《个人信息保护法(草案)》二审稿简评:变与不变,都是为了更好地保护

来源:数据法律观察

文章摘要
《个保法(草案)》进入二次审议,我们用三句话来总结其中的变化: “一、已有共识,变化不大; 二、新增内容,亦有亮点; 三、网信统筹,平台强化。” 1、解读 已有共识, 争议不大。
《个保法(草案)》进入二次审议,我们用三句话来总结其中的变化:
“一、已有共识,变化不大;
二、新增内容,亦有亮点;
三、网信统筹,平台强化。”


1、解读
已有共识, 争议不大。

《个保法(草案)》,经过前期广泛征求意见,在一审稿半年后再次审议,可以看到加强个人信息保护已经成为社会、专家、委员们的共识。所以从二审稿的内容来看,相较一审稿并没有特别大的变化,可以说是“已有共识,变化不大“,特别是一些重要制度安排上比如高额罚款标准、数据跨境规则、个人信息处理规则、原则等规定上没有太大变化,这也说明了社会对于个人信息保护愈发重视,对于一审稿中大部分确定的规则已经有了初步的共识。
「重点条文」
第十四条处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第三十九 条个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
第六十五条违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。


2、解读

新增内容, 亦有亮点。

虽然《个保法(草案)》二审稿在内容上没有大的改动,但一些新增或修订内容,却不乏亮点:
1、在个人信息处理授权同意的例外中明确了“在合理范围内处理已公开的个人信息”的情形,关注和回应了现实生活中实际可能遇到的有必要处理公开个人信息却难获得授权的场景和需要;
2、个人信息跨境提供的合规路径中,对于通过与接收方签订合同的方式,在二审稿中增加了必须按照国家网信办制定的标准合同的规定,可以说较之前的规定更加严格,也堵上了一审稿规定中可能存在的漏洞,但该标准合同应当按照什么标准制定、会包括哪些标准内容、如何实施都是接下来需要解决的问题;
3、对于增加自然人死亡后由其近亲属行使个人在个人信息处理活动中的相应权利,可以说是关注和借鉴了民法典关于自然人死亡后,对于姓名、肖像、名誉等权利行使的规定;
4、第五十八条关于受托方在个人信息安全保护的义务规定,将之前仅仅对于个人信息处理者的安全保护义务外延扩展到了受托处理者,再次体现了立法者对于个人信息保护中最重要的安全问题的特别重视。
「重点条文」
第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:
(三)为履行法定职责或者法定义务所必需;
第三十八条个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
第四十九条自然人死亡的,本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。
第五十八条接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全。


3、解读
网信统筹, 平台强化。

二审稿在保持原有一审稿关于国家网信部门负责统筹协调个人信息保护工作的基础上,细化和增加了网信部门在统筹协调中的具体工作范围及职责,具体体现是二审稿第六十一条的规定;除此之外,我想还有一个工作是网信部门之后在个人信息保护监督中的重要着力点,那就是对于基础性互联网平台在个人信息保护上的监督管理工作。二审稿专门增加了一条(第五十七条),来规定类似超级平台守门人(延伸阅读:人大教授张新宝建议头部平台承担“守门人”责任)、平台监管职责、平台社会责任报告等制度,这一方面和最近关于互联网平台监管的大背景有关,需要去回应社会关切,同时也是对过往监管中的经验总结,希望这些措施能够真正起到其应有的作用,能帮助提升监管水平,切实保护好我们的个人信息。
「重点条文」
第五十七条提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(三)定期发布个人信息保护社会责任报告,接受社会监督。
第六十一条国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发安全、方便的电子身份认证技术;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。
技术驱动法律,专业成就未来