图片 
本刊简介《“透明人”时代的个人信息保护》系列报道之六
个人信息保护法草案二审都修改了些啥?
随着移动互联网、云计算、大数据、物联网和人工智能等新技术的迅速发展和应用,信息技术与经济社会持续深度融合。在这一背景下,个人信息的价值日益凸显,但同时个人信息泄露滥用、非法买卖等问题也更加突出。为保护个人信息权益,我国近年来高度重视和积极推进个人信息保护立法工作。
党的十八大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在编纂民法典中,进一步明确了处理个人信息应遵循的原则和条件,构建了自然人与信息处理者之间的基本权利义务框架。
虽然近年来我国个人信息保护力度不断加大,个人信息保护法律制度逐步建立,但是实践中随意收集、违法获取、过度使用、非法买卖个人信息而侵害人民群众合法权益的问题仍较为突出。以数据为新生产要素的数字经济蓬勃发展,对统筹个人信息保护与利用的需求也愈发迫切,有必要全面地规范个人信息处理活动,因此在现行法律基础上制定出台专门法律便提上议程。
2018年,制定个人信息保护法正式列入了十三届全国人大常委会立法规划和年度立法工作计划。随后,全国人大常委会法制工作委员会会同中央网络安全和信息化委员会办公室,着手研究起草个人信息保护法草案,经反复研究修改,形成了《中华人民共和国个人信息保护法(草案)》(以下简称“《草案》”)。第十三届全国人大常委会已经先后于2020年10月和2021年4月对《草案》进行了两次审议,这两次审议的《草案》文本(以下简称“一审稿”和“二审稿”)都已经向社会公开征求意见。
目前,我国个人信息保护的专门立法和制度设计正在紧锣密鼓地进行中。 《草案》二审稿对一审稿究竟做了哪些修改呢?
确立个人信息处理应遵循七大原则
《草案》二审稿在第5条至第9条规定了个人信息处理应遵循的七大基本原则,并将这些原则要求贯穿于个人信息处理的全过程、各环节。
具体包括:合法正当原则(第5条)、目的明确原则(第6条)、最小必要原则(第6条)、公开透明原则(第7条)、保证质量原则(第8条)、可问责原则(第9条)、安全保障原则(第9条)。相较于网络安全法、民法典的有关规定,《草案》首次规定了保证质量原则和可问责原则,并进一步细化了最小必要等个人信息处理原则的内涵。
在《草案》一审稿征求意见过程中,一些常委会组成人员和地方、部门、专家、社会公众提出,当前,个人信息收集、使用规则不透明及过度收集、使用等问题仍很突出,建议有针对性地完善相关内容。
对此,《草案》二审稿对一审稿的相关规定进行了相应的修改完善:对于合法正当原则,增加规定不得通过“胁迫”方式处理个人信息;对于最小必要原则,明确处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式;对于公开透明原则,明确处理个人信息应当公开个人信息处理规则,明示处理目的、方式和范围;对于保证质量原则,删去“及时更新”的表述,明确应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。这些修改完善,既有利于进一步与网络安全法等既有法律规定做好衔接,也有利于充分维护个人信息主体的合法权益,彰显该法保护个人信息的价值取向。
合理利用已公开个人信息有了法律依据
为保护个人信息主体的合法权益,《草案》二审稿确立了以“告知—同意”为核心的个人信息处理一系列规则,包括:要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意;个人信息处理者不得以个人不同意为由,拒绝提供产品或者服务(第14条、第17条)。相较于《草案》一审稿,二审稿进一步完善了“个人撤回同意”的规则,增加规定:个人信息处理者应当为个人提供便捷的撤回同意的方式;个人撤回同意,不影响撤回同意前已进行的个人信息处理活动的效力(第16条)。
考虑到经济社会生活的复杂性和个人信息处理的不同情况,不同于网络安全法将同意作为处理个人信息的唯一合法基础,《草案》二审稿第13条还规定了基于个人同意以外合法处理个人信息的情形,包括:为订立或者履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;依照本法规定在合理的范围内处理已公开的个人信息;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;法律、行政法规规定的其他情形。
明确个人信息处理的多元合法基础,有利于促进个人信息合理利用,充分实现个人信息上的多元价值。例如,近期为了新冠肺炎疫情防控,收集利用病患相关个人信息,就是为应对突发公共卫生事件处理个人信息的典型例证。再如,目前常见的企查查、天眼查等App,就是大量收集了企业股东信息、企业高管简介等合法公开的个人信息,这种使用并没有侵害相关主体的重大利益,属于个人信息的合理利用。《草案》二审稿新增“在合理的范围内处理已公开的个人信息”这一合法基础,就这种合理利用已公开个人信息的行为提供了法律依据。
明确了个人信息处理的不同环节的要求
根据个人信息处理的不同环节,《草案》二审稿对个人信息的共同处理、委托处理、向他人提供等提出了有针对性的要求。
明确了个人信息共同处理的要求:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务;个人信息处理者共同处理个人信息,侵害个人信息权益的,应当承担连带责任(第21条)。
明确了个人信息向他人提供的要求:个人信息处理者向他人提供其处理的个人信息的,应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息;接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意(第24条)。
明确了个人信息委托处理的要求:个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督;受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;未经委托方同意,受托方不得转委托他人处理个人信息(第22条)。
在《草案》一审稿征求意见过程中,很多意见建议关注个人信息委托处理后,受托方对个人信息的后续处理问题;有的常委会委员和部门、专家提出,接受委托处理个人信息的受托方,不属于本法规定的个人信息处理者,但仍应履行相应的个人信息安全保护义务,建议增加这方面的内容。
对此,《草案》二审稿相较于一审稿,进一步完善了个人信息委托处理的要求:第22条明确委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留;新增第58条明确个人信息处理的受托方应该履行相应的个人信息安全保护义务,采取必要措施保障所处理的个人信息的安全。这些新增规定有利于进一步降低委托处理的个人信息被滥用风险。
规范了新技术新应用对个人信息的处理
面对自动化决策、人脸识别等新技术新应用带来的个人信息保护新挑战,《草案》二审稿作出了针对性规定。
随着自动化决策技术的普遍应用,利用个人信息进行自动化决策日益频繁,随之带来了侵害个人合法权益、“大数据杀熟”等新问题。二审稿第25条对利用个人信息进行自动化决策作出了规范:利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理;通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。此外,对于通过自动化决策方式进行商业营销、信息推送的情形,规定应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。其中,“向个人提供拒绝的方式”是二审稿的新增规定。这些规定有利于解决“大数据杀熟”等顽疾,有利于充分保护消费者的知情权和选择权。
近年来,无处不在的人脸识别、视频监控设备,使得非法收集和滥用人脸等敏感个人信息的问题日益突出。例如今年央视“3·15”晚会,就曝光了科勒卫浴、宝马等商家安装人脸识别摄像头非法收集人脸信息的行为。这些敏感个人信息一旦被泄露和滥用,就有可能威胁个人的人身安全、财产安全甚至是公共安全、国家安全。
二审稿第27条对公共场所安装图像采集、个人身份识别设备作出了规范:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。二审稿将在公共场所安装图像采集、个人身份识别设备,限于“为维护公共安全所必需”,并要“遵守国家有关规定”“设置显著的提示标识”,有利于严格规范公共场所图像采集、个人身份识别设备的安装和使用,从而在源头上避免人脸等敏感个人信息被非法收集和滥用,值得高度肯定。但也应注意到,“公共场所”的含义比较宽泛,目前在公共场所安装图像采集、个人身份识别设备除了涉及公共安全目的之外,还涉及公共场所人流统计、刷脸自动支付等多种应用场景,从这个角度看二审稿的上述规定仍有进一步完善的空间。
此外,考虑到新技术新应用存在多变性和不确定性,《草案》二审稿在作出必要规定的同时,还授权国家网信部门统筹协调有关部门针对人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准(第61条)。这些规定为新技术新应用发展预留了空间,较好地平衡了安全和发展的关系。
完善了个人信息跨境提供规则
《草案》二审稿第三章进一步完善了个人信息跨境提供规则:
一是明确个人信息跨境提供的四种合法途径,包括:特定情形通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立达到保护标准的合同以及满足法律、行政法规或者国家网信部门规定的其他条件。(第38条)同时,对跨境提供个人信息的“告知—同意”作出更严格的规定,要求应当取得个人的单独同意(第39条)。
二是明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估(第40条)。
三是明确境外的司法或者执法机构要求提供存储于我国境内的个人信息的,非经我国主管机关批准,不得提供(第41条)。
四是对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施(第42条、第43条)。
专章规定了个人信息处理活动中的个人权利和处理者义务
《草案》二审稿分两章规定了个人信息处理活动中的个人权利和处理者义务:
一是第四章与民法典有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制(第44条至第48条、第50条)。
二是第五章明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对个人信息处理活动进行监督;定期对个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等(第51条、第52条、第54条至第56条)。
在《草案》一审稿征求意见过程中,有的部门、专家建议,应该关注超大型互联网平台的个人信息保护问题,并加强监督。对此,《草案》二审稿新增第57条,强化了超大型互联网平台的个人信息保护义务。该条规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督。从目前的规定看,这种超大型互联网平台的具体范围,有待在法律实施中进一步明确。
进一步明确了个人信息保护监管职责
个人信息保护涉及各个领域和多个部门的职责。《草案》二审稿根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作和相关监督管理工作的统筹协调,发挥其统筹协调作用;同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作(第59条第1款)。
在《草案》一审稿征求意见过程中,有的部门、专家提出,应当充分发挥国家网信部门的统筹协调作用,推进配套规定制定等工作,保证本法有效贯彻实施。对此,《草案》二审稿进一步明确了国家网信部门统筹协调有关部门推进个人信息保护有关工作的职责,包括:制定个人信息保护具体规则、标准;针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准;支持研究开发安全、方便的电子身份认证技术等(第61条)。这有利于充分发挥国家网信部门的统筹协调作用,推进配套规定制定等工作,确保未来个人信息保护法有效贯彻实施。
个人信息侵害损害修改为过错推定原则
《草案》二审稿对违法处理个人信息规定了较为严厉的行政处罚。一方面,对于一般违法行为,延续了网络安全法相关规定,规定了责令改正,给予警告,没收违法所得;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。另一方面,规定了违法行为情节严重时高达5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款(第65条)。有关组织、个人的相关违法行为还会被记入信用档案并予以公示(第66条)。这些规定,体现了我国严格规制个人信息滥用行为、切实维护网络空间良好生态的立法初衷。
对于民事责任,《草案》一审稿曾规定:“因个人信息处理活动侵害个人信息权益,个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”在征求意见过程中,有观点建议,根据过错推定责任原则确定侵害个人信息权益的损害赔偿责任。《草案》二审稿接受了这一建议,将上述规定修改为:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第68条第1款)。”
此外,《草案》二审稿还规定了公益诉讼制度,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼(第69条)。
综上,《草案》二审稿进一步明确了个人信息处理活动应遵循的原则,完善了个人信息处理规则,保障了个人在个人信息处理活动中的各项权利,强化了个人信息处理者的义务,明确了个人信息保护的监管职责,并设置了严格的法律责任。相信随着个人信息保护法制定出台,必将极大增强我国个人信息保护法律规范的系统性、针对性和可操作性,有力推动我国形成完备的个人信息保护制度体系,进而有利于实现在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动我国数字经济持续健康发展。
(本文作者系中国法学会法治研究所研究员)
● 责任编辑:王健