《个人信息保护法》逐条解读(个人信息处理规则 · 一般规定部分)
第二章个人信息处理规则
第一节一般规定
第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公***卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公***利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
根据《个人信息保护法》第五条的规定“处理个人信息应当遵循合法、正当、必要和诚信原则”,那么何为“合法、正当”呢?本条所解决的问题就是“合法、正当”的问题。
取得个人同意,在大多数没有特殊关系和特别场景的情况下需要适用的规则。例如,我们的手机APP要收集哪些手机里面的信息,需要经过我们的同意。
除了“取得个人同意之外”,在一些特殊关系或者特定场景下,为了社会的正常运转,考虑人们已经形成的惯常行为和习惯,可以不用经过个人的同意,也可以处理个人信息。这些情况是:
1、订立、履行合同的需要。在签订合同的时候,我们需要写清楚双方当事人是谁。为了特定化当事人,需要写入一些当事人的信息,例如身份证信息。签订合同之后,履行合同的时候,由于履行的需要,双方或者多方当事人得知道其他各方的一些信息,例如联系人的姓名、电话、邮箱、地址等等。如果没有这些个人信息,会造成合同无法履行。
2、在劳动关系中,由于法律的规定以及缴纳社保、公积金的要求,单位一方往往需要知道员工很多的个人信息,这些信息相比签订履行合同所需要的的信息更多、更详细。如果员工拒不提供个人信息,会导致单位无法依法履行其职责以及无法有效管理。
3、为履行法定职责或者法定义务所必需,指的是国家有关机关或者司法机关、事业单位,因为法律明确规定了他们的职责和义务,为了履行职责和义务,需要获取个人信息的情况。例如,公安机关户籍部门需要收集、整理公民的户籍信息。
4、为应对突发公***卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。这种情况在疫情期间表现的尤为明显。在法律上,人的生命健康权是更高位阶的权利。为了维护人的生命健康权,需要处理个人信息的,不用经过个人同意。不过,这里面也有度的问题。,“ 应当限于实现处理目的的最小范围,不得过度收集个人信息”,更不得滥用、非法转让和买卖收集到的个人信息。
5、在新闻报道中使用个人信息一般属于合理使用的范围。之前的《民法典》第九百九十九条也规定:为公***利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
6、在《民法典》中,个人信息保护与隐私权保护放在了一起进行规定,因为个人信息公开有可能侵犯其隐私权。但是,对于自行公开或者依法公开的个人信息,自然没有隐私的问题,只要不侵犯其其他合法权益,是可以使用的。
其中,已经合法公开的个人信息,往往是因为法律的要求而公开的,有其他的社会价值。例如工商注册信息、判决书、被执行人信息和限制高消费信息等。
有一些APP就是通过集合已经公开的个人或者企业信息,进行进一步的归类,让这些信息产生新的价值。
最后,规定了一个兜底条款,为适应社会和法律的发展和变化留了余地,即“法律、行政法规规定的其他情形 ”。
第十四条基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
从第十四条到第十六条是关于“个人同意”更为具体的规定。什么叫“个人同意”?看上去是个简单的问题,但是实践中问题不少。例如,在网页上或者APP上勾选电子协议或者各种方式的“告知书”,是否就算是“个人同意”呢?很长时间以来,不少网站和APP就是这么做的。
可是,有多少人认真的看过电子协会或者告知书呢?服务或者产品的接受者之所以点击“同意”,是因为不点击同意就无法使用产品或者服务。电子协议或者告知书越写越长,却没有什么人看。这种情况下,貌似个人同意了处理个人信息,但是这种同意属于“伪同意”,是一种虚假的同意。
另外,如果错误的进行了“同意”,或者反悔了“同意”,能否撤回呢?之前,我们使用的产品或者服务中,基本上很少有这样的功能,让我们可以撤回同意。不能撤回的同意,其实也是虚伪的“同意”。
第十四条主要规定:同意的前提是“充分知情”。我国《消费者权益保护法》规定了消费者具有知情权。如果没有“充分知情”,则没有真正的“同意”。关于如何告知,下面的第十七条有明确的规定。
第十五条主要规定:个人有权撤回其同意,并且要求“个人信息处理者应当提供便捷的撤回同意的方式”。目前来看,很多产品或者服务目前不符合该条的规定。在《个人信息法》生效之后,提供的产品或者服务有处理个人信息情况的,需要进行功能的完善,增加“撤回同意”的方式。
第十六条主要规定,不同意处理其个人信息或者撤回同意的,能否继续使用产品或者服务的问题。如前所述,消费者之所以同意处理其个人信息,原因是不同意就不能使用产品或者服务,没得选择,“传统”做法其实是侵犯了消费者(或者用户)的选择权。
根据这条规定,如果涉及到处理个人信息的产品或者服务以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的,需要说明理由,即需要说明特定的同意是提供产品或者服务所必须的。如果不是必须的,则违反了法律的规定。
根据这条规定,市场上的一些产品或者服务需要进行修改,在用户同意部分需要分清哪些是提供产品或者服务所必须的,哪些不是必须的。不是必须的,应该给用户选择权。
对于何种信息是必要,应用程序APP类的服务可以参见《常见类型移动互联网应用程序必要个人信息范围规定》的规定。
第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第十八条个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
根据第十四条的规定“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,这就要求个人信息处理者在处理个人信息之前,有告知的义务。告知的程度,应该达到个人“充分知情”的地步。
第十七条规定了需要向个人告知的事项。在这些事项中,名称(姓名)和联系方式是一种常规告知。个人信息处理目的、处理方式,这一部分可能会成为一些企业重点考虑的问题,也可能是容易发生变更的事项。很多企业有最大限度处理个人信息的想法,但是目前要求明确处理目的和处理方式,无疑对之后个人信息处理的范围进行了限制。另外,经营模式的发展以及企业和技术的发展,会产生新的个人信息的处理目的和处理方式。
当已经告知的事项发生变化的时候,需要再次将变更部分告知个人。同时,根据第十四条的规定,需要个人再次同意。这就为一些产品或者服务的提供者提出了新的要求。
第十八条规定了向个人告知的例外情况,主要有两种例外情况:1、法律、行政法规(不包括部门规章、地方性规定等法律类文件)应当保密的或者不需要告知的;2、紧急情况,为了更高位阶的法律价值(生命健康、财产安全)无法及时告知的,可以在紧急情况消除后告知。这种情况不是不告知,只是可以暂缓告知义务。
第十九条除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
本条是关于个人信息的保存期限的问题。对这个问题,《个人信息保护法》并没有做出统一的规定,而是规定了一个确定时间的规则,即:为实现处理目的所必要的最短时间。
这条规则,如果遇到法律纠纷,其实是苛以了信息处理者一个举证义务:说明或者证明某种信息为什么需要保存一个月或者两个月,必要性在哪里?如果信息处理者无法说明或者证明“必要最短时间”的话,应该承担相应的法律责任。
第二十条两个以上的个人信息处理者***同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者***同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
两个以上的个人信息处理者***同处理个人信息的情况非常多。有的是两个以上的经营者***同经营一款产品或者服务,有的是一个或者多个经营者在另外一个经营者提供的平台上经营,有的是两个以上的经营者达成协议***同处理个人信息,无论哪种情况,如果***同决定个人信息的处理目的和处理方式的,应该根据本条的规定,约定各自的权利和义务。
***同处理个人信息侵害个人权益的,属于***同侵权行为,应该承担连带责任。
第二十一条个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
本条是规定受托处理个人信息者的义务问题。相比个人信息处理者的义务,受托处理个人信息者的义务要小的多:1、关于合同内容的要求,即约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;2、接受受托人对个人信息处理活动的监督;3、依照约定处理个人信息;4、合同无效或者终止的,返还或者删除个人信息;5、不得转委托。
因为相比个人信息处理者,受托处理信息者的义务小的多,所以有可能一些企业把自己定义为受托处理信息者,来躲避法定的义务。这个时候,我们需要根据实际情况来判决该企业究竟属于个人信息处理者还是受托处理信息者。如果一个企业既是个人信息处理者又是收图图哦处理个人信息者双重身份,那么就需要根据其具体的经营行为来具体判断承担什么样的法律义务。
第二十二条个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
本条是关于个人信息处理者合并、分立、解散、被宣告破产等原因需要转移个人信息的,怎么怎么办的规则。需要指出的是,个人信息处理者合并、分立的时候未必需要转移个人信息。而在解散、被宣告破产的时候,一定需要转移个人信息。
第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意
本条是第二个法律规定需要个人单独同意的条款。
实践中,个人信息处理者在收集到个人信息之后,往往有再次向其他个人信息处理者提供的行为,但是基本上没有告知个人更没有经过个人同意,顶多在用户协议中预留了相关条款。
《个人信息保护法》实施后,向其他个人信息提供者提供个人信息的成本将提高,需要告知个人相关信息并且取得个人的单独同意,预留相关条款的做法将达不到法律的要求。
在理解该条的时候要跟第二十一条区分开。第二十一条说的是受托处理个人信息的场景,例如个人信息处理者收集到个人信息之后,交给其供应商要求供应商按照其要求进行一定的分析处理。而本条讲的是把数据交给了另外一个个人信息处理者,例如收集到个人信息之后,提供给另外一个经营者用于其产品或者服务的设计和经营。
第二十四条个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
这一条规定的是“用户画像”以及“大数据杀熟”的问题。在一段时间以来,很多消费者反映:自己刚刚在想要不要买某种商品,突然就接到了这种商品的推送;也有消费者反映遇到了大数据杀熟:同样的商品或者服务,熟客与生客的价格不一样,甚至不同类型的手机、不同的性别显示的价格不一样。很多人怀疑这是经营者在搞大数据杀熟,利用一些熟客对价格的不敏感攫取不合理的利益。
本条并没有规定不能进行“用户画像”,只是要求不得再交易价格等交易条件上实行不合理的差别待遇,另外主动推送的信息应提供不针对个人特征的选项并提供便捷的拒绝方式。这是把主动权给了个人,个人有权利拒绝针对个人特征的信息推送,有权利拒绝信息推送。
第二十五条个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
这又是一个关于个人“单独同意”的条款。需要指出的是,“单独同意”一定是明示作出的,由个人有一系列同意的动作,不能推论默示“单独同意”。
所谓“公开”,即没有把信息控制在一定范围内,不特定的人可以获取。
如果把收集到的个人信息用作分析、为决策提供参考,不属于公开,不用去的个人单独同意。
但是,如果把收集到的个人信息经过加工之后,向不特定的人展示,则需要取得个人的单独同意。
另外,这里的个人信息指的是第十三条规定的基于取得个人同意处理的个人信息。其他并非基于取得个人同意处理的信息,在公开的时候,也不用再次取得个人的单独同意。
第二十六条在公***场所安装图像采集、个人身份识别设备,应当为维护公***安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公***安全的目的,不得用于其他目的;取得个人单独同意的除外。
这是第三个法律规定需要个人单独同意的条款。
根据这条规定,首先只有为了维护公***安全,才能在公***场所安装采集、识别个人信息的设备。非为了维护公***安全的必需,不能随意安装。例如,某书店的经营者就不能安装拍摄店外公***区域的拍摄设备。其次,应设置显著的提示标志。未设置显著提示标志的,没有尽到法定义务。再次,所收集的个人信息只能用于维护公***安全的目的,不能用作其他目的。最后,如果需要用作其他目的的,那么需要取得个人单独同意。需要说明的是,一些公***场合下采集的个人信息,如果涉及人数众多,几乎难以取得每一个个人的单独同意。例如,在机场、火车站收集到的个人信息。
第二十七条个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
根据第十三条的规定,个人信息处理者可以依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。那么,何为“合理的范围呢”?
本条给出了下面几个规则:1、个人明确拒绝处理个人信息的,个人信息处理者不能处理;2、处理已经公开的个人信息对个人权益有重大影响的,应该取得个人的同意。
在苏州贝尔塔数据技术有限公司与伊某人格权纠纷一案中,贝尔塔公司把伊某的判决书放到了自己的网站上,被伊某起诉到了法院。法院指出:贝尔塔公司收到伊某要求后仍未及时删除相关裁判文书和公告文书,有悖于伊某对已公开信息进行传播控制的意思表示,违反了合法性、正当性和必要性原则,应该认为对伊某构成重大利益影响,侵犯了其个人信息权益。在伊某联系贝尔塔公司要求删除文书之后,贝尔塔公司仍以中国裁判文书网已公开诉争文书为由拒绝删除涉案文书,则构成对伊某个人信息的非法公开使用。