合规指南 |《个人信息保护法（二审草案）》中的个人信息合规趋势

2021年4月29日，《中华人民共和国个人信息保护法（草案二次审议稿）》在经全国人大常委会会议审议后面向社会公布并征求意见。此次草案的二审稿相较于此前的一审稿，改动的内容较多，其中即有对内容的细化，也有基于当前个人信息保护形势进行的调整。那么在二审稿中有哪些值得关注的调整，可能带来怎样的影响？本期专栏为您介绍。

概述

相较于一次审议稿，二次审议稿调整的内容较多，除了对部分词汇进行调整（例如将用语中的“第三方”和“他人”统一为了“他人”）、部分条款进行细化（例如将第六条处理个人信息“实现处理目的的最小范围”要求进一步细化为了“实现处理目的所必要的最小范围、采取对个人权益影响最小的方式”，不仅要求处理范围“最小”也要求在处理方式对个人权益影响的“最小”）外，也与在先的规范标准进行了衔接（例如第七条借鉴了GB/T 35273-2020《信息安全技术 个人信息安全规范》5.4节的内容，将明示个人信息处理的规则细化为了处理的目的、方式和范围）。

除了上述调整外，二次审议稿中值得关注的调整还有：

一、立法目的调整

作为法律所追求的价值和主要原则，第一条立法目的的修改通常意味着整部法律价值的调整。二次审议稿较为意外的修改了第一条立法目的。在二审稿中，删除了“保障个人信息依法有序自由流动”。个人信息作为关乎公民人格及隐私等重要权利的信息，原则上并不适合自由流动。因此，此次二审稿通过对立法目的的调整凸显了个人信息这一特征，也显示了该法对保护公民个人信息背后的隐私的强化。

二、涉及向境外提供个人信息规则调整

个人信息跨境是一个关乎国家及公民信息安全的重要问题，此次二审稿针对向境外提供个人信息的行为主要进行了如下调整：

①修改第三十八条，向境外提供个人信息需要与境外接收方订立我国网信部门制定的标准合同。

②顺应当前的国际形势，将四十三条歧视性措施的应对原则由原来的“相应”替换为“对等”。

三、针对死者的个人信息处理作出开创性规定

此次二审稿将原第四十九条后移至第五十条，在第四十九条增加：“自然人死亡的，本章规定的个人在个人信息处理活动中的权利，由其近亲属行使。”

若此条能够在正式法律条文中实施，其意义将远超个人信息保护的范畴，或将成为虚拟财产继承制度松动的重要一步。

在此前的专栏中我们介绍过（漫谈游戏 | 漫谈游戏中的传承），包括社交网络账号在内的虚拟财产除了具有一定的经济价值、基于特定的网络服务外，很重要的一个特征就是具有一定的人身属性，而这种人身属性的一个重要体现就是网络服务提供商在提供服务过程中收集的该用户的个人信息。

账户所有人死亡的情况下，若近亲属要求继承账号的使用权，网络服务商通常会基于《继承法》第三条中没有将虚拟财产纳入遗产范畴或用户协议中人身专属性的约定，拒绝近亲属的请求。

2021年1月1日实施的《民法典》通过第一千一百二十二条对遗产的定义中删除了原《继承法》第三条对遗产的封闭式列举，为虚拟财产继承制度的建立消除了法律规定上的阻碍。但基于用户协议对账号人身专属性的约定，服务商仍可以拒绝继承人的相应要求。

而《个人信息保护法》草案二次审议稿中的第四十九条很有可能改变这一局面。若其正式实施，将从立法层面确认账户所有人的近亲属可在其死亡的情况下取得账户所有人个人信息处理活动中的权利。而为了实现近亲属获得相应权利，势必需要网络服务商向账户所有人的近亲属提供登陆和使用该账户的手段。因此，在该条正式实施的情况下，企业必须要考虑修改相应的用户协议并设置类似于Facebook中的“纪念账号”机制以应对该条的合规要求。

四、新设“巨型平台”的额外个人信息保护责任

草案二审稿新设了第五十七条，为“巨型平台”设置了额外的个人信息保护责任。首先对“巨型平台”的构成设置了3个要件。分别是“提供基础性互联网平台服务”、“用户数量巨大”以及“业务类型复杂”。三个要件都相对模糊，若该条正式实施，必然需要对三个要件进一步的进行解释。值得注意的是，要件强调了“互联网平台服务”，区别于以往的能源、交通、金融等非平台的“基础服务”。

对于巨型平台，第五十七条规定了三项义务：

1、成立监督个人信息处理活动的独立机构且该机构应主要由外部成员组成。

2、对于平台内严重违反法律、行政法规处理个人信息的产品或服务提供者，应当停止服务。

3、应定期发布“个人信息保护社会责任报告”，接受社会监督。

随着社会对“平台治理”问题的逐渐重视，对于电商、内容消费等领域的各类“巨型平台”在获取经济利益的同时应当承担相应的治理责任的观点已基本成为共识。另一方面，平台的管理者更易于对平台内的各类侵权行为进行识别和规制，也客观上成为了平台承担治理责任合理性的来源。草案二审稿新设第五十七条也正是这一共识在个人信息保护领域的体现。

以上就是本期关于《中华人民共和国个人信息保护法（草案二次审议稿）》的介绍。作为平台企业以及涉及数据跨境的企业而言，此次二审稿增加的内容若实施，将增加部分合规的要求，应当关注。另一方面，涉及个人信息继承的内容调整可能涉及的面较广，将根本性的影响包括游戏公司在内的互联网服务提供者关于账号继承制度的合规。建议对其是否最终落实以及如何实施进行密切的关注。