第二部分：個人信息處理規則與特別注意事項

　　個人信息處理原則以及個人信息處理的具體規則，是每個國家數據保護法案中最為關鍵和核心內容，通過在法案中明確處理個人信息的合法性基礎，以及對應的具體規則，以幫助企業和個人在處理個人信息時候厘清權利義務的邊界，企業、組織在處理個人信息活動時應當特別留意和關注關于個人信息處理的具體規則要求。

　　（一）我國個保法解讀：

　　經過三審會議的我國個保法，在關于個人信息處理原則和處理規則上有了更進一步細化和完善，為企業、組織在處理個人信息時候劃定了更清晰的紅線。

　　01 個人信息保護原則

　　我國個保法第五條到第十一條確立了個人信息處理應遵循的原則，強調處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的并與處理目的直接相關，采取對個人權益影響最小的方式，限于實現處理目的的最小范圍，公開處理規則，保證信息質量，采取安全保護措施等。

　　歸納來看，可以理解為主要的七大原則：

　　圖片

　　1.合法、正當、必要和誠信原則

　　是指處理個人信息時，一方面，應當具有合法性的基礎（在下文分析）、具有正當的理由、并應滿足必要性的要求（對個人信息的處理應當限定在為了實現處理目的所必要的范圍內），另一方面，要遵守誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

　　圖片

　　2.目的明確、合理原則

　　相比于《二審稿》，個保法新增了“采取對個人權益影響最小的方式”，即將個人權益的影響程度作為是否明確、合理的判斷標準，再次特別強調了，信息的收集范圍與處理目的應當直接關聯，并應該限制在實現目的的最小范圍內（最小必要原則，不得過度收集個人信息）。

　　圖片

　　3.公開、透明原則

　　是指，處理個人信息，一方面應該對企業、組織是如何處理用戶的個人信息進行公開；另一方面，還應通過這些公開的政策、規則來明確展示企業、組織在處理個人信息方面的具體目的、處理方式和處理范圍。

　　圖片

　　4.質量原則

　　相比于《二審稿》，個保法新增了“保證個人信息的質量”的要求，其具體內涵是指，為實現個人信息的處理目的，企業、組織應當對其所處理的個人信息保證準確，并在有變化時候進行及時的更新。

　　圖片

　　5.安全保護原則

　　沒有數據安全的保障，就沒有對數據的有力保護，安全是保護的關鍵前提，企業、組織應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

　　圖片

　　6.禁止非法處理原則

　　個保法明確列舉了8大“禁止性行為”，給企業、個人劃定了清晰的紅線：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

　　圖片

　　7.共同治理原則

　　個人信息保護是一項需要個人、企業、行業組織、監管部門等各方面共同協作、參與的事項，一方面，國家通過建立、健全個人信息保護制度，對侵害個人信息權益的行為進行預防和懲治；另一方面，也需要通過加強個人信息保護宣傳教育工作，推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。

　　02 “告知-同意”是核心規則

　　我國個保法明確了以“告知—同意”為我國個人信息保護的核心規則（核心的合法性基礎），一方面，為個人對其個人信息處理的知情權和決定權提供了重要的保障；另一方面，以“同意”作為合法理由處理個人信息，必須賦予用戶撤回同意的權利。這與GDPR的規則設置是非常類似的。

　　對于如何進行告知，個保法明確了，企業不僅要真實、準確、完整地向個人“充分告知”與處理個人信息的各類事項（包括處理者身份、聯系方式、處理目的、處理方式、信息種類、保存期限、個人行使權力的方式和程序等等），還需要以顯著方式、清晰易懂的方式進行，并且在重要事項發生變更時，還應重新取得個人的同意，而不能“一次了事”。

　　對于如何獲得同意，則要求個人需要在“充分知情”的前提下，作出自愿的、明確的同意，而不能是被強迫的、不平等的，也不能是含糊的、不清晰的情況下作出。

　　值得一提的是，本次個保法在處理個人信息的合法理由中，新增了“實施人力資源管理所必需”作為處理個人信息的合法理由之一，但在使用這一合法理由時，應特別注意這是附條件的，只有是滿足了“依法制定的勞動規章制度”和“依法簽訂的集體合同”才可以，而何為“依法制定”和“依法簽訂”，就為作為用人單位的企業在處理員工的個人信息時留下了非常值得研究的實操空間以及合規空間，也對企業在處理員工個人信息時，提出了更進一步的合規要求。

　　03 “單獨同意”是特別規則

　　與此同時，我國個保法還針對“法律、行政法規等專門規定的特殊情況”，特別設置了特殊的單獨同意規則。

　　圖片

　　處理敏感個人信息情形：

　　例如，企業在處理個人敏感信息時，除了在隱私政策中，向用戶告知處理敏感個人信息的具體種類、處理的必要性、對個人的影響，采取嚴格的保護措施外，還需要在該特定場景觸發時，通過如單獨彈窗、單獨頁面展示等方式向個人告知，并獲得個人的單獨的、明示有效的同意，而不能是“概括同意”，“一攬子同意/捆綁授權”，更不能是“默認同意”。

　　圖片

　　處理兒童個人信息情形：

　　例如，在企業收集不滿14周歲的未成年人個人信息的場景下，企業還應當取得未成年人的父母或者其他監護人的同意。

　　圖片

　　向其他個人信息處理者提供個人信息情形：

　　例如，在企業向其他第三方合作伙伴（其他個人信息處理者）提供、轉移個人信息的場景下，除了需要向個人履行告知義務（個保法規定了告知內容的法定要求），進行事前的風險評估外，還應當取得個人的單獨同意。

　　而對于前述情況下作為數據接收方的第三方合作伙伴，除了應該在傳輸方告知個人的范圍內處理個人信息，還應該在接收方企業變更原先的處理目的和方式時，重新取得個人的同意。

　　圖片

　　在公共場所安裝圖像采集、個人身份識別設備的情形：

　　這是本次個保法新增的內容，與目前大量企業濫用攝像頭收集個人信息、特別是人臉識別信息等情況有關，也與今年8月1日出臺的最高人民法院《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》起到遙相呼應的效果。

　　與此相關的企業應特別關注和留意，在安裝圖像采集、個人身份識別設備時，應當：

　　01

　　是為了維護公共安全所必需——限制收集目的；

　　02

　　在遵守國家有關規定的同時，還應設置顯著的提示標識——明確告知方式；

　　03

　　特別需要注意的是，企業因此而收集的個人圖像、身份識別信息，只能用于維護公共安全的目的，不得用于其他目的；但取得個人單獨同意的除外——限制處理用途。

　　圖片

　　公開個人信息的情形：

　　個保法明確規定了，原則上不得公開，但取得個人單獨同意的除外。

　　值得注意的是，在使用公開個人信息方面，我國個保法參考海外數據保護法規，也提供了“選擇退出”的規定：

　　01

　　對于個人自行公開或者其他已經合法公開的個人信息，除非個人明確拒絕，個人信息處理者可以在合理范圍內處理；

　　02

　　對于處理已公開的個人信息，而對個人權益有重大影響的，個人信息處理者應當取得個人同意。

　　04豁免告知作為例外規則

　　本次個保法不僅在告知的內容要求上和告知的形式上作出了進一步的細化要求，還確立了兩種個人信息處理者可以進行豁免的告知情形：

　　圖片

　　1.基于保密義務的豁免：

　　當有法律、行政法規規定應當保密或者不需要告知的情況下，可以不向個人告知個人信息處理者的名稱或者姓名和聯系方式。

　　圖片

　　2.基于緊急情況的豁免：

　　為保護自然人的生命健康和財產安全而無法及時向個人告知的情況下，可以在緊急情況發生之時不進行告知，但是應當在緊急情況消除后及時告知。

　　05共同處理承擔連帶責任規則

　　本次個保法正式確定了共同處理者的概念（共同決定個人信息的處理目的和處理方式的），也是新增內容之一。

　　與歐盟GDPR以及先前出臺的個人信息規范不同的是，個保法在概念上沒有區分個人信息控制者和處理者，而是通過明確規定 “在共同處理個人信息時，在侵害個人信息權益造成損害的情況，應當一起依法承擔連帶責任”的方式，確立了由共同處理者一起面向個人數據主體去承擔連帶責任。

　　提醒企業注意的是，在發生共同處理的情況下，應該通過合同的方式與第三方明確約定雙方的權利與義務，明確各自需要承擔的責任，要求第三方共同滿足個人信息安全的要求，同時亦需要向個人數據主體進行有效的告知。

　　06 自動化決策應確保透明公平

　　公正，并有權進行拒絕的規則

　　這可能是本次個保法最為關注也受到最大熱議的亮點之一，明確了廣大用戶關注的自動化決策的規制，即應“保證決策的透明度和結果公平公正”且“不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

　　要求企業在自動化決策最為普遍的應用場景“信息推送、商業營銷”中，應當向個人提供“不針對其個人特征的選項”，或者“向個人提供便捷的拒絕方式”。

　　特別是，對于對用戶的個人權益造成重大影響的情況，法律明確為個人主提供了要求解釋清楚的權利以及進行明確拒絕的權利。

　　本條的出現，在實務中，引起了非常多與個性化推薦有關的企業的關注，特別是精準廣告的行業企業，在接下來的實際應用中，相信會有更多的實務難題出現。但從最基本的合規注意事項而言，企業可以關注以下基本的合規邏輯：

　　01

　　以充分、全面、清晰告知用戶，以及取得用戶的個人同意為合法性基礎，其確保該同意是自愿、明確的；

　　02

　　由政府設立的法律援助機構或者非政府設立的合法律所組織法律援助的律師。

　　03

　　當自動化決策是用于為了信息推送，或商業廣告推廣時，應為用戶提供可以退出的途徑，以及不進行個人特征推送的選項；

　　04

　　僅通過自動化決策作出對個人權益有重大影響的決定的，在用戶要求解析說明，或用戶明確提出拒絕時，應保障其權利機制的實現，并考慮增加人工決策的方式。

　　（二） 海外主要個人信息保護法律對比：

　　鑒于個人信息處理的規則是一個比較復雜的分析類事項，一方面，不同國家的數據保護法律會有不同的規定，不僅對于特殊類型個人信息有不同的概念與分類，而且也會對不同特殊類型的個人信息有特別的規則，另一方面，在大量的實務操作過程中，還需要結合具體的業務場景、前提和多方面的維度進行綜合考慮。鑒于篇幅有限，以下表格，我們僅就個人敏感信息的定義以及處理要求和一些特殊點進行扼要對比。如有不完善之處，還請同行們多多指正。

　　總體來說

　　個人信息的處理的具體規則，是每個國家數據保護法案中非常值得關注的內容，大部分國家的數據保護法律法規中都會對特殊類型的數據提出了特殊的處理規則（例如會分別對一般個人信息、敏感個人信息、健康信息、生物特征信息進行概念上的分類，以及規定不同的處理規則），以更好地保護個人數據主體的權益，同時也成為企業、組織和個人在處理個人信息時候的指南針和區分合規紅線的判斷基礎。