今天通過的《個人信息保護法》有哪些主要條款修改？

小貝案語

《個人信息保護法》2021年8月20日上午在十三屆全國人大常委會第三十次會議正式表決通過。盡管很多新聞報道都是從強化個人信息安全保護責任的角度進行輿論宣傳，例如新法對過度收集個人信息、大數據殺熟等做出要求。但是，如果專業評價這部立法的特征，那就是比較平衡、穩妥地構建了個人信息安全與發展平衡的制度框架。近期，小貝說安全將連續不斷對該法的相關問題進行解讀。本期“小貝說安全”首先以三審稿為基礎，介紹、分析《個人信息保護法》的條款修改情況。鑒于三審稿與最終的法律文本會有差異，故文章僅供參考。

自2020年10月21日正式對外發布《個人信息保護法（草案）》（也稱《個人信息保護法一審稿》），到此次三審通過，《個人信息保護法》歷經10個月而正式出臺，實屬一部立法過程比較順利的法律。《個人信息保護法》的立法過程中，產業界、理論界對于其中一些具體表述和規則也存在不少爭議，能如此高效通過，也體現出其具有較充分的專業和社會基礎，凝聚了很多共識。之所以能取得如此高的共識，可以從三個方面進行理解：

其一，歐盟《通用數據保護條例》（GDPR）為代表的國際經驗為我國立法提供了參照。GDPR所確立的立法框架已經在全球數據安全中取得了最廣泛共識，我國《個人信息保護法》中大量借鑒了GDPR中的概念、制度和規則，為我國立法破除了不少障礙。在后續修訂草案中，特別是二審稿，多個條款的修訂就是向著更像GDPR的方向來修改的。

其二，《網絡安全法》《民法典》已經為《個人信息保護法》做了很好的立法經驗儲備。此次《個人信息保護法》的主要起草者和相關專家在《網絡安全法》《民法典》立法過程中已經做了大量的研究，《個人信息保護法》由此具備了很好的專業基礎。在《個人信息保護法（一審稿）》公布后就得到了學術界很高的肯定，二審稿、三審稿則是繼續在一些專業細節上打磨完善，特別是三審稿的多個修訂條文就是向著契合民法典的基礎上做了完善。

其三，個人信息保護在全社會具有很高的民意基礎。2020年10月的《個人信息保護法起草說明》指出：十三屆全國人大期間，共有全國人大代表340人次提出39件相關議案、建議，全國政協委員共提出相關提案32件，通過行政執法、司法裁判、新聞報道也不斷提高了用戶的個人信息保護意思。可以說，《個人信息保護法》的高效通過是在專業和民意上都達成了共識使然的。

《個人信息保護法》立足國情需要，融合國際趨勢，有很多創新且具體、有力的制度措施。本篇解讀聚焦三審稿的最新編號，結合了《個人信息保護法》公布之前的一些新聞報道，經過對比分析而成。

（圖片來源：全國人大官網）

一、在第1條新增“根據憲法“

相比于二審稿，在《個人信息保護法》中增加了“根據憲法”的表述。根據立法者對外發布的解釋，我國憲法規定，國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。據此，擬在第一條中增加規定“根據憲法”制定本法。

在《物權法》《民法典》制定過程中都出現過是否增加“根據憲法”制定本法的爭論。支持者認為，這體現了《憲法》及憲法權利的重要地位；否定者則認為任何法律都不會違背憲法，這個表述是多此一舉；中間派則認為這是一個“無害條款”，規定與否都無所謂。總體而言，這一新增表述的意義限于學理爭論，對于一直主張個人信息國家保護論的公法學者自然是一個好事兒，但是對于法律實施沒有特別影響。

二、在第4條將“刪除”列入個人信息處理行為

《個人信息保護法》第4條規定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。相比于二審稿，三審稿新增了“刪除”這一處理行為類型。

個人信息的處理行為類型在《網絡安全法》《民法典》和此次《個人信息保護法》都有不同的表述，反映出立法者對個人信息處理行為的認識是在不斷推進加深的。早在《網絡安全法》中，約束的處理行為類型還是“收集、存儲、使用、提供”等類型。在《民法典》第1035條中則創設了一個集大成的個人信息“處理”行為，其包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。此次《個人信息保護法》在“處理”行為之中新增了“刪除”的類型。“刪除”最大的問題就是如何證明處理者已經刪除，那么今后的刪除也要遵循個人信息處理行為的公開、透明原則，確保個人信息不被暗地存儲。

三、在第6條優化了最小必要原則

《個人信息保護法（二審稿）》第6條是：處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式,不得進行與處理目的無關的個人信息處理。

修改后的表述為：

《個人信息保護法》第6條 處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。

收集個人信息,應當限于實現處理目的的最小范圍。

此前的第6條實際上是要盡可能的限制個人信息處理行為，暗含了個人信息處理行為對個人的價值都是消極的。修訂的條文，明確只有“收集”個人信息需要限定在最小范圍，其他“處理”行為則需要符合直接相關的處理目的，對個人不造成不利影響。顯然，三審稿的修改更加科學，也體現出個人信息一般處理與個人信息收集所遵循的原則是存在差異的。

四、第10條明確個人信息處理必須要有合法性基礎

第10條修改為：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。

非法與違法是存在區別的，非法是指“沒有法律依據”，“違法”是指“違反法律明確要求”。對于一般的民事行為，一般采取法無禁止即可為。然而，修訂后的第10條進一步明確，在個人信息處理活動中采取“法無授權不可為”，也即個人信息處理行為均應當具有合法性基礎，這與第13條的規定做了呼應。第13條明確了七類情況下，才可以處理個人信息。個人信息處理者應當在處理之前就知曉其符合哪一種條件，只有如此才算是合法的個人信息處理行為。

五、第13條新增了同意的例外事由

《個人信息保護法》第13條被很多人稱之為本法最重要的條款，這是判定個人信息處理行為合法性都必須適用的一個規定。

知情同意被稱之為個人信息處理最基礎性的原則，但是個人信息不僅對個人有價值，有時候對組織管理和公共利益也有許多積極價值，故而同意之外還必須有一些例外的合法性事由來平衡個人信息和公共利益。《網絡安全法》第41條要求收集、使用個人信息，必須經過被收集者“同意”，沒有設立例外事由。可以說，這是《網絡安全法》立法中的一個技術bug，隨后在《民法典》中部分增加了兩種不需要同意的合法性事由：（1）合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（2）為維護公共利益或者該自然人合法權益，合理實施的其他行為。

在此次個人信息保護法中，列舉了六種不需要同意即可處理個人信息的情況：（1）訂立、履行個人作為一方當事人的合同或者人力資源管理所必需；(2)為履行法定職責或者法定義務所必需；（3）為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需；（4）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；(5)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息；(7)法律、行政法規規定的其他情形。

其中，三審稿新增“人力資源管理”，解決了用人單位對勞動者工作管理過程中個人信息處理的合法性問題。關于第5項的修改，則是為了與《民法典》的規定相一致，更加明確的界定了什么是可以直接使用的他人個人信息。

六、第20條將共同處理行為的連帶責任改為依法承擔

第20條第2款改為：個人信息處理者共同處理個人信息,侵害個人信息權益成損害的,應當依法承擔連帶責任。相比于二審稿，該條款新增了“依法”兩個字。此前，共同處理個人信息一律對外承擔連帶責任，由此變成了依法分情況討論。

根據《民法典》第1170條的規定，二人以上實施危及他人人身、財產安全的行為，其中一人或者數人的行為造成他人損害，能夠確定具體侵權人的，由侵權人承擔責任；不能確定具體侵權人的，行為人承擔連帶責任。也即，共同處理個人信息，不一定直接構成“共同侵權”，如果能夠認定具體侵權人的則不成立連帶責任。

七、第24條完善自動化決策中個人信息的處理要求

《個人信息保護法》第24條第1款改為：個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。

根據本法的定義，自動化決策,是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。大部分應用機器學習算法的個人信息處理活動都屬于自動化決策的范圍。盡管新聞報道宣傳三審稿進一步明確對大數據殺熟的限制，實際上，三審稿明確了大數據殺熟的非法性，是其是以刪除“保證結果合理”而來的。一方面確認了大數據殺熟行為的違法性，同時增加了自動化決策行為治理的科學性。本條的修改反映了自動化決策具有一定的客觀性，與結果本身是否合理的主觀性有區別，故而刪除了要保證結果合理的規定。但是，自動化決策也不得因為無人工干預而放任顯著不合理的結果。一方面要確保決策的透明度和結果公平、公正；另一方面，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

八、進一步限制圖像采集、個人身份識信息的使用 

攝像頭和身份識別（特別是人臉識別）往往被西方媒體解讀為監控追蹤，我國新聞媒體也多次聲討人臉識別信息濫用問題。為此，《個人信息保護法》在這個問題上采取了慎之又慎的處理，二審稿、三審稿都對公共場所安裝圖像采集、個人身份識別設備做了不斷強化的要求。在一審稿公布之后，就有人提出該要求過于嚴格，會導致無人超市等商業目的的圖像采集、身份識別無法應用。但是“二審稿”并沒有刪除“應當為維護公共安全所必需”的要求，且刪除“法律、行政法規另有規定的除外”。在三審稿中，“不得公開或者向他人提供“修訂為”不得用于其他目的“，更加限縮了圖像采集、個人身份識別的處理范圍。

目前，《個人信息保護法》第26條規定：在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的；取得個人單獨同意的除外。

小貝說安全公眾號在上一期文章——《警惕！熱轉境外關于中國個保法新聞時，小心新一輪對華發難》中提出，國外媒體有一種偏見認為，中國政府要借助數據安全領域的立法，加強監控和數據監聽。本條的立法過程則可以鮮明的駁斥該論調。

九、對標《民法典》以完善公開個人信息的處理規則

《個人信息保護法（二審稿）》規定：“個人信息處理者處理已公開的個人信息,應當符合該個人信息被公開時的用途。超出與該用途相關的合理范圍的,應當依照本法規定取得個人同意。

個人信息被公開時的用途不明確的，個人信息處理者應當合理、謹慎地處理已公開的個人信息。利用已公開的個人信息從事對個人有重大影響的活動,應當依照本法規定取得個人同意。”

在最終頒布的正式稿中，則規定“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。”

上述修改后的表述更加契合《民法典》第1036條第2項的規定。事實上，個人信息公開的絕大多數情況下都不會聲明其公開的目的，且該目標具有極大的主觀性，會導致公開的個人信息難以預測其適用范圍。個人信息不僅具有個體價值，還對信息自由流通具有重要的公共價值，從而促進社會的交流和發展。本條是平衡個人信息安全與發展的典型，對于個人自行公開或者其他已經合法公開的個人信息，默認是可以在合理范圍內自由使用的，不可自由使用才是例外情況。例外就是兩種情況：（1）個人明確拒絕其個人信息被他人處理；（2）對個人權益有重大影響的的公開信息。如果算上超出合理范圍而濫用公開的個人信息，就是三種例外情況。

十、完善敏感個人信息的處理范圍

《個人信息保護法》第28條新增“不滿十四周歲未成年人的個人信息”為敏感信息。并且要求“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。”

將兒童個人信息列為敏感個人信息算是中國個人信息保護法制度的一大創新，這是GDPR、CCPA以及近期美國統一法律委員會編定的《個人數據保護示范法》（UPDPA）中都未有的規定。在計劃生育政策修訂、學科補習教育改革等背景之下，進一步加強兒童的個人信息保護顯示我國對兒童良好生長環境的重視。兒童處于辨識能力、控制能力都有限，個人信息的過度收集、違法收集容易影響兒童的健康成長，甚至引發人身財產安全隱患。少年兒童是祖國的未來，是中華民族的希望，《個人信息保護法》進一步強化兒童個人信息保護具有重要意義。

此外，三審稿明確，敏感信息只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。故而，處理敏感個人信息需要具備一定的技術條件和管理制度，會使得不少個人信息處理者將不具備敏感信息處理資格。

小貝結語

本期是“小貝說安全”對《個人信息保護法》系列解讀中的第一篇。我們以三審稿為基礎，對三審稿與二審稿的主要區別做了分析。事實上，《個人信息保護法》正式法律文本還會有細節改動。待正式法律文本公布后，我們還將陸續推出解讀文章，尤其是邀請多名知名法學家帶來深刻分析，并注重對今后的法律實施作出闡述。

內容引自公眾號《小貝說安全》