光委员说,建议个人信息保护法草案采用民法典、网络安全法中有关“个人信息”定义的表述,以达到法律条文间的统一。杨志今委员说,民法典对个人信息的定义突出强调了“特定自然人的各种信息”,建议草案采用与民法典相同的表述进行定义。