個人信息保護法草案二審都修改了些啥？

劉金瑞

隨著移動互聯網、云計算、大數據、物聯網和人工智能等新技術的迅速發展和應用，信息技術與經濟社會持續深度融合。在這一背景下，個人信息的價值日益凸顯，但同時個人信息泄露濫用、非法買賣等問題也更加突出。為保護個人信息權益，我國近年來高度重視和積極推進個人信息保護立法工作。

黨的十八大以來，全國人大及其常委會在制定關于加強網絡信息保護的決定、網絡安全法、電子商務法、修改消費者權益保護法等立法工作中，確立了個人信息保護的主要規則；在修改刑法中，完善了懲治侵害個人信息犯罪的法律制度；在編纂民法典中，進一步明確了處理個人信息應遵循的原則和條件，構建了自然人與信息處理者之間的基本權利義務框架。

雖然近年來我國個人信息保護力度不斷加大，個人信息保護法律制度逐步建立，但是實踐中隨意收集、違法獲取、過度使用、非法買賣個人信息而侵害人民群眾合法權益的問題仍較為突出。以數據為新生產要素的數字經濟蓬勃發展，對統籌個人信息保護與利用的需求也愈發迫切，有必要全面地規范個人信息處理活動，因此在現行法律基礎上制定出臺專門法律便提上議程。

2018年，制定個人信息保護法正式列入了十三屆全國人大常委會立法規劃和年度立法工作計劃。隨后，全國人大常委會法制工作委員會會同中央網絡安全和信息化委員會辦公室，著手研究起草個人信息保護法草案，經反復研究修改，形成了《中華人民共和國個人信息保護法（草案）》（以下簡稱“《草案》”）。第十三屆全國人大常委會已經先后于2020年10月和2021年4月對《草案》進行了兩次審議，這兩次審議的《草案》文本（以下簡稱“一審稿”和“二審稿”）都已經向社會公開征求意見。

目前，我國個人信息保護的專門立法和制度設計正在緊鑼密鼓地進行中。《草案》二審稿對一審稿究竟做了哪些修改呢？

確立個人信息處理應遵循七大原則

《草案》二審稿在第5條至第9條規定了個人信息處理應遵循的七大基本原則，并將這些原則要求貫穿于個人信息處理的全過程、各環節。

具體包括：合法正當原則（第5條）、目的明確原則（第6條）、最小必要原則（第6條）、公開透明原則（第7條）、保證質量原則（第8條）、可問責原則（第9條）、安全保障原則（第9條）。相較于網絡安全法、民法典的有關規定，《草案》首次規定了保證質量原則和可問責原則，并進一步細化了最小必要等個人信息處理原則的內涵。

在《草案》一審稿征求意見過程中，一些常委會組成人員和地方、部門、專家、社會公眾提出，當前，個人信息收集、使用規則不透明及過度收集、使用等問題仍很突出，建議有針對性地完善相關內容。

對此，《草案》二審稿對一審稿的相關規定進行了相應的修改完善：對于合法正當原則，增加規定不得通過“脅迫”方式處理個人信息；對于最小必要原則，明確處理個人信息應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式；對于公開透明原則，明確處理個人信息應當公開個人信息處理規則，明示處理目的、方式和范圍；對于保證質量原則，刪去“及時更新”的表述，明確應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。這些修改完善，既有利于進一步與網絡安全法等既有法律規定做好銜接，也有利于充分維護個人信息主體的合法權益，彰顯該法保護個人信息的價值取向。

合理利用已公開個人信息有了法律依據

>>視覺中國供圖

為保護個人信息主體的合法權益，《草案》二審稿確立了以“告知—同意”為核心的個人信息處理一系列規則，包括：要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意；個人信息處理者不得以個人不同意為由，拒絕提供產品或者服務（第14條、第17條）。相較于《草案》一審稿，二審稿進一步完善了“個人撤回同意”的規則，增加規定：個人信息處理者應當為個人提供便捷的撤回同意的方式；個人撤回同意，不影響撤回同意前已進行的個人信息處理活動的效力（第16條）。

考慮到經濟社會生活的復雜性和個人信息處理的不同情況，不同于網絡安全法將同意作為處理個人信息的唯一合法基礎，《草案》二審稿第13條還規定了基于個人同意以外合法處理個人信息的情形，包括：為訂立或者履行個人作為一方當事人的合同所必需；為履行法定職責或者法定義務所必需；為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；依照本法規定在合理的范圍內處理已公開的個人信息；為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；法律、行政法規規定的其他情形。

明確個人信息處理的多元合法基礎，有利于促進個人信息合理利用，充分實現個人信息上的多元價值。例如，近期為了新冠肺炎疫情防控，收集利用病患相關個人信息，就是為應對突發公共衛生事件處理個人信息的典型例證。再如，目前常見的企查查、天眼查等App，就是大量收集了企業股東信息、企業高管簡介等合法公開的個人信息，這種使用并沒有侵害相關主體的重大利益，屬于個人信息的合理利用。《草案》二審稿新增“在合理的范圍內處理已公開的個人信息”這一合法基礎，就這種合理利用已公開個人信息的行為提供了法律依據。

明確了個人信息處理的不同環節的要求

根據個人信息處理的不同環節，《草案》二審稿對個人信息的共同處理、委托處理、向他人提供等提出了有針對性的要求。

明確了個人信息共同處理的要求：兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務；個人信息處理者共同處理個人信息，侵害個人信息權益的，應當承擔連帶責任（第21條）。

明確了個人信息向他人提供的要求：個人信息處理者向他人提供其處理的個人信息的，應當向個人告知接收方的身份、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意；接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息；接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意（第24條）。

明確了個人信息委托處理的要求：個人信息處理者委托處理個人信息的，應當與受托方約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托方的個人信息處理活動進行監督；受托方應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；未經委托方同意，受托方不得轉委托他人處理個人信息（第22條）。

在《草案》一審稿征求意見過程中，很多意見建議關注個人信息委托處理后，受托方對個人信息的后續處理問題；有的常委會委員和部門、專家提出，接受委托處理個人信息的受托方，不屬于本法規定的個人信息處理者，但仍應履行相應的個人信息安全保護義務，建議增加這方面的內容。

對此，《草案》二審稿相較于一審稿，進一步完善了個人信息委托處理的要求：第22條明確委托合同不生效、無效、被撤銷或者終止的，受托方應當將個人信息返還個人信息處理者或者予以刪除，不得保留；新增第58條明確個人信息處理的受托方應該履行相應的個人信息安全保護義務，采取必要措施保障所處理的個人信息的安全。這些新增規定有利于進一步降低委托處理的個人信息被濫用風險。

規范了新技術新應用對個人信息的處理

面對自動化決策、人臉識別等新技術新應用帶來的個人信息保護新挑戰，《草案》二審稿作出了針對性規定。

隨著自動化決策技術的普遍應用，利用個人信息進行自動化決策日益頻繁，隨之帶來了侵害個人合法權益、“大數據殺熟”等新問題。二審稿第25條對利用個人信息進行自動化決策作出了規范：利用個人信息進行自動化決策，應當保證決策的透明度和結果公平合理；通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。此外，對于通過自動化決策方式進行商業營銷、信息推送的情形，規定應當同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。其中，“向個人提供拒絕的方式”是二審稿的新增規定。這些規定有利于解決“大數據殺熟”等頑疾，有利于充分保護消費者的知情權和選擇權。

近年來，無處不在的人臉識別、視頻監控設備，使得非法收集和濫用人臉等敏感個人信息的問題日益突出。例如今年央視“3·15”晚會，就曝光了科勒衛浴、寶馬等商家安裝人臉識別攝像頭非法收集人臉信息的行為。這些敏感個人信息一旦被泄露和濫用，就有可能威脅個人的人身安全、財產安全甚至是公共安全、國家安全。

二審稿第27條對公共場所安裝圖像采集、個人身份識別設備作出了規范：在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供，取得個人單獨同意的除外。二審稿將在公共場所安裝圖像采集、個人身份識別設備，限于“為維護公共安全所必需”，并要“遵守國家有關規定”“設置顯著的提示標識”，有利于嚴格規范公共場所圖像采集、個人身份識別設備的安裝和使用，從而在源頭上避免人臉等敏感個人信息被非法收集和濫用，值得高度肯定。但也應注意到，“公共場所”的含義比較寬泛，目前在公共場所安裝圖像采集、個人身份識別設備除了涉及公共安全目的之外，還涉及公共場所人流統計、刷臉自動支付等多種應用場景，從這個角度看二審稿的上述規定仍有進一步完善的空間。

此外，考慮到新技術新應用存在多變性和不確定性，《草案》二審稿在作出必要規定的同時，還授權國家網信部門統籌協調有關部門針對人臉識別、人工智能等新技術、新應用制定專門的個人信息保護規則、標準（第61條）。這些規定為新技術新應用發展預留了空間，較好地平衡了安全和發展的關系。

完善了個人信息跨境提供規則

《草案》二審稿第三章進一步完善了個人信息跨境提供規則：

一是明確個人信息跨境提供的四種合法途徑，包括：特定情形通過國家網信部門組織的安全評估、經專業機構進行個人信息保護認證、與境外接收方訂立達到保護標準的合同以及滿足法律、行政法規或者國家網信部門規定的其他條件。（第38條）同時，對跨境提供個人信息的“告知—同意”作出更嚴格的規定，要求應當取得個人的單獨同意（第39條）。

二是明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估（第40條）。

三是明確境外的司法或者執法機構要求提供存儲于我國境內的個人信息的，非經我國主管機關批準，不得提供（第41條）。

四是對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區，規定了可以采取的相應措施（第42條、第43條）。

專章規定了個人信息處理活動中的個人權利和處理者義務

《草案》二審稿分兩章規定了個人信息處理活動中的個人權利和處理者義務：

一是第四章與民法典有關規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、查詢權、更正權、刪除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制（第44條至第48條、第50條）。

二是第五章明確個人信息處理者的合規管理和保障個人信息安全等義務，要求其按照規定制定內部管理制度和操作規程，采取相應的安全技術措施，并指定負責人對個人信息處理活動進行監督；定期對個人信息活動進行合規審計；對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估；履行個人信息泄露通知和補救義務等（第51條、第52條、第54條至第56條）。

>>視覺中國供圖

在《草案》一審稿征求意見過程中，有的部門、專家建議，應該關注超大型互聯網平臺的個人信息保護問題，并加強監督。對此，《草案》二審稿新增第57條，強化了超大型互聯網平臺的個人信息保護義務。該條規定：提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：（一）成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督；（二）對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；（三）定期發布個人信息保護社會責任報告，接受社會監督。從目前的規定看，這種超大型互聯網平臺的具體范圍，有待在法律實施中進一步明確。

進一步明確了個人信息保護監管職責

個人信息保護涉及各個領域和多個部門的職責。《草案》二審稿根據個人信息保護工作實際，明確國家網信部門負責個人信息保護工作和相關監督管理工作的統籌協調，發揮其統籌協調作用；同時規定，國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作（第59條第1款）。

在《草案》一審稿征求意見過程中，有的部門、專家提出，應當充分發揮國家網信部門的統籌協調作用，推進配套規定制定等工作，保證本法有效貫徹實施。對此，《草案》二審稿進一步明確了國家網信部門統籌協調有關部門推進個人信息保護有關工作的職責，包括：制定個人信息保護具體規則、標準；針對敏感個人信息以及人臉識別、人工智能等新技術、新應用制定專門的個人信息保護規則、標準；支持研究開發安全、方便的電子身份認證技術等（第61條）。這有利于充分發揮國家網信部門的統籌協調作用，推進配套規定制定等工作，確保未來個人信息保護法有效貫徹實施。

個人信息侵害損害修改為過錯推定原則

《草案》二審稿對違法處理個人信息規定了較為嚴厲的行政處罰。一方面，對于一般違法行為，延續了網絡安全法相關規定，規定了責令改正，給予警告，沒收違法所得；拒不改正的，并處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。另一方面，規定了違法行為情節嚴重時高達5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款（第65條）。有關組織、個人的相關違法行為還會被記入信用檔案并予以公示（第66條）。這些規定，體現了我國嚴格規制個人信息濫用行為、切實維護網絡空間良好生態的立法初衷。

對于民事責任，《草案》一審稿曾規定：“因個人信息處理活動侵害個人信息權益，個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。”在征求意見過程中，有觀點建議，根據過錯推定責任原則確定侵害個人信息權益的損害賠償責任。《草案》二審稿接受了這一建議，將上述規定修改為：“個人信息權益因個人信息處理活動受到侵害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任（第68條第1款）。”

此外，《草案》二審稿還規定了公益訴訟制度，個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟（第69條）。

綜上，《草案》二審稿進一步明確了個人信息處理活動應遵循的原則，完善了個人信息處理規則，保障了個人在個人信息處理活動中的各項權利，強化了個人信息處理者的義務，明確了個人信息保護的監管職責，并設置了嚴格的法律責任。相信隨著個人信息保護法制定出臺，必將極大增強我國個人信息保護法律規范的系統性、針對性和可操作性，有力推動我國形成完備的個人信息保護制度體系，進而有利于實現在保障個人信息權益的基礎上，促進信息數據依法合理有效利用，推動我國數字經濟持續健康發展。