《个人信息保护法(草案)》(二审稿)八大亮点解析
来源: 人民邮电报 作者: 发布时间: 2021-06-04

编者按:自2020年10月21日《个人信息保护法(草案)》(一审稿)正式对外发布后,引起社会广泛关注,广大人民群众对个人信息被过度收集和使用反应强烈。2021年4月,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议,主要针对广大人民群众反映的个人信息收集、使用规则不透明以及个人信息被过度收集、使用等突出问题进行了修改和完善。王春晖教授认为,我国《个人信息保护法(草案)》的两次审议稿,坚持“以人民为中心”的发展理念,制定了较为完善的个人信息保护法律制度。现就中国人大网公布的《中华人民共和国个人信息保护法(草案二次审议稿)》的八大亮点进行解析。

严格限制对个人信息的过度处理

《个人信息保护法(草案)》(二审稿)第一条在保留“保护个人信息权益,规范个人信息处理活动”以及“促进个人信息合理利用”的前提下,删除了“一审稿”中的“保障个人信息依法有序自由流动”。

《个人信息保护法(草案)》(二审稿)第六条在“一审稿”中增加了“采取对个人权益影响最小的方式”,即“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”。

《个人信息保护法(草案)》(一审稿)首先确立了“个人信息权益”,这里的“权益”既包括“权利”,也包括“利益”。网络时代,海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台,特别是一些大型的互联网平台已经形成对个人信息的实际控制和垄断,公民作为信息内容的主体完全不能控制和保护自己的个人信息权益,根本无法了解自己的个人信息在何时、何地被何人以何种方式非法收集、使用、加工、传输。对此,我国《民法典》第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

尽管《民法典》没有就“个人信息权”作出定义,但可以清晰地看出,《民法典》明确了“个人信息权”的基本内涵,其保护的核心不在于“个人信息”本身,而重点在于规制第三人对公民个人信息的收集、使用、加工、传输等行为。因此,公民行使信息权利的基础,是基于公民作为信息主体有权知晓和决定其个人信息在任何时间、任何地方及以何种方式被任何组织或者个人收集、存储、使用、加工、传输、提供、公开。

《个人信息保护法(草案)》第二条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”个人信息权尽管在流通过程中具有财产权属性,但是个人信息权的首要价值目标是人格权属性。因此,《个人信息保护法》作为个人信息权益保护的基础性立法,应当严格限制个人信息的自由流动。

“一审稿”第六条规定:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,不得进行与处理目的无关的个人信息处理。”“二审稿”在“应当限于实现处理目的所必要的最小范围”之后并列增加了“采取对个人权益影响最小的方式”,即“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”。关于“数据最小化”(data minimisation),欧盟GDPR(《通用数据保护条例》)规定了对个人数据处理数量的限制,必须以满足该业务需要的最小数量为限,不得收集任何非必要的个人数据。因此,我国《个人信息保护法(草案)》应当强化“个人数据处理最小化”原则,个人信息的处理必须限于实现处理目的所必要的最小范围,严格限制对个人信息的过度处理,尤其要限制对个人信息的滥用。

完善处理个人信息的基本规则

针对网络运营者过度收集和处理公民个人信息,尤其是APP违法违规过度处理个人信息的乱象,《民法典》第一千零三十五条在《网络安全法》第四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”的基础上增加了“不得过度处理”个人信息的强制性规定,并附加了五个条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。

《个人信息保护法(草案)》(二审稿)第七条参照《民法典》第一千零三十五条和《网络安全法》第四十一条的规定,将“一审稿”中“明示个人信息处理规则”中的“明示”改为“公开”,并增加了“明示处理的目的、方式和范围”,即“处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围”。法律中的“明示”意思为“明确表示”,而“公开”则是面对公众和社会。个人信息处理者的“个人信息处理规则”必须向社会大众公开,不是简单地“明示”。目前,“公开处理信息的规则,明示处理信息的目的、方式和范围”是我国个人信息处理的基本规则,《个人信息保护法(草案)》应当与《民法典》和《网络安全法》保持一致。

强化对未成年人个人信息的保护

2021年6月1日起施行新修订的《中华人民共和国未成年人保护法》第七十二条规定:“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”《个人信息保护法(草案)》(一审稿)第十五条规定:“个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。”“二审稿”将“应当取得其监护人的同意”修改为“应当取得未成年人的父母或者其他监护人的同意”,即“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意”。《未成年人保护法》作为我国保护未成年人的特别法,专章设立了“网络保护”,《个人信息保护法(草案)》有关未成年人的个人信息保护应当与《未成年人保护法》保持一致。

法律条文中的“知道或应当知道”,一般用于诉讼时效期间,指有证据表明权利人知道自己的权利被侵害的日期,或者根据一般规律推定权利人知道自己的权利被侵害的日期。《个人信息保护法(草案)》(一审稿)第十五条将“知道或应当知道”作为个人信息处理者判断其处理的个人信息是否为不满十四周岁的未成年人的,这似乎很难操作。从字面上理解,“知道或应当知道”很简单,但实际内容却很深奥。你说个人信息处理者知道,他会说他不知道,而且有时还真的是不知道。你说个人信息处理者虽然可能是不知道,但按一般规律推定其应当知道的,他却会说为什么我就应当知道?因此,《个人信息保护法(草案)》(二审稿)第十五条删除了“一审稿”中的“知道或应当知道”的表述,只要个人信息处理者处理的个人信息为不满十四周岁未成年人的个人信息,就意味着个人信息处理者“知道”,必须取得未成年人的父母或者其他监护人的同意。

未经个人同意不得公开个人信息

《个人信息保护法(草案)》(一审稿)第二十六条:“个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。”第二十七条:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”

《个人信息保护法(草案)》(一审稿)第二十六条和二十七条中的除外条款是一个“二选一”条款,即“取得个人单独同意或者法律、行政法规另有规定的除外”,“二审稿”删除了“一审稿”中的“或者法律、行政法规另有规定的除外”,只保留了单项“取得个人单独同意的除外”,这就意味着未经自然人单独同意,个人信息处理者不得公开或者向他人提供其处理的个人信息。同时,《个人信息保护法(草案)》还设定了“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意”的规定,“二审稿”在“一审稿”的基础上增加了“个人信息处理者应当提供便捷的撤回同意的方式”。

在实践中,经常发生个人同意进行的个人信息处理活动,但在个人信息处理期间发现个人信息处理者存在“过度处理”其个人信息的行为,该个人想撤回其之前的同意,但网络平台环境下,个人撤回其同意的行为必须得到个人信息处理者的配合,否则个人是无法实现所谓“有权撤回其同意”之目的。《个人信息保护法(草案)》(二审稿)确立的未经个人单独同意不得公开个人信息,以及“个人信息处理者应当提供便捷的撤回同意的方式”的个人信息处理规则,遵循了“以人民为中心”的发展理念,体现了数据私权至上的个人信息处理规则。

强化个人信息处理者的删除义务

《个人信息保护法(草案)》(二审稿)第四十七条规定有五种情形之一的,个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权请求删除:一是处理目的已实现或者为实现处理目的不再必要;二是个人信息处理者停止提供产品或者服务,或者保存期限已届满;三是个人撤回同意;四是个人信息处理者违反法律、行政法规或者违反约定处理个人信息;五是法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

“二审稿”进一步强化了个人信息处理者的删除义务,将“一审稿”第四十七条出现五种情形之一时,“个人信息处理者应当主动或者根据个人的请求,删除个人信息”,修改为“个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”。以上两种表述完全不同,“一审稿”中的“主动或者根据个人的请求,删除个人信息”是一种在“红旗原则”和“避风港原则”之间的选择,只要个人信息处理者选择其中之一,就符合法律的规定;“二审稿”中的“个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”,显然,“二审稿”中的“删除义务”首先应当采用“红旗原则”,即“个人信息处理者应当主动删除个人信息”,只是在“个人信息处理者未删除”的情况下才适用“避风港原则”,即“个人有权请求删除”。

在实践中,“个人信息处理者未删除的,个人有权请求删除”的规定很难实施,首先,个人几乎不可能发现其个人信息被个人信息处理者主动删除的情形;其次,即使发现个人信息处理者未删除的,也不仅仅是个人“有权请求删除”的问题,而应当是强化个人信息处理者的义务,强调“个人信息处理者在接到个人的删除通知后,应当立即删除”。

个人信息处理的合规审计制度

合规性审计的性质是一种经济合规监督活动,主要指审计机构和审计人员依据国家法律、法规和财经制度,对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。审计就其组织形式而言,一般分为内审和外审,前者是指企业内部设立的审计部门,后者是指第三方的审计机构。

《个人信息保护法(草案)》确立了个人信息处理者的合规审计制度,“一审稿”第五十三条规定:“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”事实上,个人信息处理者对其个人信息处理活动是否符合法律、行政法规规定进行合规审计的前提,是基于个人信息处理者对其个人信息处理活动的内部合规管理。

个人信息处理者对个人信息的合规管理,主要是以有效防控个人数据,尤其是防控个人敏感数据合规风险为目的,以个人信息处理者对其控制的个人信息处理活动为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。个人信息的合规管理是所有个人信息处理者的一项自律性要求,没必要规定“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”,只有在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,才委托专业机构对其个人信息处理活动进行合规审计。

因此,“二审稿”第五十四条对“一审稿”第五十三条的内容进行了简化,修改为:“个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。”同时,“二审稿”的第六十三条在“一审稿”第六十条的基础上增加了“要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”,即“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患”。该条款中的“约谈”和第三方审计之间是一种选择关系,但是无论是对该个人信息处理者的法定代表人或者主要负责人进行约谈,还是要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计,个人信息处理者都必须按照要求采取措施,进行整改,消除隐患。

个人信息合规审计的主要目的是控制和避免企业及员工因处理个人信息不合规,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。具体到个人信息合规审计的内容,应当包括规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,遏制个人信息非法收集、滥用、泄露等违规行为,最大限度地保护个人信息权益。因此,个人信息处理者不但要定期对个人信息的处理进行合规审计,而且要公布其审计结果,对不涉及国家秘密、商业秘密和个人隐私的个人信息审计结果应当一律公开,并对审计结果出现的问题限期进行整改,及时消除隐患。

强化互联网平台的保护义务

《个人信息保护法(草案)》(二审稿)增加了对基础性互联网平台个人信息保护义务的内容,“二审稿”第五十七条规定:“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:一是成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;二是对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;三是定期发布个人信息保护社会责任报告,接受社会监督。”

本条中的“个人信息处理者”之前有三个定语:一是提供基础性互联网平台服务,二是用户数量巨大,三是业务类型复杂,这类平台就属于超级互联网平台。当前,超级互联网平台已经很难用产业经济时代的商品或者服务去界定它的性质,提供超级平台的企业也无法用“经营者”来确定它的商业属性。事实上,超级平台已经成为高度数字市场化环境下形成的数字经济基础设施,在超级平台经济体内形成了巨大的双边网络交叉效应,消费者与服务商和供应商以及平台的提供者共同构成了网状交叉协作的数字生态系统,而超级平台就是整个数字生态系统的载体,其性质是为消费者、商家提供信息、交易与物流等要素的数字基础设施。

鉴于超级平台的特殊性,“二审稿”对超级平台设定的三项个人信息保护义务中的“成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”。对此,笔者有些担忧,这可能会出现既不“独立”也不“监督”的情形,就好似《公司法》设立的独立董事制度一样,我国的独立董事制度在很多情形下是既不“独立”也不“懂事”,不能够真正起到监督的作用,其主要原因是我国没有建立第三方的独立董事市场。笔者建议,应当由国家网信部门成立或指定特定的第三方组织履行对平台个人信息处理活动的独立监督职能。

建议国家设立个人信息保护监管机构,对个人信息处理者,尤其是互联网超级平台处理个人信息等行为进行合规性监管,重点监管平台提供者对海量用户数据的控制和处理。欧盟GDPR要求欧盟成员国中每个国家都应当设置相应的数据监管机构,以对本国内部的个人数据处理活动进行有效监管,并与其他成员国之间的数据处理活动进行协调。虽然各成员国因其实际情况而在数据监管机构的具体规定上有所差异,但GDPR明确了各成员国法律中应当明晰的关于数据监管机构的问题。

信息处理者侵权责任过错推定

《个人信息保护法(草案)》(一审稿)第六十五条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”本条中的“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”采用的是“举证责任倒置”的举证分配原则,即“能够证明自己没有过错”。

网络时代,海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台,特别是一些大型的网络运营商已经形成对个人数据和信息的实际控制与垄断,公民作为数据内容的主体完全不能控制自己的个人数据和信息,根本无法了解自己的信息和数据在何时、何地被何人以何种方式非法收集、使用、加工、传输。对此,《民法典》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”可见,个人信息权益保护的重点在于如何规制个人信息处理者对公民个人信息的收集、使用、加工、传输等行为。因此,当个人信息权益受到侵害时,个人信息处理者是否应当承担赔偿的举证责任,不是由个人信息处理者能够证明自己没有过错,而应当由个人信息处理者不能证明自己没有过错。

为此,“二审稿”第六十八条将“一审稿”中的“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”,调整为“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这是一项“过错推定”原则,即在个人信息处理者不能证明其没有过错的情况下,就推定其有过错,应承担赔偿损害责任,符合《民法典》第一千一百六十五条规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”


地方动态

中国信息协会第四届信息技术服务业应用技能大赛新闻发布会在京召开

务虚求实定思路 凝心聚力谋新篇|中国信息协会召开分支机构工作座谈会

《中国城市产业营商环境发展报告2022》正式发布

2023年第十七届iCAN大学生创新创业大赛全国总决赛在北京奥林匹克塔成功举行

  • 协会要闻
  • 通知公告