《个人信息保护法（草案二审稿）》十大修订...

点击可查看大图

从上述条文对比可以看出，《个保法（草案二审稿）》共新增了两条规定，具体解析如下：

第一，新增“依照本法规定在合理的范围内处理已公开的个人信息”作为处理个人信息的合法性基础。相较于《民法典》第一千零三十六条将其作为免责事由[2]，《个保法（草案二审稿）》直接将其作为合法性基础，有助于减少将其作为免责事由可能产生的争议和不确定性。但需要指出的是，本条规定依然具有一定的不确定性，即如何界定“合理的范围”，可能需要结合具体场景进行个案分析，如难以把握是否合理或者明显难以论述属于合理范围，则最好不要将该条作为处理个人信息的依据。比如，实践中探讨较多的、利用企业相关的个人通过工商公示信息、地图软件公示信息等公开的联系方式进行金融营销，就难以论述是在合理的范围内处理已公开的个人信息。

第二，明确依照“同意”之外的合法性基础处理个人信息，无需取得个人同意。《个保法（草案二审稿）》新增该规定，主要在于防止本法律条文之间的冲突。例如，第十五条规定处理儿童个人信息应取得父母或者其他监护人同意，但如果处理儿童个人信息的所有情形都需要取得同意，将直接与第十三条规定的合法性基础产生冲突。因此，如果依照“同意”之外的合法性基础处理儿童个人信息，无需取得同意。

点击可查看大图

从上述条文对比可以看出，《个保法（草案二审稿）》完善个人撤回同意的要求主要包括以下两点：

第一，新增提供便捷撤回同意方式的要求，直指实践中出现的撤回同意的方式隐藏过深、过于复杂等问题。该等问题的存在，系相关企业采取的“小心思”，希望以此“诱导”部分用户放弃撤回同意。

第二，新增规定“个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力”。该规定与《信息安全技术 个人信息安全规范》（GB/T 35273-2020，以下简称“《个人信息安全规范》”）第8.4条规定的“撤回授权同意不影响撤回前基于授权同意的个人信息处理”在精神上保持一致，系将成熟的国标规定上升为法律规定。

《个保法（草案二审稿）》新增第三十七条规定“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定”，加强了对具有管理公共事务职能的组织处理个人信息的规范要求。

法律、法规授权的具有管理公共事务职能的组织，该表述在《行政法》《行政许可法》《行政强制法》《政府信息公开条例》等法律法规中均有出现。[3]结合相关立法和司法实践，政府疾病预防控制中心[4]、政府房屋征收办公室[5]等组织为“法律、法规授权的具有管理公共事务职能的组织”。

点击可查看大图

从上述条文对比可以看出，对于向中国境外提供个人信息且使用订立合同为出境条件的情形，《个保法（草案二审稿）》新增要求与境外接收方订立合同应为“国家网信部门制定的标准合同”，有助于统一、规范合同内容，防止企业自行起草相关合同时可能产生的流于形式、内容不完善、要求不到位等问题。

当然，现在尚无这里所说的标准合同文本，具体合同文本尚有待后续国家网信部门加以制定和公布。

点击可查看大图

从上述条文对比可以看出，《个保法（草案二审稿）》明显加强了对向境外司法或执法机构提供个人信息的监管，具体分析如下：

第一，将条文规定调整为禁止性规定，即从“应当依法申请批准”调整为“非经批准不得提供”。该等调整意味着，如不遵照其执行，将明显违反法律的禁止性规定，对企业合规、融资、上市等产生重大的影响。

第二，扩大了向境外提供个人信息的监管适用情形，即不再限于“国际司法协助或者行政执法协助”，只要中华人民共和国境外的司法或者执法机构要求提供存储于中国境内的个人信息，均适用本条的规定，有助于更好地封堵境外机构的“长臂管辖”。

第三，将“从其规定”调整为“可以按照其规定执行”，意味着可以按照本条规定而不按照相关国际条约、协定的规定执行。该等调整，有助于防范境外主体单方从有利于其本身角度对国际条约、协定的规定进行解释，从而绕开本条的规定进行“长臂管辖”。

《个保法（草案二审稿）》新增第四十九条规定“自然人死亡的，本章规定的个人在个人信息处理活动中的权利，由其近亲属行使”，有助于对死者个人信息权益的保护。

在大数据时代，自然人的个人信息一般会被非常多的企业掌握。《网络安全法》、《民法典》等现行有效的法律法规对自然人的个人信息权利作出了明确规定，确保自然人能够自行主张和维护个人信息权益，但均未涉及在自然人死亡后个人信息权益的保护。本条规定填补了该等立法的空白。举例来说，部分自然人希望在死亡后其个人社交账号能够注销，在本条规定之下，该死者的近亲属就可以向相关企业提交注销其账号的申请。

对此，需要企业在正常的个人信息权益响应机制之外，建立死者个人信息权益响应机制，例如审查自然人的死亡证明、近亲属的身份，并在审查通过的情况下响应相应的权益主张。

​

《个保法（草案二审稿）》第五十七条新增规定“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；（二）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（三）定期发布个人信息保护社会责任报告，接受社会监督”，首次从法律层面明确提出强化超大互联网平台个人信息保护义务的要求。

对于该条规定，需要重点理解“适用主体”、“成立主要由外部成员组成的独立机构”和“定期发布个人信息保护社会责任报告”三个要点：

1、“适用主体”，即“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”

（1）“基础性互联网平台服务”

“基础性互联网平台服务”系由《个保法（草案二审稿）》首次提出，其准确界定还需要后续相关的立法解释、配套规定的明确和实践的探索。

对于“互联网平台”的理解，可供参照的规定为2021年2月7日发布并生效的《国务院反垄断委员会关于平台经济领域的反垄断指南》。该指南第二条明确了“互联网平台”和“平台经营者”的概念，其规定“相关概念（一）平台，本指南所称平台为互联网平台，是指通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态。（二）平台经营者，是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。”

中国互联网协会于2021年4月27日发布了《互联网平台企业依法合规经营倡议书》，并得到首批150家互联网企业积极响应，[6]其中涉及的这150家互联网平台企业亦可以作为理解本条范围的参考。需要指出的是，本条还增加了“基础性”的限制，也就意味着并非所有互联网平台企业都能纳入本条适用范围。

张新宝教授在对《个人信息保护法（草案）》提供立法建议时，引入了“守门人”的概念，亦可作为理解“基础性互联网平台服务”的参考。张新宝教授将“守门人”界定为“控制关键环节，有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”，主要包括应用程序的分发平台、移动终端操作系统、搭载小程序的大型App平台。[7]张新宝教授的上述观点和思路，已经体现在《移动互联网应用程序个人信息保护规定（征求意见稿）》的部分规定之中，[8]例如其第九条对App分发平台、第十条对移动智能终端生产企业提出了个人信息保护义务的具体要求。

当然，需要强调的是，请以立法部门、监管部门等职能部门的准确认定为准。

（2）“用户数量巨大”

如何界定“用户数量巨大”，我们先来从比较法的角度看一下。欧盟委员会于2020年12月15日公布《数字市场法（草案）》（Digital Markets Act），其第3条第2款对“守门人”（在数字市场中达到一定规模或具有一定影响的科技企业）采取的界定标准之一为“使用核心平台服务的月活跃终端用户数超过4500万，包含本土用户和暂居于欧盟境内的用户；或者上一财政年度内拥有注册于欧盟境内的商业用户超过10000家”。[9]

而我国人口基数、经济发展水平、互联网平台发展情况等与欧盟均存在明显的差异，用户数量过亿甚至月活用户过亿的平台都不在少数。如何认定“用户数量巨大”，有待后续相关的立法解释、配套规定的明确和实践的探索。

2、“成立主要由外部成员组成的独立机构”

“外部成员组成的独立机构”，有助于加强对超大互联网平台的监督，一定程度上提高其处理个人信息活动的透明度。从理解的角度，这些外部成员应是属于与公司无劳动关系、无关联关系、无隶属关系等无任何可能影响公平、公正履职情形的人员。对于适合的成员，可能包括长期从事个人信息保护研究的法学专家、技术测评专家、律师等。

对于该等规定，在我国现行公司法相关实践中，可供参照的类似实践为公司的独立董事、外部董事等。在企业相关实践中，腾讯于2018年12月27日邀请知名行业专家、学者担任隐私观察员，[10]一定程度上算是对本条规定的“先行先试”和有益探索。

3、“定期发布个人信息保护社会责任报告”

企业社会责任报告已屡见不鲜，其内容一般包含企业为科技创新、社会发展、公益事业、节能减排等作出的努力和贡献。但“个人信息保护社会责任报告”则是《个保法（草案二审稿）》首次明确提出的概念和要求。与之相类似的企业探索为部分企业发布的《隐私保护白皮书》，如腾讯[11]、中兴[12]等均发布过《隐私保护白皮书》。

对于“个人信息保护社会责任报告”的内容，从理解的角度，可能包括本公司个人信息保护战略、个人信息保护合规体系、个人信息保护相关制度情况、个人信息保护安全措施、防范和处理个人信息安全威胁或安全事件情况、参与个人信息保护相关立法、国家标准等文件制定、修改的情况、举办个人信息保护相关论坛、讲座、研讨会等的情况、赞助、支持个人信息保护相关研究活动和技术攻关等活动的情况、对用户个人信息保护的教育、用户个人信息权益主张的响应情况等。准确的报告内容要求，还需要后续相关的立法解释、配套规定的明确和实践的探索。

《个保法（草案二审稿）》第五十八条新增规定“接受委托处理个人信息的受托方，应当履行本章规定的相关义务，采取必要措施保障所处理的个人信息的安全。”

本条规定系新增强调受托方个人信息保护义务，与《个人信息安全规范》第9.1条“委托处理”中对受托者的规定在精神上有相似之处。新增本条规定可能系基于如下考虑：《个保法（草案二审稿）》第四条第二款对“个人信息的处理”的定义中，[13]并未将“受托处理”列举在内，受托处理者可能基于该等“空白”而主张不适用本法的规定。

点击可查看大图

从上述条文对比可以看出，《个保法（草案二审稿）》进行了如下调整：

第一，明确国家网信部门统筹协调的权限。该规定与2021年4月26日发布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称“《App保护规定（征求意见稿）》”）第四条第一款[14]对国家网信部门的权限规定在精神上一致，有助于进一步厘清监管部门的职责分工。

第二，强化新技术、新应用的立法和研究工作。2020年12月21日，全国人大常委会法工委发言人、立法规划室主任岳仲明透露“人脸识别等新技术的应用和发展，给个人信息保护带来许多新挑战。全国人大常委会法工委将就有关问题进一步广泛听取意见，深入研究论证。”《个保法（草案二审稿）》直接将其上升为法律规定，有助于推动敏感个人信息以及人脸识别、人工智能等新技术、新应用的专门立法。

点击可查看大图

从上述条文对比可以看出，《个保法（草案二审稿）》明确个人信息侵权行为的归责原则为过错推定，大大减轻了个人信息主体的举证责任。该规定有助于解决在既往司法实践中，适用过错和“谁主张谁举证”原则导致的个人信息主体维权成本高且举证难的问题。

对于企业而言，不仅要做好个人信息相关的合规安排，还要做好相应的“留痕”，确保能够证明已经采取了法律法规规定的、必要的个人信息合规措施，否则不能证明自己没有过错，需要承担损害赔偿等侵权责任。

此外，需要指出的是，本次修订解决了《个保法（草案）》第六十五条可能产生的争议，即如按《个保法（草案）》第六十五条，即使个人信息处理者能够证明自己不存在过错，仍可能需要承担相应的赔偿责任。