《个人信息保护法(草案二审稿)》的三大变化
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《个人信息保护法》;草案二审稿;平台责任;个人撤回同意;过错推定原则;个人信息跨境流动;条文对比
本文约3436字,大概需要阅读 8 分钟。
2021年4月29日,中国人大网公布《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“草案二审稿”)全文,并对其公开征求意见。相较于2020年10月13日公布的《个人信息保护法(草案)》,本次公布的草案二审稿进行了多处修订,并新增了部分规定。笔者现将本次修订的主要变化概括为三大方面,并逐一进行简要解读。
一
增加平台或企业的责任和义务
修订第16条
完善【个人撤回同意】
01
条文对比
02
条文解析
从上述对比可见,草案二审稿对第十六条的修订要点如下:
首先,新增个人信息处理者(以下简称“企业”或“平台”)提供便捷撤回同意方式的义务,有效降低部分企业或平台在用户撤回同意环节设置各种形式的障碍、使得用户不得不放弃撤回同意的可能性,从而为法律赋予用户的“撤回同意权”之具体落实提供进一步保障。
其次,新增“个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”,与《信息安全技术个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)第8.4条规定的“撤回授权同意不影响撤回前基于授权同意的个人信息处理”一致,将成熟的国标规定上升为法律规定。
新增第57条
“超大平台”的责任和义务
01
新增条款内容
草案二审稿第五十七条规定:“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督”。
02
条文解析
新增的第57条,首次从法律层面明确了“超大互联网平台”的个人信息保护义务,其特征如下:
(1)明确了“适用主体”,即“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,但本次草案二审稿并未对“基础性互联网平台”、“用户数量巨大”、“业务类型复杂”进行明确、详尽的规定,尚有待后续立法解释和配套规定的进一步确定。
(2)要求成立“主要由外部成员组成的独立机构”,旨在加强对超大互联网平台的监督,提高其处理个人信息的透明度和规范性。但是,二审稿同样尚未对何为“外部成员”进行明确解释,有待后续配套性文件的落实,或者结合实践逐步明确。
(3)首次明确提出要求超大平台“定期发布个人信息保护社会责任报告的要求,但具体关于报告内容的要求也有待进一步明确,可能包含但不限于公司个人信息保护相关制度、安全措施、防范和处理个人信息安全威胁或安全事件的应急措施、对用户个人信息保护的风险提示、对用户个人信息权益主张的响应情况等。
修订第65条
明确过错推定的归责原则
01
条文对比
02
条文解析
从上述条文对比可见,草案二审稿明确个人信息侵权行为的归责原则为过错推定。
在司法实践中,就个人用户和企业平台的角色地位而言,倘若适用过错责任的规则原则或者“谁主张谁举证”原则,个人用户在举证方面势必存在较大难度。根据这一修订意见,即便企业或平台能够证明自己不存在过错,仍可能需要承担相应的赔偿责任,极大减轻了用户的举证责任。
二
规范个人信息的跨境流动
修订第38条
对个人信息跨境流动进行标准化管理
01
条文对比
02
条文解析
从上述对比可见,草案二审稿新增要求与境外个人信息接收方订立合同应为“国家网信部门制定的标准合同”,对合同的形式和内容进行统一、规范的约束,防止有关主体自行约定合同可能产生的内容不完善、风险防控措施不到位等可能导致的个人信息风险。但是,该条款提及的具体合同文本尚有待国家网信部门后续制定和公布。
修订第41条
进一步维护数据主权
01
条文对比
02
条文解析
草案二审稿加强了对向境外司法或执法机构提供个人信息的监管,具体如下:
A
●将条文调整为禁止性规定,即从“应当依法申请批准”调整为“非经批准不得提供”。言下之意,如不遵照其执行,将明显违反法律的禁止性规定,并对企业产生重大的负面影响。
B
●扩大条款的适用情形,只要向中华人民共和国境外的司法或者执法机构要求提供中国境内的个人信息,均适用第41条的规定,一定程度上是对境外机构“长臂管辖”的有效防范。
C
●限定对国际条约、协定的适用。针对中华人民共合同缔结或者参加的国际条约、协定,将“从其规定”调整为“可以按照其规定执行”。
三
明确监管主体与职责
修订第58条
明确国家网信部门为监管主体及其职责
01
条文对比
02
条文解析
草案二审稿对国家网信部门的监管主体地位及其职责进行了进一步明确和细化:
A
●明确国家网信部门“统筹协调”的权限,有助于进一步厘清监管部门的职责分工。
B
●对国家网信部门的职责进行了清晰的逐项罗列,包括有关规则和标准的制定、新技术、新应用的立法和研究等。
本次草案二审稿的发布,表示距离《个人信息保护法》的正式出台又近了一步。该法的具体颁布时间,以及有关细则的具体落地,让我们拭目以待。建议有关企业或平台密切关注《个人信息保护法》的草案修订变化,深刻体会修订要点,并提前逐步采取相关措施,引导企业或平台的运营日益规范化、合法化。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧