《个人信息保护法》（草案二次审议稿）综述｜MHP君悦评论

第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法（草案）》（“《一次审议稿》”）进行了审议并于2020年10月21日公布了《一次审议稿》[1]，向社会公开征求意见。2021年4月，第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法（草案二次审议稿）》（“《二次审议稿》”）进行了审议，并于2021年4月29日公布了《二次审议稿》，继续向社会公开征求意见。征求意见截止日期为2021年5月28日。个人信息保护涉及到每个人的切身利益，个人信息保护的立法正稳步推进。本文拟结合《一次审议稿》，介绍《二次审议稿》的最新变化，方便大家了解个人信息保护的立法动态（为方便阅读，本文中《二次审议稿》的修改内容以下划线斜体字表示）。

一、个人信息与敏感个人信息

《二次审议稿》在第4条和第29条分别定义了个人信息和敏感个人信息。

相比《一次审议稿》，《二次审议稿》对个人信息和敏感个人信息的定义未做修改。

二、个人信息处理及其原则

《二次审议稿》没有修改“个人信息的处理”的范围，仅做了细微的文字调整：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

但是，《二次审议稿》进一步强化了处理个人信息应当遵循的各项原则，从以下总结中的斜体字可以看到《二次审议稿》着重强调的处理原则：

• 采用合法、正当的方式，遵循诚信，不得通过误导、欺诈、胁迫等方式处理个人信息

• 具有明确、合理的目的

• 限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式（不得进行与处理目的无关的个人信息处理）

• 公开、透明，公开个人信息处理规则，明示处理的目的、方式和范围

• 处理个人信息保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响

《二次审议稿》对个人信息处理的新要求对个人信息处理者提出了更高的合规标准。但是，判断何为“所必要”的最小范围，何为“对个人权益影响最小的方式”，在实践中并不容易掌握。而新修改的“公开个人信息处理规则”，较之《一次审议稿》的“明示个人信息处理规则”，似乎要求信息处理者不仅要对数据主体一对一明示处理规则，还必须做到“公开”，而且明确公开的处理规则需要包括处理的目的、方式和范围。

三、适用范围（包括域外效力）

《二次审议稿》没有修改《个人信息保护法》的适用范围（包括其域外效力），仅对文字进行了微调。

四、个人同意 + 特定例外事由

《二次审议稿》坚持个人同意+特定例外事由的个人信息处理规则。相比《一次审议稿》，《二次审议稿》要求个人信息处理者在以下七种情形下才能处理个人信息（其中第（2）项至第（7）项即为特定例外事由，增加了第（5）项）：

（1）取得个人的同意；

（2）为订立或者履行个人作为一方当事人的合同所必需；

（3）为履行法定职责或者法定义务所必需；

（4）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（5）依照本法规定在合理的范围内处理已公开的个人信息；

（6）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；

（7）法律、行政法规规定的其他情形。

为了更好说明个人同意+特定例外事由的处理规则，《二次审议稿》特别增加了一款：依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。即符合上述所列第（2）项至第（7）项情形之一的个人信息处理无需取得个人同意。

五、告知+个人同意

《二次审议稿》仍然基本沿用《一次审议稿》有关个人信息处理的告知+个人同意的机制，仅对相关条款做了细微文字修改。

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言向个人告知下列事项（除非法律、行政法规另有要求）：

• 个人信息处理者的身份和联系方式；

• 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

• 个人行使本法规定权利的方式和程序；

• 法律、行政法规规定应当告知的其他事项。

个人同意：

• 个人同意是个人在充分知情的前提下，自愿、明确作出意思表示（或者是法律法规要求的个人单独同意或书面同意）

• 处理目的、处理方式和处理的个人信息种类发生变更，应重新取得个人同意

• 个人有权撤回其作出的同意

《二次审议稿》强化了个人同意撤回权的保护。第16条在明确个人有权撤回其所作个人同意之外，还特地增加了：

• 个人信息处理者应当提供便捷的撤回同意的方式

• 个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力

《一次审议稿》在“告知+同意”机制中设计了“同意”、“单独同意”和“书面同意”。《一次审议稿》并未对“单独同意”和“书面同意”作出进一步解释。遗憾的是，《二次审议稿》仍未对这两者进行说明或解释，希望能在后续的审议中对此予以明确，避免在实践中因缺乏操作尺度而引发争议。

六、共同处理个人信息

《二次审议稿》规定，两个以上的个人信息处理者共同处理个人信息，应约定各自权利与义务；但发生侵权时，应当承担连带责任。与《一次审议稿》相比，《二次审议稿》直接规定了共同处理个人信息的个人信息处理者承担连带责任，将两者牢牢捆绑在一起，而没有原来“依法”进行抗辩的空间。无疑，《二次审议稿》的修订大大增加了个人信息处理者的民事责任风险。

七、委托处理个人信息

《二次审议稿》未对个人信息处理的保存期限、个人信息转移、向第三方提供信息以及处理敏感个人信息进行实质性修改。但《二次审议稿》对个人信息的委托处理要求进行了细化：

• 委托方与受托方须约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务；

• 委托合同不生效、无效、被撤销或者终止的，受托方应当将个人信息返还个人信息处理者或者予以删除，不得保留。

《二次审议稿》新增第58条，明确个人信息处理的受托方应当履行个人信息处理者的义务，采取必要措施保障所处理的个人信息的安全。

八、个人信息保密

《二次审议稿》规定，个人信息处理者不得公开其处理的个人信息，除非取得个人的单独同意。《一次审议稿》的除外情形还包括“法律、行政法规另有规定”，但《二次审议稿》已经将其删除。可以看出，《个人信息保护法》更希望数据主体对自己的个人信息进行自主保护，禁止法律和行政法规的对个人信息公开的例外授权。

对于公共场所安装的图像采集、个人身份识别设备所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供，除非取得个人单独同意。《二次审议稿》也删除了“法律、行政法规另有规定”的除外情形，同样是禁止法律和行政法规对个人信息公开的例外授权[2]。

《二次审议稿》还规定，个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途；超出与该用途相关的合理范围，个人信息处理者应取得个人同意。

九、个人信息跨境提供

《二次审议稿》未对个人信息跨境传输之条件进行实质性修改。但是，《二次审议稿》第38条要求个人信息处理者为个人信息跨境提供而与境外接收方订立的合同应为“国家网信部门制定的标准合同”。

（1）更严格的“告知+同意”

在向中国境外提供个人信息之前，个人信息处理者需遵循更严格的“告知+同意”：

a) 向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式等；

b) 取得个人的单独同意。

（2）事先风险评估：

个人信息处理者应根据《草案》第55条在个人信息跨境传输之前进行风险评估。

（3）个人信息处理者因业务等需要，可以在至少满足下列一项条件的情况下向中国境外提供个人信息：

a) 通过国家网信部门组织的安全评估；

b) 经专业机构进行个人信息保护认证；

c) 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到个人信息保护法规定的个人信息保护标准；

d) 法律、行政法规或者国家网信部门规定的其他条件。

十、本地存储要求

《二次审议稿》关于本地存储的要求与《一次审议稿》一致：关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者，应将收集和产生的个人信息存储在境内；在通过安全评估后，才可以向境外提供。

十一、个人在个人信息处理中的权利

《二次审议稿》进一步强化个人在个人信息处理中的各项权利，还新增了死者的个人信息权利。《二次审议稿》第49条规定，“自然人死亡的，本章规定的个人在个人信息处理活动中的权利，由其近亲属行使”。根据《二次审议稿》，个人对其个人信息的处理享有以下主要权利：

（1） 知情权

（2）决定权

（3）有权限制或拒绝他人对其个人信息进行处理

（4）查阅、复制个人信息

（5）更正、补充个人信息

（6）删除个人信息

（7）要求个人信息处理者解释说明处理规则

《二次审议稿》特别加强了个人信息删除权，例如，个人信息处理者应当主动而非“依据个人的请求”删除个人信息，在个人信息处理者未删除个人信息的情况下，个人有权要求其删除。这些规定强化了个人信息处理者的义务，相应增强了个人信息删除权的保护。相比《一次审议稿》，《二次审议稿》第47条要求：

有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

十二、个人信息处理者的义务

个人信息处理者需履行以下义务（包括《二次审议稿》第57条新增的互联网平台个人信息保护的特别义务）：

（1）采取必要措施：

制定内部管理制度和操作规程；

对个人信息实行分级分类管理；

采取相应的加密、去标识化等安全技术措施；

合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

制定并组织实施个人信息安全事件应急预案；

法律、行政法规规定的其他措施。

（2）指定个人信息保护负责人（如处理个人信息达到规定数量）

（3）在中国境内设立专门机构或指定代表，并报送相关部门（中国境外个人信息处理者）

（4）定期审计

（5）在下列个人信息处理活动前进行风险评估（风险评估报告和处理情况记录应至少保存三年）：

(i) 处理敏感个人信息；

(ii) 利用个人信息进行自动化决策；

(iii) 委托处理个人信息、向第三方提供个人信息、公开个人信息；

(iv) 向境外提供个人信息；

(v) 其他对个人有重大影响的个人信息处理活动。

（6）提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特别义务

十三、互联网平台的特别义务

《二次审议稿》新增第57条，首次规定了互联网平台达到一定条件的情况下须接受独立监管、开展平台治理、发布社会责任报告的义务，提升整体平台个人信息保护水平。具体包括以下几个方面：

● 主体：

特指提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。《二次审议稿》并未明确何为“基础性互联网平台服务”、多少用户达到“用户数量巨大”，什么是“业务类型复杂”，相信这些限制性条件将由行政法规来予以具体确定。这也说明，负有个人信息保护特别义务的互联网平台并非全部互联网平台，其适用的主体将是那些掌握海量个人信息、社会影响巨大的互联网平台。

● 独立监督机构：

成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督。如果说个人信息保护负责人更多是个人信息处理者的内部机构设置，而互联网平台的独立监督机构更似《一般数据保护条例》（“GDPR”）下的外部聘请的数据保护官（“DPO”）[3]。在GDPR下，DPO的设置分为内外两类，可以由企业内部的人员担任，也可以从外部聘请。独立监督机构的“独立性”是关键。似乎可以参考上市公司独立董事机制，包括外部人员的选择和独立性保证机制，从而确保该独立机构不被互联网平台左右，有效履行监督职责。

● 互联网平台治理：

对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止服务。

● 定期发布社会责任报告：

定期发布个人信息保护社会责任报告，接受社会监督。《二次审议稿》第55条要求个人信息处理者进行事前风险评估报告，并规定了风险评估报告的基本内容。而互联网平台的社会责任报告更像是事后总结。互联网平台通过发布社会责任报告，向社会介绍其在个人信息保护方面的宗旨、原则、保护机构的设置、采取的保护措施、个人信息处理等情况，接受社会监督。

十四、个人信息处理者的过错推定

《二次审议稿》第68条突出了个人信息处理者在侵权责任上的过错推定原则：个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

[1] 请参考《里程碑：统一的《个人信息保护法》草案出台》，许江晖，载于2020年11月23日MHP君悦评论

[2] 《二次审议稿》删除了《一次审议稿》第36条有关国家机关对其处理的个人信息保密的例外规定。《一次审议稿》第36条规定：国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

[3] 《互联网平台数据合规加码——解析《个人信息保护法（二次审议稿）》第57条》，https://zhuanlan.zhihu.com/p/369217349