<form id="zvbrx"></form>

            <form id="zvbrx"><form id="zvbrx"></form></form>

              ×

              打開微信,掃一掃二維碼
              訂閱我們的微信公眾號

              ×

              打開手機,掃一掃二維碼
              即可通過手機訪問網站并分享給朋友

              EN

              《個人信息保護法》(草案二次審議稿)綜述|MHP君悅評論

              2021-05-14291

              攝圖網_500474565_wx_信息安全(企業商用).png


              第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》(“《一次審議稿》”)進行了審議并于2020年10月21日公布了《一次審議稿》[1],向社會公開征求意見。2021年4月,第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法(草案二次審議稿)》(“《二次審議稿》”)進行了審議,并于2021年4月29日公布了《二次審議稿》,繼續向社會公開征求意見。征求意見截止日期為2021年5月28日。個人信息保護涉及到每個人的切身利益,個人信息保護的立法正穩步推進。本文擬結合《一次審議稿》,介紹《二次審議稿》的最新變化,方便大家了解個人信息保護的立法動態(為方便閱讀,本文中《二次審議稿》的修改內容以下劃線斜體字表示)。



              一、個人信息與敏感個人信息


              《二次審議稿》在第4條和第29條分別定義了個人信息和敏感個人信息。


              圖片11.png


              相比《一次審議稿》,《二次審議稿》對個人信息和敏感個人信息的定義未做修改。



              二、個人信息處理及其原則


              《二次審議稿》沒有修改“個人信息的處理”的范圍,僅做了細微的文字調整:個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。個人信息處理者,是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。


              但是,《二次審議稿》進一步強化了處理個人信息應當遵循的各項原則,從以下總結中的斜體字可以看到《二次審議稿》著重強調的處理原則:

              • 采用合法、正當的方式,遵循誠信,不得通過誤導、欺詐、脅迫等方式處理個人信息

              • 具有明確、合理的目的

              • 限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式(不得進行與處理目的無關的個人信息處理)

              • 公開、透明,公開個人信息處理規則,明示處理的目的、方式和范圍

              • 處理個人信息保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響


              《二次審議稿》對個人信息處理的新要求對個人信息處理者提出了更高的合規標準。但是,判斷何為“所必要”的最小范圍,何為“對個人權益影響最小的方式”,在實踐中并不容易掌握。而新修改的“公開個人信息處理規則”,較之《一次審議稿》的“明示個人信息處理規則”,似乎要求信息處理者不僅要對數據主體一對一明示處理規則,還必須做到“公開”,而且明確公開的處理規則需要包括處理的目的、方式和范圍。



              三、適用范圍(包括域外效力)


              《二次審議稿》沒有修改《個人信息保護法》的適用范圍(包括其域外效力),僅對文字進行了微調。


              圖片12.png



              四、個人同意 + 特定例外事由


              《二次審議稿》堅持個人同意+特定例外事由的個人信息處理規則。相比《一次審議稿》,《二次審議稿》要求個人信息處理者在以下七種情形下才能處理個人信息(其中第(2)項至第(7)項即為特定例外事由,增加了第(5)項):

              (1)取得個人的同意;

              (2)為訂立或者履行個人作為一方當事人的合同所必需;

              (3)為履行法定職責或者法定義務所必需;

              (4)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;

              (5)依照本法規定在合理的范圍內處理已公開的個人信息;

              (6)為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息;

              (7)法律、行政法規規定的其他情形。


              為了更好說明個人同意+特定例外事由的處理規則,《二次審議稿》特別增加了一款:依照本法其他有關規定,處理個人信息應當取得個人同意,但有前款第二項至第七項規定情形的,不需取得個人同意。即符合上述所列第(2)項至第(7)項情形之一的個人信息處理無需取得個人同意。



              五、告知+個人同意


              《二次審議稿》仍然基本沿用《一次審議稿》有關個人信息處理的告知+個人同意的機制,僅對相關條款做了細微文字修改。


              個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項(除非法律、行政法規另有要求):

              • 個人信息處理者的身份和聯系方式;

              • 個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;

              • 個人行使本法規定權利的方式和程序;

              • 法律、行政法規規定應當告知的其他事項。


              個人同意:

              • 個人同意是個人在充分知情的前提下,自愿、明確作出意思表示(或者是法律法規要求的個人單獨同意或書面同意)

              • 處理目的、處理方式和處理的個人信息種類發生變更,應重新取得個人同意

              • 個人有權撤回其作出的同意


              《二次審議稿》強化了個人同意撤回權的保護。第16條在明確個人有權撤回其所作個人同意之外,還特地增加了:

              • 個人信息處理者應當提供便捷的撤回同意的方式

              • 個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力


              《一次審議稿》在“告知+同意”機制中設計了“同意”、“單獨同意”和“書面同意”?!兑淮螌徸h稿》并未對“單獨同意”和“書面同意”作出進一步解釋。遺憾的是,《二次審議稿》仍未對這兩者進行說明或解釋,希望能在后續的審議中對此予以明確,避免在實踐中因缺乏操作尺度而引發爭議。



              六、共同處理個人信息


              《二次審議稿》規定,兩個以上的個人信息處理者共同處理個人信息,應約定各自權利與義務;但發生侵權時,應當承擔連帶責任。與《一次審議稿》相比,《二次審議稿》直接規定了共同處理個人信息的個人信息處理者承擔連帶責任,將兩者牢牢捆綁在一起,而沒有原來“依法”進行抗辯的空間。無疑,《二次審議稿》的修訂大大增加了個人信息處理者的民事責任風險。



              七、委托處理個人信息


              《二次審議稿》未對個人信息處理的保存期限、個人信息轉移、向第三方提供信息以及處理敏感個人信息進行實質性修改。但《二次審議稿》對個人信息的委托處理要求進行了細化:

              • 委托方與受托方須約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務;

              • 委托合同不生效、無效、被撤銷或者終止的,受托方應當將個人信息返還個人信息處理者或者予以刪除,不得保留。


              《二次審議稿》新增第58條,明確個人信息處理的受托方應當履行個人信息處理者的義務,采取必要措施保障所處理的個人信息的安全。



              八、個人信息保密


              《二次審議稿》規定,個人信息處理者不得公開其處理的個人信息,除非取得個人的單獨同意?!兑淮螌徸h稿》的除外情形還包括“法律、行政法規另有規定”,但《二次審議稿》已經將其刪除??梢钥闯?,《個人信息保護法》更希望數據主體對自己的個人信息進行自主保護,禁止法律和行政法規的對個人信息公開的例外授權。


              對于公共場所安裝的圖像采集、個人身份識別設備所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供,除非取得個人單獨同意?!抖螌徸h稿》也刪除了“法律、行政法規另有規定”的除外情形,同樣是禁止法律和行政法規對個人信息公開的例外授權[2]。


              《二次審議稿》還規定,個人信息處理者處理已公開的個人信息,應當符合該個人信息被公開時的用途;超出與該用途相關的合理范圍,個人信息處理者應取得個人同意。



              九、個人信息跨境提供


              《二次審議稿》未對個人信息跨境傳輸之條件進行實質性修改。但是,《二次審議稿》第38條要求個人信息處理者為個人信息跨境提供而與境外接收方訂立的合同應為“國家網信部門制定的標準合同”。


              (1)更嚴格的“告知+同意”

              在向中國境外提供個人信息之前,個人信息處理者需遵循更嚴格的“告知+同意”:

              a) 向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權利的方式等;

              b) 取得個人的單獨同意。


              (2)事先風險評估:

              個人信息處理者應根據《草案》第55條在個人信息跨境傳輸之前進行風險評估。


              (3)個人信息處理者因業務等需要,可以在至少滿足下列一項條件的情況下向中國境外提供個人信息:

              a) 通過國家網信部門組織的安全評估;

              b) 經專業機構進行個人信息保護認證;

              c) 按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到個人信息保護法規定的個人信息保護標準;

              d) 法律、行政法規或者國家網信部門規定的其他條件。



              十、本地存儲要求


              《二次審議稿》關于本地存儲的要求與《一次審議稿》一致:關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者,應將收集和產生的個人信息存儲在境內;在通過安全評估后,才可以向境外提供。



              十一、個人在個人信息處理中的權利


              《二次審議稿》進一步強化個人在個人信息處理中的各項權利,還新增了死者的個人信息權利?!抖螌徸h稿》第49條規定,“自然人死亡的,本章規定的個人在個人信息處理活動中的權利,由其近親屬行使”。根據《二次審議稿》,個人對其個人信息的處理享有以下主要權利:

              (1) 知情權

              (2)決定權

              (3)有權限制或拒絕他人對其個人信息進行處理

              (4)查閱、復制個人信息

              (5)更正、補充個人信息

              (6)刪除個人信息

              (7)要求個人信息處理者解釋說明處理規則


              《二次審議稿》特別加強了個人信息刪除權,例如,個人信息處理者應當主動而非“依據個人的請求”刪除個人信息,在個人信息處理者未刪除個人信息的情況下,個人有權要求其刪除。這些規定強化了個人信息處理者的義務,相應增強了個人信息刪除權的保護。相比《一次審議稿》,《二次審議稿》第47條要求:


              有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除

              (一)處理目的已實現或者為實現處理目的不再必要;

              (二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;

              (三)個人撤回同意;

              (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;

              (五)法律、行政法規規定的其他情形。


              法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。



              十二、個人信息處理者的義務


              個人信息處理者需履行以下義務(包括《二次審議稿》第57條新增的互聯網平臺個人信息保護的特別義務):


              (1)采取必要措施:

              制定內部管理制度和操作規程;

              對個人信息實行分級分類管理;

              采取相應的加密、去標識化等安全技術措施;

              合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;

              制定并組織實施個人信息安全事件應急預案;

              法律、行政法規規定的其他措施。


              (2)指定個人信息保護負責人(如處理個人信息達到規定數量)


              (3)在中國境內設立專門機構或指定代表,并報送相關部門(中國境外個人信息處理者)


              (4)定期審計


              (5)在下列個人信息處理活動前進行風險評估(風險評估報告和處理情況記錄應至少保存三年):

              (i) 處理敏感個人信息;

              (ii) 利用個人信息進行自動化決策;

              (iii) 委托處理個人信息、向第三方提供個人信息、公開個人信息;

              (iv) 向境外提供個人信息;

              (v) 其他對個人有重大影響的個人信息處理活動。


              (6)提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者的特別義務



              十三、互聯網平臺的特別義務


              《二次審議稿》新增第57條,首次規定了互聯網平臺達到一定條件的情況下須接受獨立監管、開展平臺治理、發布社會責任報告的義務,提升整體平臺個人信息保護水平。具體包括以下幾個方面:


              ● 主體:

              特指提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者。《二次審議稿》并未明確何為“基礎性互聯網平臺服務”、多少用戶達到“用戶數量巨大”,什么是“業務類型復雜”,相信這些限制性條件將由行政法規來予以具體確定。這也說明,負有個人信息保護特別義務的互聯網平臺并非全部互聯網平臺,其適用的主體將是那些掌握海量個人信息、社會影響巨大的互聯網平臺。


              ● 獨立監督機構:

              成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督。如果說個人信息保護負責人更多是個人信息處理者的內部機構設置,而互聯網平臺的獨立監督機構更似《一般數據保護條例》(“GDPR”)下的外部聘請的數據保護官(“DPO”)[3]。在GDPR下,DPO的設置分為內外兩類,可以由企業內部的人員擔任,也可以從外部聘請。獨立監督機構的“獨立性”是關鍵。似乎可以參考上市公司獨立董事機制,包括外部人員的選擇和獨立性保證機制,從而確保該獨立機構不被互聯網平臺左右,有效履行監督職責。


              ● 互聯網平臺治理:

              對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者停止服務。


              ● 定期發布社會責任報告:

              定期發布個人信息保護社會責任報告,接受社會監督。《二次審議稿》第55條要求個人信息處理者進行事前風險評估報告,并規定了風險評估報告的基本內容。而互聯網平臺的社會責任報告更像是事后總結?;ヂ摼W平臺通過發布社會責任報告,向社會介紹其在個人信息保護方面的宗旨、原則、保護機構的設置、采取的保護措施、個人信息處理等情況,接受社會監督。



              十四、個人信息處理者的過錯推定


              《二次審議稿》第68條突出了個人信息處理者在侵權責任上的過錯推定原則:個人信息權益因個人信息處理活動受到侵害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。




              [1] 請參考《里程碑:統一的《個人信息保護法》草案出臺》,許江暉,載于2020年11月23日MHP君悅評論

              [2] 《二次審議稿》刪除了《一次審議稿》第36條有關國家機關對其處理的個人信息保密的例外規定?!兑淮螌徸h稿》第36條規定:國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。

              [3] 《互聯網平臺數據合規加碼——解析《個人信息保護法(二次審議稿)》第57條》,https://zhuanlan.zhihu.com/p/369217349

              聯系我們

              中國上海市南京西路1717號會德豐國際廣場7樓
              郵編:200040
              電話:(總機)61132988
              傳真:61132913
              Email:info@mhplawyer.com

              理财规划师