中新社北京10月13日电 (记者 梁晓辉 黄钰钦 张素)个人信息保护法草案13日提请十三届全国人大常委会初次审议。草案完善个人信息跨境提供规则,作出四方面重点规定。

一是明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。

二是对跨境提供个人信息的“告知—同意”作出更严格的要求。

三是对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。

四是对从事损害中国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对中国采取不合理措施的国家和地区,规定了可以采取的相应措施。

具体而言,草案明确,境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。

草案在明确中国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护中国境内个人的权益,规定:

以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在中国境外的个人信息处理活动,也适用本法;境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。

对于违法行为,草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元(人民币,下同)以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。