评论文章
《个人信息保护法》二审稿逐条解读(下篇)

作者:金茂律师事务所  万波 律师  王书玥 实习生

第五章 个人信息处理者的义务

解读:删除了第二项中的“分级”。

从第五十一条至第五十八条,为个人信息处理者的义务专节。

本条对应一审稿的第五十条,明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施等。二审稿删除了“分级”的要求,即个人信息处理者只需要对个人信息实行分类管理即可。

解读:删除了公开要求中的“姓名”。

本条对应一审稿的第五十一条,要求处理个人信息数量打到规定数量的个人信息处理者,指定负责人对其个人信息处理活动进行监督。二审稿删除了在此情形下公开个人信息保护负责人(DPO)的姓名的要求,但需要将负责人姓名报送相关职能部门。

解读:未作修订。

本条对应一审稿的第五十二条,规定了为分析、评估境内自然人行为的境外个人信息处理者的相关义务。

解读:删除了部分表述。

本条对应一审稿的第五十三条,要求个人信息处理者定期对其个人信息活动进行合规审计。删除了“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”等规定,简化了个人信息处理者的义务。

解读:未作修订。

本条对应一审稿的第五十四条,要求个人信息处理者对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估。

解读:未作修订。

本条对应一审稿的第五十五条,要求个人信息处理者及时履行个人信息泄露通知和补救义务等。

解读:完全新增。

本条强化了超大型互联网平台的个人信息保护义务,此为针对有的部门、专家“强化超大型互联网平台的个人信息保护义务,并加强监督”的建议的回应。

根据中新社4月26日的报道,二审稿草案在完善个人信息保护相关原则的基础上,尤为强调对“超大型互联网平台”的监督。

草案认为,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,也应该履行相关义务。增加规定:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

解读:完全新增。

本条要求受托处理个人信息的处理者应遵守本法第五章的规定。

第六章 履行个人信息保护职责的部门

解读:未作修订。

第五十九条至六十四条,为履行个人信息保护职责的部门专章。

本条对应一审稿的第五十六条,规定了个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。(来源:2020年10月21日,全国人大法工委公开就一审稿进行说明)

解读:未作修订。

本条对应一审稿的第五十七条,规定了相关职能部门在个人信息保护方面的具体职责。

解读:增加了“(一)制定个人信息保护具体规则、标准;(二)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(三)支持研究开发安全、方便的电子身份认证技术”这三项规则,并删除了“国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准”的表述。

本条对应一审稿的第五十八条,规定了国家网信部门统筹协调职责,以及需要推进的具体个人信息保护工作,加入规则制定、技术认证和敏感个人信息等方面的工作。

解读:在第一款第四项下增加了“向本部门主要负责人书面报告并经批准”的规定。

本条对应一审稿的第五十九条,规定了相关职能部门为履行个人信息保护职责而可以采取的具体措施。在可以采取查封或者扣押的规定中,增加了“向本部门主要负责人书面报告并经批准”的前提条件,防止职能部门滥用权力。

解读:增加了“或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”的规定。

本条对应一审稿的第六十条,规定了职能部门在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时的相应处理措施,增加了可以要求个人信息处理者委托第三方进行合规审计的措施。

解读:未作修订。

本条对应一审稿的第六十一条,规定了社会公众的举报、投诉权以及相关职能部门的处置规则。

第七章 法律责任

解读:未作修订。

第六十五条至七十条为法律责任专章。

本条对应一审稿的第六十二条,对个人信息处理者违反本法规定行为制定了相应的处罚规则及民事责任的承担。

解读:未作修订。

本条对应一审稿的第六十三条,明确了违反本法规定的个人信息处理者会被记入信用档案的后果。

解读:未作修订。

本条对应一审稿的第六十四条,规定了国家机关不履行本法规定义务的处置措施。

解读:进行了大幅修订。

本条对应一审稿的第六十五条,规定了在发生个人信息权益收到侵害的后果时,个人信息处理者的责任承担规则,并制定了赔偿数额确定的规则。二审稿中将责任承担规则修订为“过错推定责任”。上海市一中院有观点指出:针对隐私权、人格权等人身性更强的权利采取“过错推定责任”较为容易理解,但对所有个人信息的侵权责任承担都设定为“过错推定责任”就很难理解,一种观点认为区分一般个人信息和个人敏感信息,规定不同的责任承担规则。

解读:未作修订。

本条对应一审稿的第六十六条,本条规定了在个人信息处理者侵害众多个人的权益的情形时的公益诉讼主体,包括人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织。

解读:未作修订。

本条对应一审稿的第六十七条,本条规定了在违反本法规定时不同法律责任的承担规则。

第八章 附则

解读:未作修订。

本条对应一审稿的第六十八条,进一步明确了本法的适用范围。

解读:未作修订。

本条对应一审稿的第六十九条,本条对本法中“个人信息处理者”、“自动化决策”、“去标识化”和“匿名化”的用语进行了定义。

解读:未作修订。

本条对应一审稿的第七十条,本条为生效时间的条款。


PDF下载

无购房资格情况下协议代持购房的审判实务探析

《个人信息保护法》二审稿逐条解读(中篇)

合作伙伴