您好,欢迎光临北大公法网! 中文版|ENGLISH|老网站入口

联系我们

北京大学宪法与行政法研究中心
地址:北京市海淀区颐和园路5号北京大学法学院四合院
电话:86-10-62760063
传真:86-10-62760063
E-mail:pkupubliclaw@126.com
您当前的位置:首页 > 法政时评

《个人信息保护法(草案)》二审稿九大变化解析

点击量:1382

继2020年10月21日《个人信息保护法(草案)》(“一审稿”)正式对外发布后,业界翘首以待的《个人信息保护法(草案)》(二次审议稿)(“二审稿”)于2021年4月29日正式发布征求意见,标志着中国的个人信息保护立法进程进入快车道。可以预见,本法在今年三审通过正式颁布的可能性很大。 

与一审稿相比,二审稿的基本结构没有变化,但针对具体要求而言,修订要点如下:

1.总则方面更加注重对于个人信息主体权益的实质影响;

2.新增依法在合理范围内处理已公开个人信息处理无需获得同意的合法基础;

3.明确同意这一合法基础与其他合法基础的关系及撤回同意的效力;

4.细化委托处理中受托方删除数据的场景并新增受托方安全义务的具体要求;

5.数据跨境传输方面明确网信部门将出具跨境传输标准合同,严格限制未经境内监管机构批准向境外监管机构提供境内存储个人信息的行为;

6.新增自然人死亡的相关权利行使规定以及细化删除权的实现要求;

7.新增大型平台等“守门人”更为严格的合规义务;

8.对于监管部门提出针对新技术、应用、电子身份认证技术推进个人信息保护工作的新要求;

9.加强个人信息处理者承担责任的方式为过错推定。

除了上述变化之外,之前业界呼吁的“新增正当利益”,“明确单独同意的实现要求”,“向第三方提供个人信息的场景区分”以及“明确数据本地化及跨境传输的具体触发条件”等热点争议条款均未进行实质性调整,对企业合规工作可能产生更为紧急的挑战,我们将会在下文对一审稿和二审稿正文进行对比分析,明确上述变与不变对于企业的影响,以帮助企业更好地了解制度沿革和未来的立法、执法趋势。


要点1:基本原则强调对于个人信息主体权益的实质性影响

二审稿禁止通过胁迫方式处理个人信息,强调最小必要原则,细化明示要求的细节,修改准确及时为保证质量,在原则处的修改一方面体现了与《网络安全法》等生效法规的衔接,另一方面体现了对于个人信息主体权益的重视,更加凸显该法案作为个人信息保护的基本大法的价值取向。


要点2:合法基础新增已公开个人信息的依法合理利用

合法基础的修改一直是业界关注的重点,本次新增一项合法基础为“依照本法规定在合理范围内处理已公开的个人信息”。对于个人信息的公开,草案设定有严格的法律要求,相关的规定包括:

个人信息处理者未经个人单独同意不得公开其处理的个人信息(第二十六条);

在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,未经个人单独同意不得公开或向他人提供(第二十七条);

对于已公开的个人信息使用应符合公开用途,超出相关合理范围的应取得个人同意;如公开用途不明确的,应当合理、谨慎处理;利用已公开的个人信息从事对个人有重大影响的活动,应当取得同意;个人信息处理者应对公开个人信息进行事前风险评估并进行记录(第五十五条)。


该新增条款对于已公开个人信息的合理合规利用具有积极意义,与《个人信息安全规范》中取得授权同意的例外条款相互呼应,较之一审稿,有效解决了对于已公开个人信息的合理利用通常难以获得同意的合规障碍。


要点3:明确同意与其他合法基础的区分以及撤回同意的效力

结合第十三条最后一款中区分同意与其他合法基础规定,进一步明确了企业在落地相关合法要求时具体的合规设置,更清晰地突破了《网络安全法》同意作为唯一合法基础的框架,对于企业合规实操具有积极意义。此外,与同意相关的以下修订中调整了同意的具体表述,明确了撤回同意的便捷性以及撤回同意不影响之前同意的效力,与GDPR以及行业的良好实践互相呼应,在保护个人信息主体的权益和促进企业对于个人信息的合规利用方面达成了平衡。


要点4:明确委托处理关系无效或终结的情形及受托方的安全义务

二审稿针对委托处理场景细化了约定的内容(增加了期限),明确受托方在委托合同不生效、无效、被撤销或者终止的情形下应及时返还或删除,不得保留,降低不合规留存数据的非法利用的风险,此外还在五十八条项下新增了受托方的安全义务要求,立法技术更为周延。


要点5:中国版SCC呼之欲出,数据跨境的反制机制加强

跨境传输标准条款的设置在二审稿中得到明确,将由国家网信部门负责制定,该等设置借鉴了GDPR的规定,对于跨境传输数据治理的标准化具有重要意义。结合目前的国际形势,在响应境外监管机构调取境内个人信息的需求的场景下,以及在对待其他国家在个人信息保护方面对于中国采取限制措施的情形下,二审稿相较一审稿的相关要求均更为严格,对于我国应对该等跨境传输的不利或限制情形提供了法律依据。


要点6:新增死者个人信息权利行使的继受

与一审稿相比,用户享有的个人信息权利没有发生显著变化。二审稿扩展了满足用户删除权的条件,除处理目的已实现外,当该个人信息已不再是实现处理目的所必要的信息,个人信息处理者也应主动删除。同时,二审稿还为个人信息处理者停止处理的情形设定了宽限条件,允许仅采取存储和必要的安全保护措施。另外,二审稿增加第四十九条,对死者的个人信息权利行使作出规定,可以由其近亲属代为行使。这是我国法律法规首次对网络遗产(人格亦或财产方面)的处置作出直接规定,体现了深切的人文关怀。


要点7:新增“守门人”企业个人信息保护的增强义务

值得注意的是,二审稿特别为个人信息处理者界定了一个新的类别,即提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。此类个人信息处理者不仅仅为用户提供单一的产品或服务,而是可能构建了庞大的用户生态群,贯穿用户的衣食住行等日常生活,影响其他个人信息处理者的运营活动,甚至可能成为了游戏规则的制定者。同时,由于个人信息处理规则不透明、内部治理架构及政策不公开,此类个人信息处理者也往往面临着较高的个人信息滥用或泄露的风险。因此,二审稿规定其应当成立主要由外部成员组成的独立机构,且需定期发布个人信息保护社会责任报告,接受独立机构和社会的双重监督。如该类个人信息处理者严重违反法律、行政法规处理个人信息者,也将面临更加严格的处罚措施,需直接停止提供服务。这项规定呼应了目前平台治理的大趋势。


这项规定类似于2020年欧盟委员会出台的《数字服务法(草案)》中所界定的“守门人”企业,是指对欧盟市场有重大影响、运营核心平台服务、在业务中享有稳固和持久地位的核心平台服务提供商。《数字服务法(草案)》通过财政收入水平、活跃用户量、市场调查等方式对“守门人”企业进行衡量,但是二审稿中并没有明确界定此类个人信息处理者的具体标准,相关规则尚待进一步的细化。


要点8:人工智能、自动化决策等新技术、新应用的特别关注

二审稿进一步明确了国家网信部门在推进个人信息保护工作中的统筹协调职责,并划定了下一步的工作方案,表达了对敏感个人信息以及人脸识别、人工智能等新技术、新应用,以及电子身份认证技术的特别关注。对于采取自动化决策方式进行商业营销、信息推送的企业,二审稿还额外规定了需向用户提供拒绝方式这一义务,体现了对消费者知情权等合法权益的保护,也提升了广大用户的使用体验。今年两会,代表热议个人信息保护,此内容的增加体现了立法对社会关注热点领域的快速响应。


要点9:明确举证责任倒置,设定严格责任,保护弱势群体权益

在实践过程中,当用户个人信息权益被侵犯时,根据“谁主张谁举证”的原则,处于弱势一方的用户反而面临着较高的维权成本。二审稿将一审稿中规定的“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”,修改为“个人信息处理者不能证明自己没有过错的,应该承担损害赔偿等侵权责任”。此项修订体现了个人信息侵权的举着责任已经过渡到过错推定责任。在过错推定责任中,举证责任发生了倒置,受害人无需就处理者的过错负举证责任,处理者只有证明自己没有过错或者存在法律规定的抗辩事由才可以免责。此项变化不仅减轻了用户的举证责任,而且符合“加大企业责任”的立法价值取向。另一方面,由于个人信息处理者算法不透明等因素,此处举证责任倒置的设置也有其合理基础。对于企业而言,则需在日常工作中做好自身保护,应更加细致地记录个人信息处理活动。


除以上九大要点之外,二审稿还对一审稿的部分条文进行了细微调整,如明确履行个人信息保护职责的部门在履行职责过程中的书面报告程序,扩大法律、法规授权的具有管理公共事务职能的组织的适用范围,删除个人信息处理者需公开个人信息保护负责人的姓名的要求等。


总结和建议

二审稿的修改体现了关怀个体权益、强化企业责任的立法思路,从基本原则、个人信息主体权利、举证责任倒置等方面强调对个人信息主体权益的实质性影响,通过新增“守门人”数据合规义务等条款加强企业的透明度及社会责任,进一步探索用户权益与企业义务之间的有效平衡。另一方面,部分呼声很高的争议条款如正当利益、单独同意、跨境传输等并未呈现进一步的明确与修改,企业需持续观察立法动态,并结合自身个人信息处理活动的风险和合规程度,尽早采取应对措施。二审稿紧锣密鼓的审议凸显了我国保护用户个人信息权益、维护网络空间良好生态的决心。随着立法进程的加快,我们预测个人信息保护法的正式版将会不日发布。


文章来源:“威科先行法律信息库“微信公众号,作者陈际红、蔡鹏、吴佳蔚、焦雅婷,此处省略原文对比表。

敬请关注
博雅公法