原标题：个人信息保护法草案二审稿剑指过度收集个人信息乱象

完善制度规则严格规制个人信息处理活动 

个人信息保护事关广大人民群众的切身利益。继2020年10月首次提请审议，个人信息保护法草案4月26日再次亮相，提请十三届全国人大常委会第二十八次会议审议。相比草案一审稿，草案二次审议稿根据各方意见作出多处修改。

目前，非法收集、过度收集、强制收集个人信息的问题较为突出。草案二审稿针对突出问题，以保护个人信息权益为核心，以严格规制个人信息处理活动为重点，进一步完善了相关的制度规范。

值得关注的是，今年1月1日起，民法典正式施行。其中规定，死者的姓名、肖像、名誉等受到侵害的，其近亲属有权依法请求行为人承担民事责任。草案二审稿增加规定：自然人死亡的，个人在个人信息处理活动中的权利由其近亲属行使。

完善个人信息处理应遵循的原则

当前，个人信息收集、使用规则不透明及过度收集、使用等问题突出。鉴于此，草案二审稿有针对性地完善了个人信息处理应遵循的原则。

草案二审稿进一步明确：不得通过“胁迫”方式处理个人信息；处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式；处理个人信息应当公开个人信息处理规则，明示处理目的、方式和范围，并应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

充实合法处理个人信息的规则

根据一些常委会组成人员和地方、部门、专家、企业、社会公众的意见，草案二审稿进一步完善了个人信息处理规则。

草案二审稿增加规定：个人信息处理者应当为个人提供便捷的撤回同意的方式；个人撤回同意，不影响撤回同意前已进行的个人信息处理活动的效力。同时规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。

有意见提出，接受委托处理个人信息的受托方不属于本法规定的个人信息处理者，但仍应履行相应的个人信息安全保护义务。鉴于此，草案二审稿增加规定：接受委托处理个人信息的受托方，应当履行第五章规定的相关义务，采取必要措施保障所处理的个人信息的安全。

此外，草案二审稿明确，个人信息跨境提供的合同应“按照国家网信部门制定的标准合同”订立。

强化超大型互联网平台的义务

有的部门、专家建议，强化超大型互联网平台的个人信息保护义务，并加强监督。草案二审稿增加了相关内容，对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务作出规定。

这些义务包括：成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

明确国家网信部门的有关职责

为了保证个人信息保护法的有效贯彻实施，草案二审稿明确，由国家网信部门统筹推进个人信息保护有关工作，包括：制定个人信息保护具体规则、标准；针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准；支持研究开发安全、方便的电子身份认证技术等。

此外，为了与民法典有关规定相衔接，草案二审稿还设置了严格的侵害个人信息权益的法律责任，规定：个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。（朱宁宁）