個人信息保護(hù)法教程全套教學(xué)課件

個人信息保護(hù)法教程

高等院校法學(xué)系列全套可編輯PPT課件第一編導(dǎo)論

第一章個人信息保護(hù)法概述

第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源一、個人信息保護(hù)法的概念個人信息保護(hù)法，也稱個人數(shù)據(jù)保護(hù)法，它是以規(guī)范個人信息處理活動為內(nèi)容，以實(shí)現(xiàn)個人信息權(quán)益保護(hù)與個人信息合理利用為目的的法律。個人信息保護(hù)法有廣義與狹義之分。狹義的個人信息保護(hù)法即形式意義上的個人信息保護(hù)法。廣義的個人信息保護(hù)法，也稱實(shí)質(zhì)意義上的個人信息保護(hù)法，是對所有的規(guī)范個人信息處理活動、保護(hù)個人信息權(quán)益與促進(jìn)個人信息合理利用的法律規(guī)范的統(tǒng)稱。第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源二、個人信息保護(hù)法的特征（一）個人信息保護(hù)法調(diào)整的是能力不對等的個人信息處理者與個人之間的法律關(guān)系不對等體現(xiàn)在以下三方面：其一，現(xiàn)代網(wǎng)絡(luò)信息科技的發(fā)展，使個人信息以前所未有的數(shù)量和種類產(chǎn)生，個人常常不知道自己產(chǎn)生了什么樣的個人信息。其二，現(xiàn)代信息網(wǎng)絡(luò)技術(shù)使得社會生活高度數(shù)字化，個人信息處理成為現(xiàn)代生產(chǎn)生活所必需的活動，個人缺乏拒絕或阻止個人信息被處理的能力，如果拒絕就要為此付出各種各樣、或大或小的代價。其三，隨著網(wǎng)絡(luò)信息科技的飛速發(fā)展，個人信息處理的目的和方式具有越來越多的可能性，而算法的專業(yè)性與不透明性會使個人信息處理可能對個人權(quán)益產(chǎn)生何種危險或損害，常常是個人難以了解的。第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源（二）個人信息保護(hù)法是綜合運(yùn)用公法與私法規(guī)范個人信息處理活動的領(lǐng)域法由于個人信息保護(hù)法調(diào)整的是處理能力不平等的個人信息處理者與個人之間的法律關(guān)系，故此，個人信息保護(hù)法既非單純的公法，也非民事特別法，而是綜合運(yùn)用公法與私法方法對個人信息處理活動予以調(diào)整的領(lǐng)域法。第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源三、個人信息保護(hù)法的法律淵源我國個人信息保護(hù)法的法律淵源包括法律、行政法規(guī)、司法解釋、地方性法規(guī)、規(guī)章以及規(guī)范性文件等。第一節(jié)個人信息保護(hù)法的概念、特征與法律淵源第二節(jié)個人信息保護(hù)法的目標(biāo)一、概述了解個人信息保護(hù)法的立法目的，有利于更透徹地理解個人信息保護(hù)法的規(guī)則、制度及體系，從而準(zhǔn)確地闡釋并適用相關(guān)規(guī)范，維護(hù)個人信息權(quán)益，處理個人信息糾紛。我國《個人信息保護(hù)法》的立法目的就是兩個：一是，保護(hù)個人信息權(quán)益；二是，促進(jìn)個人信息合理利用。第二節(jié)個人信息保護(hù)法的目標(biāo)二、保護(hù)個人信息權(quán)益《個人信息保護(hù)法》在第1條就旗幟鮮明地將保護(hù)個人信息權(quán)益作為第一位的立法目的，并且在第2條再次明確“自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益”。為了實(shí)現(xiàn)對個人信息權(quán)益的全面、充分的保護(hù)，我國《個人信息保護(hù)法》作出了系統(tǒng)全面、細(xì)致的規(guī)定。第二節(jié)個人信息保護(hù)法的目標(biāo)三、促進(jìn)個人信息合理利用我國《個人信息保護(hù)法》不僅以保護(hù)個人信息權(quán)益為目的，也高度關(guān)注個人信息的合理利用，致力于協(xié)調(diào)個人信息權(quán)益與信息自由、言論自由、商業(yè)活動自由的關(guān)系，以及“合理平衡保護(hù)個人信息與維護(hù)公共利益之間的關(guān)系”。（1）規(guī)定了較為廣泛的個人信息處理合法性根據(jù)的范圍。（2）并未一概禁止對于敏感個人信息的處理，而是要求個人信息處理者只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個人信息。第二節(jié)個人信息保護(hù)法的目標(biāo)（3）明確規(guī)定了在特定情形下，個人信息處理者處理個人信息不僅可以無須取得個人同意，還可以不告知個人。（4）允許個人信息處理者不取得同意就可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息，除非個人明確拒絕。個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的，則應(yīng)當(dāng)依法取得個人同意。（5）允許個人信息的共同處理、委托處理、個人信息的提供以及個人信息的轉(zhuǎn)移，但要求符合一定的。在具備一定條件的情況下，個人信息處理者因業(yè)務(wù)等需要，可以向我國境外提供個人信息，即個人信息的跨境提供。第二節(jié)個人信息保護(hù)法的目標(biāo)（6）允許個人信息處理者利用個人信息進(jìn)行自動化決策，包括通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，但是個人信息處理者應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實(shí)行不合理的差別待遇（《個人信息保護(hù)法》第24條）。在通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷時，應(yīng)當(dāng)同時提供不針對其個人特征的選項(xiàng)，或者向個人提供便捷的拒絕方式。第三節(jié)個人信息保護(hù)立法的發(fā)展一、域外個人信息保護(hù)立法的發(fā)展第三節(jié)個人信息保護(hù)立法的發(fā)展二、我國個人信息保護(hù)立法的發(fā)展（一）刑法保護(hù)階段（二）網(wǎng)絡(luò)安全法保護(hù)階段（三）私法保護(hù)階段（四）個人信息保護(hù)法的頒布第二章個人信息保護(hù)法的調(diào)整對象

第一節(jié)個人信息的概念與類型一、個人信息的概念（一）個人信息的判斷標(biāo)準(zhǔn)：識別說與相關(guān)說依據(jù)識別說，凡是能夠單獨(dú)識別或者與其他信息結(jié)合后識別出特定自然人的信息，就是個人信息。相關(guān)說，也稱關(guān)聯(lián)說，依據(jù)該說，只要是與已識別或可識別的自然人有關(guān)的各種信息都屬于個人信息。歐盟《一般數(shù)據(jù)保護(hù)條例》采取了相關(guān)說，我國《個人信息保護(hù)法》采取的也是相關(guān)說。第一節(jié)個人信息的概念與類型第一節(jié)個人信息的概念與類型第一節(jié)個人信息的概念與類型（二）匿名化處理后的信息不屬于個人信息匿名化，是指個人信息經(jīng)處理無法識別特定自然人且不能復(fù)原的過程。因此，匿名化是一種修改個人信息的方法，其結(jié)果是使信息與個人沒有關(guān)聯(lián)。匿名化的主要方法有兩種：隨機(jī)化和泛化。個人信息的匿名化只是相對的。在可獲得的數(shù)據(jù)來源越來越豐富以及算法越來越強(qiáng)大的大數(shù)據(jù)時代，匿名化處理的信息也可以復(fù)原，從而重新具有可識別特定個人的可能。第一節(jié)個人信息的概念與類型二、個人信息的要素（一）自然人（二）已識別或可識別的自然人（三）相關(guān)的各種信息第一節(jié)個人信息的概念與類型三、個人信息的類型（一）私密與非私密個人信息區(qū)分標(biāo)準(zhǔn)：判斷個人信息是否屬于私密信息，核心的標(biāo)準(zhǔn)在于這些信息對于維護(hù)個人的自決與自由以及保護(hù)自然人的私生活安寧和私生活秘密的重要性。當(dāng)然，也要考慮該等信息對于維護(hù)社會正常交往、信息自由的重要程度以及社會公眾的一般認(rèn)知等因素。區(qū)分意義：法律適用和個人信息處理規(guī)則存在差異。第一節(jié)個人信息的概念與類型（二）敏感與非敏感的個人信息區(qū)分標(biāo)準(zhǔn)：敏感的個人信息是指，一旦泄露或者被非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。區(qū)分意義：法律適用和個人信息處理者的義務(wù)不同。第一節(jié)個人信息的概念與類型第一節(jié)個人信息的概念與類型（三）公開的與非公開的個人信息區(qū)分標(biāo)準(zhǔn)：公開的個人信息，是指已經(jīng)處于明顯公開狀態(tài)的個人信息。區(qū)分意義：個人信息的處理活動的合法性根據(jù)不同；阻止處理者處理活動的方法不同；是否再次公開不同。第二節(jié)個人信息處理與個人信息處理者一、個人信息處理的概念與類型（一）個人信息處理的概念（二）個人信息處理行為的類型收集存儲使用第二節(jié)個人信息處理與個人信息處理者加工傳輸提供公開刪除第二節(jié)個人信息處理與個人信息處理者二、個人信息處理者的概念與類型（一）個人信息處理者的概念第二節(jié)個人信息處理與個人信息處理者（二）個人信息處理者的認(rèn)定依據(jù)《個人信息保護(hù)法》第73條第1項(xiàng)，個人信息處理者須符合以下要件。個人信息處理者是組織或者個人自主決定個人信息的處理目的與處理方式第三節(jié)個人信息保護(hù)法的適用范圍一、個人信息保護(hù)法的空間適用范圍（一）概述（二）個人信息保護(hù)法的適用以屬地管轄為原則屬地管轄意味著，一個主權(quán)國家的法律當(dāng)然適用于該國主權(quán)所及的領(lǐng)土范圍內(nèi)的需要調(diào)整的活動。我國以往的許多法律在規(guī)定其適用的地域范圍時，往往都表述為“中華人民共和國境內(nèi)的某某活動，適用本法”。第三節(jié)個人信息保護(hù)法的適用范圍（三）適用我國《個人信息保護(hù)法》的境外個人信息處理活動以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的分析、評估境內(nèi)自然人的行為法律、行政法規(guī)規(guī)定的其他情形第三節(jié)個人信息保護(hù)法的適用范圍二、不適用個人信息保護(hù)法的個人信息處理活動《個人信息保護(hù)法》第72條第1款明確規(guī)定：“自然人因個人或者家庭事務(wù)處理個人信息的，不適用本法?！边@一規(guī)定借鑒了歐盟《一般數(shù)據(jù)保護(hù)條例》的規(guī)定。所謂自然人因個人或者家庭事務(wù)而處理個人信息的情形，主要是指自然人不涉及任何經(jīng)濟(jì)目的，而只是為了休閑活動、愛好、度假、娛樂，用于社交網(wǎng)絡(luò)或者生日紀(jì)念、周年紀(jì)念等純粹的個人或家庭事務(wù)的目的處理個人信息的情形。第三節(jié)個人信息保護(hù)法的適用范圍三、優(yōu)先適用其他法律的個人信息處理活動依據(jù)《個人信息保護(hù)法》第72條第2款，法律對各級人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定。依據(jù)特別法優(yōu)于一般法的原則，應(yīng)當(dāng)先適用《檔案法》《統(tǒng)計法》等法律的規(guī)定，沒有規(guī)定的，才適用《個人信息保護(hù)法》。第三章個人信息保護(hù)法的基本原則

第一節(jié)

概述個人信息保護(hù)法的基本原則，就是個人信息處理者在從事個人信息處理活動的過程中應(yīng)當(dāng)遵循的基本原則，故此，也可稱為個人信息處理的基本原則。個人信息保護(hù)法對基本原則加以規(guī)定，既有利于構(gòu)建科學(xué)合理的個人信息處理法律規(guī)范體系，也有助于實(shí)踐中準(zhǔn)確地闡釋、適用以及補(bǔ)充個人信息保護(hù)法的具體規(guī)定。第一節(jié)

概述我國法律關(guān)于個人信息保護(hù)法基本原則的規(guī)定經(jīng)歷了一個逐漸發(fā)展完善的過程。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條首次明確了個人信息處理應(yīng)當(dāng)遵循合法、正當(dāng)、必要以及公開等四項(xiàng)原則。這四項(xiàng)原則為此后的《網(wǎng)絡(luò)安全法》第41條第1款、《民法典》第1035條第1款所繼受。在《個人信息保護(hù)法》的起草過程中，立法機(jī)關(guān)認(rèn)為，應(yīng)當(dāng)在《民法典》《網(wǎng)絡(luò)安全法》等法律規(guī)定的基礎(chǔ)上，進(jìn)一步充實(shí)完善個人信息處理的基本原則，并將它們貫穿于個人信息處理的全過程、各環(huán)節(jié)。第一節(jié)

概述《個人信息保護(hù)法》第一章“總則”專門采用了五個條文（第5—9條）詳細(xì)規(guī)定了九項(xiàng)個人信息保護(hù)法的基本原則，分別是：合法原則、正當(dāng)原則、必要原則、誠信原則、目的限制原則、公開透明原則、質(zhì)量原則、責(zé)任原則與安全原則。第二節(jié)合法、正當(dāng)、必要與誠信原則一、合法原則合法原則，是指個人信息處理者在對個人信息進(jìn)行收集、存儲、加工、使用、提供、公開、刪除等處理活動時，應(yīng)嚴(yán)格遵循法律、行政法規(guī)的規(guī)定，采取合法的方式，不得違法處理個人信息。在個人信息處理活動中，合法原則的要求體現(xiàn)在以下幾方面：（1）只有符合法律、行政法規(guī)規(guī)定的情形時，個人信息處理者才能處理個人信息，該處理行為才是合法的。（2）處理個人信息的目的和方式都應(yīng)當(dāng)是合法的。（3）禁止從事任何非法的個人信息處理活動。第二節(jié)合法、正當(dāng)、必要與誠信原則二、正當(dāng)原則正當(dāng)原則，也稱公正原則，是指個人信息處理活動必須是正當(dāng)?shù)模瑐€人信息處理者不得采取不正當(dāng)?shù)氖侄位蛘哒`導(dǎo)、欺詐、脅迫等不公正方法處理個人信息。我國《個人信息保護(hù)法》第5條明確要求處理個人信息應(yīng)當(dāng)遵循正當(dāng)原則，該原則具體體現(xiàn)在以下幾方面。（1）個人信息的處理目的和處理方式都應(yīng)當(dāng)是正當(dāng)?shù)?，不能違背公序良俗。（2）個人信息處理者履行相應(yīng)的義務(wù)以及確保個人在個人信息處理活動中的權(quán)利得以實(shí)現(xiàn)時，應(yīng)當(dāng)以公平的方式進(jìn)行，充分尊重信息主體的個人權(quán)益和合理的期待，公平地協(xié)調(diào)個人信息權(quán)益保護(hù)與個人信息合理利用的關(guān)系。第二節(jié)合法、正當(dāng)、必要與誠信原則三、必要原則必要原則是指，無論是個人信息的收集、存儲、加工、使用還是其他的個人信息處理活動，就實(shí)現(xiàn)個人信息處理的目的而言都應(yīng)當(dāng)是必要的，不得超過合理的范圍。必要原則是比例原則在個人信息保護(hù)法中的具體體現(xiàn)。狹義的比例原則主要適用于負(fù)擔(dān)行政行為以及所有的行政領(lǐng)域，廣義的比例原則產(chǎn)生于法治國家原則，不僅約束行政，也約束立法，同時適用于一般性確定基本權(quán)利的界線，

“即作為個人自由請求權(quán)和限制自由的公共利益之間的權(quán)衡要求適用”。第二節(jié)合法、正當(dāng)、必要與誠信原則必要原則主要體現(xiàn)在以下幾個方面：（1）個人信息的收集應(yīng)當(dāng)是必要的，必須限制在實(shí)現(xiàn)處理目的所需要的最小范圍，不得過度收集個人信息。（2）對于個人信息的加工、使用等應(yīng)當(dāng)是在合理的范圍內(nèi)，不超過合理的限度。（3）存儲個人信息的期限應(yīng)當(dāng)是必要的，除非法律、行政法規(guī)另有規(guī)定，否則個人信息保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短的時間。（4）個人信息處理者應(yīng)當(dāng)依法采取必要的技術(shù)措施和其他措施，以保證個人信息的安全，防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。第二節(jié)合法、正當(dāng)、必要與誠信原則四、誠信原則誠信原則，也稱誠實(shí)信用原則它不僅是私法領(lǐng)域的最高原則之一，也是公法領(lǐng)域的基本原則。誠信原則要求秉持誠實(shí)、恪守承諾，以及當(dāng)事人應(yīng)當(dāng)真實(shí)真誠，如實(shí)披露相關(guān)信息，不坑蒙拐騙，不欺詐他人，同時嚴(yán)守承諾，講求信用。個人信息的處理活動也應(yīng)當(dāng)遵循誠信原則?！秱€人信息保護(hù)法》第5條明確將誠信原則作為個人信息處理活動應(yīng)當(dāng)遵循的一項(xiàng)基本原則，抽象地說，誠信原則要求個人信息處理者在從事個人信息處理活動時，應(yīng)當(dāng)始終秉持誠實(shí)、恪守承諾，不通過任何欺詐、誤導(dǎo)、脅迫等方式處理個人信息。第二節(jié)合法、正當(dāng)、必要與誠信原則具體而言，該原則體現(xiàn)在以下幾方面。（1）在基于告知同意規(guī)則而得以合法處理個人信息時，個人信息處理者應(yīng)當(dāng)遵循誠信原則來履行告知義務(wù)，以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個人告知相應(yīng)的事項(xiàng)，不能使用含混的、有歧義的方式，更不能以欺詐、誤導(dǎo)等方式來履行告知義務(wù)。尤其是個人信息處理者在以個人信息處理規(guī)則的方式來履行告知義務(wù)的，不能利用其強(qiáng)勢地位，通過不公平不合理的格式條款來損害個人的合法權(quán)益，加重個人的責(zé)任以及減輕或免除自己的責(zé)任。第二節(jié)合法、正當(dāng)、必要與誠信原則（2）個人信息處理者依據(jù)法律、行政法規(guī)的規(guī)定，雖然不需要取得個人同意即可處理個人信息時，其也應(yīng)當(dāng)講求誠信，嚴(yán)格按照法律、行政法規(guī)的規(guī)定處理個人信息，不從事任何違反處理目的和處理方式的處理活動。第二節(jié)合法、正當(dāng)、必要與誠信原則（3）個人信息處理者應(yīng)當(dāng)遵循誠信原則的要求履行個人信息處理者的義務(wù)，保障個人在個人信息處理活動中的權(quán)利的實(shí)現(xiàn)。例如，個人信息處理者利用個人信息進(jìn)行自動化決策時，應(yīng)當(dāng)遵循誠信原則保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實(shí)行不合理的差別待遇。再如，當(dāng)存在《個人信息保護(hù)法》第47條規(guī)定的情形時，個人信息處理者應(yīng)當(dāng)主動及時刪除個人信息。第三節(jié)

目的限制原則一、目的限制原則的概念與意義（一）目的限制原則的概念目的限制原則，是個人信息保護(hù)法的一項(xiàng)基本原則，貫穿于個人信息處理活動的始終，是個人信息保護(hù)的基石和大多數(shù)其他基本要求的先決條件。許多國家的個人信息保護(hù)立法都確立了目的限制原則。第三節(jié)

目的限制原則（二）目的限制原則的意義一方面，目的限制原則有利于更好地保護(hù)個人信息權(quán)益。合法的個人信息處理無非兩類：一是基于個人同意，二是依據(jù)法律、行政法規(guī)的規(guī)定。另一方面，目的限制原則很好地協(xié)調(diào)了個人權(quán)益保護(hù)和個人信息合理利用之間的關(guān)系。第三節(jié)

目的限制原則二、目的限制原則的具體要求（一）明確與合理的目的處理個人信息應(yīng)當(dāng)具有明確、合理的目的。明確的目的意味著：一方面，個人信息處理的目的必須是清晰、明確地被表達(dá)出來的，而不能是秘密的或隱匿的；另一方面，處理的目的應(yīng)當(dāng)是有特定范圍的，不能是含糊不清的，如以服務(wù)體驗(yàn)、產(chǎn)品研發(fā)、算法推薦、風(fēng)險控制等含混的表述作為目的。第三節(jié)

目的限制原則（二）處理活動應(yīng)當(dāng)與處理目的直接相關(guān)目的限制原則要求，個人信息處理者只能對個人信息實(shí)施符合處理目的的、相應(yīng)的處理活動，不得從事與處理目的無關(guān)的個人信息處理。我國《個人信息保護(hù)法》第6條第1款要求個人信息處理的活動“應(yīng)當(dāng)與處理目的直接相關(guān)”。第三節(jié)

目的限制原則（三）采取對個人權(quán)益影響最小的方式個人信息處理者處理個人信息的活動，不可避免會對個人的權(quán)益造成各種影響。就個人信息處理者而言，在有多種處理方式可供選擇時，應(yīng)當(dāng)選擇其中既能實(shí)現(xiàn)個人信息處理目的，又對個人權(quán)益影響最小的方式。這也是比例原則中“最小損害原則”的要求。換言之，個人信息處理者應(yīng)盡可能減少所處理的個人信息的處理以及對個人信息的使用次數(shù)，以避免對個人信息權(quán)益造成不利的影響。第三節(jié)

目的限制原則（四）個人信息收集的最小化《個人信息保護(hù)法》第6條第2款規(guī)定：“收集個人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！痹摽钍菍ｉT針對收集個人信息作出的規(guī)定，其所確立的原則，也被稱為個人信息最小化原則或數(shù)據(jù)最小化原則。收集個人信息應(yīng)當(dāng)限于“實(shí)現(xiàn)處理目的的最小范圍”。這是指如果沒有某些個人信息，個人信息處理者的處理目的就完全無法實(shí)現(xiàn)或者說主要、核心的目的無法實(shí)現(xiàn)。第四節(jié)

公開透明原則一、公開透明原則的意義公開透明原則是個人信息保護(hù)法中的一項(xiàng)重要原則，它是指個人信息處理者在處理個人信息時應(yīng)當(dāng)采取公開、透明的方式，公開個人信息處理的規(guī)則，向信息主體明示個人信息處理的目的、處理的方式和處理的范圍。第四節(jié)

公開透明原則二、公開透明原則的要求公開透明原則在個人信息處理活動中表現(xiàn)為對個人信息處理者的要求，具體體現(xiàn)在以下幾個方面：（1）履行告知義務(wù)，即個人信息處理者在處理個人信息時，應(yīng)當(dāng)通過清晰易懂的語言向個人告知相應(yīng)的事項(xiàng)，從而確保個人是在充分知情的前提下，自愿、明確地作出同意的，除非有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形。第四節(jié)

公開透明原則（2）自動化決策時的公開透明，即在利用個人信息進(jìn)行自動化決策時，個人信息處理者應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。（3）提示標(biāo)識義務(wù)。（4）通知義務(wù)。第五節(jié)質(zhì)量、責(zé)任與安全原則一、質(zhì)量原則質(zhì)量原則，也稱準(zhǔn)確性原則，是指個人信息處理者應(yīng)當(dāng)保證所處理的個人信息的質(zhì)量，避免因?yàn)閭€人信息的不準(zhǔn)確或不完整對個人權(quán)益造成不利影響。質(zhì)量原則的具體要求體現(xiàn)在：個人信息處理者應(yīng)當(dāng)積極采取各種技術(shù)措施和組織措施來檢查所處理的信息的質(zhì)量，確保信息的準(zhǔn)確和完整，最大限度地減少錯誤的風(fēng)險，避免因個人信息不準(zhǔn)確、不完整對個人權(quán)益造成不利影響。第五節(jié)質(zhì)量、責(zé)任與安全原則依據(jù)《個人信息保護(hù)法》第69條第1款，如果個人信息不準(zhǔn)確或不完整非處理者過錯所致，個人信息處理者可以證明自己沒有過錯的，不需要承擔(dān)賠償責(zé)任。如果個人已經(jīng)向處理者指出了個人信息存在錯誤或缺漏，處理者不及時更正或補(bǔ)充的，則處理者存在過錯，需要承擔(dān)侵權(quán)責(zé)任。由于處理者沒有采取相應(yīng)的技術(shù)措施，個人信息被篡改的，個人信息處理者也需要承擔(dān)侵權(quán)責(zé)任。第五節(jié)質(zhì)量、責(zé)任與安全原則二、責(zé)任原則責(zé)任原則意味著個人信息處理活動應(yīng)當(dāng)采取問責(zé)制，個人信息處理者是個人信息處理活動的首要責(zé)任主體，應(yīng)當(dāng)對其從事的個人信息處理活動負(fù)責(zé)。一方面，個人信息處理者決定了個人信息和個人信息處理活動，其對處理活動具有控制力，基于控制力理論，處理者當(dāng)然要為處理活動負(fù)責(zé)。另一方面，依據(jù)報償原則，利益之所在，風(fēng)險之所歸。第五節(jié)質(zhì)量、責(zé)任與安全原則責(zé)任原則具體體現(xiàn)在以下幾方面：（1）個人信息處理者應(yīng)當(dāng)考慮到處理的目的、處理的方式和處理的范圍，以及處理活動給自然人的權(quán)益帶來的風(fēng)險，采取適當(dāng)?shù)拇胧┐_保處理活動是依法進(jìn)行的，符合法律法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。（2）處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)依法指定個人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)對個人信息處理活動以及相應(yīng)的保護(hù)措施等進(jìn)行監(jiān)督。第五節(jié)質(zhì)量、責(zé)任與安全原則（3）個人信息處理者應(yīng)當(dāng)定期對其個人信息處理活動遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計。（4）責(zé)任原則也意味著個人信息處理者要對違反法律規(guī)定處理個人信息的行為承擔(dān)行政責(zé)任、民事責(zé)任乃至刑事責(zé)任。對于違反法律規(guī)定處理個人信息的，依據(jù)《個人信息保護(hù)法》第66條，應(yīng)當(dāng)追究相應(yīng)的法律責(zé)任，包括責(zé)令改正、給予警告、沒收違法所得、罰款等。此外，《個人信息保護(hù)法》第69條所規(guī)定的侵害個人信息權(quán)益的侵權(quán)責(zé)任，也是責(zé)任原則的具體要求。第五節(jié)質(zhì)量、責(zé)任與安全原則三、安全原則安全原則，也被稱為保密原則，其要求個人信息處理者應(yīng)當(dāng)采取必要措施來保護(hù)所處理的個人信息的安全，防止出現(xiàn)個人信息的泄露、篡改、丟失。個人信息是與已識別或可識別的自然人相關(guān)的信息，個人信息一旦發(fā)生泄露、竊取、篡改，必然會對自然人的個人權(quán)益造成不利影響或損害，故此，無論是個人信息處理者還是接受委托處理個人信息的主體，都必須確保個人信息的安全。第二編個人信息處理規(guī)則

第四章個人信息處理的法律根據(jù)

第一節(jié)

概述一、個人信息處理法律根據(jù)的含義個人信息處理的法律根據(jù)，也稱個人信息處理的合法性根據(jù)或法律基礎(chǔ)是指對于個人信息進(jìn)行的收集、加工、存儲、使用等處理活動所必須滿足的法律規(guī)定的合法性條件，如不具備則該處理活動就是非法的，應(yīng)當(dāng)被禁止。《個人信息保護(hù)法》第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。”在個人信息處理活動合法與否發(fā)生爭議時，個人信息處理者負(fù)有證明其個人信息處理活動具備法律根據(jù)的責(zé)任。第一節(jié)

概述二、個人信息處理法律根據(jù)的類型（一）個人同意與法定理由依據(jù)個人信息的處理是否告知并取得個人的同意，可以將個人信息處理的法律根據(jù)分為兩大類：一是告知同意，二是法定理由，也稱法定許可。對于滿足哪些法律規(guī)定的理由就可以不需要取得個人同意即處理個人信息，比較法上存在差異。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第6條針對普通的個人數(shù)據(jù)處理規(guī)定了五種無須數(shù)據(jù)主體的同意即可處理個人數(shù)據(jù)的情形。巴西《通用數(shù)據(jù)保護(hù)法》第7條規(guī)定了九種不需要取得數(shù)據(jù)主體同意就可以處理個人數(shù)據(jù)的情形。第一節(jié)

概述就我國而言，《民法典》規(guī)定了三類無須個人同意即可處理個人信息的情形：（1）為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的個人信息（《民法典》第999條）；

（2）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外（《民法典》第1036條第2項(xiàng)）；（3）為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為（《民法典》第1036條第3項(xiàng)）。第一節(jié)

概述立法機(jī)關(guān)經(jīng)過反復(fù)權(quán)衡，最終在《個人信息保護(hù)法》第13條第1款第2項(xiàng)至第7項(xiàng)規(guī)定了六類無須取得個人同意即可處理個人信息的情形：（1）為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（2）為履行法定職責(zé)或者法定義務(wù)所必需；第一節(jié)

概述（3）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需；（4）為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；（5）依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（6）法律、行政法規(guī)規(guī)定的其他情形。第一節(jié)

概述（二）處理敏感與非敏感的個人信息的法律根據(jù)個人信息可以區(qū)分為敏感的個人信息與非敏感的個人信息，處理敏感的個人信息與非敏感的個人信息的法律根據(jù)也存在差別。我國《個人信息保護(hù)法》也對敏感的與非敏感的個人信息處理的法律根據(jù)進(jìn)行了區(qū)分，但是這種區(qū)分主要不是體現(xiàn)在法定理由層面，而是體現(xiàn)在對個人同意的要求上。第二節(jié)告知同意規(guī)則一、概述（一）告知同意規(guī)則的概念與意義告知同意規(guī)則，也稱“知情同意規(guī)則”，它要求任何組織或個人在處理個人信息之前都應(yīng)當(dāng)向個人信息被處理的自然人即信息主體履行告知義務(wù)，并在取得個人的同意后，方可從事相應(yīng)的個人信息處理活動，否則處理活動就是非法的，除非法律、行政法規(guī)規(guī)定可以不取得個人同意。由此可見，告知同意規(guī)則可以分為兩部分：告知與同意。第二節(jié)告知同意規(guī)則告知同意規(guī)則對于保護(hù)個人信息權(quán)益非常重要。它是最基本的個人信息處理規(guī)則，具有如下重要意義。（1）告知同意規(guī)則是判斷個人信息處理行為合法與否的一項(xiàng)基本標(biāo)準(zhǔn)，凡是沒有遵守該規(guī)則的處理行為，原則上都是非法的，除非法律、行政法規(guī)另有規(guī)定。（2）告知同意規(guī)則并不意味著發(fā)生侵害個人信息權(quán)益的違法行為時，處理者可以據(jù)此免于承擔(dān)任何法律責(zé)任，處理者也不能以其遵循了告知同意規(guī)則來排除其他個人信息保護(hù)規(guī)則的適用。（3）因告知同意規(guī)則涉及自然人的個人信息權(quán)益，故此其適用需要受到相應(yīng)的限制。第二節(jié)告知同意規(guī)則（二）告知同意規(guī)則的演進(jìn)告知同意規(guī)則最早為1970年德國黑森州的《數(shù)據(jù)保護(hù)法》所確認(rèn)，目前已成為絕大多數(shù)國家和地區(qū)的數(shù)據(jù)保護(hù)法或個人信息保護(hù)法中的一項(xiàng)基本規(guī)則。1974年美國的《隱私權(quán)法》明確采取了告知同意規(guī)則。1980年經(jīng)濟(jì)合作與發(fā)展組織《隱私指南》第10條。1995年《個人數(shù)據(jù)保護(hù)指令》第7條。2018年歐盟《一般數(shù)據(jù)保護(hù)條例》鑒于部分第32條。第二節(jié)告知同意規(guī)則在我國《個人信息保護(hù)法》頒布前，法律上就已明確規(guī)定了告知同意規(guī)則?！度珖嗣翊泶髸?wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條?！毒W(wǎng)絡(luò)安全法》第41條第1款?！睹穹ǖ洹返?035條第1款?！秱€人信息保護(hù)法》第13條第1款。第二節(jié)告知同意規(guī)則二、告知規(guī)則（一）告知義務(wù)的產(chǎn)生與免除依據(jù)我國《個人信息保護(hù)法》第18條以及第35條，免除告知義務(wù)的情形被嚴(yán)格限定在以下四種情形。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的情形不需要告知的情形告知將妨礙國家機(jī)關(guān)履行法定職責(zé)緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全無法及時向個人告知的第二節(jié)告知同意規(guī)則（二）告知義務(wù)的主體與內(nèi)容負(fù)有告知義務(wù)的是個人信息處理者，如果僅僅是受委托處理個人信息的受托人，不需要履行告知義務(wù)。個人信息處理者需要向個人信息即將被處理的個人即信息主體履行告知義務(wù)，如果個人屬于14周歲以下的未成年人，則應(yīng)當(dāng)向該未成年人的父母或者其他監(jiān)護(hù)人履行告知義務(wù)。第二節(jié)告知同意規(guī)則依據(jù)《個人信息保護(hù)法》，個人信息處理者應(yīng)當(dāng)向個人告知的一般事項(xiàng)如下。個人信息處理者的名稱或者姓名和聯(lián)系方式個人信息的處理目的、處理方式處理的個人信息種類、保存期限個人行使《個人信息保護(hù)法》規(guī)定權(quán)利的方式和程序法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)第二節(jié)告知同意規(guī)則（三）告知的方式和要求我國《個人信息保護(hù)法》第17條第1款明確要求個人信息處理者“應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地”向個人告知相關(guān)事項(xiàng)。顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知第二節(jié)告知同意規(guī)則（四）履行告知義務(wù)的形式個人信息處理者履行告知義務(wù)的形式有兩種：一是逐一告知，即個人信息的處理者在處理個人信息前，以一對一的方式向每一個個人信息被處理的自然人進(jìn)行告知，并逐一取得自然人的同意。二是統(tǒng)一告知。所謂統(tǒng)一告知，主要就是指個人信息處理者通過提前擬定好統(tǒng)一的、反復(fù)適用的個人信息處理規(guī)則來向個人信息被處理的自然人履行告知義務(wù)并取得其同意。第二節(jié)告知同意規(guī)則三、同意規(guī)則（一）同意的概念與性質(zhì)個人的同意是個人信息處理行為具有合法性的重要根據(jù)。我國《民法典》《個人信息保護(hù)法》沒有界定同意的概念。本書認(rèn)為，對個人信息保護(hù)法中個人的同意，是指自然人在充分知情的前提下自愿、明確作出的允許其個人信息被處理的表示。關(guān)于同意的性質(zhì)問題，學(xué)說上存在不同的看法，有雙重屬性說、單一屬性說等不同觀點(diǎn)。第二節(jié)告知同意規(guī)則（二）同意的類型明示同意與默示同意單獨(dú)同意與書面同意第二節(jié)告知同意規(guī)則（三）同意的有效要件具有同意能力充分知情自愿明確第二節(jié)告知同意規(guī)則（四）重新取得同意雖然個人信息處理者已經(jīng)取得了個人的同意，但是，此后其個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生了變更，就應(yīng)當(dāng)重新取得個人同意。首先，變更處理目的就意味著處理方法和處理的個人信息的種類等都可能發(fā)生變化，即便它們不會變化，新的處理目的是否明確、合理，對個人信息權(quán)益將產(chǎn)生何種影響，也是未知的，必須告知個人并重新取得同意，否則不得按照變更后的處理目的實(shí)施處理行為。其次，在處理目的不發(fā)生變化的情況下，雖然處理方式的變化仍然受制于處理目的，但仍不可能避免導(dǎo)致對個人權(quán)益的影響方式發(fā)生改變。第二節(jié)告知同意規(guī)則（五）同意的有效期限對個人信息處理者取得個人同意，該同意持續(xù)多長時間，《個人信息保護(hù)法》沒有規(guī)定，事實(shí)上，也沒有必要規(guī)定。一方面，《個人信息保護(hù)法》第15條明確規(guī)定了，基于個人同意處理個人信息的，個人有權(quán)撤回其同意。也就是說，無論同意的持續(xù)期間是一年還是十年，對個人而言沒有約束力，個人有權(quán)隨時撤回其同意。處理者對該同意的期限也不會產(chǎn)生法律上值得保護(hù)的信賴。第二節(jié)告知同意規(guī)則（六）同意的撤回個人有權(quán)撤回同意，即享有撤回同意的權(quán)利，這是因?yàn)椋簜€人的同意體現(xiàn)了自然人處分個人信息權(quán)益的自由，性質(zhì)上屬于違法阻卻事由。依據(jù)我國《個人信息保護(hù)法》第15條，首先，個人有權(quán)隨時撤回其同意。第二節(jié)告知同意規(guī)則其次，個人撤回同意只適用于基于個人同意處理個人信息的情形，至于并非基于個人同意處理個人信息的情形，即依據(jù)法律、行政法規(guī)的規(guī)定無須取得個人同意即可處理個人信息的場合，個人并未作出同意，自然也就不存在個人撤回同意。再次，個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。第二節(jié)告知同意規(guī)則最后，撤回同意將產(chǎn)生以下三種法律效果：（1）就基于個人同意而進(jìn)行的個人信息處理活動而言，自個人撤回同意之時起，該處理活動就喪失了合法性基礎(chǔ)，處理者必須停止與撤回同意相關(guān)的個人信息處理活動。（2）刪除個人信息。（3）個人撤回同意不具有溯及力。第二節(jié)告知同意規(guī)則（七）同意的證明責(zé)任個人信息處理者是否告知并取得個人的同意，應(yīng)由其負(fù)證明責(zé)任，即處理者必須證明其在處理個人信息之前已經(jīng)依法告知并取得了個人的同意，如果處理者不能證明，就認(rèn)為其個人信息處理行為并未取得個人的同意。歐盟《一般數(shù)據(jù)保護(hù)條例》第7條第1款明確規(guī)定，

“如果處理是基于同意，控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理其個人數(shù)據(jù)”。我國《個人信息保護(hù)法》沒有規(guī)定處理者對于已經(jīng)取得個人同意負(fù)有證明責(zé)任，但也應(yīng)當(dāng)作相同的理解。第二節(jié)告知同意規(guī)則《個人信息保護(hù)法》對于不同類型的處理活動中的處理者所取得的個人同意還有形式上的特別要求。公開個人信息的，必須取得個人的單獨(dú)同意（《個人信息保護(hù)法》第25條）；處理敏感的個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意，法律、行政法規(guī)規(guī)定處理敏感的個人信息要求書面同意的，從其規(guī)定（《個人信息保護(hù)法》第29條）。在《個人信息保護(hù)法》等法律、行政法規(guī)對同意的形式作出了特殊規(guī)定的情形下，處理者不僅要證明已經(jīng)取得了個人的同意，而且該同意的形式還必須符合法定的要求，如屬于單獨(dú)的同意或者書面的同意。第三節(jié)

法定許可一、概述告知并取得個人的同意并非個人信息處理活動的唯一合法性基礎(chǔ)。為了實(shí)現(xiàn)個人信息的合理利用，維護(hù)他人的合法權(quán)益、社會利益、公共利益以及國家利益，應(yīng)當(dāng)允許處理者在特定的情形下無須取得個人同意即可處理個人信息。哪些情形下可以無須取得個人同意，并非由處理者自行決定，須由立法者通過法律明確規(guī)定。這些情形就是個人信息處理的法定許可，也稱“個人信息的合理使用”，屬于對個人信息權(quán)益的合理限制。第三節(jié)

法定許可我國《民法典》從三個層面規(guī)定了對個人信息權(quán)益的合理限制：首先，在總則編層面上通過公序良俗、誠實(shí)信用以及不得濫用權(quán)利等原則和免責(zé)事由的規(guī)定加以限制；其次，在人格權(quán)編的一般性規(guī)定的層面，即第998條明確地認(rèn)定人格權(quán)侵權(quán)責(zé)任應(yīng)當(dāng)考慮的主要因素，以及第999條對人格權(quán)合理使用的規(guī)定；最后，《民法典》第1036條規(guī)定的侵害個人信息的免責(zé)事由，這是直接針對個人信息合理使用的具體規(guī)定。在考慮我國國情并吸收借鑒比較法優(yōu)秀成果的基礎(chǔ)上，我國《個人信息保護(hù)法》第13條第1款第2項(xiàng)至第7項(xiàng)規(guī)定了六類無須取得個人同意即可處理個人信息的情形。第三節(jié)

法定許可二、訂立或履行合同所必需訂立或履行合同所必需是指，當(dāng)處理個人信息是為了訂立或者履行個人作為一方當(dāng)事人的合同所必需時，個人信息處理者不需要取得個人同意即可處理個人信息。在認(rèn)定哪些個人信息的處理屬于為訂立或履行合同所必需時，應(yīng)當(dāng)在合同訂立或履行前就基于全部的具體情形加以分析評估。首先，必須符合比例原則，其次，要從處理者與個人雙方當(dāng)事人的角度來考慮合同的目的。第三節(jié)

法定許可三、人力資源管理所必需依據(jù)《個人信息保護(hù)法》第13條第1款第2項(xiàng)規(guī)定，倘若處理個人信息是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需的，那么，個人信息處理者無須取得個人同意即可處理個人信息。第三節(jié)

法定許可四、履行法定職責(zé)或法定義務(wù)所必需（一）履行法定職責(zé)所必需法定職責(zé)包括法定職權(quán)和法定責(zé)任，是指立法、行政以及司法機(jī)關(guān)等國家機(jī)關(guān)依據(jù)法律法規(guī)的規(guī)定而享有的職權(quán)以及必須履行的義務(wù)。履行法定職責(zé)是法治國原則的體現(xiàn)。法定職責(zé)中的“法”是廣義上的法，既包括全國人大及其常委會頒布的法律，也包括行政法規(guī)、地方性法規(guī)、部門規(guī)章和地方政府規(guī)章等規(guī)范性法律文件。國家機(jī)關(guān)等為履行法定職責(zé)而處理個人信息時，只有為履行法定職責(zé)所必需的，才可以不需要取得個人同意。第三節(jié)

法定許可（二）履行法定義務(wù)所必需法定義務(wù)是指信息處理者依據(jù)法律法規(guī)的規(guī)定而負(fù)有的義務(wù)。法定義務(wù)不同于法定職責(zé)，法定職責(zé)僅指公權(quán)力機(jī)關(guān)即國家機(jī)關(guān)以及法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織，而法定義務(wù)限于普通的民事主體即自然人、法人和非法人組織。第三節(jié)

法定許可五、應(yīng)對突發(fā)公共衛(wèi)生事件所必需所謂突發(fā)公共衛(wèi)生事件，是指突然發(fā)生，造成或者可能造成社會公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒以及其他嚴(yán)重影響公眾健康的事件。突發(fā)公共衛(wèi)生事件屬于突發(fā)事件的一類。依據(jù)《突發(fā)事件應(yīng)對法》第3條，突發(fā)事件是指突然發(fā)生，造成或者可能造成嚴(yán)重社會危害，需要采取應(yīng)急處置措施予以應(yīng)對的自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生事件和社會安全事件。第三節(jié)

法定許可六、保護(hù)生命健康和財產(chǎn)安全所必需所謂保護(hù)生命健康和財產(chǎn)安全所必需，是指依據(jù)《個人信息保護(hù)法》第13條第1款第4項(xiàng)的規(guī)定，如果個人信息處理是在緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需，則個人信息處理者無須取得個人的同意即可處理個人信息。所謂自然人的生命健康和財產(chǎn)安全既包括其個人信息被處理的自然人，也包括其他的自然人。第三節(jié)

法定許可七、為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為《民法典》第999條，為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為的，可以合理使用自然人的個人信息，使用不合理侵害民事主體人格權(quán)的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任?！秱€人信息保護(hù)法》第13條第1款第5項(xiàng)規(guī)定：“為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”的，不需要取得個人同意。第三節(jié)

法定許可因新聞報道、輿論監(jiān)督等行為而不取得個人同意就處理個人信息的情形必須符合以下要件。（1）必須是新聞報道、輿論監(jiān)督等行為。（2）為了公共利益。（3）為了公共利益進(jìn)行新聞報道、輿論監(jiān)督等行為的主體既可以是個人，也可以是組織；既可以是中央報刊媒體（如新華社、人民日報、中央廣播電視總臺），也可以是地方報刊媒體（如各省市區(qū)的電臺電視臺、報紙雜志）；既可以是官方的媒體，也可以是私營的媒體。（4）必須是在合理的范圍內(nèi)處理個人信息。第三節(jié)

法定許可八、處理公開的個人信息無須個人同意而處理公開的個人信息應(yīng)具備以下要件：首先，個人信息必須是已經(jīng)合法公開的個人信息，包括個人自行公開的或者其他已經(jīng)合法公開的個人信息。其次，個人信息處理者雖然不需要取得個人的同意即可處理合法公開的個人信息，但該處理活動仍然必須是在合理的范圍內(nèi)的，應(yīng)當(dāng)遵循正當(dāng)、必要、限制等原則。如果使用不合理，依然會構(gòu)成對自然人的個人信息權(quán)益的侵害行為。最后，即便是合理處理已經(jīng)公開的個人信息，如果該自然人明確拒絕或者處理該信息侵害其重大利益的，除非取得該自然人的同意，否則也不得進(jìn)行處理。第三節(jié)

法定許可九、法律、行政法規(guī)規(guī)定的其他情形《個人信息保護(hù)法》第13條第1款第7項(xiàng)規(guī)定的“法律、行政法規(guī)規(guī)定的其他情形”既是兜底性規(guī)定，也是限制性規(guī)定，即只有法律、行政法規(guī)可以規(guī)定無須取得同意即可處理自然人的個人信息的情形，其他的如規(guī)章、地方性法規(guī)都不可以。除《個人信息保護(hù)法》第13條第1款第2-6項(xiàng)之外，法律還規(guī)定了一些處理個人信息不需要取得個人同意情形下。例如，依據(jù)《民法典》第1020條規(guī)定。第五章個人信息的特殊處理情形

第一節(jié)共同處理個人信息一、共同處理個人信息的含義（一）共同處理的概念所謂共同處理是指，共同決定個人信息的處理目的和處理方式的兩個以上的處理者處理個人信息。要構(gòu)成共同處理，必須符合以下兩個條件。（1）存在兩個以上的個人信息處理者。（2）兩個以上個人信息處理者必須共同決定處理目的和處理方式。第一節(jié)共同處理個人信息（二）共同決定處理目的和處理方式是判斷共同處理者的標(biāo)準(zhǔn)共同決定個人信息的處理目的和處理方式，就是指多個處理者之間有意思聯(lián)絡(luò)，他們對于個人信息的處理目的和處理方式的決定都是自主的，并且相互之間形成了一致的意思表示。處理目的和處理方式是不可分割的，處理目的決定了處理方式，不同的處理目的所要求的處理方式是不同的，反之，不同的處理方式也往往影響處理目的的實(shí)現(xiàn)。因此，共同處理者對處理目的和處理方式應(yīng)當(dāng)都是共同決定的。如果一個處理者決定處理目的，另一個處理者決定處理方式，那么他們就不是共同處理者。第一節(jié)共同處理個人信息二、共同處理者的約定及其法律效力（一）約定的內(nèi)容為了防止因共同處理個人信息而對個人信息權(quán)益造成不利影響，法律上要求共同處理者應(yīng)當(dāng)約定各自的權(quán)利義務(wù)，具體包括：個人信息處理的目的、處理方式；個人信息處理的法律根據(jù)；個人信息從收集到刪除等全生命周期中各方可以實(shí)施的處理行為；如何履行向個人的告知義務(wù)；如何采取必要的技術(shù)措施和其他措施來保障個人信息的安全，防止出現(xiàn)泄露、篡改等；如何履行法律規(guī)定的個人信息保護(hù)影響評估、進(jìn)行合規(guī)審計；如何響應(yīng)個人提出的行使個人在個人信息處理活動中的權(quán)利的請求；在出現(xiàn)個人信息安全事件時如何及時采取補(bǔ)救措施，由誰來通知履行個人信息保護(hù)職責(zé)的部門和個人；對個人信息泄露等造成的個人損害如何承擔(dān)賠償責(zé)任等。第一節(jié)共同處理個人信息（二）約定的法律效力共同處理個人信息中處理者相互之間的權(quán)利義務(wù)約定屬于內(nèi)部的約定，具有相對性，只能約束個人信息處理者，不能對個人產(chǎn)生不利影響。所謂“本法規(guī)定的權(quán)利”（《個人信息保護(hù)法》第20條第1款第二句），主要是指《個人信息保護(hù)法》第4章規(guī)定的“個人在個人信息處理活動中的權(quán)利”以及其他權(quán)利，如查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)以及個人撤回其同意的權(quán)利等。其次，共同處理者也不得以內(nèi)部的約定對抗個人請求其承擔(dān)侵害個人信息權(quán)益的侵權(quán)責(zé)任。第一節(jié)共同處理個人信息三、共同處理個人信息的侵權(quán)責(zé)任（一）依法承擔(dān)連帶責(zé)任的具體情形（1）共同處理者全部均違反了法定或約定的義務(wù)（2）共同處理者均違反了法定或約定的義務(wù)以致發(fā)生個人信息泄露，并且每個行為都足以造成信息主體的同一損害，或者某些行為足以造成信息主體的全部的同一損害，某些只能造成信息主體的部分的同一損害。（3）共同處理者中只有一個或多個處理者而非全部的處理者違反了法定或約定的義務(wù)，侵害了個人信息權(quán)益并造成了損害。第一節(jié)共同處理個人信息（二）共同處理者內(nèi)部的分?jǐn)偱c追償共同處理者在向個人信息權(quán)益被侵害的受害人承擔(dān)連帶賠償責(zé)任后，內(nèi)部能否分?jǐn)傄约叭绾巫穬數(shù)膯栴}，應(yīng)當(dāng)適用《民法典》關(guān)于連帶賠償責(zé)任的追償與分?jǐn)偟囊?guī)定。主要適用條款：《民法典》第178條第2款、第468條、第519條、第520條。第二節(jié)

委托處理個人信息一、委托處理個人信息的含義所謂委托處理個人信息，是指個人信息處理者將處理個人信息的事務(wù)委托給其他的組織或個人，雙方成立委托關(guān)系，個人信息處理者是委托人，受托處理個人信息事務(wù)的是受托人，受托人按照委托人的指示對個人信息進(jìn)行處理。委托人可以特別委托受托人對某一類個人信息實(shí)施某一種處理活動（如存儲或加工），也可以委托受托人對某些種類的個人信息實(shí)施多種處理活動（如既存儲，也加工、分析等）。第二節(jié)

委托處理個人信息二、處理者與受托人的法律關(guān)系（一）處理者應(yīng)當(dāng)與受托人訂立委托合同《個人信息保護(hù)法》第21條第1款要求，個人信息處理者委托處理個人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對受托人的個人信息處理活動進(jìn)行監(jiān)督。故此，在委托處理個人信息時，處理者應(yīng)當(dāng)與受托人簽訂合同，約定上述事項(xiàng)。這個合同就是委托合同。第二節(jié)

委托處理個人信息（二）委托合同的形式與內(nèi)容合同法以合同自由為基本原則，當(dāng)事人享有締結(jié)合同的自由、選擇相對人的自由、決定合同內(nèi)容的自由、選擇合同形式的自由、選擇補(bǔ)救方式的自由等。比較法上，歐盟《一般數(shù)據(jù)保護(hù)條例》第28條第9條規(guī)定，無論是控制者指示、授權(quán)還是雇傭處理者處理個人數(shù)據(jù)，雙方的合同或其他法律文件應(yīng)當(dāng)采取書面形式，包括電子形式。第二節(jié)

委托處理個人信息三、委托人與受托人的義務(wù)（一）委托人的監(jiān)督義務(wù)《個人信息保護(hù)法》第21條第1款規(guī)定，委托人應(yīng)當(dāng)對受托人的個人信息處理活動進(jìn)監(jiān)督。這就是說，委托人不能僅僅和受托方作出約定了事，還必須履行監(jiān)督的義務(wù)。（二）受托人按照約定處理個人信息的義務(wù)《民法典》第922條，《個人信息保護(hù)法》第21條第2款，《數(shù)據(jù)安全法》第40條。第二節(jié)

委托處理個人信息（三）受托人不得任意轉(zhuǎn)委托的義務(wù)委托合同是基于委托人對受托人的信賴而委托受托人處理事項(xiàng)所產(chǎn)生的民事法律關(guān)系。受托人負(fù)有親自處理委托事務(wù)的義務(wù)，而不得任意轉(zhuǎn)委托他人。《民法典》第923條規(guī)定：“受托人應(yīng)當(dāng)親自處理委托事務(wù)。經(jīng)委托人同意，受托人可以轉(zhuǎn)委托。轉(zhuǎn)委托經(jīng)同意或者追認(rèn)的，委托人可以就委托事務(wù)直接指示轉(zhuǎn)委托的第三人，受托人僅就第三人的選任及其對第三人的指示承擔(dān)責(zé)任。轉(zhuǎn)委托未經(jīng)同意或者追認(rèn)的，受托人應(yīng)當(dāng)對轉(zhuǎn)委托的第三人的行為承擔(dān)責(zé)任；但是，在緊急情況下受托人為了維護(hù)委托人的利益需要轉(zhuǎn)委托第三人的除外。”第二節(jié)

委托處理個人信息（四）受托人的保障個人信息安全及協(xié)助個人信息處理者的義務(wù)《個人信息保護(hù)法》第59條特別規(guī)定了受托人的兩項(xiàng)法定義務(wù)：依法保護(hù)個人信息安全的義務(wù)；協(xié)助個人信息處理者履行《個人信息保護(hù)法》規(guī)定的義務(wù)。第二節(jié)

委托處理個人信息（五）受托人返還或刪除個人信息的義務(wù)《民法典》第157條規(guī)定：民事法律行為無效、被撤銷或者確定不發(fā)生效力后，行為人因該行為取得的財產(chǎn)，應(yīng)當(dāng)予以返還；不能返還或者沒有必要返還的，應(yīng)當(dāng)折價補(bǔ)償。有過錯的一方應(yīng)當(dāng)賠償對方由此所受到的損失；各方都有過錯的，應(yīng)當(dāng)各自承擔(dān)相應(yīng)的責(zé)任。法律另有規(guī)定的，依照其規(guī)定。為了有效地保護(hù)個人信息權(quán)益，《個人信息保護(hù)法》第21條第2款第二句規(guī)定，委托合同不生效、無效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個人信息返還個人信息處理者或者予以刪除，不得保留。第二節(jié)

委托處理個人信息四、委托處理個人信息的侵權(quán)責(zé)任（一）委托處理事項(xiàng)合法的侵權(quán)責(zé)任當(dāng)委托處理的事項(xiàng)合法（包括所處理的個人信息是合法取得的、委托受托人進(jìn)行的處理行為本身也是合法的），受托人也嚴(yán)格按照委托合同的約定實(shí)施個人信息處理活動時，如果受托人在處理活動中侵害個人信息權(quán)益造成損害，應(yīng)當(dāng)由作為委托人的個人信息處理者承擔(dān)侵權(quán)賠償責(zé)任，適用《個人信息保護(hù)法》第69條第1款確定的過錯推定責(zé)任。第二節(jié)

委托處理個人信息（二）委托事項(xiàng)非法的侵權(quán)責(zé)任委托人非法取得個人信息的行為侵害個人信息權(quán)益的，委托人當(dāng)然要承擔(dān)侵權(quán)責(zé)任。一方面，委托人應(yīng)當(dāng)停止處理個人信息的活動并且刪除個人信息（《個人信息保護(hù)法》第47條），另一方面，如果侵害個人信息權(quán)益造成損害，委托人要承擔(dān)損害賠償責(zé)任，除非能夠證明自己沒有過錯（《個人信息保護(hù)法》第69條第1款）。第三節(jié)

個人信息的轉(zhuǎn)移與提供一、個人信息的轉(zhuǎn)移（一）個人信息轉(zhuǎn)移的概念個人信息處理者常常是組織，即法人與非法人組織。法人和非法人組織有可能會發(fā)生合并、分立、解散或被宣告破產(chǎn)等主體變化的情形。此時，作為個人信息處理者的組織，其所處理的個人信息也就相應(yīng)地會發(fā)生轉(zhuǎn)移。第三節(jié)

個人信息的轉(zhuǎn)移與提供（二）轉(zhuǎn)移個人信息的情形《個人信息保護(hù)法》第22條規(guī)定的轉(zhuǎn)移個人信息的情形僅限于個人信息處理者的法律主體地位變化而導(dǎo)致個人信息轉(zhuǎn)移的情形。如果個人信息處理者的主體地位沒有變化，只是委托其他主體處理個人信息，則屬于委托處理個人信息的情形（《個人信息保護(hù)法》第21條）；如果個人信息處理者的主體地位沒有變化，而是向其他處理者提供個人信息，則屬于個人信息的提供，適用《個人信息保護(hù)法》第23條。第三節(jié)

個人信息的轉(zhuǎn)移與提供《個人信息保護(hù)法》第22條規(guī)定的發(fā)生個人信息轉(zhuǎn)移的具體情形如下。因合并而需要轉(zhuǎn)移個人信息因分立而需要轉(zhuǎn)移個人信息因被宣告破產(chǎn)需要轉(zhuǎn)移個人信息因解散需要轉(zhuǎn)移個人信息第三節(jié)

個人信息的轉(zhuǎn)移與提供（三）告知義務(wù)的履行個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名和聯(lián)系方式（《個人信息保護(hù)法》第22條）。由此可見，告知義務(wù)是由轉(zhuǎn)移個人信息的個人信息處理者來履行，當(dāng)然，也可以由個人信息處理者與接收方來共同履行，但不適合僅由接收方來履行，因?yàn)閭€人不能確認(rèn)接收方是否真的是接收方，即個人對于個人信息轉(zhuǎn)移的事實(shí)是否發(fā)生以及何人屬于接收方會存在疑問。第三節(jié)

個人信息的轉(zhuǎn)移與提供（四）接收方的義務(wù)依據(jù)《個人信息保護(hù)法》第22條，接收方應(yīng)當(dāng)繼續(xù)履行個人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照《個人信息保護(hù)法》的規(guī)定重新取得個人同意。首先，原來的個人信息處理者無論是依據(jù)法律規(guī)定還是依據(jù)合同約定而負(fù)有的個人信息處理者的義務(wù)，接收方都應(yīng)當(dāng)繼續(xù)履行，否則應(yīng)當(dāng)承擔(dān)法律責(zé)任。其次，接收方應(yīng)當(dāng)按照原來的處理目的、處理方式處理信息，不得變更；如果需要變更，那么除非法律規(guī)定不需要取得同意，否則必須重新取得個人同意，而這種取得同意的前提當(dāng)然是向個人履行告知義務(wù)。第三節(jié)

個人信息的轉(zhuǎn)移與提供二、個人信息的提供（一）提供個人信息的含義提供個人信息，是指個人信息處理者將其處理的個人信息提供給其他的個人信息處理者，并由接收方對個人信息進(jìn)行處理。其具有以下幾項(xiàng)特征：（1）提供個人信息本身就屬于個人信息處理活動的一種類型。（2）提供個人信息的活動發(fā)生在兩個以上個人信息處理者之間，即無論是提供方還是接收方，都是個人信息處理者，即在個人信息處理活動中自主決定處理目的、處理方式的組織或者個人。第三節(jié)

個人信息的轉(zhuǎn)移與提供（3）提供個人信息中的提供方是個人信息處理者，其將自己處理的個人信息提供給其他的處理者。這就是說，提供方所提供的個人信息本身就應(yīng)當(dāng)是合法處理的個人信息，而不能是非法處理的個人信息。（4）提供方將其處理的個人信息提供給接收方之后，接收方是按照自己的處理目的和處理方式處理接收到的個人信息，而提供方可能繼續(xù)按照自己的處理目的、處理方式處理個人信息，也可能不再處理個人信息。第三節(jié)

個人信息的轉(zhuǎn)移與提供（二）提供個人信息的類型根據(jù)接收個人信息的個人信息處理者是我國境內(nèi)的還是境外的，可以將提供個人信息分為兩類：一是個人信息境內(nèi)提供，二是個人信息跨境提供。前者是指，我國境內(nèi)的個人信息處理者之間提供個人信息，而后者是指我國境內(nèi)的個人信息處理者向我國境外的接收方提供個人信息。第三節(jié)

個人信息的轉(zhuǎn)移與提供個人信息處理者向其他的個人信息處理者提供個人信息的場景有兩大類：一是，商業(yè)經(jīng)營活動中的個人信息提供，主要是個人信息處理者之間基于商業(yè)利益的考慮而提供個人信息的情形，具體場景包括授權(quán)登錄、廣告推送、網(wǎng)絡(luò)購物、貸款審核、求職招聘、房屋租售、相親交友等。二是，政務(wù)信息共享中的個人信息提供，主要就是政府各個部門基于加強(qiáng)行政管理、提高行政效率、便民利民等目的而實(shí)行的包括個人信息在內(nèi)的數(shù)據(jù)共享。第三節(jié)

個人信息的轉(zhuǎn)移與提供（三）告知并取得單獨(dú)同意無論個人信息處理者是基于個人同意還是依據(jù)法律、行政法規(guī)的規(guī)定而處理個人信息的，只要處理者要將個人信息提供給其他的個人信息處理者，就必須告知個人并取得個人的單獨(dú)同意，除非法律、行政法規(guī)規(guī)定不需要取得個人同意或不需要告知。提供個人信息的一方應(yīng)當(dāng)向個人告知的事項(xiàng)包括接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類。第三節(jié)

個人信息的轉(zhuǎn)移與提供（四）接收方的義務(wù)首先，個人信息的接收方應(yīng)當(dāng)在已取得個人單獨(dú)同意的處理目的、處理方式以及個人信息的種類的范圍內(nèi)處理個人信息，否則，處理行為屬于非法處理行為。其次，如果接收方要變更原先的處理目的、處理方式，應(yīng)當(dāng)依照《個人信息保護(hù)法》的規(guī)定重新取得個人同意。第四節(jié)

自動化決策方式處理個人信息一、自動化決策的含義自動化決策分為完全自動化決策和混合決策，二者的區(qū)別在于決策中是否涉及人工干預(yù)，只要在決定時檢討并考慮了其他因素，決策就不是完全自動化?！秱€人信息保護(hù)法》第73條將自動化決策界定為“通過計算機(jī)程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動”。其中，并未明確計算機(jī)程序參與的尺度。而判斷是否構(gòu)成完全自動化決策，關(guān)鍵在于“人”是否進(jìn)行了實(shí)質(zhì)干預(yù)。第四節(jié)

自動化決策方式處理個人信息二、完全自動化決策的風(fēng)險自動化決策的高效性和一致性，使得其應(yīng)用范圍越來越廣，既包括商品銷售、醫(yī)療保健、教育、金融服務(wù)等商業(yè)領(lǐng)域，也包括治安管理、犯罪預(yù)防、疫情防控等公共治理領(lǐng)域。完全自動化系統(tǒng)又被稱為脫離環(huán)路的系統(tǒng)，相較混合決策而言，存在較大的系統(tǒng)性風(fēng)險。根據(jù)完全自動化決策是在商業(yè)領(lǐng)域還是在公共治理領(lǐng)域被使用，可以將這類風(fēng)險分為兩類：一是商業(yè)部門為追求效率最大化而使用完全自動化決策，二是公共部門為履行法定職責(zé)或法定義務(wù)使用完全自動化決策。第四節(jié)

自動化決策方式處理個人信息三、對自動化決策的規(guī)范對于究竟應(yīng)當(dāng)如何消除自動化決策的弊端，理論界有兩種看法。一種觀點(diǎn)認(rèn)為，自動化決策的弊端在于暗箱操作，即不透明性，故此應(yīng)當(dāng)從透明化入手來解決問題，即自動化決策需要更高的透明度，如公開運(yùn)算的數(shù)據(jù)以及公開用于自動化決策的計算系統(tǒng)的源代碼。另一種觀點(diǎn)認(rèn)為，應(yīng)當(dāng)通過賦予信息主體即個人拒絕完全基于自動化決策而作出對其產(chǎn)生法律效力或不利影響的決定的權(quán)利。唯其如此，方能矯正或消除自動化決策對個人造成的不利影響。第四節(jié)

自動化決策方式處理個人信息我國《個人信息保護(hù)法》第24條綜合吸收了上述兩種觀點(diǎn)。首先，要求個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。其次，通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項(xiàng)，或者向個人提供便捷的拒絕方式。最后，對通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。第四節(jié)

自動化決策方式處理個人信息（一）個人信息處理者保證算法透明、結(jié)果公平公正的義務(wù)公開透明原則是個人信息保護(hù)法的基本原則?！秱€人信息保護(hù)法》第7條規(guī)定：“處理個人信息應(yīng)當(dāng)遵循公開透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。”由于公開運(yùn)算數(shù)據(jù)和源代碼的算法實(shí)際上對普通人而言并無意義，因此對個人信息處理者履行透明義務(wù)提出了進(jìn)一步要求，即算法可解釋性。第四節(jié)

自動化決策方式處理個人信息（二）個人信息處理者提供不針對個人特征的選項(xiàng)或提供拒絕方式的義務(wù)通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，個人信息處理者應(yīng)當(dāng)同時提供不針對其個人特征的選項(xiàng)，或者向個人提供便捷的拒絕方式?！秱€人信息保護(hù)法》除了在第24條第1款明確規(guī)定了禁止“大數(shù)據(jù)殺熟”，“不得對個人在交易價格等交易條件上實(shí)行不合理的差別待遇”，同時還規(guī)定了在通過自動化決策進(jìn)行信息推送和商業(yè)營銷情形下，個人信息處理者必須提供不針對個人特征的選項(xiàng)或提供個人拒絕選項(xiàng)，即提供精準(zhǔn)廣告推薦和個性化推薦的關(guān)閉鍵。第四節(jié)

自動化決策方式處理個人信息（三）信息主體享有完全自動化決策拒絕權(quán)結(jié)合《個人信息保護(hù)法》第24條第3款，完全自動化決策拒絕權(quán)的行使需滿足兩項(xiàng)前提，分別是：（1）僅通過自動化決策的方式作出決定；（2）對個人權(quán)益有重大影響。第五節(jié)公開的個人信息的處理一、公開的個人信息的規(guī)范模式公開的個人信息，是指作為信息主體的自然人自行公開的個人信息或者其他以合法方式予以公開的個人信息。從比較法來看，對于公開的個人信息的處理有兩種規(guī)范模式。一種模式是將公開的個人信息排除在個人信息之外，美國采取的就是這種模式。第五節(jié)公開的個人信息的處理在我國，《民法典》和《個人信息保護(hù)法》沒有將公開的個人信息排除在個人信息之外，而是對公開的個人信息的處理有特別的規(guī)范，即《民法典》第1036條第2項(xiàng)以及《個人信息保護(hù)法》第13條第1款第6項(xiàng)、第2款與第27條。第五節(jié)公開的個人信息的處理二、公開的個人信息的要件與類型（一）公開的個人信息的要件在我國法上，公開的個人信息必須滿足以下兩個要件。個人信息已經(jīng)被公開個人信息必須是合法公開的個人信息第五節(jié)公開的個人信息的處理（二）公開的個人信息的類型對公開的個人信息可以進(jìn)行不同的分類，最重要的分類方法是將之分為主動公開的個人信息與被動公開的個人信息。主動公開的個人信息被動公開的個人信息第五節(jié)公開的個人信息的處理三、處理公開的個人信息無須取得個人同意依據(jù)《個人信息保護(hù)法》第13條第1款第6項(xiàng)，對公開個人信息的合理處理行為無須取得個人同意。這是為了更好地協(xié)調(diào)與平衡個人信息權(quán)益的保護(hù)與合理行為自由的維護(hù)之間的關(guān)系。只有在合理范圍內(nèi)處理公開的個人信息，才無須取得個人的同意，否則屬于非法處理個人信息。是否在合理的范圍內(nèi)，應(yīng)當(dāng)在權(quán)衡個人信息權(quán)益保護(hù)與個人信息的合理利用這一對不同利益沖突的基礎(chǔ)上，依循必要原則與目的限制原則，運(yùn)用動態(tài)系統(tǒng)論，結(jié)合具體的處理場景加以判斷。第五節(jié)公開的個人信息的處理四、個人的拒絕權(quán)依據(jù)《民法典》第1036條第2項(xiàng)和《個人信息保護(hù)法》第27條第一句，處理者雖然可以不取得個人同意而處理公開的個人信息，但是，如果個人明確拒絕，那么處理者也不得處理。本書認(rèn)為，在《民法典》第1036條第2項(xiàng)已經(jīng)規(guī)定了處理公開的個人信息會侵害自然人的重大利益時處理者不能免責(zé)，且《個人信息保護(hù)法》第27條要求處理公開的個人信息對個人權(quán)益有重大影響的必須依法取得個人同意的情形下，賦予個人享有拒絕對其公開的個人信息進(jìn)行處理的權(quán)利，表明立法者強(qiáng)化了自然人對公開的個人信息的支配控制權(quán)。但是，這種做法等于變相承認(rèn)了被遺忘權(quán)，可能不利于對個人信息的合理利用，容易損害言論自由與公共利益。第五節(jié)公開的個人信息的處理五、處理公開的個人信息應(yīng)取得個人同意的情形（一）《民法典》與《個人信息保護(hù)法》的不同規(guī)定《民法典》第1036條第2項(xiàng)規(guī)定了對公開的個人信息的合理處理也不能作為免責(zé)事由的兩種例外情形，除前述的自然人明確拒絕外，還有一種情形就是處理該信息侵害該自然人的重大利益。但是，《個人信息保護(hù)法》第27條沒有使用《民法典》中“侵害其重大利益”的表述，而是采取“對個人權(quán)益有重大影響”的表述，并規(guī)定此時處理者應(yīng)當(dāng)依照本法取得個人同意。從表述來看，《民法典》和《個人信息保護(hù)法》的上述規(guī)定似有不同，然而，二者并不矛盾。第五節(jié)公開的個人信息的處理（二）對個人權(quán)益有重大影響的含義（1）個人權(quán)益的范圍非常廣泛，是指與個人有關(guān)的任何權(quán)益，既包括個人的民事權(quán)益，也包括憲法上的人格尊嚴(yán)、人格自由、通信秘密等基本權(quán)利；既包括《民法典》等民事基本法規(guī)定的民事權(quán)益，也包括《消費(fèi)者權(quán)益保護(hù)法》《婦女權(quán)益保護(hù)法》等法律中規(guī)定的個人享有的各種權(quán)益。（2）重大影響中的“重大”，是指對自然人的個人權(quán)益造成的具有法律效力的影響或者其他類似的具有嚴(yán)重不利后果的影響。第六章敏感個人信息的處理

第一節(jié)敏感個人信息的處理規(guī)則一、敏感個人信息的概念界定（一）敏感個人信息的定義在立法時，對敏感個人信息進(jìn)行特殊規(guī)定，“主要是考慮到此類信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害，因此，對處理敏感個人信息的活動應(yīng)當(dāng)作出更加嚴(yán)格的限制”。第一節(jié)敏感個人信息的處理規(guī)則敏感個人信息在概念上存在不確定性。主要體現(xiàn)在以下三方面：法律評價標(biāo)準(zhǔn)的模糊性；技術(shù)驅(qū)動的新型敏感個人信息無法被容納；判斷標(biāo)準(zhǔn)的多維可能引發(fā)歸入和擇出的難題。第一節(jié)敏感個人信息的處理規(guī)則（二）法律具體列舉的六類典型敏感個人信息生物識別信息宗教信仰信息特定身份信息醫(yī)療健康信息金融賬戶信息行蹤規(guī)矩信息第一節(jié)敏感個人信息的處理規(guī)則二、敏感個人信息的判斷要素除上述六種明確被列舉為敏感個人信息的信息之外，敏感個人信息和非敏感個人信息之間還存在互相轉(zhuǎn)化的可能。一方面，處理個人信息的目的與信息的敏感性密切相關(guān)。另一方面，信息處理的場景也會影響敏感性的判斷。第一節(jié)敏感個人信息的處理規(guī)則敏感性的判斷必須結(jié)合場景要素進(jìn)行綜合判定，已經(jīng)形成共識。場景中需要考慮的變量可被歸納為五個要素：（1）信息主體（2）信息處理者（3）第三方主體（4）信息性質(zhì)（5）處理目的第一節(jié)敏感個人信息的處理規(guī)則三、處理敏感個人信息的條件由于敏感個人信息對個人的人格尊嚴(yán)和人身、財產(chǎn)安全有重大影響，因此，對其處理應(yīng)當(dāng)更加嚴(yán)格。個人信息處理者處理敏感個人信息，必須符合兩個條件。（一）特定目的和充分必要性（二）嚴(yán)格保護(hù)措施第一節(jié)敏感個人信息的處理規(guī)則四、處理敏感個人信息的特殊要求（一）單獨(dú)同意與書面同意處理敏感個人信息比處理一般個人信息更具有高風(fēng)險性，因此對于敏感個人信息的處理，會比一般個人信息的處理有更高的要求。根據(jù)《個人信息保護(hù)法》第13條第1項(xiàng)的要求，個人信息處理者在“取得個人的同意”的情形下可以處理個人信息，但是對于敏感個人信息，則必須取得單獨(dú)同意，在特殊情況下須取得書面同意。第一節(jié)敏感個人信息的處理規(guī)則（二）告知的特殊性“告知—同意”規(guī)則是個人信息處理的基本規(guī)則之一，處理敏感個人信息的告知與處理一般個人信息告知的不同之處在于：除《個人信息保護(hù)法》第17條第1項(xiàng)規(guī)定的需要告知的事項(xiàng)外，還需要另外向信息主體告知處理敏感個人信息的必要性以及對個人權(quán)益的影響。第二節(jié)未成年人個人信息的保護(hù)一、需特殊保護(hù)的未成年人的年齡的確定《個人信息保護(hù)法》第31條第1款規(guī)定個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。我國法律確認(rèn)十四周歲作為兒童的年齡上限，主要是考慮未成年人觸網(wǎng)年齡趨低，新生代“互聯(lián)網(wǎng)原住民”等特點(diǎn)，為了確保監(jiān)管措施的針對性、有效性，在保護(hù)未成年人個人信息方面，對被保護(hù)群體作進(jìn)一步細(xì)分。對于一定年齡以上的未成年人來說，互聯(lián)網(wǎng)認(rèn)知水平和操作水平已經(jīng)不亞于成年人，適用一般的個人信息保護(hù)規(guī)則就能夠滿足實(shí)際需要。因此，以十四周歲為界限，主要保護(hù)不滿十四周歲的未成年人。第二節(jié)未成年人個人信息的保護(hù)二、未成年人父母或者其他監(jiān)護(hù)人的同意我國《個人信息保護(hù)法》確立了處理不滿十四周歲的未成年個人信息應(yīng)取得監(jiān)護(hù)人同意的規(guī)則。但是如何取得監(jiān)護(hù)人可驗(yàn)證的同意，《個人信息保護(hù)法》并未進(jìn)一步明確。我國《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第9條要求網(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移、披露兒童個人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人，并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意。同時，既然我國《個人信息保護(hù)法》將不滿十四周歲的未成年人個人信息作為敏感個人信息予以保護(hù)，那么關(guān)于敏感個人信息所要求的處理規(guī)則自然應(yīng)當(dāng)適用于處理不滿十四周歲的未成年人的個人信息，也就是說，監(jiān)護(hù)人的同意必須是單獨(dú)同意或在法律行政法規(guī)的要求下的書面同意。第二節(jié)未成年人個人信息的保護(hù)三、未成年人個人信息的處理規(guī)則未成年人個人信息保護(hù)除監(jiān)護(hù)人同意這一方式外，個人信息處理者應(yīng)該為父母提供一整套便捷易用的工具，如密碼保護(hù)、阻止/允許列表、年齡驗(yàn)證及信息過濾等，幫助父母為兒童（特別是年幼的兒童）創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。第七章國家機(jī)關(guān)處理個人信息的規(guī)則

第一節(jié)

概述一、立法模式比較法上個人信息保護(hù)的立法模式主要有兩種：一是公私交融的立法模式（或綜合式立法），二是公私分立的立法模式。前者將國家機(jī)關(guān)及私主體統(tǒng)一規(guī)定在同一部個人信息保護(hù)法中，以歐盟、韓國、日本等為代表；后者則針對國家機(jī)關(guān)及私主體分別立法，以美國為代表。我國立法參考?xì)W盟《一般數(shù)據(jù)保護(hù)條例》，采用的是公私交融的立法模式。第一節(jié)

概述公私交融的立法模式下，國家機(jī)關(guān)和私主體同時適用個人信息保護(hù)法，必須遵守一些共同的原則與規(guī)則，例如合法、正當(dāng)、必要原則，公開透明原則，目的特定、最小必要原則等，因此，公私交融的立法模式可以避免立法的冗余和累贅，優(yōu)勢突出。但鑒于國家機(jī)關(guān)處理個人信息往往是基于履職需要，其和私主體處理個人信息的合法性基礎(chǔ)不同，對其應(yīng)當(dāng)有一些特殊的規(guī)定，故而我國《個人信息保護(hù)法》對于國家機(jī)關(guān)處理個人信息專門設(shè)置了一節(jié)進(jìn)行特別規(guī)定。第一節(jié)

概述二、國家機(jī)關(guān)作為個人信息處理者國家機(jī)關(guān)處理個人信息的行為，可以按照是否為履職行為分為兩類：一類是公法關(guān)系中的個人信息處理行為，比如國家依據(jù)法定權(quán)限、履行法定職責(zé)所需而進(jìn)行的個人信息處理；另一類是私法關(guān)系中的個人信息處理行為，比如國家機(jī)關(guān)訂立買賣、勞務(wù)合同等合同行為。第二節(jié)

告知義務(wù)一、國家機(jī)關(guān)處理個人信息的