编者按：自2020年10月21日《个人信息保护法（草(cǎo)案）》（一审稿）正式对外发布后，引起社会广泛关注，广大人民(mín)群众对个人信息被过度收集和使用(yòng)反应强烈。2021年4月，第十三届全國(guó)人大常委会第二十八次会议对《中华人民(mín)共和國(guó)个人信息保护法（草(cǎo)案二次审议稿）》进行了审议，主要针对广大人民(mín)群众反映的个人信息收集、使用(yòng)规则不透明以及个人信息被过度收集、使用(yòng)等突出问题进行了修改和完善。王春晖教授认為(wèi)，我國(guó)《个人信息保护法（草(cǎo)案）》的两次审议稿，坚持“以人民(mín)為(wèi)中心”的发展理(lǐ)念，制定了较為(wèi)完善的个人信息保护法律制度。现就中國(guó)人大网公布的《中华人民(mín)共和國(guó)个人信息保护法（草(cǎo)案二次审议稿）》的八大亮点进行解析。

严格限制对个人信息的过度处理(lǐ)

《个人信息保护法（草(cǎo)案）》（二审稿）第一条在保留“保护个人信息权益，规范个人信息处理(lǐ)活动”以及“促进个人信息合理(lǐ)利用(yòng)”的前提下，删除了“一审稿”中的“保障个人信息依法有(yǒu)序自由流动”。

《个人信息保护法（草(cǎo)案）》（二审稿）第六条在“一审稿”中增加了“采取对个人权益影响最小(xiǎo)的方式”，即“处理(lǐ)个人信息应当具有(yǒu)明确、合理(lǐ)的目的，并应当限于实现处理(lǐ)目的所必要的最小(xiǎo)范围、采取对个人权益影响最小(xiǎo)的方式，不得进行与处理(lǐ)目的无关的个人信息处理(lǐ)”。

《个人信息保护法（草(cǎo)案）》（一审稿）首先确立了“个人信息权益”，这里的“权益”既包括“权利”，也包括“利益”。网络时代，海量的数据和信息以聚合形式存在于社交网络、電(diàn)子商(shāng)務(wù)、移动智能(néng)终端等网络平台，特别是一些大型的互联网平台已经形成对个人信息的实际控制和垄断，公民(mín)作為(wèi)信息内容的主體(tǐ)完全不能(néng)控制和保护自己的个人信息权益，根本无法了解自己的个人信息在何时、何地被何人以何种方式非法收集、使用(yòng)、加工、传输。对此，我國(guó)《民(mín)法典》第一百一十一条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他(tā)人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用(yòng)、加工、传输他(tā)人个人信息，不得非法买卖、提供或者公开他(tā)人个人信息。

尽管《民(mín)法典》没有(yǒu)就“个人信息权”作出定义，但可(kě)以清晰地看出，《民(mín)法典》明确了“个人信息权”的基本内涵，其保护的核心不在于“个人信息”本身，而重点在于规制第三人对公民(mín)个人信息的收集、使用(yòng)、加工、传输等行為(wèi)。因此，公民(mín)行使信息权利的基础，是基于公民(mín)作為(wèi)信息主體(tǐ)有(yǒu)权知晓和决定其个人信息在任何时间、任何地方及以何种方式被任何组织或者个人收集、存储、使用(yòng)、加工、传输、提供、公开。

《个人信息保护法（草(cǎo)案）》第二条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”个人信息权尽管在流通过程中具有(yǒu)财产权属性，但是个人信息权的首要价值目标是人格权属性。因此，《个人信息保护法》作為(wèi)个人信息权益保护的基础性立法，应当严格限制个人信息的自由流动。

“一审稿”第六条规定：“处理(lǐ)个人信息应当具有(yǒu)明确、合理(lǐ)的目的，并应当限于实现处理(lǐ)目的所必要的最小(xiǎo)范围，不得进行与处理(lǐ)目的无关的个人信息处理(lǐ)。”“二审稿”在“应当限于实现处理(lǐ)目的所必要的最小(xiǎo)范围”之后并列增加了“采取对个人权益影响最小(xiǎo)的方式”，即“处理(lǐ)个人信息应当具有(yǒu)明确、合理(lǐ)的目的，并应当限于实现处理(lǐ)目的所必要的最小(xiǎo)范围、采取对个人权益影响最小(xiǎo)的方式，不得进行与处理(lǐ)目的无关的个人信息处理(lǐ)”。关于“数据最小(xiǎo)化”（data minimisation），欧盟GDPR（《通用(yòng)数据保护条例》）规定了对个人数据处理(lǐ)数量的限制，必须以满足该业務(wù)需要的最小(xiǎo)数量為(wèi)限，不得收集任何非必要的个人数据。因此，我國(guó)《个人信息保护法（草(cǎo)案）》应当强化“个人数据处理(lǐ)最小(xiǎo)化”原则，个人信息的处理(lǐ)必须限于实现处理(lǐ)目的所必要的最小(xiǎo)范围，严格限制对个人信息的过度处理(lǐ)，尤其要限制对个人信息的滥用(yòng)。

完善处理(lǐ)个人信息的基本规则

针对网络运营者过度收集和处理(lǐ)公民(mín)个人信息，尤其是APP违法违规过度处理(lǐ)个人信息的乱象，《民(mín)法典》第一千零三十五条在《网络安全法》第四十一条“网络运营者收集、使用(yòng)个人信息，应当遵循合法、正当、必要的原则，公开收集、使用(yòng)规则，明示收集、使用(yòng)信息的目的、方式和范围，并经被收集者同意”的基础上增加了“不得过度处理(lǐ)”个人信息的强制性规定，并附加了五个条件：一是征得该自然人或者其监护人同意，但是法律、行政法规另有(yǒu)规定的除外；二是公开处理(lǐ)信息的规则；三是明示处理(lǐ)信息的目的、方式和范围；四是不违反法律、行政法规的规定和双方的约定。

《个人信息保护法（草(cǎo)案）》（二审稿）第七条参照《民(mín)法典》第一千零三十五条和《网络安全法》第四十一条的规定，将“一审稿”中“明示个人信息处理(lǐ)规则”中的“明示”改為(wèi)“公开”，并增加了“明示处理(lǐ)的目的、方式和范围”，即“处理(lǐ)个人信息应当遵循公开、透明的原则，公开个人信息处理(lǐ)规则，明示处理(lǐ)的目的、方式和范围”。法律中的“明示”意思為(wèi)“明确表示”，而“公开”则是面对公众和社会。个人信息处理(lǐ)者的“个人信息处理(lǐ)规则”必须向社会大众公开，不是简单地“明示”。目前，“公开处理(lǐ)信息的规则，明示处理(lǐ)信息的目的、方式和范围”是我國(guó)个人信息处理(lǐ)的基本规则，《个人信息保护法（草(cǎo)案）》应当与《民(mín)法典》和《网络安全法》保持一致。

强化对未成年人个人信息的保护

2021年6月1日起施行新(xīn)修订的《中华人民(mín)共和國(guó)未成年人保护法》第七十二条规定：“信息处理(lǐ)者通过网络处理(lǐ)未成年人个人信息的，应当遵循合法、正当和必要的原则。处理(lǐ)不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他(tā)监护人同意，但法律、行政法规另有(yǒu)规定的除外。”《个人信息保护法（草(cǎo)案）》（一审稿）第十五条规定：“个人信息处理(lǐ)者知道或者应当知道其处理(lǐ)的个人信息為(wèi)不满十四周岁未成年人个人信息的，应当取得其监护人的同意。”“二审稿”将“应当取得其监护人的同意”修改為(wèi)“应当取得未成年人的父母或者其他(tā)监护人的同意”，即“个人信息处理(lǐ)者处理(lǐ)不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他(tā)监护人的同意”。《未成年人保护法》作為(wèi)我國(guó)保护未成年人的特别法，专章设立了“网络保护”，《个人信息保护法（草(cǎo)案）》有(yǒu)关未成年人的个人信息保护应当与《未成年人保护法》保持一致。

法律条文(wén)中的“知道或应当知道”，一般用(yòng)于诉讼时效期间，指有(yǒu)证据表明权利人知道自己的权利被侵害的日期，或者根据一般规律推定权利人知道自己的权利被侵害的日期。《个人信息保护法（草(cǎo)案）》（一审稿）第十五条将“知道或应当知道”作為(wèi)个人信息处理(lǐ)者判断其处理(lǐ)的个人信息是否為(wèi)不满十四周岁的未成年人的，这似乎很(hěn)难操作。从字面上理(lǐ)解，“知道或应当知道”很(hěn)简单，但实际内容却很(hěn)深奥。你说个人信息处理(lǐ)者知道，他(tā)会说他(tā)不知道，而且有(yǒu)时还真的是不知道。你说个人信息处理(lǐ)者虽然可(kě)能(néng)是不知道，但按一般规律推定其应当知道的，他(tā)却会说為(wèi)什么我就应当知道？因此，《个人信息保护法（草(cǎo)案）》（二审稿）第十五条删除了“一审稿”中的“知道或应当知道”的表述，只要个人信息处理(lǐ)者处理(lǐ)的个人信息為(wèi)不满十四周岁未成年人的个人信息，就意味着个人信息处理(lǐ)者“知道”，必须取得未成年人的父母或者其他(tā)监护人的同意。

未经个人同意不得公开个人信息

《个人信息保护法（草(cǎo)案）》（一审稿）第二十六条：“个人信息处理(lǐ)者不得公开其处理(lǐ)的个人信息；取得个人单独同意或者法律、行政法规另有(yǒu)规定的除外。”第二十七条：“在公共场所安装图像采集、个人身份识别设备，应当為(wèi)维护公共安全所必需，遵守國(guó)家有(yǒu)关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能(néng)用(yòng)于维护公共安全的目的，不得公开或者向他(tā)人提供；取得个人单独同意或者法律、行政法规另有(yǒu)规定的除外。”

《个人信息保护法（草(cǎo)案）》（一审稿）第二十六条和二十七条中的除外条款是一个“二选一”条款，即“取得个人单独同意或者法律、行政法规另有(yǒu)规定的除外”，“二审稿”删除了“一审稿”中的“或者法律、行政法规另有(yǒu)规定的除外”，只保留了单项“取得个人单独同意的除外”，这就意味着未经自然人单独同意，个人信息处理(lǐ)者不得公开或者向他(tā)人提供其处理(lǐ)的个人信息。同时，《个人信息保护法（草(cǎo)案）》还设定了“基于个人同意而进行的个人信息处理(lǐ)活动，个人有(yǒu)权撤回其同意”的规定，“二审稿”在“一审稿”的基础上增加了“个人信息处理(lǐ)者应当提供便捷的撤回同意的方式”。

在实践中，经常发生个人同意进行的个人信息处理(lǐ)活动，但在个人信息处理(lǐ)期间发现个人信息处理(lǐ)者存在“过度处理(lǐ)”其个人信息的行為(wèi)，该个人想撤回其之前的同意，但网络平台环境下，个人撤回其同意的行為(wèi)必须得到个人信息处理(lǐ)者的配合，否则个人是无法实现所谓“有(yǒu)权撤回其同意”之目的。《个人信息保护法（草(cǎo)案）》（二审稿）确立的未经个人单独同意不得公开个人信息，以及“个人信息处理(lǐ)者应当提供便捷的撤回同意的方式”的个人信息处理(lǐ)规则，遵循了“以人民(mín)為(wèi)中心”的发展理(lǐ)念，體(tǐ)现了数据私权至上的个人信息处理(lǐ)规则。

强化个人信息处理(lǐ)者的删除义務(wù)

《个人信息保护法（草(cǎo)案）》（二审稿）第四十七条规定有(yǒu)五种情形之一的，个人信息处理(lǐ)者应当主动删除个人信息，个人信息处理(lǐ)者未删除的，个人有(yǒu)权请求删除：一是处理(lǐ)目的已实现或者為(wèi)实现处理(lǐ)目的不再必要；二是个人信息处理(lǐ)者停止提供产品或者服務(wù)，或者保存期限已届满；三是个人撤回同意；四是个人信息处理(lǐ)者违反法律、行政法规或者违反约定处理(lǐ)个人信息；五是法律、行政法规规定的其他(tā)情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理(lǐ)者应当停止除存储和采取必要的安全保护措施之外的处理(lǐ)。

“二审稿”进一步强化了个人信息处理(lǐ)者的删除义務(wù)，将“一审稿”第四十七条出现五种情形之一时，“个人信息处理(lǐ)者应当主动或者根据个人的请求，删除个人信息”，修改為(wèi)“个人信息处理(lǐ)者应当主动删除个人信息；个人信息处理(lǐ)者未删除的，个人有(yǒu)权请求删除”。以上两种表述完全不同，“一审稿”中的“主动或者根据个人的请求，删除个人信息”是一种在“红旗原则”和“避风港原则”之间的选择，只要个人信息处理(lǐ)者选择其中之一，就符合法律的规定；“二审稿”中的“个人信息处理(lǐ)者应当主动删除个人信息；个人信息处理(lǐ)者未删除的，个人有(yǒu)权请求删除”，显然，“二审稿”中的“删除义務(wù)”首先应当采用(yòng)“红旗原则”，即“个人信息处理(lǐ)者应当主动删除个人信息”，只是在“个人信息处理(lǐ)者未删除”的情况下才适用(yòng)“避风港原则”，即“个人有(yǒu)权请求删除”。

在实践中，“个人信息处理(lǐ)者未删除的，个人有(yǒu)权请求删除”的规定很(hěn)难实施，首先，个人几乎不可(kě)能(néng)发现其个人信息被个人信息处理(lǐ)者主动删除的情形；其次，即使发现个人信息处理(lǐ)者未删除的，也不仅仅是个人“有(yǒu)权请求删除”的问题，而应当是强化个人信息处理(lǐ)者的义務(wù)，强调“个人信息处理(lǐ)者在接到个人的删除通知后，应当立即删除”。

个人信息处理(lǐ)的合规审计制度

合规性审计的性质是一种经济合规监督活动，主要指审计机构和审计人员依据國(guó)家法律、法规和财经制度，对被审计单位的生产经营管理(lǐ)活动及其有(yǒu)关资料是否合规所进行的一种监督活动。审计就其组织形式而言，一般分(fēn)為(wèi)内审和外审，前者是指企业内部设立的审计部门，后者是指第三方的审计机构。

《个人信息保护法（草(cǎo)案）》确立了个人信息处理(lǐ)者的合规审计制度，“一审稿”第五十三条规定：“个人信息处理(lǐ)者应当定期对其个人信息处理(lǐ)活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有(yǒu)权要求个人信息处理(lǐ)者委托专业机构进行审计。”事实上，个人信息处理(lǐ)者对其个人信息处理(lǐ)活动是否符合法律、行政法规规定进行合规审计的前提，是基于个人信息处理(lǐ)者对其个人信息处理(lǐ)活动的内部合规管理(lǐ)。

个人信息处理(lǐ)者对个人信息的合规管理(lǐ)，主要是以有(yǒu)效防控个人数据，尤其是防控个人敏感数据合规风险為(wèi)目的，以个人信息处理(lǐ)者对其控制的个人信息处理(lǐ)活动為(wèi)对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有(yǒu)组织、有(yǒu)计划的管理(lǐ)活动。个人信息的合规管理(lǐ)是所有(yǒu)个人信息处理(lǐ)者的一项自律性要求，没必要规定“履行个人信息保护职责的部门有(yǒu)权要求个人信息处理(lǐ)者委托专业机构进行审计”，只有(yǒu)在发现个人信息处理(lǐ)活动存在较大风险或者发生个人信息安全事件时，才委托专业机构对其个人信息处理(lǐ)活动进行合规审计。

因此，“二审稿”第五十四条对“一审稿”第五十三条的内容进行了简化，修改為(wèi)：“个人信息处理(lǐ)者应当定期对其个人信息处理(lǐ)活动遵守法律、行政法规的情况进行合规审计。”同时，“二审稿”的第六十三条在“一审稿”第六十条的基础上增加了“要求个人信息处理(lǐ)者委托专业机构对其个人信息处理(lǐ)活动进行合规审计”，即“履行个人信息保护职责的部门在履行职责中，发现个人信息处理(lǐ)活动存在较大风险或者发生个人信息安全事件的，可(kě)以按照规定的权限和程序对该个人信息处理(lǐ)者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理(lǐ)者委托专业机构对其个人信息处理(lǐ)活动进行合规审计。个人信息处理(lǐ)者应当按照要求采取措施，进行整改，消除隐患”。该条款中的“约谈”和第三方审计之间是一种选择关系，但是无论是对该个人信息处理(lǐ)者的法定代表人或者主要负责人进行约谈，还是要求个人信息处理(lǐ)者委托专业机构对其个人信息处理(lǐ)活动进行合规审计，个人信息处理(lǐ)者都必须按照要求采取措施，进行整改，消除隐患。

个人信息合规审计的主要目的是控制和避免企业及员工因处理(lǐ)个人信息不合规，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他(tā)负面影响的可(kě)能(néng)性。具體(tǐ)到个人信息合规审计的内容，应当包括规范个人信息在收集、存储、使用(yòng)、共享、转让与公开披露等信息处理(lǐ)环节中的相关行為(wèi)，遏制个人信息非法收集、滥用(yòng)、泄露等违规行為(wèi)，最大限度地保护个人信息权益。因此，个人信息处理(lǐ)者不但要定期对个人信息的处理(lǐ)进行合规审计，而且要公布其审计结果，对不涉及國(guó)家秘密、商(shāng)业秘密和个人隐私的个人信息审计结果应当一律公开，并对审计结果出现的问题限期进行整改，及时消除隐患。

强化互联网平台的保护义務(wù)

《个人信息保护法（草(cǎo)案）》（二审稿）增加了对基础性互联网平台个人信息保护义務(wù)的内容，“二审稿”第五十七条规定：“提供基础性互联网平台服務(wù)、用(yòng)户数量巨大、业務(wù)类型复杂的个人信息处理(lǐ)者，应当履行下列义務(wù)：一是成立主要由外部成员组成的独立机构，对个人信息处理(lǐ)活动进行监督；二是对严重违反法律、行政法规处理(lǐ)个人信息的平台内的产品或者服務(wù)提供者，停止提供服務(wù)；三是定期发布个人信息保护社会责任报告，接受社会监督。”

本条中的“个人信息处理(lǐ)者”之前有(yǒu)三个定语：一是提供基础性互联网平台服務(wù)，二是用(yòng)户数量巨大，三是业務(wù)类型复杂，这类平台就属于超级互联网平台。当前，超级互联网平台已经很(hěn)难用(yòng)产业经济时代的商(shāng)品或者服務(wù)去界定它的性质，提供超级平台的企业也无法用(yòng)“经营者”来确定它的商(shāng)业属性。事实上，超级平台已经成為(wèi)高度数字市场化环境下形成的数字经济基础设施，在超级平台经济體(tǐ)内形成了巨大的双边网络交叉效应，消费者与服務(wù)商(shāng)和供应商(shāng)以及平台的提供者共同构成了网状交叉协作的数字生态系统，而超级平台就是整个数字生态系统的载體(tǐ)，其性质是為(wèi)消费者、商(shāng)家提供信息、交易与物(wù)流等要素的数字基础设施。

鉴于超级平台的特殊性，“二审稿”对超级平台设定的三项个人信息保护义務(wù)中的“成立主要由外部成员组成的独立机构，对个人信息处理(lǐ)活动进行监督”。对此，筆(bǐ)者有(yǒu)些担忧，这可(kě)能(néng)会出现既不“独立”也不“监督”的情形，就好似《公司法》设立的独立董事制度一样，我國(guó)的独立董事制度在很(hěn)多(duō)情形下是既不“独立”也不“懂事”，不能(néng)够真正起到监督的作用(yòng)，其主要原因是我國(guó)没有(yǒu)建立第三方的独立董事市场。筆(bǐ)者建议，应当由國(guó)家网信部门成立或指定特定的第三方组织履行对平台个人信息处理(lǐ)活动的独立监督职能(néng)。

建议國(guó)家设立个人信息保护监管机构，对个人信息处理(lǐ)者，尤其是互联网超级平台处理(lǐ)个人信息等行為(wèi)进行合规性监管，重点监管平台提供者对海量用(yòng)户数据的控制和处理(lǐ)。欧盟GDPR要求欧盟成员國(guó)中每个國(guó)家都应当设置相应的数据监管机构，以对本國(guó)内部的个人数据处理(lǐ)活动进行有(yǒu)效监管，并与其他(tā)成员國(guó)之间的数据处理(lǐ)活动进行协调。虽然各成员國(guó)因其实际情况而在数据监管机构的具體(tǐ)规定上有(yǒu)所差异，但GDPR明确了各成员國(guó)法律中应当明晰的关于数据监管机构的问题。

信息处理(lǐ)者侵权责任过错推定

《个人信息保护法（草(cǎo)案）》（一审稿）第六十五条规定：“因个人信息处理(lǐ)活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理(lǐ)者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理(lǐ)者因此获得的利益难以确定的，由人民(mín)法院根据实际情况确定赔偿数额。个人信息处理(lǐ)者能(néng)够证明自己没有(yǒu)过错的，可(kě)以减轻或者免除责任。”本条中的“个人信息处理(lǐ)者能(néng)够证明自己没有(yǒu)过错的，可(kě)以减轻或者免除责任”采用(yòng)的是“举证责任倒置”的举证分(fēn)配原则，即“能(néng)够证明自己没有(yǒu)过错”。

网络时代，海量的数据和信息以聚合形式存在于社交网络、電(diàn)子商(shāng)務(wù)、移动智能(néng)终端等网络平台，特别是一些大型的网络运营商(shāng)已经形成对个人数据和信息的实际控制与垄断，公民(mín)作為(wèi)数据内容的主體(tǐ)完全不能(néng)控制自己的个人数据和信息，根本无法了解自己的信息和数据在何时、何地被何人以何种方式非法收集、使用(yòng)、加工、传输。对此，《民(mín)法典》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他(tā)人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用(yòng)、加工、传输他(tā)人个人信息，不得非法买卖、提供或者公开他(tā)人个人信息。”可(kě)见，个人信息权益保护的重点在于如何规制个人信息处理(lǐ)者对公民(mín)个人信息的收集、使用(yòng)、加工、传输等行為(wèi)。因此，当个人信息权益受到侵害时，个人信息处理(lǐ)者是否应当承担赔偿的举证责任，不是由个人信息处理(lǐ)者能(néng)够证明自己没有(yǒu)过错，而应当由个人信息处理(lǐ)者不能(néng)证明自己没有(yǒu)过错。

為(wèi)此，“二审稿”第六十八条将“一审稿”中的“个人信息处理(lǐ)者能(néng)够证明自己没有(yǒu)过错的，可(kě)以减轻或者免除责任”，调整為(wèi)“个人信息处理(lǐ)者不能(néng)证明自己没有(yǒu)过错的，应当承担损害赔偿等侵权责任”。这是一项“过错推定”原则，即在个人信息处理(lǐ)者不能(néng)证明其没有(yǒu)过错的情况下，就推定其有(yǒu)过错，应承担赔偿损害责任，符合《民(mín)法典》第一千一百六十五条规定：“行為(wèi)人因过错侵害他(tā)人民(mín)事权益造成损害的，应当承担侵权责任。依照法律规定推定行為(wèi)人有(yǒu)过错，其不能(néng)证明自己没有(yǒu)过错的，应当承担侵权责任。”