第二部分：個(gè)人信息處理規(guī)則與特別注意事項(xiàng)

　　個(gè)人信息處理原則以及個(gè)人信息處理的具體規(guī)則，是每個(gè)國(guó)家數(shù)據(jù)保護(hù)法案中最為關(guān)鍵和核心內(nèi)容，通過(guò)在法案中明確處理個(gè)人信息的合法性基礎(chǔ)，以及對(duì)應(yīng)的具體規(guī)則，以幫助企業(yè)和個(gè)人在處理個(gè)人信息時(shí)候厘清權(quán)利義務(wù)的邊界，企業(yè)、組織在處理個(gè)人信息活動(dòng)時(shí)應(yīng)當(dāng)特別留意和關(guān)注關(guān)于個(gè)人信息處理的具體規(guī)則要求。

　?。ㄒ唬┪覈?guó)個(gè)保法解讀：

　　經(jīng)過(guò)三審會(huì)議的我國(guó)個(gè)保法，在關(guān)于個(gè)人信息處理原則和處理規(guī)則上有了更進(jìn)一步細(xì)化和完善，為企業(yè)、組織在處理個(gè)人信息時(shí)候劃定了更清晰的紅線。

　　01 個(gè)人信息保護(hù)原則

　　我國(guó)個(gè)保法第五條到第十一條確立了個(gè)人信息處理應(yīng)遵循的原則，強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，具有明確、合理的目的并與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍，公開(kāi)處理規(guī)則，保證信息質(zhì)量，采取安全保護(hù)措施等。

　　歸納來(lái)看，可以理解為主要的七大原則：

　　圖片

　　1.合法、正當(dāng)、必要和誠(chéng)信原則

　　是指處理個(gè)人信息時(shí)，一方面，應(yīng)當(dāng)具有合法性的基礎(chǔ)（在下文分析）、具有正當(dāng)?shù)睦碛?、并?yīng)滿足必要性的要求（對(duì)個(gè)人信息的處理應(yīng)當(dāng)限定在為了實(shí)現(xiàn)處理目的所必要的范圍內(nèi)），另一方面，要遵守誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

　　圖片

　　2.目的明確、合理原則

　　相比于《二審稿》，個(gè)保法新增了“采取對(duì)個(gè)人權(quán)益影響最小的方式”，即將個(gè)人權(quán)益的影響程度作為是否明確、合理的判斷標(biāo)準(zhǔn)，再次特別強(qiáng)調(diào)了，信息的收集范圍與處理目的應(yīng)當(dāng)直接關(guān)聯(lián)，并應(yīng)該限制在實(shí)現(xiàn)目的的最小范圍內(nèi)（最小必要原則，不得過(guò)度收集個(gè)人信息）。

　　圖片

　　3.公開(kāi)、透明原則

　　是指，處理個(gè)人信息，一方面應(yīng)該對(duì)企業(yè)、組織是如何處理用戶的個(gè)人信息進(jìn)行公開(kāi)；另一方面，還應(yīng)通過(guò)這些公開(kāi)的政策、規(guī)則來(lái)明確展示企業(yè)、組織在處理個(gè)人信息方面的具體目的、處理方式和處理范圍。

　　圖片

　　4.質(zhì)量原則

　　相比于《二審稿》，個(gè)保法新增了“保證個(gè)人信息的質(zhì)量”的要求，其具體內(nèi)涵是指，為實(shí)現(xiàn)個(gè)人信息的處理目的，企業(yè)、組織應(yīng)當(dāng)對(duì)其所處理的個(gè)人信息保證準(zhǔn)確，并在有變化時(shí)候進(jìn)行及時(shí)的更新。

　　圖片

　　5.安全保護(hù)原則

　　沒(méi)有數(shù)據(jù)安全的保障，就沒(méi)有對(duì)數(shù)據(jù)的有力保護(hù)，安全是保護(hù)的關(guān)鍵前提，企業(yè)、組織應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。

　　圖片

　　6.禁止非法處理原則

　　個(gè)保法明確列舉了8大“禁止性行為”，給企業(yè)、個(gè)人劃定了清晰的紅線：任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。

　　圖片

　　7.共同治理原則

　　個(gè)人信息保護(hù)是一項(xiàng)需要個(gè)人、企業(yè)、行業(yè)組織、監(jiān)管部門(mén)等各方面共同協(xié)作、參與的事項(xiàng)，一方面，國(guó)家通過(guò)建立、健全個(gè)人信息保護(hù)制度，對(duì)侵害個(gè)人信息權(quán)益的行為進(jìn)行預(yù)防和懲治；另一方面，也需要通過(guò)加強(qiáng)個(gè)人信息保護(hù)宣傳教育工作，推動(dòng)形成政府、企業(yè)、相關(guān)行業(yè)組織、社會(huì)公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。

　　02 “告知-同意”是核心規(guī)則

　　我國(guó)個(gè)保法明確了以“告知—同意”為我國(guó)個(gè)人信息保護(hù)的核心規(guī)則（核心的合法性基礎(chǔ)），一方面，為個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)和決定權(quán)提供了重要的保障；另一方面，以“同意”作為合法理由處理個(gè)人信息，必須賦予用戶撤回同意的權(quán)利。這與GDPR的規(guī)則設(shè)置是非常類似的。

　　對(duì)于如何進(jìn)行告知，個(gè)保法明確了，企業(yè)不僅要真實(shí)、準(zhǔn)確、完整地向個(gè)人“充分告知”與處理個(gè)人信息的各類事項(xiàng)（包括處理者身份、聯(lián)系方式、處理目的、處理方式、信息種類、保存期限、個(gè)人行使權(quán)力的方式和程序等等），還需要以顯著方式、清晰易懂的方式進(jìn)行，并且在重要事項(xiàng)發(fā)生變更時(shí)，還應(yīng)重新取得個(gè)人的同意，而不能“一次了事”。

　　對(duì)于如何獲得同意，則要求個(gè)人需要在“充分知情”的前提下，作出自愿的、明確的同意，而不能是被強(qiáng)迫的、不平等的，也不能是含糊的、不清晰的情況下作出。

　　值得一提的是，本次個(gè)保法在處理個(gè)人信息的合法理由中，新增了“實(shí)施人力資源管理所必需”作為處理個(gè)人信息的合法理由之一，但在使用這一合法理由時(shí)，應(yīng)特別注意這是附條件的，只有是滿足了“依法制定的勞動(dòng)規(guī)章制度”和“依法簽訂的集體合同”才可以，而何為“依法制定”和“依法簽訂”，就為作為用人單位的企業(yè)在處理員工的個(gè)人信息時(shí)留下了非常值得研究的實(shí)操空間以及合規(guī)空間，也對(duì)企業(yè)在處理員工個(gè)人信息時(shí)，提出了更進(jìn)一步的合規(guī)要求。

　　03 “單獨(dú)同意”是特別規(guī)則

　　與此同時(shí)，我國(guó)個(gè)保法還針對(duì)“法律、行政法規(guī)等專門(mén)規(guī)定的特殊情況”，特別設(shè)置了特殊的單獨(dú)同意規(guī)則。

　　圖片

　　處理敏感個(gè)人信息情形：

　　例如，企業(yè)在處理個(gè)人敏感信息時(shí)，除了在隱私政策中，向用戶告知處理敏感個(gè)人信息的具體種類、處理的必要性、對(duì)個(gè)人的影響，采取嚴(yán)格的保護(hù)措施外，還需要在該特定場(chǎng)景觸發(fā)時(shí)，通過(guò)如單獨(dú)彈窗、單獨(dú)頁(yè)面展示等方式向個(gè)人告知，并獲得個(gè)人的單獨(dú)的、明示有效的同意，而不能是“概括同意”，“一攬子同意/捆綁授權(quán)”，更不能是“默認(rèn)同意”。

　　圖片

　　處理兒童個(gè)人信息情形：

　　例如，在企業(yè)收集不滿14周歲的未成年人個(gè)人信息的場(chǎng)景下，企業(yè)還應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

　　圖片

　　向其他個(gè)人信息處理者提供個(gè)人信息情形：

　　例如，在企業(yè)向其他第三方合作伙伴（其他個(gè)人信息處理者）提供、轉(zhuǎn)移個(gè)人信息的場(chǎng)景下，除了需要向個(gè)人履行告知義務(wù)（個(gè)保法規(guī)定了告知內(nèi)容的法定要求），進(jìn)行事前的風(fēng)險(xiǎn)評(píng)估外，還應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。

　　而對(duì)于前述情況下作為數(shù)據(jù)接收方的第三方合作伙伴，除了應(yīng)該在傳輸方告知個(gè)人的范圍內(nèi)處理個(gè)人信息，還應(yīng)該在接收方企業(yè)變更原先的處理目的和方式時(shí)，重新取得個(gè)人的同意。

　　圖片

　　在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的情形：

　　這是本次個(gè)保法新增的內(nèi)容，與目前大量企業(yè)濫用攝像頭收集個(gè)人信息、特別是人臉識(shí)別信息等情況有關(guān)，也與今年8月1日出臺(tái)的最高人民法院《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》起到遙相呼應(yīng)的效果。

　　與此相關(guān)的企業(yè)應(yīng)特別關(guān)注和留意，在安裝圖像采集、個(gè)人身份識(shí)別設(shè)備時(shí)，應(yīng)當(dāng)：

　　01

　　是為了維護(hù)公共安全所必需——限制收集目的；

　　02

　　在遵守國(guó)家有關(guān)規(guī)定的同時(shí)，還應(yīng)設(shè)置顯著的提示標(biāo)識(shí)——明確告知方式；

　　03

　　特別需要注意的是，企業(yè)因此而收集的個(gè)人圖像、身份識(shí)別信息，只能用于維護(hù)公共安全的目的，不得用于其他目的；但取得個(gè)人單獨(dú)同意的除外——限制處理用途。

　　圖片

　　公開(kāi)個(gè)人信息的情形：

　　個(gè)保法明確規(guī)定了，原則上不得公開(kāi)，但取得個(gè)人單獨(dú)同意的除外。

　　值得注意的是，在使用公開(kāi)個(gè)人信息方面，我國(guó)個(gè)保法參考海外數(shù)據(jù)保護(hù)法規(guī)，也提供了“選擇退出”的規(guī)定：

　　01

　　對(duì)于個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息，除非個(gè)人明確拒絕，個(gè)人信息處理者可以在合理范圍內(nèi)處理；

　　02

　　對(duì)于處理已公開(kāi)的個(gè)人信息，而對(duì)個(gè)人權(quán)益有重大影響的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人同意。

　　04豁免告知作為例外規(guī)則

　　本次個(gè)保法不僅在告知的內(nèi)容要求上和告知的形式上作出了進(jìn)一步的細(xì)化要求，還確立了兩種個(gè)人信息處理者可以進(jìn)行豁免的告知情形：

　　圖片

　　1.基于保密義務(wù)的豁免：

　　當(dāng)有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情況下，可以不向個(gè)人告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式。

　　圖片

　　2.基于緊急情況的豁免：

　　為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全而無(wú)法及時(shí)向個(gè)人告知的情況下，可以在緊急情況發(fā)生之時(shí)不進(jìn)行告知，但是應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

　　05共同處理承擔(dān)連帶責(zé)任規(guī)則

　　本次個(gè)保法正式確定了共同處理者的概念（共同決定個(gè)人信息的處理目的和處理方式的），也是新增內(nèi)容之一。

　　與歐盟GDPR以及先前出臺(tái)的個(gè)人信息規(guī)范不同的是，個(gè)保法在概念上沒(méi)有區(qū)分個(gè)人信息控制者和處理者，而是通過(guò)明確規(guī)定 “在共同處理個(gè)人信息時(shí)，在侵害個(gè)人信息權(quán)益造成損害的情況，應(yīng)當(dāng)一起依法承擔(dān)連帶責(zé)任”的方式，確立了由共同處理者一起面向個(gè)人數(shù)據(jù)主體去承擔(dān)連帶責(zé)任。

　　提醒企業(yè)注意的是，在發(fā)生共同處理的情況下，應(yīng)該通過(guò)合同的方式與第三方明確約定雙方的權(quán)利與義務(wù)，明確各自需要承擔(dān)的責(zé)任，要求第三方共同滿足個(gè)人信息安全的要求，同時(shí)亦需要向個(gè)人數(shù)據(jù)主體進(jìn)行有效的告知。

　　06 自動(dòng)化決策應(yīng)確保透明公平

　　公正，并有權(quán)進(jìn)行拒絕的規(guī)則

　　這可能是本次個(gè)保法最為關(guān)注也受到最大熱議的亮點(diǎn)之一，明確了廣大用戶關(guān)注的自動(dòng)化決策的規(guī)制，即應(yīng)“保證決策的透明度和結(jié)果公平公正”且“不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”。

　　要求企業(yè)在自動(dòng)化決策最為普遍的應(yīng)用場(chǎng)景“信息推送、商業(yè)營(yíng)銷”中，應(yīng)當(dāng)向個(gè)人提供“不針對(duì)其個(gè)人特征的選項(xiàng)”，或者“向個(gè)人提供便捷的拒絕方式”。

　　特別是，對(duì)于對(duì)用戶的個(gè)人權(quán)益造成重大影響的情況，法律明確為個(gè)人主提供了要求解釋清楚的權(quán)利以及進(jìn)行明確拒絕的權(quán)利。

　　本條的出現(xiàn)，在實(shí)務(wù)中，引起了非常多與個(gè)性化推薦有關(guān)的企業(yè)的關(guān)注，特別是精準(zhǔn)廣告的行業(yè)企業(yè)，在接下來(lái)的實(shí)際應(yīng)用中，相信會(huì)有更多的實(shí)務(wù)難題出現(xiàn)。但從最基本的合規(guī)注意事項(xiàng)而言，企業(yè)可以關(guān)注以下基本的合規(guī)邏輯：

　　01

　　以充分、全面、清晰告知用戶，以及取得用戶的個(gè)人同意為合法性基礎(chǔ)，其確保該同意是自愿、明確的；

　　02

　　由政府設(shè)立的法律援助機(jī)構(gòu)或者非政府設(shè)立的合法律所組織法律援助的律師。

　　03

　　當(dāng)自動(dòng)化決策是用于為了信息推送，或商業(yè)廣告推廣時(shí)，應(yīng)為用戶提供可以退出的途徑，以及不進(jìn)行個(gè)人特征推送的選項(xiàng)；

　　04

　　僅通過(guò)自動(dòng)化決策作出對(duì)個(gè)人權(quán)益有重大影響的決定的，在用戶要求解析說(shuō)明，或用戶明確提出拒絕時(shí)，應(yīng)保障其權(quán)利機(jī)制的實(shí)現(xiàn)，并考慮增加人工決策的方式。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對(duì)比：

　　鑒于個(gè)人信息處理的規(guī)則是一個(gè)比較復(fù)雜的分析類事項(xiàng)，一方面，不同國(guó)家的數(shù)據(jù)保護(hù)法律會(huì)有不同的規(guī)定，不僅對(duì)于特殊類型個(gè)人信息有不同的概念與分類，而且也會(huì)對(duì)不同特殊類型的個(gè)人信息有特別的規(guī)則，另一方面，在大量的實(shí)務(wù)操作過(guò)程中，還需要結(jié)合具體的業(yè)務(wù)場(chǎng)景、前提和多方面的維度進(jìn)行綜合考慮。鑒于篇幅有限，以下表格，我們僅就個(gè)人敏感信息的定義以及處理要求和一些特殊點(diǎn)進(jìn)行扼要對(duì)比。如有不完善之處，還請(qǐng)同行們多多指正。

　　總體來(lái)說(shuō)

　　個(gè)人信息的處理的具體規(guī)則，是每個(gè)國(guó)家數(shù)據(jù)保護(hù)法案中非常值得關(guān)注的內(nèi)容，大部分國(guó)家的數(shù)據(jù)保護(hù)法律法規(guī)中都會(huì)對(duì)特殊類型的數(shù)據(jù)提出了特殊的處理規(guī)則（例如會(huì)分別對(duì)一般個(gè)人信息、敏感個(gè)人信息、健康信息、生物特征信息進(jìn)行概念上的分類，以及規(guī)定不同的處理規(guī)則），以更好地保護(hù)個(gè)人數(shù)據(jù)主體的權(quán)益，同時(shí)也成為企業(yè)、組織和個(gè)人在處理個(gè)人信息時(shí)候的指南針和區(qū)分合規(guī)紅線的判斷基礎(chǔ)。