一、二审稿变化之关键点

（一）明确个人信息处理基本原则与合法性基础

首先，二审稿第六条新增了处理个人信息应当“采取对个人权益影响最小的方式”。此外，第七条也新增了处理个人信息应当“公开个人信息处理规则”，且“明示处理的目的、方式和范围”。这一点与《中华人民共和国民法典》（以下简称“民法典”）第一千零三十五条[1]相衔接，统一了关于处理个人信息相关规则的表述。

其次，在个人信息处理的正当性事由方面，二审稿第十三条延续了一审稿的形式，列举了除法律法规另有规定外的六类处理个人信息的正当性事由，包括同意、履行合同所必需、履行法定义务所必需、紧急情况下为保护自然人的健康与财产所必需、合理范围内处理已公开的个人信息、为公共利益实施新闻报道与舆论监督。其中，这次新增的合法性事由，即“依照本法规定在合理的范围内处理已公开的个人信息”值得注意。笔者以为，立法者新增此事由的目的可能为了与第二十八条保持逻辑一致性。一审稿第二十八条规定，处理已公开的个人信息，应当符合该个人信息被公开时的用途，超出与该用途相关的合理范围的，应当取得个人同意。”这里有二层含义：其一，个人信息主体自愿公开的个人信息，应当走二审稿第十三条第一款第五项合法性事由的路径；其二，超出自愿公开范围外的个人信息，如果需要对其进行处理的，还是需要获取个人信息主体的同意。此前，一审稿虽然规定了第二十八条，也有这二层含义，但第一层含义并没有直接将其归类于合法性事由中，只能通过理解进行自行推断。此次二审稿做了进一步调整，归类更加完整，使得第十三条与第二十八条能够保持前后衔接，逻辑更加周延。

此外，第二十八条在语言表达上也做了精进，对于超出所公开信息用途以外合理范围的个人信息，应当取得个人信息主体就处理超出部分的重新授权，而不是默认直接处理。但是，如何明确界定第十三条与第二十八条所指称的“合理的范围”，以及两个条款中涉及的两个“合理范围”的含义是否一致？可能需要结合实际场景进行具体分析，比如第十三条所述的“在合理的范围内处理已公开的个人信息”，可以用人脸识别的场景来举例。在用户自愿公开人脸（在用户未遮挡状态下）图像的情况下，组织只有在维护公共安全、社会利益的范围内（暂且先不考虑处理时间、地域、程度等具体评价要素）处理人脸信息的，可能被解释为该场景下的合理范围，不需要获取个人信息主体的明示同意。第二十八条的“合理范围”又如，将人脸信息用于人证比对后又用于处理者的内部研究、算法训练的，那么该处理应当重新获取该个人信息主体的同意（即针对采集后的超出用户授权目的的使用部分），否则，超出合理范围的，不能使用，不然将被视为违法违规处理个人信息，从而将引发刑事、行政和民事风险。另外值得注意的是，在第十三条结尾处还新增了一款，即要求“其他有关条款规定处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意”，使得原本平行并列的七种合法性事由有了适用上的先后顺序。当该条第一款第二项至第七项规定的情形出现时，无需再获取个人信息主体的同意便可以处理个人信息。也就是说，如果个人信息处理者是为订立或者履行个人作为一方当事人的合同、为履行法定职责或者法定义务、为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全，则无需取得个人信息主体关于处理其个人信息的同意即可实施；但如果个人信息处理者是为公共利益实施新闻报道、舆论监督等行为而在合理的范围内处理个人信息，或者依照二审稿规定在合理的范围内处理已公开的个人信息，则也不需要征得个人信息主体同意。结合二审稿第六十八条新增的个人信息处理者须举证责任倒置而适用“过错推定”的原则，笔者认为，考虑在个人信息处理者证明责任加重的情况下，有时企业无法拿到个人信息主体的“同意”，除了“同意”以外的六项合法性事由若可以优先成为企业自证合规的方式，可以适当减轻处理者基于第六十八条而承担的举证责任，另外也能看出法律在对法益保护的价值排序上，体现了保护弱者、兼顾公平的精神。这一变化也说明二审稿适当参考了欧盟通用数据保护条例（General Data Protection Regulation，以下简称“GDPR”）及行业实践情况，对数据处理的合法性基础作出了权衡后的改良。

（二）增强对个人信息主体权益的保护

二审稿第十六条新增了关于个人信息处理者应当提供便捷的撤回同意的方式要求，同时提出，若个人信息主体撤回同意，将不影响撤回之前基于个人信息主体同意已进行的个人信息处理活动的效力。这一修改与《信息安全技术 个人信息安全规范》GB/T 35273—2020（以下简称“个人信息安全规范”）相衔接[2]，完善了个人撤回同意的规定，保障了个人信息主体的相关权益。笔者认为，这里其实也体现着自由与效率这对呈矛盾体的法律基本价值。个人信息主体在提出撤回同意的请求时，希望满足自己一种自由愿望的表达，但法律同时还需要兼顾考虑到企业已经根据个人信息主体此前同意的范围，投入了人力、物力、财力研发基于数据相关的产品（如算法模型）。如果个人信息主体提出要求撤回同意的同时，还需将此前同意的数据全部删除，那么企业不仅投入的成本白费了，而且部分产品将被打回雏形，甚至需要重新开发，这将影响到其他用户的使用，使效率大大降低。立法为此进行了平衡处理。

其次，二审稿第二十五条新增了对自动化决策的规定，赋予了个人信息主体更多权利——通过自动化决策方式作出对个人权益有重大影响的决定时，个人信息主体有权要求个人信息处理者予以说明，并且有权拒绝仅通过自动化决策方式作出的决定。同时，个人信息处理者还应当同时提供不针对其个人特征的选项，或者向个人提供拒绝自动化决策的方式。这说明二审稿将目前应用程序及商业推广中自动化决策技术应用的日益普遍化现象明确纳入了规制范围，确保用户在享受数字时代便利的同时，获得针对消费者合法权益的增强性保护，并尊重个人信息主体的选择权与自决权。《电子商务法》第十八条要求电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项。相较于《电子商务法》第十八条，本次二审稿在自动化决策的主体适用（针对所有处理者）与适用条件（利用自动化决策而进行商业营销、信息推送，而不局限于提供商品或服务的搜索结果）上均有所拓宽。

区别于一般用户画像，基于用户画像的自动化决策是指在形成过程中没有进行任何人为的干预，但其形成的结果很可能对数据主体产生严重影响（比如影响到数据主体的选举权等重大权利等）。因此，对基于用户画像作出自动化决策的适用应当设定更为严格的要求，比如GDPR第22条采取原则上禁止适用，但设定某些例外情况：经过数据主体的明确同意，或为订立或履行数据主体与数据控制者间合同所必需等，数据主体有权拒绝可能对其产生法律效力或对其产生类似重大影响的自动化决策。GDPR还要求在此情形下，控制者应保证数据主体的知情权、访问权、删除权等。除此以外，GDPR不鼓励对儿童进行画像和进行自动化决策等类似效果的动作，或为了营销或者画像目的处理儿童个人信息。采取此种更加谨慎的态度，是为了避免没有人为纠偏机制的情况下产生不公正和歧视问题。而二审稿第二十五条，原则上对自动化决策是支持的，但对个人权益有重大影响时，法律也赋予了个人信息主体要求个人信息处理者进行说明和拒绝受到自动化决策限制的权利。但法律未规定个人信息处理者进行解释与说明的程度，故，也可以理解为个人信息主体能够要求个人信息处理者说明自动化决策的代码逻辑或者算法本身。那么在代码未开源的情况下，这种要求可能会涉及被过度要求公开企业的商业秘密，降低核心竞争力，故建议本法能够在此进一步细化要求。另外，为保护儿童，也建议参考GDPR，原则上不对儿童进行直接画像和自动化决策，除非其父母或者其他监护人要求处理者如此做。

此外，二审稿第四十七条对删除权的内容进行了补充，明确提出，若个人信息处理者在应当主动删除个人信息的情况下未能进行删除的，则个人信息主体有权请求个人信息处理者删除其个人信息。同时，如果法律法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。新增加的除外义务，也呼应了第四条第二款所述的“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供和公开等”，因此，当技术上存在一时无法删除数据的障碍时，组织仍然需要对这些继续存储在处理者数据库中的数据采取必要的安全保护措施，以保证数据没有被泄露或者攻击。这些变化赋予了用户督促个人信息处理者删除数据的权利，同时也从安全保障措施层面进一步完善了删除权的相关规定。

最后，二审稿第四十九条首次规定了死者的个人信息权益，即在自然人死亡后，其个人信息权利由其近亲属行使。《民法典》第九百九十四条也规定了死者的隐私受到侵犯时，其配偶、子女、父母或近亲属有权依法请求行为人承担民事责任。但是《民法典》与二审稿对如何行使权利并未展开说明，二审稿第四十九条虽然与《民法典》的精神相呼应，但具体应当如何落实操作，例如如何证明双方关系、是否需要提供额外的证明材料、这些证明材料是否为最小必要的，仍待进一步的明确规定。此外，虽说个人信息保护被《民法典》归入到人格权编，但大多数学者们仍然认为保护个人信息是保护一种权益，而隐私权保护则是对权利的保护。后者体现为当个体生前隐私权受到侵犯，死者的近亲属认为有必要时，有权对死者和/或近亲属的权利损害进行救济。比如，假设某明星死后被曝光其生前与某富豪未婚留有私生子，那么对该明星的持续性风评（对死者而言已经没有那么重要），以及（因为其曾经为公众人物）对其子、家人，甚至该富豪的生活都可能带来负面作用或舆论侵扰，近亲属应当有权采取救济措施（多数情况下是对近亲属自身权利的救济）。然而，如果发生将死者生前交付于处理者控制的个人信息进行滥用的情况，是否还有必要进行救济呢？笔者将再举一例。比如一家黑灰产将某用户的身份证号码售卖，导致该用户接到推销不同产品的骚扰电话，对该用户生活带来不便。当该用户逝世，手机号一般可能被注销（由于身份证号码被销户），那么对该死者权益及其近亲属的影响实际并没有这么大。笔者唯一能想到的是，死者生前的住宿信息被黑产泄露了，那么与其同住的人员可能会受到打扰。但近亲属搬家所承担的成本可能比要举证打官司并找到侵害人往往容易，因此，叫好声一片的此条款是否有真正的现实意义，值得进一步考察与推敲。值得注意的是，二审稿在一审稿对国家机关处理个人信息的要求基础上，新增第三十七条对于“具有管理公共事务职能的组织”的要求，以避免这些具有公共管理事务职能的组织在实施行政许可、行政处罚等行政行为时，该组织不在法律法规规定的框架内。

（三）细化个人信息处理者责任

二审稿第五十七条为新增条款，针对个人信息处理者中的一类特殊主体，即提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，提出了三项新的义务要求。一是，成立由外部成员组成的独立机构，监督个人信息处理活动；二是，停止向严重违法违规的平台内产品或者服务提供者提供服务；三是，定期发布个人信息保护社会责任报告。

适用第五十七条的这类个人信息处理者往往掌握大量的用户数据，其合规与否关系到社会公共利益。考虑这类主体一般规模庞大，在市场中占据非常大份额，由外部机构对其进行监督，可以更好地保证其行为合规。但至于“基础性互联网平台”是什么、“用户数量”的界定、由何类人员承担这一外部监督责任，二审稿未进行详细解释。《电子商务法》第七条提到“本办法所称网络交易平台经营者，是指在网络交易活动中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展网络交易活动的法人或者非法人组织。”《国务院反垄断委员会关于平台经济领域的反垄断指南》中的 “互联网平台”是指通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态；因此，可推断二审稿中指称的基础性互联网平台大概也指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流与发布服务的通过互联网且有单独域名进行运营的网络空间载体。关于用户数据量巨大的衡量标准，笔者能想到的一个参考依据，即《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“2017年评估办法”）第九条，针对出境数据涉及含有或累计含有50万人以上个人信息的，网络运营者应报请行业主管或监管部门组织安全评估。关于外部监管者，二审稿目前仅提到应当主要由个人信息处理者以外的成员组成，其他并无明确规定。我们认为可以参照公司法中独立董事等规则，选取未在公司任职的、具有独立性的外部人员，包括律师、个人信息保护专家、学者等等。此外，针对此类个人信息处理者而特别提出的关于定期发布个人信息保护社会责任报告的义务，也从侧面说明监管机构计划通过社会监督的方式反向督促企业履行合规义务，这点新增的规定还是较有积极意义的。

而针对平台经营者对平台内经营者的监管义务这一点，也与近期出台的法律法规相互呼应—具体而言，在今年5月1日生效的《网络交易监督管理办法》第二十九条与第三十条[3]，以及4月26日新发布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第九条、第十条[4]中都有体现监管机构意欲附加在平台经营者身上的责任义务。通常平台经营者作为联结多方的纽带，其可以更快速地监管到平台内经营者是否履行合规义务。综合来看，考虑到提高效率与降低负面影响的原因，在平台内经营者出现违法违规行为时，由平台经营者直接停止其服务确实更加直接与合理，这也是目前的监管趋势之一。并且，平台作为提供资讯交换与机会撮合的载体，收集了大量C端和B端用户的数据，从而结合技术算法获取了大量利益，因此其作为守门人的责任与义务必然应运而生且顺其自然，即所谓“欲戴皇冠、必承其重”。

此外，第五十八条也新增了受托方的义务，要求接受委托处理个人信息的受托方履行相关的安全义务要求，采取必要措施保障所处理的个人信息的安全。笔者认为，本次新增此条非常之必要。与此相比，此前的一审稿仅是笼统地规定了个人信息处理者的义务。此次二审稿新增了受托方的义务，从而一定程度化解了因未区分个人信息处理者与受委托者带来的义务范围模糊问题。一审稿出台后，呼声最大的问题在于未区分个人信息控制者与受委托者，笼统定义个人信息处理者，因而导致在含义上与《个人信息安全规范》和GDPR的控制者混淆。因为GDPR和《个人信息安全规范》出台在先，影响范围较广，一审稿确实可能导致原来已经在《数据处理协议》中定义的数据处理者突然变成了“数据控制者”的身份。因此，二审稿五十八条一出，至少笔者有了柳暗花明又一村的感觉。《民法典》和《个人信息保护法（草案）》一直强调的是规范“处理”行为（处理的内涵前面已经分析），揣度立法者意图，可能是希望将做出处理行为（有能力决定处理方式、目的、数据类型）的主体叫做数据处理者，而针对《个人信息安全规范》中的受托者和GDPR中的数据处理者，在五十八条中被同义替换为“接受委托处理个人信息的受托方”。二审稿对角色进行了界定以外，也要求接受委托处理个人信息的受托方履行必要的个人信息安全保障措施。至于何为“必要”，留待各部门规章或者相关国家标准及指南进一步解释是合理的。

此外，二审稿第二十二条还新增了委托合同不生效、无效、被撤销或终止时，受托方删除数据的义务。

值得注意的是在个人信息跨境传输方面，二审稿第四十一条明确了在境外司法或执法机构要求提供存储于境内的个人信息时，企业必须在获得国内主管机关的批准后，方可对境外提供。这一条的修改与《数据安全法（草案）》（二次审议稿）第三十五条保持了同步。而在跨境传输标准条款方面，二审稿虽然延续了此前的多元跨境传输方式[5]，但通过第三十八条将此前要求个人信息处理者与境外接收方订立的“合同”明确为“国家网信部门制定的标准合同”。这点与GDPR的规定更加贴近，由官方主管机关提供标准性条款，从而规范个人信息处理者的数据跨境传输行为，与此同时，统一的标准性条款也能降低企业数据跨境传输的成本、降低与审批机构来回沟通条款所耗时间、缓解省级网信办的执法工作的压力与强度，以及更好地保护个人信息主体的权益（不会因各组织所拟定的合同条款标准不同，而受到保护的程度各异）。这从侧面说明欧盟日益成熟的跨境管理机制以及SCC的普遍适用实践（点击可跳转）也为我国的相关规定提供了一定的启发意义。笔者由此猜测，《个人信息出境安全评估办法（征求意见稿）》（2019年“评估办法”）应当也会很快更新相关措词并再次征求意见。

此外，二审稿第四十一条进一步明确，在境外司法或执法机构要求向境外提供个人信息时，未经批准不得提供。此前一审稿中仅规定因境外司法协助或执法协助时，“应当”申请主管机关批准。此次二审稿进一步强化了要求，一方面不再局限于“司法协助”或“执法协助”，另一方面将其调整为禁止性规定，更加彰显了对数据主权的捍卫。除非中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的，从其规定。例如，2020年11 月15日签署的《区域全面经济伙伴关系协定》（RCEP）第八章 附件一金融服务第九条规定：“缔约方不得采取措施阻止：(a) 为在其境内从事金融服务提供者的日常业务所必需的信息传输，包括通过电子或其他方式进行的数据传输；以及(b) 处理在其境内从事金融服务提供者的日常业务所需的信息。

（四）落实监管细则

与一审稿相比，二审稿第六十一条一方面明确了国家网信部门的统筹协调职能，另一方面对相关职能做了细致例举，包括指定个人信息保护具体规则、标准；针对敏感个人信息以及新技术、新应用制定专门的个人信息保护规则和标准、支持研发安全认证等。《信息安全技术 移动互联网应用程序（APP）个人信息安全测评规范（征求意见稿）》正好落实了此条的要求，该规范对相应的测评标准、每条对应的测评项、每一个测评项的测评指标、测评对象、测评步骤、判定标准等都做出了十分细致的规定。同时，二审稿的第五十四条规定，个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的规定进行审计。第六十三条规定，履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构对其个人信息处理活动进行审计，这有利于企业自查更方便、更清晰，事先可从大方向上确保产品上线前的合规性。这使得企业在内部推动合规工作时能够有具体的执行标准，利于产品、技术侧同事接受。而执法方面也可能会变得更为严格，不排除监管机关可能会按此测评标准对App的合规项进行逐项核查。

二、未来发展趋势

二审稿的出台意味着我们离《个人信息保护法》正式发布越来越近。从目前的情况来看，我们初步预测今年第三季度被提请人大常委会第三次审议，内容变化应该不大，会延续一审稿与二审稿的绝大部分内容，或许年底可以一睹个保法正式稿的正式出台。结合近期的监管重点，我们认为正式稿将在与《民法典》、《个人信息安全规范》等法律法规保持一致的同时，涵盖了拟待解决数字时代下新技术、新经济所带来的问题。

同时，二审稿中还存在一些尚未释明的条款，例如虽然二审稿第四十条中“处理个人信息达到国家网信部门规定数量的个人信息处理者”这一概念在一审稿、二审稿中均有出现，但是目前国家并没有明确说明具体的门槛或标准。在个人信息权益方面，一审稿与二审稿均未提到一个在实践中较为重要的个人信息主体权利，即注销账户（号）权；而本次二审稿第十六条规定的有关个人信息主体撤回同意的条文在经过修改后，已经与《个人信息安全规范》十分贴近，由此除注销账户（号）权以外的查询权、更正权、删除权、可携带权、撤回同意权等个人信息主体权利均在二审稿中得到体现。我们期待在未来正式出台的《个人信息保护法》中会出现对这两部分的规定。

虽然目前二审稿处于征求意见的阶段，但是我们认为，现阶段企业仍需要注意的是二审稿通过第六十八条规定的个人信息处理者的举证责任倒置义务。 根据二审稿，当侵害个人信息权益的行为发生时，个人信息处理者无法拿出实锤证明自己没有侵害他人个人信息过错的，应当承担损害赔偿等侵权责任。相较而言，二审稿更加符合《民法典》第一千一百六十五条第二款关于过错推定的规定[6]。一审稿规定，个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。从文义来看，一审稿似乎给予法院更多自由裁量权，是否可以减轻或免除，取决于法院。而二审稿则直接明确了过错推定的原则，即不能证明自己没有过错，就应当承担侵权责任。其实在最高人民法院发布第一批涉互联网典型案例“庞理鹏诉东航、去哪儿”一案中已提出了相关举证要求。最高院在该案的“典型意义”中引用二审判决中的一句话，即“客观上，法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。”在原告证明了其是通过去哪儿网购买了东航的机票时，可认定东航和去哪儿网有能力和条件将庞理鹏的姓名、手机号和行程信息匹配，而他人将此等信息进行匹配的可能性是非常低的。在东航和去哪儿网未举证证明信息泄露具有其他原因的情况下，法院进而认定东航和去哪儿网存在泄露庞理鹏隐私信息的高度可能性，也即被告未完成对事实举证的义务。

此外，二审稿规定了国家网信部门等推进个人信息保护工作的相关职责，特别是在制定新规方面，明确了未来将依法推进制定个人信息保护具体规则与标准，针对敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则与标准，支持研究开发安全、方便的电子身份认证技术等。这意味着企业在应用新技术、新应用的同时，应当密切关注立法动态，读懂监管机构动作下的风向，根据立法及时调整或升级内部合规方案，以避免发生不必要的违规风险或通报、处罚等不利后果。

注释：

[1] 《民法典》第一千零三十五条：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

[2] 个人信息安全规范

8.4　个人信息主体撤回授权同意

对个人信息控制者的要求包括：

a) 应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后，个人信息控制者后续不应再处理相应的个人信息；

b) 应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回授权同意的方法。

注：撤回授权同意不影响撤回前基于授权按同意的个人信息处理。

[3] 《网络交易监督管理办法》

第二十九条 网络交易平台经营者应当对平台内经营者及其发布的商品或者服务信息建立检查监控制度。网络交易平台经营者发现平台内的商品或者服务信息有违反市场监督管理法律、法规、规章，损害国家利益和社会公共利益，违背公序良俗的，应当依法采取必要的处置措施，保存有关记录，并向平台住所地县级以上市场监督管理部门报告。

第三十条 网络交易平台经营者依据法律、法规、规章的规定或者平台服务协议和交易规则对平台内经营者违法行为采取警示、暂停或者终止服务等处理措施的，应当自决定作出处理措施之日起一个工作日内予以公示，载明平台内经营者的网店名称、违法行为、处理措施等信息。警示、暂停服务等短期处理措施的相关信息应当持续公示至处理措施实施期满之日止。

[4] 《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》

第九条  App分发平台应当履行以下个人信息保护义务：

（一）登记并核验App开发运营者、提供者的真实身份、联系方式等信息；

（二）在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息；

（三）不得欺骗误导用户下载App；

（四）对新上架App实行上架前个人信息处理活动规范性审核，对已上架App在本规定实施后1个月内完成补充审核，并根据审核结果进行更新或者清理；

（五）建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制；

（六）按照监督管理部门的要求，完善报送机制，及时配合监督管理部门开展问题App上报、响应和处置工作；

（七）设置便捷的投诉举报入口，及时处理公众对本平台所分发App的投诉举报；

（八）国家规定的其他个人信息保护义务。

第十条 App第三方服务提供者应当履行以下个人信息保护义务：

（一）制定并公开个人信息处理规则；

（二）以明确、易懂、合理的方式向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容，其个人信息处理活动应当与公开的个人信息处理规则保持一致；

（三）未经用户同意或者在无合理业务场景下，不得自行进行唤醒、调用、更新等行为；

（四）采取足够的管理措施和技术手段保护个人信息，发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者；

（五）未经用户同意，不得将收集到的用户个人信息共享转让；

（六）国家规定的其他个人信息保护义务。

[5] 二审稿 第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件:

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；

（四）法律、行政法规或者国家网信部门规定的其他条件。

[6] 第一千一百六十五条 行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。

依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。

请点击文末“相关下载”，查阅一审稿与二审稿对比表