10月13日，个人信息保护法草案“千呼万唤始出来”，提交全国人大常委会审议。

“个人信息保护立法坚持从我国实际出发，深入总结网络安全法等法律、法规、标准的实施经验，并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规，建立健全适应我国个人信息保护需要的法律制度。”全国人大常委会法工委发言人臧铁伟表示。

草案确立了以“告知——同意”为核心的个人信息处理一系列规则，有望为破解这些问题提供法律依据。

截至3月，我国互联网用户已达9亿，互联网网站超过400万个，应用程序超300万个，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但随意收集、违法获取、过度使用、非法买卖，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出，尤其在疫情期间，许多人反映自己的信息被频繁采集，感觉隐私受到侵犯。

此次草案可以算作“回应型立法”，在当前信息化社会及时回应公众的需要。

“个人信息保护法在《民法典》规定的‘应当遵循合法、正当、必要的原则’基础上，强调个人信息处理者不能过度处理信息。”段和段律师事务所律师刘燕向记者介绍说，处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。个人信息处理者在处理个人信息前，应当以显着方式、清晰易懂的语言将个人信息处理者的身份、联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人行使本法规定权利的方式和程序等事项向个人告知。

“个人信息保护法的制定，将进一步增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。”臧铁伟说。

一些平台还利用收集的大数据向用户推送个性化广告。草案对此明确，利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。刘燕表示，搜一下商品出现无数广告的商业营销、信息推送将涉嫌违法，个人信息处理者应注意对信息处理分寸的把握，兼顾商业权益与客户的隐私权益。企业自动化决策给个人权益造成重大影响的，当事人有权拒绝个人信息处理者处理其信息。

刘燕强调，在个人信息安全意识不断提高的当下，如何立法执法防范个人信息泄露、非法买卖、非法利用等风险，以及个人信息被非法利用后的民事责任、行政责任以及刑事责任承担。在强调责任承担后，还应考虑侵权行为的救济途径，不断提升人民群众的信息安全感。我们选择单独制定规则约束，还是适用原有法律，是值得探讨的问题。不同类型的企业、监管机构、消费者对立法的需求有所侧重，需要立法机关汇集各方意见从专业角度进行平衡。

“我国个人信息保护立法可以参考GDPR和美国等其他国家信息安全法律给企业、市场、互联网经济带来的影响，并结合我国立法条件综合判断。个人信息权益的内容可能需要进一步具体规范，如个人信息跨境转移、被遗忘权、可携带权等。”刘燕说。