第一节一般规定_中华人民共和国个人信息保护法释义-QQ阅读男生科幻网

书名：中华人民共和国个人信息保护法释义
作者名：龙卫球主编
本章字数：49816字
更新时间：2022-07-29 16:12:44

第一节一般规定

第十三条【个人信息处理的合法性基础】

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

【释义】

本条规定了处理个人信息的合法性基础。本条第1款第1项规定个人信息处理者处理个人信息应当“取得个人的同意”。全国人大常委会法制工作委员会副主任刘俊臣在将草案提交全国人大常委会审议时，明确指出《个人信息保护法》确立以“告知—同意”为核心的个人信息处理一系列规则。“告知—同意”是处理个人信息最基本的原则，符合人们对个人信息保护的直观认识，并衍生出更正权、删除权等重要权利。相较于《民法典》第1035条的规定而言，《个人信息保护法》规定的合法性基础还包括履行合同所必需、履行法定职责和法定义务等。

一、知情同意原则的确立

2009年之前的司法解释和当年底通过的《侵权责任法》第2条明确规定“隐私”是一种民事权益，由此个人信息得以借助侵权法路径予以保护。但是这种保护路径过窄而且存在对应上的不足，特别是主要依赖事后机制。随着网络的普及，个人信息一旦泄露，往往很难真正“恢复原状”，个人信息的事前保护机制建设逐渐被提上议程。

2012年由人大常委出台的《关于加强网络信息保护的决定》具备着明显的开创性意义。《关于加强网络信息保护的决定》第2条明确提出在企业收集、使用个人信息时，应当明示收集、使用信息的目的、方式和范围，并经被收集者同意——“知情同意原则”被首次提出。遗憾的是，《关于加强网络信息保护的决定》因欠缺配套措施，宣示意义远大于规范意义。在2013年，中国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）出台。该《指南》明确了数据处理的基本原则：目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则、责任明确原则。这些为数据行为建立了行为规范基准，具有强大的事先引导和保障功能。尤其值得注意的是，《指南》将知情同意原则具体化，强调了“分层通知”的理念，即在信息收集、加工、转移、删除各个阶段都应当保障数据主体的知情同意。同年，工信部还出台了《电信和互联网用户个人信息保护规定》，第9条明确强调电信业务经营者、互联网信息服务提供者在收集数据时必须遵守“知情同意原则”。

与此同时，面对个人信息泄露、信息安全堪忧的情况，司法机关也开始发布一些指引，确立知情同意等相应个人信息保护的事先机制，以弥补成文法的不足。2014年最高人民法院出台了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，该规定第9条对《侵权责任法》规定的“避风港原则”进行必要的补充，第12条明确了对“敏感信息”的收集和使用必须得到信息主体的事前同意。通过行政和司法部门的上述努力，个人信息保护的知情同意原则就此确立。

现代社会中的个人信息主要指的便是在互联网中流通的数据。2016年11月7日《网络安全法》发布，对互联网语境的个人信息安全作出了具体的回应。《网络安全法》在个人信息转让方面放松了对信息主体同意的同意，但总体上仍然以其知情同意为数据活动的正当性基础。根据《网络安全法》第41条，个人信息的收集和使用都必须确保用户的“知情同意”。2021年1月1日生效的《民法典》第1035条第1款第1项进一步明确个人信息主体的同意是处理个人信息的合法性基础。《个人信息保护法》第13条第1款第1项也延续了《民法典》的规则。知情同意原则的历史发展表明，个人信息主体的知情同意是个人信息处理首要的合法性基础。个人信息处理者应当履行告知义务，并征得个人的同意。知情同意的具体要求参见其他法条。

二、其他合法性事由

2021年1月1日生效的《民法典》第1035条第1款第1项规定，知情同意是个人信息处理的合法性基础。《个人信息保护法》扩张了个人信息处理的合法性基础。当今世界，数据资源如同石油一样是经济的血液，是企业乃至国家核心竞争力的重要组成部分。法律制度应当在合理保护个人信息的基础上给予企业数据活动的便利。这种便利，在微观层面表现为数据企业得以在特定目的范围内为自己的目的而利用相关个人信息，进而改进经营或者管理；在宏观层面表现为，个人信息通过合法途径有效汇入数据资源从而发挥大数据的放大效果。因此，个人信息保护立法要兼顾个人信息保护与个人信息的合法使用。“知情同意原则”赋予了信息主体对其个人信息的支配性地位，但增加了社会交往的成本，未必有利于经济、技术的发展。为使各方利益均能够得到充分主张和合理分配，有效实现个人信息权益保护和个人信息合理利用之间的动态平衡，《个人信息保护法》规定了其他六项个人信息处理合法性基础。该条第2款规定：“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

1.第2项规定的情形为“为订立、履行个人作为一方当事人的合同所必需”。当处理个人信息为服务内容时，即便处理者未取得个人的同意，也可以在一定限度下处理其个人信息。信息主体自愿进入合同，通过约定限制自己的权利或为自己设定义务，故以合同所必需为由处理个人信息具有合法性与正当性。例如，当个人信息主体使用地图导航时，此时地图处理个人的地理位置数据便是履行合同所必需。需注意，当导航完成后，地图继续保留、使用行程记录就应当征得个人的明确同意。

相较于《个人信息保护法草案（一次审议稿）》和《个人信息保护法草案（二次审议稿）》的规定，最终通过的《个人信息保护法》将该项扩张包括“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。企业管理员工可能会使用员工的个人信息，如年龄、生日、求职经历等。在物联网时代，员工的地理位置信息也可能时刻被搜集，如饿了么、美团等平台实时记录快递员的送货信息等。因此，《个人信息保护法》将个人信息处理者和个人信息主体之间的合同扩张至劳动合同。由于人力资源管理涉及员工日常工作的方方面面，如果过度扩张“人力资源管理所必需”的适用场景，个人信息处理者可能利用此条，并凭借雇主优势地位肆意收集、使用员工个人信息，侵害员工合法权益。为此，《个人信息保护法》仅将人力资源管理所必需的场景限缩于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”这两大场景之下。例如，个人信息处理者收集员工的银行卡信息，以履行劳动合同中关于薪酬支付的约定。

2.第3项规定的情形为“为履行法定职责或者法定义务所必需”，即若个人信息处理者的处理行为有明确的法律法规作为依据，则该处理行为合法。该项规定主要针对公权力主体在法律法规的授权下处理公民个人信息的行为。公权力主体为了实现国家职能，对处理公民个人信息存在需求。与私法意思自治的逻辑不同，公权力机关在符合比例原则等法律要求的前提下，即便未取得信息主体的同意，其处理行为也具有正当性。从体系出发，本法第35条规定：“国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。”国家机关履行法定职责虽然不需要征得公民的同意，但应当履行告知义务，除非与保密规定相龃龉或者将妨碍履行职责。疑义之处在于，在给付行政当中，公权力机关处理个人信息是否无需征得公民的同意。例如，上海推动“互联网+政务服务”，强调“智能感知”和“惠民推送”，提出探索人才政策的精准测算和推送工作；[1]贵州省也强调要为企业提供“一站式”政策咨询服务，并根据适用范围向符合条件的企业精准推送等。[2]一些政务系统已经能够借助对个人信息的处理实现“私人订制”，自动感知当前用户需要的、正在办的、已办理的所有事项与服务，主动精准化推荐。[3]例如，自动化算法基于“孕妇”这个标签可以主动推送准生证办理、产检办理、挂号办理等信息，甚至从婴儿出生以后围绕人的生命周期都可以提供主动的推荐服务。对于上述问题，还需要进一步研究。

3.第4项规定的情形为“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”。前半句所述的情形与公共卫生事件有关，由政府机关作为个人信息处理者；后半句则是紧急避险制度的具体化，此时处理者可能是国家机关或民事主体。对个人信息的处理使行政机关能够制定有效的应急决策、采取具有针对性的防控措施，来应对突发、隐蔽、易传播的传染病。中央网络安全和信息化委员会办公室于2020年专门颁发了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，要求各级政府积极利用包括个人信息在内的大数据支撑联防联控工作，也鼓励企业在政府部门的指导下，利用大数据分析重点人群的流动情况，为联防联控提供大数据的支持。我们认为，在本项规定的理解与适用上需注意以下几点：

其一，应急行政的情形也应适用法律保留原则。《突发事件应对法》第69条规定，在进入紧急状态前，行政主体应先采取法律、法规、规章规定的应急处置措施。换言之，行政主体在此情形下处理个人信息的职权行为也应满足法律保留的要求。实践中则需注意，授权行政主体在应急事件中处理个人信息的依据的效力层级。

其二，“必需”要求个人信息的处理需限于“明确、特定的目的”。

其三，依照本项规定处理个人信息虽然无需经过个人同意，但仍应根据本法第18条向有关个人告知。

4.第5项规定的情形为“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”。该项表明，未经个人同意处理其个人信息的前提是，实施新闻报道和舆论监督以维护国防、公共卫生等公共利益为目的，而娱乐性的报道或对不道德行为的监督不符合本项规定的情形。[4]该项也与《民法典》第999条呼应。《民法典》第999条后半句规定，使用不合理侵害民事主体人格权的，应当依法承担民事责任。新闻报道、舆论监督不合理地使用个人信息，是否就一定要承担民事责任？联系《民法典》第1025条和第1026条，新闻机构享有“新闻优先权”，只要尽到合理审核义务，即可以免予承担责任。因此，新闻机构承担的责任类型是过错责任，而非无过错责任。对公众人物的舆论监督也应当奉行同样的原则。在美国New York Times Co.v.Sullivan一案当中，美国联邦最高法院指出，如果涉及的是公共人物，只有当表意人明知其陈述不实或对陈述是否属实毫不在意时，才承担诽谤后果。[5]因公民有权利和义务监督公众人物，公民仅在存在“真实恶意” （actual malice）的情况下才应承担民事责任。

5.第6项规定的情形为“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”，是新增的处理个人信息的合法性基础。如果个人已经公开个人信息，似乎意味着其主动放弃了对个人信息的保护需求。然而，公开个人信息，并非意味着个人同意他人恣意处理个人信息。当前，中国裁判文书网、中国执行信息公开网等政府机关主办的网站公开发布含有公民个人信息的内容。公众可以从这些网站中获取有关市场主体的信用状况，部分第三方市场主体也利用网络爬虫等技术工具，处理此类公开信息并获取利益。这种行为已然对个人信息主体造成困扰。例如，在“贝尔塔数据技术公司与伊某一般人格权纠纷案”当中，被告转载中国裁判文书网上合法公开的判决书提供商业查询服务，给原告造成困扰。苏州市中级人民法院认为，转载行为本身并不违法，但在原告明确表示反对后，被告即有义务停止处理原告的个人信息。“被告的转载行为有悖于原告对已公开信息进行传播控制的意思表示，违反了合法性、正当性和必要性原则，因此侵犯了原告的个人信息权益。”[6]2021年1月1日生效的《民法典》第1036条第2项也明确指出，如果自然人明确拒绝处理已公开的个人信息，那么个人信息处理者不得继续处理，哪怕该个人信息是通过合理渠道公开的。[7]

实践对本项规定的解释与适用还存有疑问。其一，从政务公开的目的来看，政府机关公开个人信息的目的是增加政府运行的透明度、发挥社会监督的作用，而非为他人处理个人信息提供资源或便利。个人信息已被公开，与可以在未经信息主体同意的情况下被使用，似无必然的逻辑关联。本项规定实则意在保护个人信息的同时，实现个人信息的经济与社会价值。其二，“已公开的个人信息”是否仅限于政府机关所公开的个人信息，是否包括信息主体通过社交媒体等途径自行公开的个人信息。其三，如何与刑法上的侵犯公民个人信息罪衔接。根据《个人信息刑事司法解释》第3条第2款：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”从该条规定可知，公民个人信息不以具有个人隐私的特征为必要，即便获取或提供的是已经依法公开的个人信息，如果未经公民个人同意，仍可能构成侵犯公民个人信息罪。若将“合理范围内成立已公开的个人信息”作为侵犯公民个人信息罪的前置条件，还需进一步明确。

6.第7项系参引性规范，为“法律、行政法规规定的其他情形”，留出适用空间——处理者在没有第1项至第6项的情形下处理个人信息，应具有法律或行政法规上的依据。就法定情形而言，本项虽然将合法性基础限于“法律、行政法规”的有关规定，但也需考虑下位法规定在实践中的作用：对于上位法在操作层面的细化规定，部分下位法规定也可以作为行政依据。

【关联规定】

《中华人民共和国网络安全法》第41条，《中华人民共和国民法典》第999条、第1025条、第1026条、第1035条第1款、第1036条

（撰稿人：林洹民、王修齐）

第十四条【知情同意原则的定义】

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

【释义】

本条明确了知情同意是指自愿、明示同意。自愿同意意味着个人信息处理者不能以拒绝提供服务的方式，逼迫个人信息主体同意。本法第16条有所规定，暂且不论。明示同意与默示同意相对，是指个人信息主体选择同意（opt in），而非选择退出（opt out）。本条中的单独同意与概括同意相对，是指个人信息主体针对特定事项单独做出决定，而非概括同意《隐私条款》或《用户协议》等文件。书面同意与口头同意相对。

一、明示同意

虽然2012年全国人大常委会出台的《关于加强网络信息保护的决定》已经提出了知情同意原则，但知情同意的构造并不清晰。在2015年发生的“中国Cookie第一案”中，某度公司强调利用Cookie技术收集个人上网记录是完全合法的，但某度的隐私条款同样几乎很难被用户发现。“默示同意”不等同于“知道”，在该案当中原告乃至一般的用户根本不清楚某度在利用Cookie技术收集数据；上网的浏览记录被径自认为属于“一般信息”恐怕也有值得商榷的空间。[8]为了回应上述问题，本条强调同意应当明确作出。明确的同意指信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为，如主动声明，主动勾选，主动点击“同意”“下一步”等。反之，沉默、默认勾选的对话框或者不作为则不构成“同意”。本条确定明示同意为原则，默示同意为例外。

处理个人信息的同意，应当由个人在充分知情的前提下同意。然而，如何确保“充分知情”一直是知情同意原则适用的难题。充分知情，指信息主体获得了足够的信息，知晓处理个人信息的所有情况及后果。对于企业而言，其告知处理规则的目的在于，在履行法定义务、规避法律风险的同时，尽可能地获得信息主体的同意，所以企业所提供的隐私政策往往事无巨细、冗长混杂。由于信息过载与不对称，个人信息主体一般会直接作出同意，导致同意的质量堪忧，无法真正发挥知情同意原则的作用。[9]此外，在大数据时代，明确告知信息的使用目的几乎是不可能的。因为大数据分析的奥秘就在于，在数据分析之前根本就没有“目的”——分析师们也不知道会产生什么样的结果。以往，探索和研究往往需要首先提出一个前提假设，然后通过实验以证成或证伪；但在大数据时代，数据分析采用全本而非样本，通过对全部数据的分析，分析师们能够惊奇地发现看似不相关事物之间的相关性，进而获得技术乃至制度创新的灵感。换言之，追求全本而不是样本，追求相关性而非因果性，容忍错误而不苛求精确，大数据使得人们的思维路径发生了根本性的变革。[10]正是这种“没有目的”的数据分析，使得人们摆脱了“前见”的束缚，进而推动了创新和发展。在这种背景下，要求企业在收集、使用数据之前给出明确的目的说明，未免有些强人所难。即使是在极端强调个人信息保护的德国，也只能无奈地宣称，“虽然要求告知数据主体以数据分析的具体目的，但是可以是框架性和方向性的，而不必穷尽所有的细节”[11]。然而，上述因素并非完全否定告知义务的理由，仅在于防止责之过苛。再者，在个人信息处理过程当中，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当再次告知，并重新取得个人同意（该条第2款）。

二、特殊同意规则

部分法律或行政法规可能要求个人的同意以“单独同意或者书面同意”的方式作出。单独同意重在突出告知义务，强调企业应引起个人的重视。只要能够引起个人信息主体的重视，就可以采取各种形式。企业可以根据自己的实际运营情况进行灵活选择。本法第23条、第25条、第26条、第29条和第39条分别规定了需要取得单独同意的情形。该列举并非封闭，其他法律、行政法规也可以施加同类要求。例如，《征信业管理条例》第14条规定，征信机构明确告知信息主体提供个人财产信息可能产生的不利后果，并取得其书面同意的，可以采集。

三、立法过程中的争议问题

《个人信息保护法草案（一次审议稿）》最初将同意界定为意思表示：处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。“同意”的性质认定将对后续规则的设计产生直接影响，不可不察。相比较而言，《个人信息保护法草案（二次审议稿）》不再直接将处理个人信息的“同意”认定为“意思表示”。有观点认为，“同意”系法律行为。个人信息具有财产性利益，“同意”则意味着信息主体许可他人对其个人信息进行商业化利用，根据其自身的意思表示实现相应的法律效果，符合法律行为的本质特征；但“同意”的性质需要结合具体情境判断其法律性质，不可一概而论。[12]如果将知情同意视为“意思表示”，那么表意人应当具备行为能力。我国《民法典》将完全行为能力的年龄定为18周岁，但依据《个人信息保护法》第31条第1款，14周岁以上的未成年人即可以独立为知情同意。《个人信息保护法草案（一次审议稿）》的这一规将存在与《民法典》的行为能力规则如何协调的问题。更为重要的是，如果将知情同意视为意思表示，根据《民法典》第141条的规定，撤回意思表示的通知应当在意思表示到达相对人前或者与意思表示同时到达相对人。《个人信息保护法》第15条规定，个人有权随时撤回其同意。两条规则也存在如何衔接的问题。在德国，知情同意的性质有法律行为、准法律行为和事实行为三种学说。《个人信息保护法草案（二次审议稿）》理性地删除了“意思表示”这一界定。

【关联规定】

本法第23条、第25条、第26条、第29条、第39条

（撰稿人：林洹民、王修齐）

第十五条【个人信息撤回权】

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

【释义】

本条规定了个人信息主体的任意撤回权。

《个人信息安全规范》第8.4条已要求个人信息控制者应向个人信息主体提供撤回收集、使用，以及对外共享、转让、公开披露其个人信息的授权同意的方法；当授权同意被撤回后，不再处理相应的个人信息。《个人信息保护法》首次在法律层面规定了个人信息主体任意撤回对个人信息处理行为的同意权利。

欧盟明文规定了个人信息主体的撤回权。欧盟《一般数据保护条例》第6条第1款第1项确立了知情同意原则，但该条例第7条仍然规定，个人信息主体有权随时撤回其同意，同意的撤回仅对未来产生效力；信息主体撤回同意应与作出同意一样容易。我国有关个人信息保护的立法对同意的撤回也不设门槛，并要求处理者为同意的撤回提供便利。

本法第13条将个人的同意作为处理其个人信息的合法性基础之一，但实践中信息主体所作出的同意并不完全反映其意志。原因在于，信息主体在作出同意的时点，或缺乏对重要情事的知悉，并不理解“同意”的决定对其造成的后续影响。尤其是在面对冗长的隐私政策与用户协议时，信息主体往往疲于应对而直接作出同意。[13]若信息主体的同意无法变更或取消，无异于要求信息主体在作出同意时具备相当的理性，去了解并认可处理行为可能带来的利益与风险。而由于信息事实上的不对称，信息主体在知识与技术层面处于相对弱势的地位。因此，有必要赋予信息主体撤回其同意的权利，向个人施以适度的倾斜保护，以实现实质意义上的公平。此外，虽然个人撤回其同意有造成处理者损失的可能，但从社会总体效益来看，将同意撤回规则作为风险规避的手段，能够使信息主体更有意愿作出同意，也有利于满足处理者开发利用个人信息的需求。

本条第1款第1句明确了本条的适用范围，即以取得个人同意为合法性基础的处理行为。如果处理者并不基于个人同意处理个人信息，则个人是否撤回同意不影响处理行为的合法性。如果属于不需要征得个人同意的事项，个人信息主体仍然可以拒绝个人信息处理者的个人信息处理行为，此时并非基于同意的撤回，而是基于拒绝权，详见本法第24条和第44条。

若将“同意”视为意思表示，则本条中的“撤回”实为“撤销”，盖因意思表示已经到达，并发生效力。[14]由民法视角观之，撤销是指在意思表示到达相对人并生效之后，取消前一意思表示的行为；而撤回则须在先前作出的意思表示未生效之前到达相对人，才能使已作出的意思表示不发生效力。但“撤销”在民法上有溯及既往的效力，与本条第2款规定的效果不符。有学者进一步认为，此处的“撤回”系人格权法体系下的撤销，具有形成权的性质，当个人信息主体发出的撤回的意思表示到达处理者时，处理行为的合法性基础即告消灭。[15]

就撤回的方式而言，《个人信息保护法草案（二次审议稿）》较《个人信息保护法草案（一次审议稿）》新增了本条第1款后半句的规定，即处理者应当提供便捷的撤回同意的方式，对交互界面的设计起到指导作用。实践中，许多企业为了获利，往往通过烦琐的撤回程序、设置不合理或不必要的额外要求等方式，阻碍用户撤回同意。经《个人信息保护法草案（二次审议稿）》的修订，处理者须修改个人撤回同意的程序与界面，为个人信息主体尽可能地提供便利。

就撤回的法律效果而言，本条第2款规定撤回前的处理行为的效力不受影响，同意的撤回不具有溯及力。此一规则涉及兼顾个人信息处理者的利益。但本条并未说明，个人信息主体在撤回同意后是否需要承担额外的民事责任。对此，我们认为应区分情形讨论：当个人信息主体和个人信息处理者明确约定，个人信息为获得额外服务、商品优惠、抽奖活动等的对价时，此时双方之间成立有效的合同关系，即便个人信息主体能够随时撤回同意，也应承担违约责任，需要赔偿处理者的损失；当个人信息的提供不构成对待给付时，信息主体可任意撤回而无需赔偿损失，因为在法律已明确规定相对人享有撤回同意的权利时，处理者并不存在需保护的信赖利益。

【关联规定】

本法第24条、第44条

（撰稿人：林洹民、王修齐）

第十六条【不得拒绝服务原则】

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

【释义】

本条首次在法律层面明确个人信息处理者不得拒绝提供产品或者服务的情形，即不得以个人不同意处理其个人信息或撤回同意为由，拒绝提供产品或服务。此源于“网络效应”，用户倾向于向大型平台汇聚。平台经营者可能会利用这种优势地位，强迫个人信息主体接受《隐私政策》或《用户协议》等。为了避免个人信息主体陷入这种“接受或者离开”（take it or leave it）的不利情形，本条禁止个人信息处理者以提供数据为“对价”提供服务。

本条规定在理解与适用上需注意以下几点：

其一，本条规定前半句所指的“产品或服务”应非为提供产品或者服务所必需。如果个人拒绝或者撤回同意所对应的处理活动，以提供产品或服务所必需的个人信息为处理对象，那么处理者可以拒绝提供该项产品或服务。换言之，只有在处理活动对应的个人信息不是提供产品或服务所必需的时候，处理者才不得拒绝提供产品或服务。例如，如果个人信息主体不愿意提供个人地理位置信息，高德地图、百度地图可以拒绝提供导航服务，因为个人地理位置信息为提供服务所必需。另需注意，如果个人信息处理者新增业务类型需要额外收集个人信息，此时不得以个人信息主体不同意提供为由，拒绝提供原有的业务类型，但新增业务功能取代原有业务功能的除外（《App违法违规收集使用个人信息行为认定方法》第4条第3项）。

其二，若处理者所处理的个人信息属于履行合同所必需的，即便信息主体不同意或撤回同意，也不影响处理行为的合法性。本法第13条第1款第2项规定，为订立或者履行个人作为一方当事人的合同所必需的处理行为，不以取得个人同意为合法性的基础。而对于非必要且不用于该项产品或服务本身的处理行为，除了以提供个人信息为对价获取额外服务的情形，信息主体的拒绝或撤回同意不影响其获取此产品或服务。

承上，本条适用的难点和重点在于判断“必要性”。《个人信息保护法》第5条确立“合法、正当、必要和诚信”四大原则。2017年《网络安全法》第41条已经确立了必要原则为个人信息处理的核心原则之一，2021年1月1日生效的《民法典》第1035条再次强调该原则。尽管如此，“必要”一词的模糊性使得法律适用存在困难。欲理解必要原则，首先需要检视相关的法律文件。早在2012年，全国人大常委会出台的《关于加强网络信息保护的决定》当中就已经提出了必要原则。[16]为了贯彻该决定，全国信息安全标准化技术委员会组织起草《指南》，该《指南》于2012年11月颁布，2013年2月实行。《指南》第4.2条规定了数据活动的基本原则，其将必要原则细化为“最少够用原则”：只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。2017年发布、2020年更新的《个人信息安全规范》没有使用“最少够用”，而是将之改为“最小必要”，但其内涵基本没有发生变化。根据2020年版《个人信息安全规范》第4条第d项，最小必要原则是指“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息”。《个人信息保护法》第6条也突出“最小范围要求”。必要原则最核心的内涵应是在数个可供实现目的之手段的选择上，采用对个人信息主体干预最轻的手段，收集影响最少的个人信息：个人信息处理者在收集个人信息时，不应当收集对提供服务没有必要的个人信息，只有那些对开展服务而言非收集不可或者不收集就无法满足用户服务需要的信息，才可被收集；在处理个人信息时，处理的内容和范围不得过于宽泛，只有在不得不处理时才可以处理个人信息。[17]

为提高最小必要原则的操作可能性，2019年国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》提出了可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”的情形；正在起草的《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》则划定了30种常用服务类型的最小必要信息范围，以作参考。

【关联规定】

《中华人民共和国网络安全法》第41条，《中华人民共和国民法典》第1035条，本法第5条、第6条

（撰稿人：林洹民、王修齐）

第十七条【个人信息的告知规则】

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

【释义】

本条规制了个人信息处理者的一般性告知规则。告知规则既是《个人信息保护法》公开、透明原则 [18]的具体体现，也是“告知同意”这一个人信息保护核心规则的要求。

从2012年的《关于加强网络信息保护的决定》、2013年的《消费者权益保护法》到《网络安全法》及《民法典》，我国的立法在个人信息保护方面，一贯将告知同意规则作为个人信息保护核心规则，[19]《个人信息保护法》传承了以“告知同意”为核心的个人信息处理规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意。[20]

《个人信息保护法》与以往个人信息相关立法不同的是，其将个人信息处理者的“告知义务”与个人的“授权同意”相分离，并更加突出“告知”。《个人信息保护法》一方面规定了除同意外，处理个人信息的合法性基础，[21]另一方面向个人信息处理者单独规定了告知义务。《个人信息保护法》的这一调整，有利于解决同意规则在部分场景下失灵的问题。提高个人信息处理的透明度，向个人信息主体进行真实、准确、完整的告知，相比片面追求个人的授权同意，更能解决当前个人信息保护的实现问题。

《个人信息保护法》对个人信息的处理者的告知规则采取了“原则+一般性告知规则+特别告知情形”的三重告知规则，形成了《个人信息保护法》告知规则体系。《个人信息保护法》在总则中规定了处理个人信息应当遵循公开、透明原则，要求公开个人信息处理规则，明示处理的目的、方式和范围。[22]本条规定了个人信息处理者告知义务的一般规则，要求个人信息履行告知义务须在处理个人信息前，形式上显著方式、清晰易懂，内容上真实、准确、完整，并规定了告知的内容，包括：（1）个人信息处理者的身份和联系方式；（2）个人信息的处理目的、处理方式，所处理的个人信息的种类、保存期限；（3）个人行使本法规定权利的方式和程序；（4）法律、行政法规规定应当告知的其他事项。《个人信息保护法》通过对特别信息的特别告知，进一步明确不同场景下个人信息处理者的告知义务 [23]。相较于《个人信息保护法草案（二次审议稿）》，《个人信息保护法》就个人信息处理者的告知义务中增加了“真实、准确、完整”三大总体性要求，提高了告知义务的标准。

一、告知义务的整体要求

首先，告知是同意的基础，是合法处理个人信息的前提。除《个人信息保护法》第18条规定的个别例外场景外，个人信息处理前，均需向个人进行真实、准确、完整的告知。这不仅要求需要取得个人同意的个人信息处理活动，处理者都需要履行向个人的告知义务，在取得个人同意后才能实施个人信息处理活动，同时还要求即使依据《个人信息保护法》第13条第1款规定的六种情形，处理者处理个人信息无需取得个人同意，仍然要履行告知义务。这是贯彻落实公开透明原则，保护个人对个人信息处理的知情权的基本要求。

其次，告知义务履行涵盖个人信息处理全生命周期。《个人信息保护法》第17条规定，个人信息处理者在“处理”个人信息前需履行告知义务，这意味着个人信息处理者在任何环节，即收集、存储、使用、加工、传输、提供、公开、删除等各个环节，进行个人信息处理活动，需要履行提前告知义务。而《网络安全法》第41条则仅要求个人信息处理者在收集、使用前需向个人履行告知义务。

再次，告知形式要求“显著方式、清晰易懂”。当前，各国个人信息处理者处理个人信息的告知义务主要是通过隐私政策的概括性告知以及各类处理场景的即时性提示文本等各类告知文本实现的。这种告知方式通常在展现形式上存在告知文本隐藏过深，难以查询或是冗长晦涩、含混不清等问题。

“显著方式”要求个人信息处理者应当以个人容易辨识且易于获取的方式了解到处理者告知的内容，如隐私政策与用户协议需要易于访问。用户应能便捷地访问到告知文本，且告知文本不得出现链接无效、文本无法正常显示等阻碍用户正常阅读的情况。

由于个人信息处理具有很强的技术性，往往会造成隐私政策冗长晦涩、即时性的提示因为受限于展示形式而含混不清的情况，对于普通的消费者来讲，其并没有专业能力去判断隐私政策中描述的个人信息处理场景是否合理。“清晰易懂”即要求个人信息处理者告知文本符合个人信息主体的语言习惯，使用标准化语言、数字、图示等，避免使用有歧义的语言。

最后，告知内容要求“真实、准确、完整”。真实准确要求个人信息处理者的告知文本反映产品或服务，真实、准确地处理个人信息应有目的、方式、类型；而“完整”对个人信息处理规则的文本提出了更高的要求，结合之前监管机构的实践及相关国家标准、指南来看，隐私政策等相关告知文本在向个人告知处理信息的种类、目的、方式时，不得使用“包括但不限于”“等”类似表述，一揽子获取不确定的个人信息，因此应严格对照《个人信息保护法》对个人信息处理者告知义务的内容要求进行查缺补漏，确保满足法律法规的透明化要求。

二、应当告知的一般事项

本条第1款规定了个人信息处理者在处理个人信息前应当向个人告知的一般事项。

个人信息处理者的身份和联系方式。这是保证个人能够行使个人信息权益的基本要求，从而使得个人知悉其个人信息究竟是被谁处理，并能够向个人信息处理者行使其在个人信息处理中的各项权益。个人信息的处理目的、处理方式，处理的个人信息种类、保存期限。目的限制原则是个人信息处理中的基本原则，要求处理者在处理个人信息时应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围，采取对个人权益影响最小的方式，不得进行与处理目的无关的个人信息处理。明示个人信息的处理目的是判断个人信息处理者处理个人信息的正当性及保证处理仅限于完成目的所必需的条件。不同的处理方式对于个人信息权益的影响不同，方式是否正当也可通过告知体现，不应以欺诈、诱骗、误导的方式处理个人信息，不应从非法渠道获取个人信息是处理方式正当性的最低要求。个人信息保存期限越长，出现泄露或非法使用的可能性就越大，对个人信息权益的不利影响就越大。因此，需要告知个人信息的最小保存期限。个人知悉保存期限也有利于行使对其个人信息的删除权。

个人行使本法规定权利的方式和程序，即《个人信息保护法》第四章规定的各项个人信息权益，包括知情权，同意权，查阅权，复制权，补充、更正权，撤回同意权，删除权，要求解释说明权，投诉举报权等，个人信息处理者须提供通道和方式保证各项权益的实现。

法律、行政法规规定应当告知的其他事项。一方面与《个人信息保护法》关于特殊告知事项的规定相衔接，另一方面也为将来相关法律和行政法规的规定留下空间。

三、特殊告知事项

信息处理者合并、分立、解散、破产时的告知。《个人信息保护法》第22条明确规定，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。目的是确保个人能够向接收方主张个人信息处理中的权利。

对外提供时的告知。《个人信息保护法》第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当自动化决策时的告知，《个人信息保护法》第24条规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。即个人有权要求个人信息处理者告知对其个人权益有重大影响的自动化决策实现的逻辑。

敏感个人信息处理的告知。《个人信息保护法》第30条规定，个人信息处理者处理敏感个人信息的，除本法第17条第1款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。敏感个人信息属于一旦泄露或非法使用，就可能会导致个人受到歧视，或人身、财产安全受到严重危害，故《个人信息保护法》给予其更强的保护。《个人信息保护法》还针对人脸识别信息提出了特别规定，在第26条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。

跨境提供时的告知。《个人信息保护法》第39条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

安全事件处理的通知。为了让个人及时采取相应措施，避免损失进一步扩大，并及时采取相应救济措施，《个人信息保护法》第57条规定，在发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（2）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（3）个人信息处理者的联系方式。

达到一定数量的个人信息处理者的公开性“告知”。《个人信息保护法》第52条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

重要互联网平台的“告知”。《个人信息保护法》第58条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当定期发布个人信息保护社会责任报告，接受社会监督。要求告知社会公众履行个人信息保护义务的情况。

【关联规定】

本法第14条，《中华人民共和国网络安全法》第22条，《儿童个人信息网络保护规定》第10条

（撰稿人：严少敏）

第十八条【告知义务的豁免及延迟】

个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

【释义】

本条规制了告知义务的豁免制度及迟延履行制度。《个人信息保护法》规定的豁免告知的情形少于适用其他合法性基础，无需同意的情形，在豁免告知的情形下，自然无需个人同意；但在无需同意的情形下，不当然免除告知义务，除非落入豁免告知的情形。

一、告知义务的豁免

《个人信息保护法》第18条第1款告知义务豁免的前提是法律、行政法规层面的有关规定。具体的情形包括两类，第一类是法律、行政法规要求保密的；第二类是法律、行政法规不需要告知。

此外，《个人信息保护法》第35条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第18条第1款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

一是法律、行政法规规定要求保密，主要指基于侦查犯罪、反恐怖主义等维护公共安全、国家安全等社会公共利益和国家利益的考虑，而由《保守国家秘密法》等法律、行政法规规定的处理者的保密义务。无论个人信息处理者是否属于国家机关，都依法负有保密义务，一旦告知了个人还违反了法定的保密义务，应当承担法律责任。[24]例如，公安机关、国家安全机关或国家情报工作机构依据《反恐怖主义法》第45条、《反间谍法》第12条、《国家情报法》第15条等规定，公安机关依据《刑事诉讼法》第150条的规定，经过严格的批准手续，可以采取技术侦查措施处理个人信息的，不仅其信息无须被处理的个人同意，并且基于保密义务的规定，更不能告知个人。[25]

二是依照法律、法规规定可以免除告知义务的。当前，法律法规在免除告知义务方面，并没有明确的规定，还有待法律的进一步明确。《个人信息保护法》第27条规定，个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。在合理的范围内处理已公开的个人信息，不对个人权益有重大影响时，显然逐一告知个人是不现实的。

二、告知义务的延迟

《个人信息保护法》第18条第2款规定，紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。考虑到在一些情况下，处理者虽然应当履行告知义务，但是由于情况紧急，无法及时告知。此时，应当明确在紧急情况消除后，处理者仍然应当履行告知义务。

【关联规定】

本法第14条、第17条，《中华人民共和国数据安全法》第38条，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第5条

（撰稿人：严少敏）

第十九条【对个人信息保存期限的限制】

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

【释义】

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

一、规范对象和宗旨

本条是关于个人信息保存期限的规定。

法律赋予个人信息处理者处理个人信息的权利，但是权利的行使并非没有边界。法律只允许个人信息处理者在一定期限内保存个人信息。根据本条规定，在法律、行政法规对个人信息保存期限有规定的情况下，应当从其规定。如果没有规定，个人信息的保存期限应当是为实现处理目的所必要的最短时间。本条一方面借鉴了国外立法的典型经验，另一方面结合了本土有关法律法规和规范性文件中的规则。

《个人信息保护法草案（二次审议稿）》第20条规定，“个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的，从其规定”。相比而言，正式稿采用了更为简洁的用语，将两句合并为一句，条文逻辑更加清晰。

对个人信息的保存期限的限制，目的在于实现个人信息的“生命周期式”管理，防止信息处理者对个人信息的保存时间过长。[26]信息处理者长时间保存个人信息，一方面不符合信息主体对个人利益的期待，另一方面也增加了个人信息泄露和不正当使用的风险，因此有必要对保存期限进行限制。但是，对个人信息保存期限的限制并不意味着对个人信息处理目的的限制，不会影响信息处理者对个人信息的正常使用。对保存期限的限制只是对信息处理者行为的约束，将其行为纳入必要的监管之下。本条对于构建正当有序的个人信息利用体系具有重要的意义。[27]

二、规范要点

（一）前半句：法律、行政法规另有规定

本条前半句，法律、行政法规对个人信息的保存期限另有规定的，应当从其规定。在确定个人信息的保存期限时，首先应当考虑法律、行政法规对其是否有规定。如果有规定，就要遵守该规定。基于信息处理者的不同身份，法律法规提出了不同的标准。整理如下：

《电子商务法》第31条规定：“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。”依据此条款，电子商务平台经营者保存平台上的个人信息的期限不少于三年。

《网络安全法》第21条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务”，其中第3项规定“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。

《证券法》第137条规定：“证券公司应当建立客户信息查询制度，确保客户能够查询其账户信息、委托记录、交易记录以及其他与接受服务或者购买产品有关的重要信息。证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息，任何人不得隐匿、伪造、篡改或者毁损。上述信息的保存期限不得少于二十年。”

《征信业管理条例》第16条规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。在不良信息保存期限内，信息主体可以对不良信息作出说明，征信机构应当予以记载”。

《反恐怖主义法》第32条第3款：“重点目标的管理单位应当建立公共安全视频图像信息系统值班监看、信息保存使用、运行维护等管理制度，保障相关系统正常运行。采集的视频图像信息保存期限不得少于九十日。”

《统计法实施条例》第22条：“统计调查中取得的统计调查对象的原始资料，应当至少保存2年。汇总性统计资料应当至少保存10年，重要的汇总性统计资料应当永久保存。法律法规另有规定的，从其规定。”

（二）后半句：最短必要时间原则

本条后半句，个人信息的保存期限应当为实现处理目的所必要的最短时间。在法律、行政法规对个人信息的保存期限没有规定的情况下，适用后半句。如何理解“为实现处理目的所必要的最短时间”？本法第6条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”个人信息的处理是服务于特定的处理目的的，而目的本身是有一定的存续期间的。如果目的存续，信息处理者就有正当理由保存个人信息；如果处理目的已实现或者不再存续，信息处理者继续保存个人信息就缺乏合法性基础。[28]

“为实现处理目的所必要的最短时间”体现了必要性原则。《民法典》第1035条规定了“处理个人信息的，应当遵循合法、正当、必要原则”。必要性原则是处理个人信息的基本原则之一，又称信息最小化原则，该原则要求收集和利用个人信息应以满足特定处理目的为限。除了法律法规另有规定外，个人信息的存储期限应为实现特定目的所必需的最短时间，即处理目的达成后，应及时删除个人信息。[29]必要性原则是个人信息保护的“帝王原则”，[30]本条所规定的“最短必要时间原则”是必要性原则的具体化。各国立法普遍采纳了这一原则，如欧盟《一般数据保护条例》第5条规定了在处理个人数据时应当遵循六项原则，其中第5项为“限期储存”：对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间；超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89条（1）所规定的合理技术与组织措施。[31]在我国个人信息保护的国家标准文件中这一原则也得到了贯彻，2020年10月1日实施的《信息安全技术个人信息安全规范》第4条规定了个人信息安全基本原则，其中第4项为“最小够用原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息”。

本条后半句并没有规定一个统一的或者固定的个人信息保存时间，而是采取了相对灵活的方式。原因在于，随着信息技术的发展，信息的处理呈现出越来越复杂多元的趋势。由于信息处理目的的多样化和复杂性，我们在立法时很难合理确定一个适用于所有情形的固定期限标准。因此本条采用了灵活、动态的方式确定个人信息的保存期限，一方面可以满足个人信息处理者的需求，促进个人信息经济的发展；另一方面也可以对个人信息的使用进行合理的控制，实现对信息主体的充分保护，具有合理性。

在具体案件中，我们应当如何确定“为实现处理所必要的最短时间”？我们应该从必要性原则内涵出发，在个案中综合考虑以下因素来确定保存期限：个人信息的性质、处理个人信息的方式和范围、个人信息被收集时的情形、按照该目的处理个人信息对信息主体可能造成的后果、适当的保障措施的存在，如匿名化或去标识化处理等。[32]一些相关主管部门根据本行业的特点制定了部门规章，对个人信息的保存期限提出了不同的要求。例如，《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第29条第1款规定：“金融机构应当按照下列期限保存客户身份资料和交易记录：（一）客户身份资料，自业务关系结束当年或者一次性交易记账当年计起至少保存5年。（二）交易记录，自交易记账当年计起至少保存5年”。《医疗机构管理条例实施细则》第53条要求“医疗机构的门诊病历的保存期不得少于十五年；住院病历的保存期不得少于三十年”。《网络预约出租汽车经营服务管理暂行办法》第27条第1款规定：“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。”《网络食品安全违法行为查处办法》第13条规定：“网络食品交易第三方平台提供者和通过自建网站交易食品的生产经营者应当记录、保存食品交易信息，保存时间不得少于产品保质期满后6个月；没有明确保质期的，保存时间不得少于2年。”这对保存期限的确定具有重要的参考意义。

三、法律后果

一般情况下，超过个人信息保存期限的法律后果为“删除个人信息”。本法第47条规定，在出现处理目的已实现、无法实现、为实现处理目的不再必要、保存期限已届满等情形时，个人信息处理者应当主动删除个人信息。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

【关联规定】

《中华人民共和国民法典》第1035条，本法第6条、第47条，《中华人民共和国电子商务法》第31条，《中华人民共和国网络安全法》第21条，《中华人民共和国证券法》第137条、第162条，《征信业管理条例》第16条，《中华人民共和国反恐怖主义法》第32条，《中华人民共和国统计法实施条例》第22条，《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第29条，《医疗机构管理条例实施细则》第53条，《网络预约出租汽车经营服务管理暂行办法》第27条，《网络食品安全违法行为查处办法》第13条

（撰稿人：王琦、侯慧芳）

第二十条【共同处理个人信息的权义约定和责任承担】

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

【释义】

本条文内容相较于《个人信息保护法草案（二次审议稿）》内容变化不大，主要变动在该条第2款，增加了“造成损害”“依法”。将本条第2款表述为：“个人信息处理者共同处理个人信息，侵害个人信息权益的，应当承担连带责任。”本条文的主要内容是关于共同处理个人信息权利义务约定及其责任承担的规定。

对于个人信息的处理目的和处理方式，两个或两个以上的个人信息处理者可以共同决定，同时应约定各方权利义务。《民法典》第5条确定自愿原则，民事主体从事民事活动，按照自己的意思设立、变更、终止民事法律关系。可见，该条文体现了私法自治原则。但是，权利的行使是有边界的，本条协调个人信息合法合理利用与个人信息权益保护之间的关系。一方面，为促进个人信息合理利用，可以依法收集使用个人信息；另一方面，个人信息受法律保护，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全。[33]个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全（本法第9条规定）。否则，将承担相应的法律责任。若存在多个个人信息处理者，其之间是对外承担连带责任，也即本条第2款规定“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任”。就本条内容的理解，可从如下几方面展开：

其一，就主体与归责原则而言，本条并未明确个人信息处理者的内涵与外延，但本法第2条规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益，因此，个人信息处理者不仅包括自然人、法人组织，还包括非法人组织。特别是随着现代网络信息社会中的信息处理主体越来越复杂，个人信息处理活动也不限于单纯的作为平等主体的自然人、法人和非法人组织之间，政府的管理行为，都应受到约束。[34]而且，本条对行为主体要求是复数，须两人以上。《个人信息保护法草案（一次审议稿）》、《个人信息保护法草案（二次审议稿）》与通过正式稿均是如此，仅在表述有所差异（《个人信息保护法草案（一次审议稿）》表述为“两个或者两个以上”）。

与此同时，《个人信息保护法草案（二次审议稿）》本条内容表述为“侵害个人信息权益的”，正式稿中增加了对侵害个人信息“损害”的要求。那么对于这种“损害”的认定是一种过错原则还是无过错原则？从《个人信息保护法》第69条来看，采纳的是过错推定，即处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

其二，就行为而言，本条规定的是“共同处理个人信息”，需要结合《民法典》第1168条规定来理解，即二人以上共同实施侵权行为，造成他人损害的，应当承担连带责任。何为“共同”，存在共同故意说（共同故意，行为人之间存在意思联络）、共同过错说（不仅包括共同故意，还包括共同过失）、共同行为说（不以意思联络为要件的客观共同侵权行为）、折中说（既考虑主观也应考虑客观行为联系）等观点，为适应司法实践的发展与侵权类型的多样性，不以行为人主观上存在意思联络（包括共同故意、共同过失、故意与过失相结合）为限，还应包括行为人因客观上存在行为直接结合而造成他人损害的情形。[35]本条规定的“共同”也应做这种解释。

同时，如何理解“处理”这一行为的内涵范围，理论上曾存在一定分歧。有学者认为，将个人信息处理限缩在以识别分析为核心的处理行为上，并将之划分为收集、控制、分享、分析和应用5种具体处理行为。[36]有观点回应，个人信息处理行为的类型多种多样，从收集、存储，到使用、加工，再到传输、公开、共享等，每一个环节都存在侵害自然人民事权益的风险，不能任意切割，将个人信息保护法调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄。[37]最后，本法第4条明确，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

其三，就个人信息侵权责任的因果关系认定而言，需要明确侵权行为人及其行为是否构成产生损害的原因。本条第2款规定，个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。那么，该如何理解多个信息处理者与损害后果之间的因果关系呢？有学者梳理，理论和实务对个人信息侵权的因果关系均存在分歧，有基于生活经验和概率论来解决信息传递多重环节中因果关系的证明难题，抑或主张为减轻信息主体的证明负担，因果关系的判断宜采“条件说”。[38]从本条规定来看，共同处理个人信息造成了损害，即承担连带责任，意味着推定共同处理行为与损害后果之间存在因果关系。这也有利于实现对受害人的保护。因为对于多个信息处理者，受害人无论从技术上还是财力上，都无法准确查证到底是哪一个或哪几个数据处理者实施了侵害行为，这种困难是一种客观的现实存在，立法若不解决则受害人在此场合下根本不可能获得有效救济。[39]

其四，行为后果是承担连带责任。所谓连带责任，《民法典》第178条对此规定，即“二人以上依法承担连带责任的，权利人有权请求部分或者全部连带责任人承担责任。连带责任人的责任份额根据各自责任大小确定；难以确定责任大小的，平均承担责任。实际承担责任超过自己责任份额的连带责任人，有权向其他连带责任人追偿”。所以，在个人信息处理中，受害者可以向全部共同侵权行为人或者其中部分侵权行为人主张连带责任。侵权行为人承担连带责任后，可向其他行为人主张责任份额分担，其规则依照《民法典》第178条第2款确定。

对于责任的承担方式，《民法典》第179条明确规定了停止侵害、排除妨碍、消除危险、返还财产等方式，《个人信息保护法》第69条主要是明确了损害赔偿责任，而损害赔偿数额则是按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

此外，还需注意的是，该条内容还基于合同的相对性，区分了内外部关系。譬如，多个个人信息处理者内部关于各自权利义务的约定，基于合同的相对性，其效力止于内部，不能对抗第三人，也即不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。又如，对于连带责任的承担，受害人可向某一共同侵权人主张连带责任，而侵权人内部的责任分担并不影响受害人的主张。

【关联规定】

《中华人民共和国民法典》第111条、第995条、第1165条、第1166条、第1168条、第1182条，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第7条

（撰稿人：李游）

第二十一条【委托处理个人信息】

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“个人信息处理者委托处理个人信息的，应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托方的个人信息处理活动进行监督。受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，并应当在合同履行完毕或者委托关系解除后，将个人信息返还个人信息处理者或者予以删除。未经个人信息处理者同意，受托方不得转委托他人处理个人信息。”《个人信息保护法草案（二次审议稿）》对第2款进行了修改，明确了委托合同不生效、无效、被撤销时，受托方同样应当将个人信息返还个人信息处理者或者予以删除，不得保留。最终通过的《个人信息保护法》与《个人信息保护法草案（二次审议稿）》相比没有变化。

随着数字化社会的到来，数据能力在企业发展中占有至关重要的地位。企业要想在竞争中站稳脚跟，就必须在生产经营和内部管理活动中强化数据能力，即做到数字化转型。当自身数据能力有限时，外包成为替代的解决方案，企业通过获取第三方机构的数据服务来实现借力。个人信息委托处理是数据外包服务的重要组成。同时，国家机关为履行法定职责采取外包方式处理个人信息，也较为常见。在当代个人信息处理实践中，个人信息委托处理成为重要的信息处理方式。《个人信息保护法》第21条专门就个人信息委托处理作出规定，具有其必要性。

不同于欧盟《一般数据保护条例》区分个人信息控制者和处理者并明确相应的地位和责任，我国的个人信息保护法律没有采用这样的二元身份界定，只设立了“个人信息处理者”的概念，即“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”。根据欧盟《一般数据保护条例》第4条第7项规定，个人信息控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织；第4条第8项规定，个人信息处理者是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。在个人信息委托处理法律关系中，从概念界定角度来看，《个人信息保护法》界定的“处理者”相当于《一般数据保护条例》下的“控制者”；而《一般数据保护条例》下的“处理者”相当于《个人信息保护法》第22条中的“受托方”。

个人信息处理者委托处理个人信息的，应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等内容。《民法典》第470条规定：“合同的内容由当事人约定，一般包括下列条款：（一）当事人的姓名或者名称和住所；（二）标的；（三）数量；（四）质量；（五）价款或者报酬；（六）履行期限、地点和方式；（七）违约责任；（八）解决争议的方法。”《民法典》第470条的规范性质为倡导性规范，而所谓倡导性规范，即提倡和诱导当事人采用特定行为模式的法律规范。[40]相较于其他合同类型，个人信息委托处理合同的内容完备程度上要求更高，因此《个人信息保护法》第21条采用了“应当”这一规范模态词，要求双方在合同中完备约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务，一方面有助于保障信息主体的合法权益，确保信息处理者不会通过委托处理规避信息处理时的法定义务；另一方面有助于划清信息处理委托方和受托方的权限和职责。欧盟《一般数据保护条例》第28条第3款也规定处理者的处理应当受某类合同或其他欧盟法与成员国法的约束，这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利。同时还应注意的是，委托方作出委托行为，不应超出已征得个人信息主体授权同意的范围或应符合法定的同意例外情形。根据《个人信息保护法》第55条的规定，委托处理个人信息，应当对个人信息处理活动在事前进行风险评估，并对处理情况进行记录。风险评估的内容应当包括：个人信息的处理目的、处理方式等是否满足合法、正当、必要的原则，个人信息处理活动对个人的影响及风险程度，受托方所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。

委托方应对受委托者的信息处理行为进行监督，方式包括但不限于：通过合同等方式规定受委托者的责任和义务，对受委托者进行审计。委托方在提前告知受托方后，可以选择派出内部审计人员或者外聘第三方人员开展审计。审计的具体范围应侧重于高风险环节，包括核查受托方对于保密义务的落实、处理记录的保存情况以及转委托。进行审计个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，应立即要求受托者停止相关行为，且采取或要求受委托者采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系，并要求受委托者及时删除从个人信息控制者获得的个人信息。

受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。受托方处理个人信息的权限来源于委托方的授权，个人信息委托处理合同作为基础关系，构成了受托方权限的基本根据。同时还应当明确的是，当个人信息主体撤回对信息处理者的同意之时，受托人及第三方也应当同时停止收集及处理信息主体的个人信息。此时，无需个人信息主体再行对不同主体进行单独的同意撤回通知。[41]关于受托方处理个人信息，是否需征得信息主体同意，学界存在争议。有观点认为，信息社会的高级段智能社会已经到来，在收集、处理信息的各个环节取得信息主体同意，在技术上是可行的。同时，所有的信息处理者处理个人信息都需要经过信息主体同意，不会增加成本，也不会形成数据流动的障碍。[42]但也有观点认为，受托人信息处理的行为只需要得到委托人授权即可。但所有其他从信息处理者处获得信息的受托方都应当遵从授权递减原则，即其处理信息的权限不得超出信息处理者处理的范畴。[43]笔者认为，第二种观点更为可采。在《信息安全技术个人信息安全规范》（GB/T 35273—2017）中，个人信息的委托处理与共享、转让、公开披露并列，同置于第8条之下。对于个人信息的共享和转让，明确要求事先取得个人的授权同意，涉及个人敏感信息的还要事先取得个人的明示同意；对于个人信息的公开披露，无论是否涉及个人敏感信息，均要求取得个人的明示同意。与之相对的是，对于个人信息的委托处理，不管是否涉及个人敏感信息，《个人信息安全规范》均没有要求取得个人的授权同意。虽然从信息保护法理来看，信息收集的告知同意规则应当适用于所有个人信息处理的行为，而不仅限于个人信息的初次处理行为。[44]但是，信息委托处理与共享、转让等情形存在明显不同。在共享、转让和公开披露三种场景中，除个人信息的原控制者之外，都有另一个或多个新控制者，新控制者与原控制者是相互独立的。个人信息一旦被共享、转让或公开披露，就不受原控制者的完全控制。而在委托处理场景中，虽然从外观上看，个人信息也经由控制者提供给了另一个法律主体（处理者），但处理者只是控制者的受托人，只能以控制者的名义并在其授权范围内从事信息处理活动。处理者并未取得对数据的控制权，数据仍然处于控制者的控制之下。为了鼓励信息委托处理活动，减少对信息主体的不必要干扰，认定受托人处理信息无需征得信息主体同意，更为可取。但是，必须明确的是，受托方应当遵从授权递减原则，其处理信息的权限不得超出信息处理者处理的权限。

委托合同不生效、无效、被撤销或者终止的，受托方应当将个人信息返还个人信息处理者或者予以删除，不得保留。无论是委托合同存在不生效、无效、被撤销等效力瑕疵，还是在履行过程中一方行使解除权解除合同，抑或是合同因履行完毕而终止，受托方都不应对个人信息进行保留。《个人信息保护法》第21条第2款在《个人信息保护法草案（一次审议稿）》除合同履行完毕或者委托关系解除后受托方应当将个人信息返还个人信息处理者或者予以删除的规范之外，增加了委托合同不生效、无效、被撤销时，受托方同样应当将个人信息返还个人信息处理者或者予以删除的要求，有利于更为全面地防控个人信息委托处理的风险。建立委托合同终止或存在效力瑕疵时个人信息归还和销毁的流程，可以避免因项目虎头蛇尾或者受托方事后泄露导致个人信息处理风险，有利于个人信息处理风险控制。就个人信息返还或者删除，原则上受托方作为义务人享有选择权，但双方可以另行达成约定。受托方的个人信息返还或删除义务，性质上属于附随义务。受托方违反该义务造成损失的，应当承担赔偿责任。

未经个人信息处理者同意，受托方不得转委托他人处理个人信息。转委托应当得到委托方同意方可有效发生，转包有效发生时，秉承委托方对于信息安全负责的指导原则，委托方的监督责任也延展到转受托方及其处理行为。《民法典》第923条规定：“……受托人应当亲自处理委托事务。经委托人同意，受托人可以转委托。转委托经同意或者追认的，委托人可以就委托事务直接指示转委托的第三人，受托人仅就第三人的选任及其对第三人的指示承担责任。转委托未经同意或者追认的，受托人应当对转委托的第三人的行为承担责任；但是，在紧急情况下受托人为了维护委托人的利益需要转委托第三人的除外。”由于委托合同的订立和履行是以双方当事人之间的相互信任为基础，因此，受托人原则上不得将委托事务擅自转委托给第三人。[45]在个人信息委托处理合同中，受托方转委托同样需要征得委托方同意。但是，《个人信息保护法》第21条第3款并非单纯地对《民法典》第923条的重复，仍具有其独特的规范意义。首先，《个人信息保护法》第21条第3款规定：“未经个人信息处理者同意，受托方不得转委托他人处理个人信息。”这意味着受托方只能通过事前同意的方式征得委托方同意，而不能先处理事务而后征得委托方的事后追认。其次，《民法典》第923条规定：“转委托未经同意或者追认的，受托人应当对转委托的第三人的行为承担责任；但是，在紧急情况下受托人为了维护委托人的利益需要转委托第三人的除外。”而在《个人信息保护法》第21条第3款中并没有类似规定。这构成立法者的有意沉默，个人信息处理中受托方不得因“为了维护委托人的利益”而放弃对信息主体权益之维护。

【关联规定】

本法第55条，《中华人民共和国民法典》第470条、第923条

（撰稿人：韩富鹏）

第二十二条【个人信息移转】

个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“个人信息处理者因合并、分立等原因需要转移个人信息的，应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。”《个人信息保护法草案（二次审议稿）》只做了文字调整，未进行实质修改。最终通过的《个人信息保护法》在需要转移个人信息情形中增加列举了“解散、被宣告破产”，应当向个人告知的信息将“接收方的身份”改为“接收方的名称或者姓名”，在表述上更为全面和准确，但没有实质变化。

个人信息处理指的是对个人信息进行以识别分析为核心的处理行为，可以划分为收集、控制、分享、分析和应用五种具体处理行为，而这五种行为涵盖了个人信息利用的全过程。[46]而《个人信息保护法》第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”个人信息处理者收集完个人信息之后，在后续的存储、使用、加工、传输、提供、公开、删除等过程中，个人信息处理者可能因合并、分立等原因而发生主体变更。《个人信息保护法》保护的个人主体权利源自个人信息滥用导致的主体利益侵害风险，因而通过建立正当的个人信息使用规则和程序以防范主体权利被侵害。[47]个人信息处理主体发生变化，信息主体应享有知情权，以防范个人信息滥用导致的主体利益侵害风险。此时，因主体变更需要转移个人信息的，应当向信息主体告知接收方的身份、联系方式。告知信息主体接收方的身份、联系方式，应当按照《个人信息保护法》第17条的规定，以显著方式、清晰易懂的语言告知。如果通过制定个人信息处理规则的方式告知的，处理规则应当公开，并且便于查阅和保存。

个人信息处理者因合并、分立等原因需要转移个人信息的，接收方作为新的个人信息处理者，应当继续履行个人信息处理者的义务。个人信息处理者在处理个人信息时，应当履行一系列的法定义务和约定义务。当发生主体变更时，个人信息接收方应当继续履行信息处理者的义务。个人信息接收方应遵守《个人信息保护法》第二章规定的个人信息处理规则、第三章规定的个人信息跨境提供的规则、第五章规定的个人信息处理者的义务等相关规则。同时，《个人信息保护法》第四章规定了信息主体在个人信息处理中享有的知情权、查阅复制权、更正补充权、要求对信息处理规则解释说明的权利、删除权等权利，信息主体均有权向个人信息接收方主张。

接收方变更原先的处理目的、处理方式，应当依照本法规定重新取得个人同意。比较法上，个人信息处理通常奉行“目的限制”原则，即个人信息收集行为必须具有特定的目的，个人信息收集者日后的信息处理、利用行为原则上都受限于此项目的，违反此目的的信息处理行为，除非具有法定的免责事由，否则构成“违法”行为。[48]个人信息处理者因合并、分立等原因发生主体变更，也受目的限制原则的约束，新的个人信息处理者应当在原个人信息处理者信息处理权限内继续处理个人信息。如果接受方变更原先的处理目的、处理方式，已经超出了信息主体原有的同意权限，理应重新取得信息主体的同意。《个人信息保护法》第14条第2款规定：“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”在个人信息处理者发生主体变更之后，也应同样遵守这一规则。此外，应注意的是，基于个人同意而进行的个人信息处理活动，信息主体有权撤回其同意。在信息处理者发生主体变更时，信息主体有权向新的信息处理者主张撤回同意。另外，个人信息保护的知情同意原则，不宜追求形式上的绝对化，而应转向更加具体的实质化，以期在真正有效保护个人信息的同时，也鼓励企业更加积极而有效地开展数据活动。[49]《个人信息保护法》规定了一系列知情同意豁免规则，当符合法定的豁免规则时，无需征得信息主体的同意。

【关联规定】

本法第13-19条

（撰稿人：韩富鹏）

第二十三条【个人信息分享】

个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。”《个人信息保护法草案（二次审议稿）》删除了第2款：“个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。”匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。如果做到了真正的匿名化，则第2款不再具有规范意义。最终通过的《个人信息保护法》将《个人信息保护法草案（二次审议稿）》中的“第三方”改为“其他个人信息处理者”，表述更加精确。

在大数据时代，数据的开发与再次利用在很大程度上依赖于数据共享，数据共享成了大数据公司重要的盈利模式，没有数据共享，将难以对数据进行二次开发，数据也难以成为财产，数据产业也难以发展。[50]数据共享能实现数据资源的重复利用，降低数据收集成本，实现同类数据社会效益的最大化。在大数据环境下，各主体可以更便捷地共享数据资源，这样既能节省成本，又能创造更大的社会效益。数据共享，可以使更多的人更充分地使用已有数据资源，减少资料收集、数据采集等重复劳动和相应费用，推进资源整合。因此，在法律上为数据共享和数据开放提供制度激励，是大数据时代信息强国的必然要求。

信息和数据的关系可以理解为信息是本体，数据是媒介。但是，信息本体和数据媒介形式的不同并不能将信息和数据割裂开来，相反在网络环境下，信息和数据使信息和媒介的关系更为紧密和相互依存，甚至数字技术与信息的结合成为最高效的信息获取、释放和进化的方式。数字技术使信息和数据的关系突破了传统媒介所具有的内容和形式的区分特征，两者在特殊的网络环境下可以自由转换，几成一体。在数字技术条件下，信息与数据在形式上也具有共通性，难以相互分离。数字技术将信息与数据置于同一个巨大的系统，数据本身只是媒介的一部分功能，故数据与信息并不能构成完整意义上的媒介与信息的关系，由于数据本身也是媒介的中间产物，故在形式和内容上两者并不容易区分。[51]数据中包含大量的个人信息，甚至涉及个人的敏感信息和个人核心隐私。在鼓励数据开放共享和数据资源流通的同时，也必须强化对个人信息安全的保护。

个人信息处理者向他人提供其处理的个人信息的，应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。数据共享实际上是数据控制者范围的扩张。从数据主体的角度看，数据共享与重新收集数据并无本质区别。信息权利人允许信息收集并不等于允许信息共享。虽然数据的收集者、开发者在信息的收集和处理方面投入了一定的劳动，但这并不意味着其可以随意共享个人信息。信息权利人对其个人信息享有独占性的支配权，信息的收集、利用行为原则上都应当经过信息权利人的同意，权利人有权决定其哪些个人信息可以被收集、哪些个人信息可以被利用以及在何种范围内以何种方式利用。[52]司法实践中，也有法院采纳这一观点。在“淘友公司等与微梦公司不正当竞争纠纷案”中，法院认为：“OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意，同时，第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意。”[53]因此，个人信息处理者向他人提供其处理的个人信息的，应当取得个人信息主体的再次授权。

如前所述，个人信息处理者向他人提供其处理的个人信息，应当征得信息主体的再次同意。就同意的具体要求，有学者提出了授权必须是明确的、必须针对信息共享特别授权、必须严格限制概括授权、不需要授权的情况应该法定化等要求。[54]《个人信息保护法》第23条规定，应当征得个人信息主体的单独同意。“单独同意”首先意味着应当取得信息主体的明示同意，而不能采用默示同意的方式。明示方式作出的意思表示，是指行为人以作为的方式使得相对人能够直接了解到意思表示的内容，包括表意人采用口头、书面方式直接向相对人作出的意思表示；默示方式作出的意思表示，是指行为人虽没有以语言或文字等明示方式作出意思表示，但以行为的方式作出了意思表示。也就是说可以通过行为推定出其作出一定的意思表示。[55]有观点认为，共享敏感个人信息应当征得信息主体的明示同意；共享敏感个人信息之外的个人信息，应当相对弱化信息主体的同意要求，在某些情形下，仅要求信息权利人默示同意即可。[56]笔者认为，在信息控制者分享个人信息时，应当取得个人的明示同意。从文义解释角度来看，单独同意意味着不能通过一揽子告知等方式进行，理解为仅能采取明示同意方式更为可取。从体系解释角度来看，《个人信息保护法》在个人信息处理者公开其处理的个人信息（第25条）、向他人提供或者公开公众场所收集的个人图像、个人身份特征信息基于个人同意处理敏感个人信息（第26条）、基于个人同意处理敏感个人信息（第29条）等多处提出了应征得个人单独同意的要求。将这些“单独同意”理解为需要明示同意，符合体系融贯性的要求。因此，在个人信息处理者向他人提供其处理的个人信息时，应征得信息主体的明示同意。同时，该同意只针对该单独事项，即每进行“单独同意”规定场景的个人信息处理时，都需要再次单独征得同意，而不能通过一揽子的方式取得概括同意。在用户同意界面上可设置多个勾选项，但对每一项需要用户单独同意的事项，需要用户逐一打勾确认同意。此外，单独同意要求信息主体必须针对个人信息处理有特定、清楚的表示，且这种表示是建立在对特定场合下个人信息保护上存在的风险有充分了解的基础之上。

接收方应当在个人信息处理者处理目的、处理方式和个人信息的种类等范围内处理个人信息。除信息主体对被共享者有特别授权外，被共享者对相关信息所享有的权利不得超出信息共享者权利的范围。将接受信息方的信息处理活动限制在个人信息处理者处理目的、处理方式和个人信息的种类范围内，是保障信息权利人控制信息共享的过程、避免因信息共享损害信息主体权益的必然要求。虽然数据共享在形式上体现为信息共享者与被共享者的内部关系，且此种内部关系大多通过合同的形式连接，但由于信息共享行为也涉及个人信息的流通，因此，信息共享行为也应当受到信息权利人的控制。从这一意义上说，当事人虽然可以在共享协议中就数据共享的形式、范围、时间等做出约定，但数据共享一旦涉及个人信息，由于被共享者所享有的相关权利来源于共享方，除信息权利人对被共享方做出特别授权外，被共享方对相关数据所享有的权限不可能超过信息共享方。[57]

接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。个人信息接收方处理个人信息的权限，被限制在个人信息处理者权限之内。如果接受方变更原先的处理目的、处理方式的，应当重新取得个人信息主体的同意。“应当依照本法规定”的表述，性质上为转引规范。[58]《个人信息保护法》中关于个人信息处理应征得个人同意的相关规范，如《个人信息保护法》第14条关于充分知情前提下自愿明确的要求，可以经转引而适用于接收方变更原先的处理目的、处理方式这一情形。

【关联规定】

本法第13-19条

（撰稿人：韩富鹏）

第二十四条【自动化决策】

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。”《个人信息保护法草案（二次审议稿）》针对“通过自动化决策方式进行商业营销、信息推送”，在“应当同时提供不针对其个人特征的选项”的基础上，增加了“向个人提供拒绝的方式”的选择；将“个人认为自动化决策对其权益造成重大影响”改为“通过自动化决策方式作出对个人权益有重大影响的决定”，强调了“对权益重大影响”的客观性。最终通过的《个人信息保护法》在第1款增加了个人信息处理者“不得对个人在交易价格等交易条件上实行不合理的差别待遇”的要求，第2款在“向个人提供拒绝方式”基础上增加了“便捷的拒绝方式”的要求。

随着信息技术的发展，数据正在逐步成为技术革命和社会变革的核心动力，大数据逐步融入社会生活的方方面面。许多过去由人作出的重要决定如今逐渐通过大数据的识别、分析、输出来完成，而自动化决策在这个过程中起着至关重要的作用。许多以自动化决策为核心的自动化系统开始广泛应用于医疗、就业、教育等领域，甚至应用于立法、司法和行政执法中。[59]自动化决策，是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，通过计算机程序自动分析、评估并进行决策的活动。随着算法应用的日益广泛，自动化决策中隐含的算法歧视会产生波纹式的扩大影响。算法不可避免地存在偏见：一方面，算法使用的大量数据本就来源于社会本身，这种镜像式的结构自然也会将社会中的歧视与偏见如实地带入算法。算法编写者可能会利用数据主体弱点进行“大数据杀熟”，或者根据敏感信息等对特定群体进行结果操纵。[60]如果不对算法偏见进行必要的规制，将会产生一系列危害后果：算法偏见可能放大已有的人类偏见，严重影响不同群体平等权利的实现与维护；算法偏见可能消减个人的自主性，甚至造成算法对人类生活产生重大操控；如在医疗诊断、司法裁判、警察执法中，算法偏见将对个人的人身财产安全造成重大威胁。[61]算法权力正在逐渐形成一种“准公权力”，由于算法权力的技术性、单方性和隐蔽性特征，加剧了不平等性、阻碍了自由选择、增加了不安全性，引起人们对于算法权力是否可控的担忧。[62]因此，世界各国立法通常都对利用个人信息进行自动化决策进行必要的规制。

规制算法歧视，首先应当保证算法决策的透明度。《个人信息保护法》第24条明确了利用个人信息进行自动化决策时应当保证决策透明度的要求。算法自动决策作为一项高度复杂的技术活动并未完全被研究者所掌握和理解，算法自动决策的工作原理就更难为人所知，算法黑箱现象逐步显现。算法透明成为打开“算法黑箱”的根本规制手段，也可增强人们对算法自动决策的接受度。[63]算法透明追求的其实是算法的简要说明，包括算法的假设和限制、算法的逻辑、算法的种类、算法的功能、算法的设计者、算法的风险、算法的重大变化等方面。[64]《个人信息保护法》通过一系列规范，全面保障了算法透明的要求。如根据本条第3款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明。这一规则赋予了个人对自动化决策规则的解释权，有助于消弭个人与算法控制者之间的数字鸿沟，弥补个人面对算法控制者时的弱势地位。

规制算法歧视，还应当保证自动化决策的公平合理。这一规范突破了平台一直以来采用的“技术中立”抗辩，要求平台为算法自动化决策结果承担责任，须保证算法自动化决策结果的公平合理。[65]算法语境下对公平的诠释需要重视两个问题：一是诠释算法公平时，公平更多的是一种公平建构。即公平不是静态的，而是动态的，对其诠释依赖于算法所要解决的特定问题空间以及在训练和应用中对该诠释进行编码和测量的方法。二是需超越上述对技术方法之公平的关注，重视算法系统的公平性与结果的公平性。[66]确保自动化决策结果的公平合理，首先应重点着眼于算法设计阶段，促进“通过设计实现公平”。有学者建议，可以通过以下途径促进算法设计公平：（1）确保专家的多元性。在算法设计项目中，从一开始就纳入各个相关领域的专家，有助于更好地认识到可能潜入算法中的人类偏见。（2）提高技术人员的偏见识别水平。诸如文本和图像之类的非结构化数据通常由人工注释器生成，其提供结构化类别标签，然后用于训练机器学习模型。尽管注释的质量对于许多任务来说是足够的，但人工注释本质上容易受到根深蒂固的偏见影响。因此，一种有效方法是在注释器培训模块中包含潜在的偏见案例，以提高识别水平。（3）量化公平性指标。机器学习分类模型的性能通常是使用一组成熟的度量指标来衡量，这些度量指标侧重于总体性能、类级性能和全面模型的可通用性。因此，可以通过设计用于量化机器学习偏见的公平性指标来加以补充。（4）确保数据代表性。在进行数据抽样时，所有受试者应该有相同的机会在数据中出现，这意味着需要将代表性不足的人群添加到任何训练数据集中。（5）建模时去除偏见。在建构模型和训练数据阶段，实施去除偏见测试。[67]同时，保障算法公平合理，还应健全算法审查制度，加强算法运行的事后控制。

个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。随着自动化决策在生活中日益广泛地应用，“大数据杀熟”现象也逐渐出现。“大数据杀熟”通常表现为以下现象：（1）在在线旅游App上，用户多次浏览订房页面后房价上涨，或用户订机票取消后机票价格上涨。（2）在购票App上，“会员价”高于非会员价。（3）同样的商品，不同手机有不同价格。这些行为的共性是不同用户不同定价，而且“熟人”价格更高。[68]“大数据杀熟”有违诚实信用原则，是侵害消费者知情权和公平交易权的一种新型价格欺诈行为。[69]因此，有必要对其进行法律规制。此前，我国已经出台了部分规制“大数据杀熟”的规范性文件。如2020年8月20日，文化和旅游部印发的《在线旅游经营服务管理暂行规定》第15条便明确规定：“在线旅游经营者不得滥用大数据分析等技术手段，基于旅游者消费记录、旅游偏好等设置不公平的交易条件，侵犯旅游者合法权益。”《个人信息保护法》在法律层面明确要求个人信息处理者利用个人信息进行自动化决策的，不得对个人在交易价格等交易条件上实行不合理的差别待遇，有利于进一步全面规制“大数据杀熟”等算法歧视行为。

推荐算法的个性化推送、个性化定价，是当前各大互联网平台普遍使用的增加利润的武器。推荐算法的个性化推送、个性化定价在为人们带来便利的同时，也产生了“信息茧房”的风险。“信息茧房”意味着大数据时代的个体进入了只关注其选择或能愉悦自己的资讯的长期状态，认为其在此情形下就如蚕一般会织成“茧房”。在信息茧房中的个体，基于算法只能接收到同类型的信息，会使之误以为这些信息就是全世界的真相，进而间接减损了其知情权，并影响其对问题的正确判断。[70]本条第2款赋予了个人对自动化决策的“选择退出权”，有助于个人突破“信息茧房”的束缚。《信息安全技术个人信息安全规范》第7.5条（b）规定：“在向个人信息主体提供电子商务服务的过程中，根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。”第7.5条（c）规定：“在向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应：（1）为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项；（2）当个人信息主体选择退出或关闭个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。”《电子商务法》第18条第1款规定：“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。”本条将上述法律和国家推荐性标准修改整合为个人信息保护的强制性规范。赋予个人对自动化决策方式进行商业营销、信息推送的选择退出权，可以转变互联网企业因个人知情同意授权而“一劳永逸”的现状，使互联网企业在提供服务的每个环节都注重合理、合法使用个人数据，主动避免算法歧视行为的发生，也可以提升个人对数据权利的重视与保护，激励人们挑战可能存在歧视的算法个性化决策。[71]《个人信息保护法》针对“通过自动化决策方式进行商业营销、信息推送”，在《个人信息保护法草案（一次审议稿）》“应当同时提供不针对其个人特征的选项”的基础上，增加了“向个人提供便捷的拒绝方式”的选择，在保护个人就信息化决策选择退出权的同时，避免一律要求同时提供不针对个人特征选项对自动化决策者经营模式的过度干涉。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。本规范在《个人信息保护法草案（一次审议稿）》的表述为：“个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”但诚如部分学者所言，信息处理者的说明义务对应的是客观的重大影响，而非信息主体主观认识的重大影响。[72]因此，本条第3款将《个人信息保护法草案（一次审议稿）》中主观意义上的“个人认为自动化决策对其权益造成重大影响”改为客观意义上的“对个人权益有重大影响”，表述更为准确。首先，这一规范赋予了个人对自动化决策的知情权，确立了有限制的“算法解释权”，为平台施加了信息披露的义务，有助于打破用户与平台之间的信息不对称。其次，这一规范赋予了个人拒绝个人信息处理者仅通过自动化决策方式作出决定的权利。该拒绝权的内容是拒绝“仅通过自动化决策的方式作出决定”，是一种不完全的拒绝权，也即不是拒绝算法，而是拒绝非人为的全自动化算法的决定；该拒绝权并未包含明显的时间要求，也即个人可以在得知自动化决策对其权益造成重大影响的时候启动权利诉求，无论事前、事中还是事后。[73]

【关联规定】

《中华人民共和国电子商务法》第18条

（撰稿人：韩富鹏）

第二十五条【个人信息公开】

个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“个人信息处理者不得公开其处理的个人信息，取得个人单独同意或者法律、行政法规另有规定的除外。”《个人信息保护法草案（二次审议稿）》取消了“法律、行政法规另有规定的除外”，只保留了“取得个人单独同意的除外”。最终通过的《个人信息保护法》与《个人信息保护法草案（二次审议稿）》相比没有变化。

就个人信息保护法保护客体，学界存在一定争论，主要存在以下观点：一是个人信息自决权说。该观点认为，如果任由他人收集、处理或者利用自己的个人信息，而自己毫不知情，或者没有能力阻止，那么无异于将个人置于受人支配的地位。当事人得自由决定自己的个人信息上承载着何种价值。法律保护个人信息，就要充分尊重个人对其信息的控制权。[74]二是人格权说。该观点认为，个人信息保护法保护的是人格权，尤其是隐私权。和民法相比，个人信息保护法不过是具体化了人格权的保护范围。三是综合利益说。该观点认为，个人信息保护法的保护对象并非个人信息自决权或者人格权，个人信息保护法中的规则应解释为防止个人信息被滥用的事先防范规范，旨在保护知悉个人信息被处理的利益、个人信息正确和完整的利益、个人信息处理须符合特定目的的利益以及隐私利益四种利益。[75]而无论采何观点，个人信息未经同意不得公开都处于个人信息保护的核心位置。这既是个人信息自决权和人格权的必然要求，也是防止个人信息被滥用、保护信息主体知悉个人信息被处理的利益、个人信息正确和完整的利益、个人信息处理须符合特定目的的利益以及隐私利益的重要措施。因此，《个人信息保护法》确认了“个人信息处理者未经个人单独同意不得公开其处理的个人信息”的要求。

未经个人单独同意，个人信息处理者公开其处理的个人信息造成个人信息权益受到侵害的，应承担赔偿责任。根据《个人信息保护法》第69条规定，此时应采过错推定的归责原则，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。大数据时代的信息分析、挖掘系采用特定算法从大数据库中推断未知信息的技术模式，该模式的显著特征在于自动化技术的应用导致信息处理具有高度的不可预测性和模糊性。这种不可预测性和模糊性打破了自然人与信息处理者之间的利益平衡，在一定程度上颠覆了传统侵权法赖以建立的社会场景，从而致使过错责任难以应对大数据时代的个人信息保护危机。[76]采过错推定的归责原则，避免了个人信息主体对个人信息处理者存在过错举证困难的难题，有利于保障个人信息主体的合法权益。此外，大数据时代个人信息泄露损害具有存在发生时点和实现时点相分离的特征，其致害风险发生于个人信息被侵害之时，损害结果却在未来的诈骗、敲诈勒索等违法活动中才能体现出来。这种不以实时损害为基础的新型损害突破了以差额说为代表的传统损害本体论，造成了损害判定的困难。[77]根据《个人信息保护法》第69条第2款，个人信息处理者的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。这种多元的赔偿责任认定方式，有助于克服损害判定的困难，充分实现对个人信息主体的救济。

本条在体系上位于《个人信息保护法》第二章“个人信息处理规则”第一节“一般规定”部分，根据《个人信息保护法》第33条规定，国家机关处理个人信息也应适用这一规则。政府数据中有相当一部分数据属于当事人的个人数据，如当事人的身份证号码、车牌号码、住址及其门牌号码、银行账户、纳税信息、缴纳行政费用的情形等。这些个人信息一旦被公开，将对信息主体合法权益造成重大损失，对信息主体的正常生产生活造成重大影响。国家机关对在个人信息收集、存储、使用、加工、传输、提供过程中掌握的个人信息，未经个人单独同意不得公开。

同时，政府数据开放进程逐步加快。从政府信息公开到政府数据开放，不仅代表公共部门所持有的数据和信息向公众开放的边界扩大，也是从“履行公众知情权”的“被动公开”到“构建开放政府”的“主动开放”的范式转变，更是公共信息应用模式的升级与转型，是释放公共数据经济价值和增强私营部门参与社会治理的必要举措。[78]政府数据开放的过程中，尽管开放网站采取相关技术措施，但是仍然存在信息泄露的安全风险。政府数据开放过程中应重视对个人信息的保护，如果涉及公开其收集、存储、使用、加工、传输、提供的个人信息，也需要征得个人信息主体的单独同意。

【关联规定】

本法第33条、第69条

（撰稿人：韩富鹏）

第二十六条【公共场所图像、身份识别信息收集规则】

在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

【释义】

本条在《个人信息保护法草案（一次审议稿）》中的表述为：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。”较之《个人信息保护法草案（一次审议稿）》，《个人信息保护法草案（二次审议稿）》删去了第二句第二分句中的“或者法律、行政法规另有规定”，与其第13条修改方向保持一致，即将告知同意规则在个人信息处理活动中置于基本规则的地位，取得同意是原则，不需要取得同意是例外。[79]本条与第13条相衔接，保持体系的一致性。

最终通过的《个人信息保护法》对条文顺序做了调整，将《个人信息保护法草案（二次审议稿）》第27条调整为现在的第26条，同时对行文做了修改。第1处修改是将第二句中的“个人身份特征信息”改为“身份识别信息”。因本法第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息……”故此处修改使得本法中的个人信息的概念保持了统一，措辞更为严谨。第2处修改是将“不得公开或向他人提供”改为“不得用于其他目的”，与本法第6条目的限制原则相呼应，“不得公开或者向他人提供”仅是一种列举式的封闭规定，而“不得用于其他目的”的表达则更具有概括性，保护范围也更大，其行为不限于公开行为或向他人提供的行为，增强了对个人图像和身份识别信息的保护力度。

本条规范的对象是在公共场所安装图像采集、个人身份识别设备的行为以及所采集的个人信息。采集行为发生的环境是在公共场所。《刑法》第291条“聚众扰乱公共场所秩序、交通秩序罪”中，立法者对“公共场所”有着明确的列举，主要包括“车站、码头、民用航空站、商场、公园、影剧院、展览会、运动场或者其他公共场所”。《公共卫生管理条例》第2条列举了7类场所，分别为：（一）宾馆、饭馆、旅店、招待所、车马店、咖啡馆、酒吧、茶座；（二）公共浴室、理发店、美容店；（三）影剧院、录像厅（室）、游艺厅（室）、舞厅、音乐厅；（四）体育场（馆）、游泳场（馆）、公园；（五）展览馆、博物馆、美术馆、图书馆；（六）商场（店）、书店；（七）候诊室、候车（机、船）室、公共交通工具。又如《重庆市公共场所控制吸烟条例》第2条第2款规定：“本条例所称的公共场所，是指公众可以进出的场所或者供集体使用的场所，包括餐饮服务场所、住宿休息服务场所、公众娱乐场所、工作场所、公共交通工具、公用电梯等。”可见对于公共场所的认识并不统一，多依据法律、法规的规范对象进行列举式规定。

公共场所的判断标准有学者归纳为三点，即：（1）公众可以实际不受限制地进入该场所；（2）该场所为公众目之所及；（3）公众随时可以进入该场所。[80]公共场所在不同的法律中虽含义基本相同，但是根据立法目的不同，其含义也会有相应区别。具体到《个人信息保护法》，有观点认为本法的公共场所应指包括一切法律允许处理者安装图像采集、个人身份识别设备的场所。该定义着眼于处理者信息采集、识别个人信息设备所在的场域，而不仅仅是针对一般不特定身份公众，其范围较《公共场所卫生管理条例》为宽，除一般公共活动场所外，在住宅区、学校、企业及其他单位内部供特定人员使用的公共场所也包括在内。[81]亦有观点认为，公共场所是指具有明确主观责任，提供给公众使用或者服务于公众的开放性空间以及半开放性空间。广场、公园、街路、交通枢纽、商业经营场所等呈现完全开放性质，不需要进行任何身份识别即可进入的空间是典型的公共空间；而设置在企业事业单位内部（如高校的食堂、图书馆、运动场等）或者需要购票、办理身份识别手续方能进入（如公共交通工具、公共体育文化设施、居民小区的公共部位等），具有半开放性的空间也属于公共场所。[82]在本条中，从宽认定公共场所范围较为合理。第一，在以高校为代表的企事业单位中，仅高校就可能涉及上千万受众，基于所属团体、单位带来的身份特定性，此类场所中的公众较一般公众而言，在个人信息保护强度上并没有实质区别，且非该团体、单位的公众亦可能因为公务活动等个人原因出入此类场所，符合前述公众可以进入该场所的特征，符合本条“维护公共安全”的立法目的，故应对“公共场所”所作宽泛理解。第二，居民住宅区本身也并非完全封闭的空间，如依照《民法典》第274条第1句的规定：“建筑区划内的道路，属于业主共有，但是属于城镇公共道路的除外。”故而小区内也存在属于公用性质的场所。将住宅区、企事业单位内部的半开放空间认定为公共场所具有合理性。近年来频繁出现学校、社区因安装摄像头、人脸识别设备所引发的纠纷，这类场所应当纳入本条中的“公共场所”进行规制。

公共场所的宽泛理解，在2021年7月27日公布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中也有体现。该司法解释第2条第1项规定，信息处理者在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析属于侵害自然人人格权益的行为。此处经营场所与公共场所的概念并列，宾馆、商场、银行、体育场馆、娱乐场馆等经营场所也属于规制范围之内。在此类场所中使用人脸识别技术可能构成侵害自然人人格权益的范畴，保持了体系解释上的一致。

应当注意的是，信息采集设备，本条将之区分为图像采集设备和个人身份识别设备，二者的保护程度应根据对个人信息使用、利用程度不同而有所区分，对个人信息利用程度更高的个人身份识别设备，应受到更为严格的监督。本条中图像采集设备和个人身份识别设备可一同纳入对“公共场所图像监控”的规制范围之内，[83]公共场所图像监控是指在公共场所安装摄像机并与室内监视中心的电视监视器相连接，以对特定的地点、范围、方位进行监视的行为。以安装监控设备的主体和监控目的进行分类，根据相关的研究成果，可以将公共场所图像监控设备分为以下几种：[84]

1.为了国家的安全利益或者公共安全；

2.交通运输、工业、农牧业部门为了安全生产进行的监控；

3.为了自身的安全及预防犯罪而安装的闭路电视监控系统；

4.商业部门如银行、超市为了自身和顾客的经济利益安全而安装的闭路电视监控系统；

5.军事部门为了国防等方面的利益而安装的包括雷达在内的监视系统；

6.有关部门、公司利用航空器、商业卫星、间谍卫星从高空对公共场所乃至私人生活空间进行拍照、摄像。

图像采集设备所获取的数据应当仅限于获取、储存图像。例如在道路交通、社会治安等领域广泛使用的监控设备，又如在公共安全防范技术序列中，借助于闭路电视、摄像头等可视技术在监视研究领域发展出的“图像监视”或“公共图像监视”。[85]

个人身份识别设备，以最典型的人脸识别技术为例，是指基于个人的人脸特征，对个体进行识别的过程。[86]移动设备人脸识别的业务流程一般包括登记过程、识别过程和注销过程。在登记和识别过程中，移动设备会采集用户的人脸样本，并根据用户人脸特征项加以提取，将提取的用户人脸特征与储存在人脸特征存储模块中的人脸模板进行对比。在对比过程中，会与用户相关的其他个人信息发生关联。[87]因为此种关联行为对用户信息的获取和识别利用度更高，因而对其规制会更为严格。

从分类上看，图像采集设备多数只具有获取、存储图像的功能，不属于身份识别设备，通常不会与用户的其他生物识别信息发生对比、关联；而在高校、小区等出入口设置的门禁识别设备，特别是人脸设备，则往往包含对个人身份信息的识别并与被采集的用户个人信息发生关联，对此种设备的使用应当有更严格的限制。区分图像采集设备和个人身份识别设备，其根源在于图像采集设备和个人身份识别设备对于个人信息的采集和使用程度是不同的，由此应当采取不同程度的个人信息保护强度。

本条规范的行为目的限于“维护公共安全所必需”，并应遵守国家相关规定，设置显著的提示标识。目前我国法律体系中涉及“公共安全”的相关规定主要存在于公法领域，但各法律、法规及规章位阶不一，其所针对的公共安全的适用场景和规范目的也不尽相同。例如本法第13条第1款第4项的“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”即属于为维护公共安全所必需。公共安全的范围应当受到严格限制，不能随意扩充。再如《刑法》（2020年）第二章就危害公共安全的行为专门成立一章“危害公共安全罪”，刑法学界对于“公共安全”的理解观点不一，有力观点认为指的是不特定或者多数人的生命、身体的安全以及公众生活的平稳与安宁。[88]因《刑法》中的“公共安全”概念本身较为抽象，其模糊性和不确定性较大，[89]故不能仅以此概念判断维护公共安全行为的内涵，应当再以列举的方式对维护公共安全加以限制。

《个人信息保护法》本身没有对“公共安全”进行全面的列举，可以结合地方性法规和地方政府规章的相应规定加以理解，其对“公共安全”以及相关的维护行为的规定更加具体。地方性法规例如《内蒙古自治区公共安全技术防范管理条例》（2007年、2012年、2017年、2020年）、《河南省公共安全技术防范管理条例》（2013年、2016年）等，地方政府规章如《北京市公共安全风险管理办法》（2021年）。这些地方性法规和地方政府规章主要是从与公共安全相关的管理事项上侧面反映何种情形属于“维护公共安全”，例如《内蒙古自治区公共安全技术防范管理条例》（2020年）第3条第1款规定：“本条例所称公共安全技术防范，是指以运用技防产品、构建技防系统为手段，结合运用相关科技手段，发现、预防、制止违法犯罪和治安事故，维护社会公共安全的活动。”此处的维护公共安全的技术手段仅限于“发现、预防、制止违法犯罪和治安事故，维护社会公共安全的活动”。《北京市公共安全风险管理办法》（2021年）第2条规定：“本办法所称公共安全风险（以下简称风险），是指自然灾害、事故灾难、公共卫生事件、社会安全事件等突发事件发生的可能性与后果。”这些公共安全风险的认定，以及由此所进行的公共安全维护活动，也归入“遵守国家有关规定”的范围。本书认为，对“维护公共安全所必需”可以从以下角度理解：

1.相关规定的位阶级别。即以法律、司法解释、行政法规对于“维护公共安全所必需”的理解为准。对于处于下位位阶的法律规范，如部门规章、地方性法规、地方政府规章，应考察其手段和相关规定是否与上位位阶的法律、行政法规存在抵触。有相抵触之处，以法律、司法解释和行政法规所作的理解为准。这有助于避免地方人大或政府通过制定地方性法规、地方政府规章或规范性文件的方式不当扩大“维护公共安全”所囊括的范围，防止对公民个人信息造成不适当的限制和侵害。

2.抽象角度和具体列举相结合。在对“维护公共安全”的行为中，应紧扣“所必需”来对公共场所的个人信息采集行为进行严格的限制解释，力求个人信息安全能够获得最大保障。就目前已经进行探索的地方性法规、地方政府规章所列举的公共安全事项来看，自然灾害、安全事故、公共卫生事件、社会安全事件等突发事件应当认为是能够对公共安全造成危害的事件，公权力机关为应对以上事件所采取的相关预防、处理、救援等手段，属于为维护公共安全所必需。公权力机关如要扩大以上范围，必须作充分的说明。一般而言，国家公权力机关收集和处理个人信息的合法正当目的主要在于公益维护，“履行法定职责或者法定义务”“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全”等规范表述，都可被列入此类范畴。但是有观点从数据实践的角度对抽象化的“公共利益”进行了质疑，认为不能正当化公权力机关所有的数据收集行为，因为概括性的公益目的几乎无法为限制公权力机关不当收集和使用个人信息划定任何界限。故而如果公权力机关在公共利益和个人的数据私益发生冲突时，以公益为由要求对个人私权予以合理限制，国家机关应承担对“公共利益”予以具体化框架和说明的义务。[90]有学者曾指出，考虑到民法典的篇幅有限，可以在《个人信息保护法》等相关法规的制定中，以详细列举＋兜底条款的形式，对公共利益的范围进行明确限缩。[91]

本条的规制对象既包括国家机关、事业单位、社会团体等为履行法定职责所进行的数据采集行为，也包括企业、个体工商户乃至个人等主体为其日常经营活动在公共场所的数据采集行为。前者如道路交通管理所为抓捕逃犯安装摄像头等人脸识别和生物信息识别设备，后者如商家在营业场所安装图像采集设备。目前，实践中存在大量小区物业为实现小区安保目的而在小区内采取人脸识别技术的现象。如前所述，居民住宅小区也应属于本条所称的“公共场所”，其安装图像采集、个人身份识别设备这一行为也属于本条规制范围之内，其安装目的只能限于为保卫小区及小区周边公共安全的需要。对此，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》作了更为细化的规定，其中第10条第1款规定：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”该司法解释虽未完全禁止小区物业使用图像采集、个人身份识别设备，但同时赋予业主和物业使用人选择权。业主或物业使用人不同意采用人脸识别的，物业方不得强迫。对于物业方使用人脸识别技术所获取的数据，应当依照本条的规定加以妥善管理。对于人脸识别设备，物业方在使用时应当以显著的方式进行提示。

“显著的提示标识”，应当是作为个人信息被采集的一方能够理解、识别的图形、文字等标志来进行提示，如以高亮颜色显示的图标，以醒目文字对被采集者进行提示，或是由工作人员对被采集方进行必要提示和充分说明。

“遵守国家有关规定”，主要指的是遵守《民法典》《网络安全法》、本法及相关司法解释、行政法规、部门规章中涉及的有关采集、识别个人信息相关的规定，其法源相对宽泛。

本条第2句规定的“所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外”，采取了原则上禁止，例外下允许的模式。只有取得个人单独同意才能构成合理处理的免责事由。单独同意是有别于一般告知同意、书面同意的同意模式。本法第14条规定：“……法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”该条即属于对处理个人信息要求的单独同意。单独同意是与“一揽子”同意相对的一种同意模式，在《个人信息保护法》中，第14条、第23条、第25条、第26条，以及第二章第二节“敏感个人信息的处理规则”都采取了这种处理方式，有利于避免个人信息处理者采用捆绑同意、强迫同意的方式将公开场所收集的图像和身份识别信息隐藏在一般个人信息中，从而取得个人同意，以逃避对公开场所收集的个人信息的处理限制。该种同意方式同时提高了对于公共场所图像采集和身份识别信息的保护力度。

从前述立法沿革来看，《个人信息保护法草案（二次审议稿）》删去《个人信息保护法草案（一次审议稿）》中要求的“取得个人单独同意或者法律、行政法规另有规定的除外”。但是对于本条不能理解为只有单独同意一种豁免方式。如果将信息公开的权限范围仅限于取得个人的单独同意，那么在一些较为特殊的情形下，如本条所规定的“维护公共安全目的”时，可能存在来不及取得个人同意，或是个人不同意公开的情形。衡量公共安全与个人信息两种利益，公共安全的利益顺位显然较个人信息的更为靠前。本条虽然删去“法律、行政法规没有规定的除外”，但是不代表本条采取限定为个人单独同意的封闭模式，而是直接转接本法第13条，以允许法律、行政法规进行例外规定的形式保持免责事由的开放性与灵活性。单独同意模式亦属于告知同意规则的一种，所以本条自然得适用第13条第2款，无需再单独予以强调。同时应当注意，本条转引的法源位阶仅限于法律和行政法规，这里的“法律”应作狭义理解，即仅限于全国人大及其常务委员会通过的法律。除法律和行政法规外，部门规章、地方性法规以及其他位阶的规范性文件均不足以成为因其他目的处理在公共场合收集的个人图像、身份识别信息的法源。

【关联规定】

《中华人民共和国民法典》第1020条第3项、第5项，第1035条、第1036条，本法第13条、第14条，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第1项、第5条，《中华人民共和国公共场所卫生管理条例》第2条

（撰稿人：杜丰贝）

第二十七条【已公开个人信息的处理】

个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

【释义】

本条为《个人信息保护法草案（一次审议稿）》第28条，原表述为：“个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途；超出与该用途相关的合理范围的，应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的，个人信息处理者应当合理、谨慎地处理已公开的个人信息；利用已公开的个人信息从事对个人有重大影响的活动，应当依照本法规定向个人告知并取得其同意。”

《个人信息保护法草案（二次审议稿）》将第二款中“依照本法规定向个人告知并取得其同意”改为“依照本法规定取得个人同意”。这一修改使得本条措辞更为简洁明了，是“告知同意”规则的体现。告知同意规则体现在“告知+同意”这一模式中。“依照本法规定”意味着在不同个人信息处理情景下应当遵循不同的同意规则，有的须为单独同意，有的须为明示同意而不能是默示。同时，个人信息的收集方式还负有告知义务。最终通过的《个人信息保护法》将条文顺序调整为第27条，并做了较大改动，主要是因为要同《民法典》第1036条第2项之规定保持一致。首先，将原有的两款条文合为一款。其次，将原来条文中的“已公开的个人信息”限定为“个人自行公开或者其他已经合法公开的个人信息”。已公开的个人信息可能是个人自愿公开或是公权力机关为维护公共利益而公开，这是合法的公开途径，但也可能是个人信息被信息处理者或第三人以非法方式公开，此种公开方式获取的信息不能成为本条规定的对象，《个人信息保护法草案（二次审议稿）》的表述与《民法典》不相一致，故对其做了修改。与此同时，赋予个人可以明确拒绝的权利，即便以合法方式公开，但是当事人以明确的可得而知的方式拒绝时，个人信息处理者也不得处理。再次，用“合理范围”取代“被公开时的用途”这一概念。因为后者太过模糊且难以判断，对于个人自行公开的信息，即便是结合具体场景有时也难以判断信息到底是什么用途，徒增其不确定性，而以“合理范围”对处理方式进行限制已然足够。最后，本条将对“个人有重大影响的活动”改为“对个人权益有重大影响的”，使表达更为精准，更加注重对个人权益的保护。

本条规范对象针对的是个人信息处理者处理已被合法方式公开的个人信息的行为，信息需为个人自行公开或以其他合法方式公开。本条链接第13条第1款第6项，是对于公开的个人信息的处理规则。处理公开个人信息属于告知同意规则的例外。为了在保护个人信息权益的同时，也能实现个人信息的合理利用，同时维护公共利益、国家利益等，法律上有必要规定不适用告知同意规则的例外情形。[92]《民法典》第1036条第2项规定，合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。如何理解以合法方式公开的个人信息？“个人自行公开”指的就是自然人主动将自己的某些个人信息向社会公开，例如患者主动向社会公开自己的生病经历。自然人自行公开自己的个人信息意味着其在一定程度上同意他人对这些个人信息的处理。[93]“其他方式”主要针对的是按照法律、行政法规有关规定进行公开的个人信息。对于公开信息的处理，一方面收集和使用只要在合理范围内，原则上无须事先征得信息主体的同意；另一方面信息处理者在收集和使用公开的个人信息时，也应从诚实信用的角度，充分考虑自然人的合法权益。[94]这些个人信息虽然已经公开，但并不代表个人信息处理者可以随意处理，其仍只能在合理范围内使用。特别注意的是，这里的公开不一定是针对不特定社会一般公众的公开。

对已公开的个人信息，本法虽然允许在公开范围内不需要取得个人的同意，同意规则在此种情形中不适用，但并不等于告知规则就不适用。也就是说，处理者即便基于法律、行政法规规定的情形处理个人信息，虽然不需要取得个人的同意，但是仍然要履行告知义务。[95]告知义务的存在是为了保障个人对个人信息的知情权，告知的内容应当包括使用的目的、使用的范围等。但是处理时涉及本法第18条第1款有不需告知情形的可以不告知，属于第18条第2款紧急情况的可以事后告知。

对于已公开的个人信息，即便可以在公开范围内合理使用，但仍有对其加以保护的必要。保护的理论基础来自“信息自决”原则。对个人信息的保护，并非直接保护个人隐私，而是保护个人对其自身社会形象的自我决定。[96]由于所有的个人信息都与个人社会形象塑造相关，因此当事人对所有个人信息的“自我决定”原则上都有保护的必要。这种自我决定原则包括两部分，一是已公开的信息构成了当事人在社会中的个人形象，是当事人参与社会生活的前提和基础，如果个人信息的公开和使用不能按当事人意思进行，则其在社会中的个人形象就可能偏离原先预期，进而对自身人格发展造成不利影响；二是个人信息公开之后就进入了公共领域，任何人都有获取的可能，并能对它们做进一步的处理，但这些处理可能造成对个人信息的改变，进而导致当事人社会形象被扭曲，影响参与社会生活和人格发展权，故而需加以限制。[97]就此，本条虽允许个人信息处理者无需预先取得个人同意即可处理已经合法公开的个人信息，但是限定为“以合理方式”。值得注意的是，合理方式的含义仍然较为模糊，需要结合目的限制原则、最小必要原则以及比例原则进行个人判断。例如个人信息处理方在处理完信息，存储时间经过后应当及时删除，并采用适当的管理和技术措施，防止数据在储存和传输阶段遭受未经授权的访问、披露、篡改和损毁，避免来自第三人或其他用户造成的损害。[98]合理使用本质上是谨慎义务的一种体现，谨慎义务一方面强调合理的信息使用和披露，即不以侵犯信息主体的利益或者违反信息主体的合理预期的方式，使用和披露个人信息。其核心是酌情保护，以防止不合理、不合法的信息使用和泄露。另一方面，谨慎义务意味着信息控制者有义务确保个人信息的下游使用是合理的、合法的。[99]为保障个人可以及时阻止个人信息处理方处理自己的公开信息，《个人信息保护法》还赋予个人可以明确拒绝的权利，以保障信息“自决原则”得以贯彻。

从信息分类的角度看，以是否可以为他人所知悉进行划分，可区分为公开信息与私密信息，在这个意义上讲，二者是相对立的，对已公开信息的使用，不会造成侵害私密信息的后果，不至于造成对隐私权的侵害。从获取、利用信息的角度讲，公开信息是与敏感信息相对，属于非敏感类一般信息的下位概念。对于公开信息，应鼓励对其在公开范围内加以利用。[100]由于《民法典》与《个人信息保护法》的立法目的不同，故采取了不同的个人信息分类与保护模式。《个人信息保护法》以告知同意为核心架构了个人信息处理者获取信息的合法性基础，对于敏感信息采强保护、强同意模式，而已公开的个人信息因为本身已经通过合法方式公开，所以从信息利用的角度讲，无需再次同意，这里应理解为在合理用途范围内，用户以推定同意方式同意个人信息处理者在允许公开的范围内合理使用其信息。考虑到单纯从信息分类和保护的角度不易判定，故还应结合其他方法。有观点认为，已经公开的个人信息进入了社会公共领域，在某种意义上已经具有了公有物的性质。[101]但是笔者认为，不能将公共领域的理解限制在社会，一定的场所、团体、人群范围也应该理解为公共领域，例如在工作单位公开自己的婚姻状况、工作信息等。超出特定公共领域，这些信息可能变成私密信息或是敏感信息，故可以考虑结合场景理论的各项要素来进行综合判定。在场景理论看来，敏感信息与非敏感信息在不同场景与不同信息关系中，此种分类完全可能会相互转化。[102]例如，脸部识别信息在线下场景的信息收集中，可能是非敏感信息甚至是公开信息，但在线上场景，此类信息就可能成为敏感信息。就传输原则而言，在不同的场景与信息关系下也非常不同。例如医生与病人之间的信息传输原则，招聘场景中的雇主收集求职者信息的传输原则，就非常不同于商业场景中的网站收集消费者信息的信息传输原则。[103]在个案的具体适用中，可以考虑结合以上原则对所处理的信息究竟是敏感信息还是公开信息加以判断。

从司法裁判的层面看，对于个人信息保护的程度由以下几个方面决定：[104]

1.信息处理的风险。该风险与信息是否处于被公开的状态有关，处理对所有人公开的个人信息风险较小，处理对部分人公开的信息风险次之，如果是秘密信息则风险较大。实践中，法院会根据信息的内容判断信息处理风险的高低，如果涉及的信息是普通个人信息，则难以获得法院支持，将其判定为一种侵权行为。其具体理由可以是无法识别到具体个人、新闻报道未披露身份信息和指向性信息、披露个人隐私信息但进行了处理、债权人公开原告所负担的债权状况等。

2.对当事人容忍义务的判断。从实践来看，直接决定个人容忍义务高低的主要是个人信息的收集和使用的目的，即信息收集和使用究竟是为了公共利益还是信息持有者的私人利益。如果是为了公共利益，如社会安全、产业发展、教育研究、新闻报道等，从利益平衡的角度出发，当事人就应当承担更高的容忍义务，即便对信息的收集和使用活动存在一定的风险，当事人也无权反对。

3.当事人对信息的控制力。决定控制力大小的主要有两个因素：一是信息和当事人的相关程度；二是信息的内容是否经过他人的再加工，以及在这个加工过程中他人所付出的成本情况。如涉及多人的信息，单一当事人的控制力较弱，他人较易收集和利用；如果信息控制人在处理过程中花费了大量的投入和成本，那么在一定程度上削弱信息主体的控制力。

本条第2句规定，个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。因为涉及个人权益有重大影响的事项，已超出个人信息处理者合理处理已公开个人信息的必要限度，为充分保护个人对自己公开信息的自主决定权利，再次处理有重大影响的事项时，需要重新取得个人同意。不足之处在于，何谓“重大影响”难以判断，这里可以理解为可能产生侵权后果的行为，例如处理信息可能发生个人信息被歪曲，被与处理方无关的第三方取得，或是对个人造成生命、财产、名誉等权利或利益的损害。公开信息与私密信息并非截然分明的，公开也可能是在团体、单位等一定范围公开，例如公开本法第13条第1款第2项中提到的在劳动合同订立和人力资源管理中所采集的雇员信息，属于在一定范围内公开，但是超出这一范围，就涉嫌侵犯个人私密信息或是敏感信息。

【关联规定】

本法第13条第1款第6项、第18条、第44条，《中华人民共和国民法典》第1036条第2项

（撰稿人：杜丰贝）