4月27日下午，十三届全国人大常委会第二十八次会议对个人信息保护法草案（二审稿）（下称“草案”）进行了分组审议。

参加审议的人员对草案中个人信息的处理，敏感信息的范围，人脸识别的规制，APP授权操作等焦点问题提出了建议。

对敏感个人信息实施特殊保护

草案对敏感个人信息专门规定了处理规则。

对于如何完善，参加审议的人员首先建议明确敏感个人信息的范围。

沈跃跃副委员长说，建议考虑身份证、家庭住址、联系方式等是否应列入敏感个人信息。

杜黎明委员说，草案中列举的“敏感个人信息”包括的信息内容还不够全面，遗漏了一些重要信息。建议增加“居住场所、家庭成员构成”为敏感个人信息。

参加审议的人员其次建议增加对敏感个人信息的保护措施。

王东明副委员长说，建议明确对敏感个人信息实施特殊保护规则，体现进行更严格的保护。现实中，过度收集、处理甚至滥用敏感个人信息的情况较多，比如开展银行业务在使用一些手机APP时，甚至在使用小区门禁系统时经常要采集人脸、指纹、掌纹、虹膜等个人生物识别信息。

王东明副委员长说，对敏感个人信息的处理，应当提出更有针对性的处理规则。比如说对金融机构、医疗机构、科技公司等特定企业或者组织采集、存储、处理敏感个人信息作出明确规定，对存储敏感个人信息必须采取加密处理和技术安全保障作出规定，对敏感个人信息及时删除做出规定等等。

曹建明副委员长建议，可否在个人信息的基础上，进一步区分界定敏感个人信息种类，如敏感个人信息和极度敏感个人信息，并在取得个人的单独同意基础上，进一步建立备案审查制度和行政许可制度，以判断采集和使用是否合法、必要和正当。

郝明金副委员长则认为，草案对个人信息的概念过于宽泛。建议个人信息的定义采取列举加概括的方式，进一步尽可能细致化。比如考虑将现实生活当中存有争议较多的一些信息记录类型，例如消费历史记录或消费趋势、浏览记录、搜索记录以及网站和应用程序等网络活动信息纳入个人信息的范围，并且明确地列举出来，然后再以概括的方式规定“以及其他各种信息”，这样便于人们理解和执行，也回应社会的现实关切。

增加个人信息销毁、买卖等规定

个人信息的泄露往往发生在个人信息处理环节之中，草案规定了个人信息处理的环节，包括“收集、存储、使用、加工、传输、提供、公开等”。参加审议的人员建议，继续完善对个人信息处理的规定。

全国人大华侨委员会委员王辉忠说，建议增加“销毁”两字。比如疫情防控期间收集的出行轨迹、姓名、手机号、身份证等，目前几乎没有文件明确提出疫情结束后的数据处理方式。随着疫情逐渐好转，个人信息保护工作的重点也应从收集、使用转移到存储和销毁。

田红旗委员则建议增加“买卖”，以更好保护个人信息，同时与民法典保持一致。民法典已规定“不得非法买卖、提供或者公开他人个人信息”。

杜黎明委员说，个人信息的研究分析工作也应纳入调整范围。

对于个人信息处理者何种情况下需要删除个人信息，草案规定了个人信息处理者停止提供产品或者服务，或者保存期限已届满等情形。

但周敏委员说，现实生活中还存在个人信息处理者破产或者被注销的情形。在这种情况下，个人信息怎么保护？建议增加个人信息处理者在破产或者被注销的情况下，个人信息怎么保护的规定。

公共场所人脸识别不得用于商业目的

人脸识别信息是很受社会关注的一种个人信息。

杨震委员说，目前人脸识别使用的地方越来越多了，一定程度上威胁了个人信息的安全，个人的行踪信息都可以被揭露出来。建议由专门机构承担人脸识别应用的审批和监管职能、界定设备及数据主管的职责、数据使用和管理的权限。

周敏委员建议，在公共场所进行图像采集、个人身份识别“不得用于商业等其他目的”。

全国人大常委会香港基本法委员会副主任谭惠珠说，草案第27条规定“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识”，这一条规定的“公共场所”没有定义。

谭惠珠认为这个定义需要进一步明确，公共场所应该是指整体上供不特定公众使用的地方，比如图书馆、博物馆、医院、商场、公共交通设施等，而不应该包括私人场所的附带区域，例如居民小区的公共区域。

谭惠珠认为，居民小区等本质上属于私人场所的地方，不能够以维护公共安全为由强制使用个人身份识别的设备，如此可以减少法律上的争议。

禁止“不授权就停用”

在日常生活中，特别是在使用手机应用程序中，许多网络服务商家不管所提供的产品或服务与要求提供个人的信息是否有直接关联，是否必要，往往把收集个人信息作为提供产品或服务的前提条件，不填报个人信息就无法继续安装或使用该应用程序。

“这是目前大家感受最深、反映最强烈的问题。”全国人大社会建设委员会副主任委员宫蒲光说。

万鄂湘副委员长说，鉴于当前一些互联网平台服务提供者通过“以服务换授权”迫使用户同意提供个人信息，侵害了自然人处理个人信息的自主决定权，建议草案增加规定，禁止“不同意提供个人信息，就拒绝提供产品和服务”的方式迫使用户同意提供非必要个人信息。

宫蒲光也建议增加一段表述，即“个人信息处理者不得将让渡非必要的个人信息权益作为提供产品或服务的前提条件”。

万鄂湘副委员长还说，考虑到当前个人信息处理者在收集个人信息时往往将个人信息授权包括在“用户协议”内，冗长的用户协议使得自然人往往只能被迫授权，建议新增一款，明确个人信息处理者在获取个人信息时，需以单独环节或提示方式获得用户的个人同意。

杜黎明委员说，目前，大量线上平台都以必须同意其格式化的授权许可声明作为自然人试用期服务的前提，导致自然人被迫接受以获取其服务，进而导致使用服务过程中大量个人信息及通过线上分析所形成的个人信息被滥用。

杜黎明建议对线上平台的有关搜集、使用个人信息的格式条款作出限制，从而对处于弱势一方的自然人提供保护；增加关于通过以分析自然人行为而获取的自然人个人信息应如何保护的相关条款。