《个人信息保护法(草案二次审议稿)》解读

《个人信息保护法(草案二次审议稿)》解读

IXCDC 

2021年4月26日，个人信息保护法草案二审稿（以下简称“草案二审稿”）提请十三届全国人大常委会第二十八次会议审议。2021年4月29日，全国人大法工委公开就《个人信息保护法(草案二次审议稿)》征求意见。下面就二审稿与一审稿的重要变化进行对比解读。

第一章总则部分主要是一些文字上的修改，需要注意的是，第八条的表述从数据处理角度转向个人权益保护角度，由强调准确更新转变为准确完整，总的来说，更能体现保护个人信息权益的立法目的。

修改前

修改后

中华人民共和国个人信息保护法(草案）    中华人民共和国个人信息保护法(草案)(二次审议稿)    

第一章　总则　    第一章　总则　    

第八条  为实现处理目的，所处理的个人信息应当准确，并及时更新。    第八条  处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。    

1

2

1

第二章个人信息处理规则是重点内容，规定了个人权利和处理者义务。

其中，第一节为一般性规定。对于处理个人信息的合法性基础，第十三条增加了“依照本法规定在合理的范围内处理已公开的个人信息”，并说明了第二项至第七项规定情形无需取得个人同意。

对于不满十四周岁未成年人个人信息的处理，第十五条作了更为严格的规定，删除了“知道或者应当知道”的限定条件，减轻权利人的举证责任。

对于个人信息权利人撤回同意的权利，第十六条新增规定个人信息处理者提供便捷的撤回同意的方式的义务，以及撤回同意的溯及效力。

第二节”敏感个人信息的处理规则“主要是文字上的改动。

第三节主要规定了国家机关处理个人信息的情形，增加了第三十七条，但由于此部分并非企业所需注意事项，故而不展开论述。

第二章　个人信息处理规则
   第二章  个人信息处理规则    

第一节　一般规定    第一节　一般规定    

第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：(一)取得个人的同意；
(二)为订立或者履行个人作为一方当事人的合同所必需；
(三)为履行法定职责或者法定义务所必需；
(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；
(六)法律、行政法规规定的其他情形。    第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：
(一)取得个人的同意；
(二)为订立或者履行个人作为一方当事人的合同所必需；
(三)为履行法定职责或者法定义务所必需；
(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
(五)依照本法规定在合理的范围内处理已公开的个人信息；
 (六)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。    

第十五条　个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的，应当取得其监护人的同意。    第十五条　个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。    

第十九条　个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。    第十九条　个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。    

第三章规定个人信息跨境提供的规则。个人信息跨境传输的路径包括：网信部门评估（仅适用于关键信息基础设施运营者（CIIO）和一定规模以上的个人信息处理者）、国家机关评估、个人信息保护认证、与境外接收方订立合同以及其他规定条件。其中，对于与境外接收方订立合同，第三十八条第一款第（三）项增加”按照国家网信部门制定的标准合同“的限定条件。

对于因国际司法协助或者行政执法协助，需要向境外提供个人信息的，二审稿第四十一条作出了体现本国充分自主权的规定：（1）境外的司法或者执法机构提出要求；（2）经中华人民共和国主管机关批准；（3）中华人民共和国缔结或者参加的国际条约、协定有规定的，可以按照其规定执行，而非必须。

第三章 个人信息跨境提供的规则    

第三章

个人信息跨境提供的规则

第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估；
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证；
(三)与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；
(四)法律、行政法规或者国家网信部门规定的其他条件。    第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估；
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证；
(三)按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；
(四)法律、行政法规或者国家网信部门规定的其他条件。    

第四十一条因国际司法协助或者行政执法协助，需要向中华人民共和国境外提供个人信息的，应当依法申请有关主管部门批准。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的，从其规定    第四十一条 中华人民共和国境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的，非经中华人民共和国主管机关批准，不得提供；中华人民共和国缔结或者参加的国际条约、协定有规定的，可以按照其规定执行。    

第四章规定个人信息处理活动中个人的权利。第四十七条进行了一些文字上的调整和修改之后，更能体现个人信息处理的必要性原则。

第四十九条增加规定了自然人死亡后，相关权利由其近亲属行使。

第四章个人在个人信息处理活动中的权利    第四章个人在个人信息处理活动中的权利    

第四十七条　有下列情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：
(一)约定的保存期限已届满或者处理目的已实现；
(二)个人信息处理者停止提供产品或者服务；
(三)个人撤回同意；
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。    第四十七条　有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除；
(一)处理目的已实现或者为实现处理目的不再必要；
(二)个人信息处理者停止提供产品或者服务，或者保存期限已届满；
(三)个人撤回同意；
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。    

第四十九条自然人死亡的，本章规定的个人在个人信息处理活动中的权利，由其近亲属行使。    

第五章规定个人信息处理者的义务。二审稿增加了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务（第五十七条）以及接受委托处理个人信息的受托方的义务（第五十八条）。

第五章

个人信息处理者的义务

第五章　

个人信息处理者的义务

_    第五十七条提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：
(一)成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；
(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；
(三)定期发布个人信息保护社会责任报告，接受社会监督。    

_    第五十八条接受委托处理个人信息的受托方，应当履行本章规定的相关义务，采取必要措施保障所处理的个人信息的安全。    

第六章规定履行个人信息保护职责的部门，由网信部统筹协调，其他有关部门分头执法。

第七章规定法律责任，包括行政处罚、信用惩戒、行政处分、民事赔偿以及刑事责任。其中，民事赔偿责任采取过错推定原则。

第七章法律责任     第七章法律责任     

第六十五条因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。    第六十八条  个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。