作者：金茂律师事务所  万波 律师  王书玥 实习生

导言：2020年10月21日，《中华人民共和国个人信息保护法（草案）》经第十三届全国人大常委会第二十二次会议审议后正式公布，并面向社会公开征求意见。2021年4月29日，第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法（草案二次审议稿）》进行了审议，并再次面向社会公布，公开征求意见，征求意见截止日期为2021年5月28日。

个人信息保护事关广大人民群众的切身利益，这也是我国第一部个人信息保护的专门法律。相信在不久的将来，这部法律会正式定稿实施。在此，笔者将对该法的一审稿与二审稿进行逐条对比、分析解读，以期帮助大家更好地理解该法。

二审稿主要修订部分

（一）完善个人信息处理的原则

具体表现在二审稿中第五条至第八条。

进一步明确：不得通过“胁迫”方式处理个人信息；处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式；处理个人信息应当公开个人信息处理规则，明示处理目的、方式和范围，并应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

（二）完善合法处理个人信息的规则

具体表现在二审稿第十六条、第二十五、第三十七条。

草案二审稿增加规定：个人信息处理者应当为个人提供便捷的撤回同意的方式；个人撤回同意，不影响撤回同意前已进行的个人信息处理活动的效力。同时规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。

有意见提出，接受委托处理个人信息的受托方不属于本法规定的个人信息处理者，但仍应履行相应的个人信息安全保护义务。鉴于此，草案二审稿增加规定：接受委托处理个人信息的受托方，应当履行第五章规定的相关义务，采取必要措施保障所处理的个人信息的安全。

（三）增加死者个人信息保护的规定

具体表现在二审稿第四十九条。

（四）强化超大型互联网平台的义务

具体表现在二审稿第五十七条。

有的部门、专家建议，强化超大型互联网平台的个人信息保护义务，并加强监督。草案二审稿增加了相关内容，对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务作出规定。

这些义务包括：成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

（五）明确国家网信部门的有关职责

具体表现在二审稿第六十一条。

为了保证个人信息保护法的有效贯彻实施，草案二审稿明确，由国家网信部门统筹推进个人信息保护有关工作，包括：制定个人信息保护具体规则、标准；针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准；支持研究开发安全、方便的电子身份认证技术等。

（六）设置更为严格的侵害个人信息权益的举证责任

具体表现在二审稿第六十八条。

草案二审稿突破了《民法典》侵权责任的举证责任分配原则，采用更为严格的“举证责任倒置”方式，规定：个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

逐条解读

第一章总则

解读：删除了“保障个人信息依法有序自由流动”这一表述。

该条规定了本法的立法目的。一审稿中的“自由流动”来源于欧盟的《一般数据保护条例》（General Data Protection Regulation，简称GDPR）。在个人信息收集、使用规则不透明以及过度收集、使用的当下，从这一修改举措可以看出，立法者更倾向于站在个人信息的主体，即“自然人”的角度，保护其权益不受侵害。

解读：未作修订。

该条规定了本法所保护的客体，即“自然人的个人信息”，具有宣誓意义。

解读：未作修订。

该条规定了本法的适用范围。全国人大法工委于2020年10月21日公开就草案一审稿征求意见并作出说明，其中针对第三条的说明指出：“明确在我国境内处理个人信息的活动适用本法的同时，借鉴有关国家和地区的做法，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益，规定：以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法。”二审稿沿用了一审稿的表述，并未作出修改。

解读：未作修订。

该法条是对本法的用语，包括“个人信息”和“个人信息的处理”，进行了定义。从个人信息的定义来看，排除了对“匿名化处理后”信息的保护。

解读：在处理个人信息的违规方式列举中增加了“胁迫”。

从第五条至第九条，规定了个人信息处理的规则和原则。二审稿在一审稿的基础上进一步完善，增加了不得通过“胁迫”方式处理个人信息的规定。近期，杭州某大学教授与某动物园的人脸识别案例引发了广大的争议，二审稿中的“欺诈、胁迫”是否应参照适用《民法典》中相同术语的理解，需要进一步等待官方解读意见的出台。

解读：增加了“采取对个人权益影响最小的方式”这一处理个人信息的规则。

该条规定了处理个人信息的“最小必要性”原则，处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式。增加的内容着重强调了对个人权益的保护。

解读：将“明示”改为“公开”，并增加“明示处理的目的、方式和范围”的规定。

一审稿中仅要求个人信息处理者“明示”其处理规则，表述较为模糊。到底应“明示”到何种程度？一审稿中的表述容易被个人信息处理者“钻空子”。因此二审稿中则针对这一点进行了完善，要求个人信息处理者“公开”即广而告之其个人信息处理规则，并“明示”处理目的、方式和范围。

解读：删除“为实现处理目的”的表述，并对后续针对个人信息处理规则的表述进行扩充。

前述法条并没有针对“个人信息处理目的”的规定，因此二审稿中删除了这一表述，并进一步细化了个人信息的处理规则：应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。由此可以看出，该法条侧重于对个人权益的保护。

解读：未作修订。

该条规定了个人信息处理者在处理个人信息过程中应当承担的责任和义务。

解读：未作修订。

该条规定了不得通过违反法律、行政法规规定的方式处理个人信息，强调了处理个人信息应遵守合法性原则，同时将守“法”的范围限定于“法律、行政法规”，明确了“法”的边界。

解读：未作修订。

该条规定了国家在建立健全个人信息保护制度方面的义务，国家应发挥其引导作用，建立全社会共同参与个人信息保护的良好环境。

解读：未作修订。

该条规定了国家应积极促进个人信息保护制度的国际交流合作。法工委在就一审稿的起草工作说明中提到，“草案充分借鉴有关国际组织和国家、地区的有益做法”，在借鉴的同时我们也应积极与国际接轨。

第二章个人信息处理规则

第一节 一般规定

解读：在第一款中增加了第五项“依照本法规定在合理的范围内处理已公开的个人信息”的规定，并增加了第二款的规定：“本法其他有关条款规定处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。”

从第十三条至第十九条，确立了以“告知—同意”为核心的个人信息处理规则。本条要求处理个人信息应当事先取得个人同意，并“考虑到经济社会生活的复杂性和个人信息处理的不同情况，对基于个人同意以外合法处理个人信息的情形作了规定”（法工委于2020年10月21日公开就草案一审稿征求意见并作出的说明）。二审稿进行的修订，进一步明确了“合理”的范围，特别是“本法其他有关条款规定处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意”的新增条款，厘清了本法其他条文中“同意”、“书面同意”、“明示同意”和“单独同意”与本条“例外情形”之间的关系。但本条第一款第五项中，虽然要求“依照本法规定”，但实际上本法并无其他规定，有必要删除。

解读：删除“意思表示”。

该条规定了处理个人信息前取得“个人同意”时，该“同意”的作出规则。一审稿中的“意思表示”，会产生指代不清的情况（如个人所作出的到底为“意思表示”还是“观念表示”），在二审稿中对此作删除处理。

解读：删除了“知道或者应当知道”的表述，并将“监护人”细化为“未成年人的父母或者其他监护人”。

一审稿中对于“不满十四周岁”的要件，要求对此“知道或者应当知道”的个人信息处理者遵守后述规定，该等表述涉及司法层面的证据规则，很少见于法律条文之中，在二审稿中，对此作了删除处理。

解读：细化了个人撤回同意的相关规定，增加了“个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力”的规定。该条款极大影响了个人信息处理者的权益和数据的再利用，引发行业广泛关注。

解读：未作修订。

该条规定了个人撤回同意或不同意处理其个人信息不能作为个人信息处理者拒绝提供产品或服务的理由，除非处理个人信息是提供产品或者服务所必需的。

解读：未作修订。

该条规定了个人信息处理者在处理个人信息前应向个人告知的具体内容，并要求在重要事项发生变更时应当重新取得个人同意。

解读：未作修订。

该条作为第十八条的补充，规定了在特定情况下无需按照第十八条的规定告知相关事项的情形。

解读：未作修订。

该条规定了个人信息的保存期限，以“为实现处理目的所必要的最短时间”为原则。由此可以看出，本法不鼓励个人信息处理者长时间地保存其处理过的个人信息。

解读：未作修订。

该条规定了对个人信息的共同处理的规则以及责任承担（连带责任）。但如何定义“共同处理”（譬如一方负责收集、一方负责传输，是否属于共同处理）亟需相关立法部门作出进一步明确。

解读：在委托处理和合同约定内容中增加了“期限”，将“合同履行完毕或者委托关系解除”修订为“委托合同不生效、无效、被撤销或者终止的”，并补充了在删除个人信息后“不得保留”的规定。

该条对个人信息委托处理提出了有针对性的要求。在二审稿中，进一步明确了在委托处理中应明确约定的事项，并将委托合同与《民法典》合同编中的相关规定进行统一，将一审稿中的委托合同“履行完毕”、“解除”的规定细化为委托合同“不生效”、“无效”、“被撤销”或者“终止”，增加该法条的适用性。但该条缺乏对委托者的法律责任和义务的规定。

解读：未作修订。

该条规定了个人信息处理者需要转移个人信息时的相关规则。该条规定与《信息安全技术 个人信息安全规范》（GB/T 35273—2020）中9.3条，对于收购、兼并、重组、破产时的个人信息转让的规定相类似，但仅列举“合并、分立”两类情形，导致实践中集团内重组、破产等情形的个人信息转移缺乏明确法律规定。

解读：将“第三方”修改为“他人”，将“接收个人信息的第三方”修改为“接收方”，删除“向个人告知”的要求，并删除了第二款的规定。
该条规定了将个人信息向他人提供的规则。二审稿对一审稿的规定进行了简化，并将“第三方”修改为“他人”。由于在“取得个人同意”时必定包含将变更后的处理目的、处理方式告知个人，因此删除了“向个人告知”的表述，使得法条语言更为简练。

解读：调整了一二两款的体例，并增加了“向个人提供拒绝的方式”的规定。

该条对个人信息用于自动化决策的情形进行了详细规定。要求个人信息处理者以商业营销、信息推送为目的利用个人信息进行自动化决策时，向个人提供拒绝的方式。例如，我们在面对商家试图利用我们的个人信息向我们推送个人性化广告时，我们有拒绝的权利。近期笔者也发现，许多主流APP已经采取了通过弹窗提示或隐私政策界面提供勾选项，来“向个人提供拒绝的方式”。

解读：删除了“法律、行政法规另有规定”的表述。

该条规定了个人信息处理者不得公开其处理的个人信息，并规定了除外情形。二审稿中将除外情形限定在了“取得个人单独同意”这一情况下，相较于一审稿更为严格。

解读：删除了“法律、行政法规另有规定”的表述。

该条规定了在公共场所安装图像采集、个人身份识别设备时的相关规定。其中针对向他人提供或者公开的规定，进行了与第二十六条相同的修订。

解读：删除了“向个人告知”的规定。

该条规定了处理已公开的个人信息的规则，应按照原先的用途或与其相关的合理范围内进行处理，并遵守谨慎、合理原则。其中规定了“应当取得个人同意”的情形，由于在取得同意时理应包括告知的行为，因此删除了“向个人告知”的表述，使得法条语言更为简练。但针对第一款中所谓的“个人信息被公开时的用途”，如何查明公开用途需要进一步释明。在两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，未经被收集者同意，将公开信息收集后再提供给他人也属于犯罪行为。