編者按：自2020年10月21日《個人信息保護法（草案）》（一審稿）正式對外發布后，引起社會廣泛關注，廣大人民群眾對個人信息被過度收集和使用反應強烈。2021年4月，第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法（草案二次審議稿）》進行了審議，主要針對廣大人民群眾反映的個人信息收集、使用規則不透明以及個人信息被過度收集、使用等突出問題進行了修改和完善。王春暉教授認為，我國《個人信息保護法（草案）》的兩次審議稿，堅持“以人民為中心”的發展理念，制定了較為完善的個人信息保護法律制度。現就中國人大網公布的《中華人民共和國個人信息保護法（草案二次審議稿）》的八大亮點進行解析。

嚴格限制對個人信息的過度處理

《個人信息保護法（草案）》（二審稿）第一條在保留“保護個人信息權益，規范個人信息處理活動”以及“促進個人信息合理利用”的前提下，刪除了“一審稿”中的“保障個人信息依法有序自由流動”。

《個人信息保護法（草案）》（二審稿）第六條在“一審稿”中增加了“采取對個人權益影響最小的方式”，即“處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式，不得進行與處理目的無關的個人信息處理”。

《個人信息保護法（草案）》（一審稿）首先確立了“個人信息權益”，這里的“權益”既包括“權利”，也包括“利益”。網絡時代，海量的數據和信息以聚合形式存在于社交網絡、電子商務、移動智能終端等網絡平臺，特別是一些大型的互聯網平臺已經形成對個人信息的實際控制和壟斷，公民作為信息內容的主體完全不能控制和保護自己的個人信息權益，根本無法了解自己的個人信息在何時、何地被何人以何種方式非法收集、使用、加工、傳輸。對此，我國《民法典》第一百一十一條規定，自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

盡管《民法典》沒有就“個人信息權”作出定義，但可以清晰地看出，《民法典》明確了“個人信息權”的基本內涵，其保護的核心不在于“個人信息”本身，而重點在于規制第三人對公民個人信息的收集、使用、加工、傳輸等行為。因此，公民行使信息權利的基礎，是基于公民作為信息主體有權知曉和決定其個人信息在任何時間、任何地方及以何種方式被任何組織或者個人收集、存儲、使用、加工、傳輸、提供、公開。

《個人信息保護法（草案）》第二條規定：“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。”個人信息權盡管在流通過程中具有財產權屬性，但是個人信息權的首要價值目標是人格權屬性。因此，《個人信息保護法》作為個人信息權益保護的基礎性立法，應當嚴格限制個人信息的自由流動。

“一審稿”第六條規定：“處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的所必要的最小范圍，不得進行與處理目的無關的個人信息處理。”“二審稿”在“應當限于實現處理目的所必要的最小范圍”之后并列增加了“采取對個人權益影響最小的方式”，即“處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式，不得進行與處理目的無關的個人信息處理”。關于“數據最小化”（data minimisation），歐盟GDPR（《通用數據保護條例》）規定了對個人數據處理數量的限制，必須以滿足該業務需要的最小數量為限，不得收集任何非必要的個人數據。因此，我國《個人信息保護法（草案）》應當強化“個人數據處理最小化”原則，個人信息的處理必須限于實現處理目的所必要的最小范圍，嚴格限制對個人信息的過度處理，尤其要限制對個人信息的濫用。

完善處理個人信息的基本規則

針對網絡運營者過度收集和處理公民個人信息，尤其是APP違法違規過度處理個人信息的亂象，《民法典》第一千零三十五條在《網絡安全法》第四十一條“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”的基礎上增加了“不得過度處理”個人信息的強制性規定，并附加了五個條件：一是征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；二是公開處理信息的規則；三是明示處理信息的目的、方式和范圍；四是不違反法律、行政法規的規定和雙方的約定。

《個人信息保護法（草案）》（二審稿）第七條參照《民法典》第一千零三十五條和《網絡安全法》第四十一條的規定，將“一審稿”中“明示個人信息處理規則”中的“明示”改為“公開”，并增加了“明示處理的目的、方式和范圍”，即“處理個人信息應當遵循公開、透明的原則，公開個人信息處理規則，明示處理的目的、方式和范圍”。法律中的“明示”意思為“明確表示”，而“公開”則是面對公眾和社會。個人信息處理者的“個人信息處理規則”必須向社會大眾公開，不是簡單地“明示”。目前，“公開處理信息的規則，明示處理信息的目的、方式和范圍”是我國個人信息處理的基本規則，《個人信息保護法（草案）》應當與《民法典》和《網絡安全法》保持一致。

強化對未成年人個人信息的保護

2021年6月1日起施行新修訂的《中華人民共和國未成年人保護法》第七十二條規定：“信息處理者通過網絡處理未成年人個人信息的，應當遵循合法、正當和必要的原則。處理不滿十四周歲未成年人個人信息的，應當征得未成年人的父母或者其他監護人同意，但法律、行政法規另有規定的除外。”《個人信息保護法（草案）》（一審稿）第十五條規定：“個人信息處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的，應當取得其監護人的同意。”“二審稿”將“應當取得其監護人的同意”修改為“應當取得未成年人的父母或者其他監護人的同意”，即“個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意”。《未成年人保護法》作為我國保護未成年人的特別法，專章設立了“網絡保護”，《個人信息保護法（草案）》有關未成年人的個人信息保護應當與《未成年人保護法》保持一致。

法律條文中的“知道或應當知道”，一般用于訴訟時效期間，指有證據表明權利人知道自己的權利被侵害的日期，或者根據一般規律推定權利人知道自己的權利被侵害的日期。《個人信息保護法（草案）》（一審稿）第十五條將“知道或應當知道”作為個人信息處理者判斷其處理的個人信息是否為不滿十四周歲的未成年人的，這似乎很難操作。從字面上理解，“知道或應當知道”很簡單，但實際內容卻很深奧。你說個人信息處理者知道，他會說他不知道，而且有時還真的是不知道。你說個人信息處理者雖然可能是不知道，但按一般規律推定其應當知道的，他卻會說為什么我就應當知道？因此，《個人信息保護法（草案）》（二審稿）第十五條刪除了“一審稿”中的“知道或應當知道”的表述，只要個人信息處理者處理的個人信息為不滿十四周歲未成年人的個人信息，就意味著個人信息處理者“知道”，必須取得未成年人的父母或者其他監護人的同意。

未經個人同意不得公開個人信息

《個人信息保護法（草案）》（一審稿）第二十六條：“個人信息處理者不得公開其處理的個人信息；取得個人單獨同意或者法律、行政法規另有規定的除外。”第二十七條：“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。”

《個人信息保護法（草案）》（一審稿）第二十六條和二十七條中的除外條款是一個“二選一”條款，即“取得個人單獨同意或者法律、行政法規另有規定的除外”，“二審稿”刪除了“一審稿”中的“或者法律、行政法規另有規定的除外”，只保留了單項“取得個人單獨同意的除外”，這就意味著未經自然人單獨同意，個人信息處理者不得公開或者向他人提供其處理的個人信息。同時，《個人信息保護法（草案）》還設定了“基于個人同意而進行的個人信息處理活動，個人有權撤回其同意”的規定，“二審稿”在“一審稿”的基礎上增加了“個人信息處理者應當提供便捷的撤回同意的方式”。

在實踐中，經常發生個人同意進行的個人信息處理活動，但在個人信息處理期間發現個人信息處理者存在“過度處理”其個人信息的行為，該個人想撤回其之前的同意，但網絡平臺環境下，個人撤回其同意的行為必須得到個人信息處理者的配合，否則個人是無法實現所謂“有權撤回其同意”之目的。《個人信息保護法（草案）》（二審稿）確立的未經個人單獨同意不得公開個人信息，以及“個人信息處理者應當提供便捷的撤回同意的方式”的個人信息處理規則，遵循了“以人民為中心”的發展理念，體現了數據私權至上的個人信息處理規則。

強化個人信息處理者的刪除義務

《個人信息保護法（草案）》（二審稿）第四十七條規定有五種情形之一的，個人信息處理者應當主動刪除個人信息，個人信息處理者未刪除的，個人有權請求刪除：一是處理目的已實現或者為實現處理目的不再必要；二是個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；三是個人撤回同意；四是個人信息處理者違反法律、行政法規或者違反約定處理個人信息；五是法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

“二審稿”進一步強化了個人信息處理者的刪除義務，將“一審稿”第四十七條出現五種情形之一時，“個人信息處理者應當主動或者根據個人的請求，刪除個人信息”，修改為“個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除”。以上兩種表述完全不同，“一審稿”中的“主動或者根據個人的請求，刪除個人信息”是一種在“紅旗原則”和“避風港原則”之間的選擇，只要個人信息處理者選擇其中之一，就符合法律的規定；“二審稿”中的“個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除”，顯然，“二審稿”中的“刪除義務”首先應當采用“紅旗原則”，即“個人信息處理者應當主動刪除個人信息”，只是在“個人信息處理者未刪除”的情況下才適用“避風港原則”，即“個人有權請求刪除”。

在實踐中，“個人信息處理者未刪除的，個人有權請求刪除”的規定很難實施，首先，個人幾乎不可能發現其個人信息被個人信息處理者主動刪除的情形；其次，即使發現個人信息處理者未刪除的，也不僅僅是個人“有權請求刪除”的問題，而應當是強化個人信息處理者的義務，強調“個人信息處理者在接到個人的刪除通知后，應當立即刪除”。

個人信息處理的合規審計制度

合規性審計的性質是一種經濟合規監督活動，主要指審計機構和審計人員依據國家法律、法規和財經制度，對被審計單位的生產經營管理活動及其有關資料是否合規所進行的一種監督活動。審計就其組織形式而言，一般分為內審和外審，前者是指企業內部設立的審計部門，后者是指第三方的審計機構。

《個人信息保護法（草案）》確立了個人信息處理者的合規審計制度，“一審稿”第五十三條規定：“個人信息處理者應當定期對其個人信息處理活動、采取的保護措施等是否符合法律、行政法規的規定進行審計。履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計。”事實上，個人信息處理者對其個人信息處理活動是否符合法律、行政法規規定進行合規審計的前提，是基于個人信息處理者對其個人信息處理活動的內部合規管理。

個人信息處理者對個人信息的合規管理，主要是以有效防控個人數據，尤其是防控個人敏感數據合規風險為目的，以個人信息處理者對其控制的個人信息處理活動為對象，開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。個人信息的合規管理是所有個人信息處理者的一項自律性要求，沒必要規定“履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計”，只有在發現個人信息處理活動存在較大風險或者發生個人信息安全事件時，才委托專業機構對其個人信息處理活動進行合規審計。

因此，“二審稿”第五十四條對“一審稿”第五十三條的內容進行了簡化，修改為：“個人信息處理者應當定期對其個人信息處理活動遵守法律、行政法規的情況進行合規審計。”同時，“二審稿”的第六十三條在“一審稿”第六十條的基礎上增加了“要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計”，即“履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患”。該條款中的“約談”和第三方審計之間是一種選擇關系，但是無論是對該個人信息處理者的法定代表人或者主要負責人進行約談，還是要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計，個人信息處理者都必須按照要求采取措施，進行整改，消除隱患。

個人信息合規審計的主要目的是控制和避免企業及員工因處理個人信息不合規，引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。具體到個人信息合規審計的內容，應當包括規范個人信息在收集、存儲、使用、共享、轉讓與公開披露等信息處理環節中的相關行為，遏制個人信息非法收集、濫用、泄露等違規行為，最大限度地保護個人信息權益。因此，個人信息處理者不但要定期對個人信息的處理進行合規審計，而且要公布其審計結果，對不涉及國家秘密、商業秘密和個人隱私的個人信息審計結果應當一律公開，并對審計結果出現的問題限期進行整改，及時消除隱患。

強化互聯網平臺的保護義務

《個人信息保護法（草案）》（二審稿）增加了對基礎性互聯網平臺個人信息保護義務的內容，“二審稿”第五十七條規定：“提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：一是成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督；二是對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；三是定期發布個人信息保護社會責任報告，接受社會監督。”

本條中的“個人信息處理者”之前有三個定語：一是提供基礎性互聯網平臺服務，二是用戶數量巨大，三是業務類型復雜，這類平臺就屬于超級互聯網平臺。當前，超級互聯網平臺已經很難用產業經濟時代的商品或者服務去界定它的性質，提供超級平臺的企業也無法用“經營者”來確定它的商業屬性。事實上，超級平臺已經成為高度數字市場化環境下形成的數字經濟基礎設施，在超級平臺經濟體內形成了巨大的雙邊網絡交叉效應，消費者與服務商和供應商以及平臺的提供者共同構成了網狀交叉協作的數字生態系統，而超級平臺就是整個數字生態系統的載體，其性質是為消費者、商家提供信息、交易與物流等要素的數字基礎設施。

鑒于超級平臺的特殊性，“二審稿”對超級平臺設定的三項個人信息保護義務中的“成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督”。對此，筆者有些擔憂，這可能會出現既不“獨立”也不“監督”的情形，就好似《公司法》設立的獨立董事制度一樣，我國的獨立董事制度在很多情形下是既不“獨立”也不“懂事”，不能夠真正起到監督的作用，其主要原因是我國沒有建立第三方的獨立董事市場。筆者建議，應當由國家網信部門成立或指定特定的第三方組織履行對平臺個人信息處理活動的獨立監督職能。

建議國家設立個人信息保護監管機構，對個人信息處理者，尤其是互聯網超級平臺處理個人信息等行為進行合規性監管，重點監管平臺提供者對海量用戶數據的控制和處理。歐盟GDPR要求歐盟成員國中每個國家都應當設置相應的數據監管機構，以對本國內部的個人數據處理活動進行有效監管，并與其他成員國之間的數據處理活動進行協調。雖然各成員國因其實際情況而在數據監管機構的具體規定上有所差異，但GDPR明確了各成員國法律中應當明晰的關于數據監管機構的問題。

信息處理者侵權責任過錯推定

《個人信息保護法（草案）》（一審稿）第六十五條規定：“因個人信息處理活動侵害個人信息權益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。”本條中的“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任”采用的是“舉證責任倒置”的舉證分配原則，即“能夠證明自己沒有過錯”。

網絡時代，海量的數據和信息以聚合形式存在于社交網絡、電子商務、移動智能終端等網絡平臺，特別是一些大型的網絡運營商已經形成對個人數據和信息的實際控制與壟斷，公民作為數據內容的主體完全不能控制自己的個人數據和信息，根本無法了解自己的信息和數據在何時、何地被何人以何種方式非法收集、使用、加工、傳輸。對此，《民法典》第一百一十一條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”可見，個人信息權益保護的重點在于如何規制個人信息處理者對公民個人信息的收集、使用、加工、傳輸等行為。因此，當個人信息權益受到侵害時，個人信息處理者是否應當承擔賠償的舉證責任，不是由個人信息處理者能夠證明自己沒有過錯，而應當由個人信息處理者不能證明自己沒有過錯。

為此，“二審稿”第六十八條將“一審稿”中的“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任”，調整為“個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。這是一項“過錯推定”原則，即在個人信息處理者不能證明其沒有過錯的情況下，就推定其有過錯，應承擔賠償損害責任，符合《民法典》第一千一百六十五條規定：“行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任。依照法律規定推定行為人有過錯，其不能證明自己沒有過錯的，應當承擔侵權責任。”