《个人信息保护法》解读

《中华人民共和国个人信息保护法》全文已经发布，为了更好地理解与适用该法，本文选取部分条款，用理论与实践相结合的方式进行简要解读。

第三条：在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

具体解读:

本条明确了《个人信息保护法》的适用范围。本法强调属地原则，从处理行为“发生地”切入，无论信息处理者是否在境内设立，或者处理的信息是否为境内自然人之个人信息，只要处理行为发生在境内，就受本法制约。

第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

具体解读:

本条旨在对个人信息作出定义。

在本法发布前，《民法典》也先行对个人信息作出过定义，《民法典》第一千零三十四条规定：“对个人信息自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

个人信息在性质上属于一种集人格利益与财产利益于一体的综合性法益，并不完全是精神性的人格权，其既包括了精神价值，也包括了财产价值；

《个人信息保护法》保护的法益是一种积极的权益，在他人未经许可收集、利用其个人信息时，自然人有权请求利用个人信息的行为人更改或者删除其个人信息，以排除他人的非法利用或者使个人信息恢复原状；

个人信息注重是身份识别性，即只要求此种信息与个人人格、个人身份有一定的联系，无论是直接指向个人，还是在信息组合之后指向个人，都可以认为其具有身份识别性；                                

个人信息通常要以固定化的信息方式表现出来，例如记载下来，或者以数字化的形式表现出来。个人信息概念侧重于“识别”，即通过个人信息将个人“识别出来”。

《个人信息保护法》第十条：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

具体解读:

本条是个人信息处理规则中对个人信息的侵害作出了禁止性规定。

《个人信息保护法》保护的法益内容主要是指对个人信息的支配和自主决定。包括个人对信息被收集、利用等的知情权，以及自己利用或者授权他人利用的决定权等内容。即便对于可以公开且必须公开的个人信息，信息主体也应当有一定的控制权；

《个人信息保护法》中的侵害行为主要体现为未经许可而收集和利用个人信息：非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等；

《个人信息保护法》与国家安全的联系更为密切，个人信息虽然具有私人性，但其常常以集合的形式表现出来，形成了所谓的“大数据”。如果某个数据中涉及到成千上万人的个人信息(如国民的基因信息)，且关系到许多人的敏感信息，这本身就可能属于国家安全的范围。

第十三条：符合下列情形之一的，个人信息处理者方可处理个人信息。

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

具体解读:

本条明确规定了个人信息处理应遵循的一般性规则。

首先，是个人信息处理的合法性基础，包括用户同意、订立合同所必需、人力资源管理所必需、履行法定职责/义务、紧急保护、新闻报道或者舆论监督、合理处理公开信息等多项合法性基础。

其次，对于个人信息处理者而言，除了用户同意，还规定了多种可以合法处理个人信息的途径。同时，个人信息保护法也与相关法律条文进行了衔接，根据第十三条第二款规定，依照本法其他有关规定，处理个人信息前应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意，其中第七项为兜底条款，考虑到其他法律、行政法规中也有允许个人信息处理者个人信息的规定，同时为了便于与以后颁布的法律相衔接。

另外，清华大学法学院程啸教授在《论我国民法典中个人信息权益的性质》一文中，特别强调信息处理者与自然人之间的法律地位应当是平等的，信息处理者的身份无论是国家机关与非国家机关，均有不得侵害自然人民事权益的义务。作为民事权益的个人信息权益，可以对抗来自权益主体之外的任何组织或个人的侵害和损害。在权益保护的问题上，不存在公权力机关比非公权力机关处于更优越地位的情况，否则违背法治国家的原则。同时，公权力机关本身亦负有保护自然人合法权益不受侵害的义务。

第十四条：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

具体解读:

本条明确了处理个人信息的一般同意和特殊同意以及重新取得同意的情形。

在需要获得个人同意才能处理个人信息的情形中，同意应当是信息处理者首先向个人明示个人信息处理规则，在确保个人充分知情的基础上，由个人自愿作出明确的意思表示。根据《信息安全技术 个人信息告知同意指南》（送审稿），同意的形式包括“授权同意”和“明示同意”。“授权同意”是指个人信息主体对其个人信息处理作出明确授权的行为，包括积极授权（即明示同意），或消极授权（不作为授权），例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域、或者未主动拒绝使用产品或服务等。“明示同意”是指个人信息主体通过书面、口头等方式主动作出明确授权的行为，包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

从实践角度举例说明，对于需要用户同意才能处理用户个人信息的情形，需要信息处理者通过制定个人信息保护政策、个人信息告知同意文本、个人信息授权条款等，向用户充分说明处理个人信息的规则，并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的同意。因此根据本法规定，笔者建议相关企业不要默认勾选同意，应让用户通过主动的行为去勾选或点击“同意”、主动填写其个人信息。此外，要注意一旦个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条　基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

具体解读:

本条明确赋予了自然人撤回同意的权利。

考虑到实践中普遍存在的一些问题，自然人在同意后想撤回但无法撤回、没有相应的问题解决机制等问题，《个人信息保护法》要求个人信息处理者提供便捷的撤回同意方式，其中，其便捷程度宜与给予授权同意的便捷程度相当。        

另外，关于个人信息处理活动的效力问题，由于个人信息数据本身的可复制性，自然人主体在给出首次授权同意后，即使在撤回同意后，也很容易失去如姓名、身份证号、家庭住址等一系列静态信息的控制权。而对于行为类数据（即关于机体的行为和行为发生时环境的观察报告），数据处理者在个人信息主体撤回同意后，可以终止数据的收集，删除或匿名化已收集的行为数据。 

第十七条：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第三十条：个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

具体解读:

本条明确要求处理个人信息之前应以显著方式向个人履行告知义务。

首先，需注意应告知的内容，从实践角度来说明，如果一个企业处理的是个人信息，则应告知个人信息处理者的名称和联系方式；处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序；法律、行政法规规定的其他事项。如果处理的是敏感个人信息，则应在告知上述内容的基础上，进一步告知处理敏感个人信息的必要性以及对个人权益的影响。

其次，需注意告知方式是以显著、清晰易懂的语言，真实、准确、完整地履行告知义务。从实践操作的角度来看，笔者建议个人信息处理者应当在告知文本中进行完全式列举，并且形成独立清单。如果告知内容发生变更的，还应当将变更部分重新告知个人。另外，从合规风险角度来看，建议个人信息处理者应当保存有关的记录，以备出现争议时作为有效证据。

第二十四条：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

具体解读:

本条对通过自动化决策方式处理个人信息作出了相关规定，一方面规制了信息茧房（算法推荐技术）和大数据杀熟问题，进而形成了对歧视性定价问题的规制，另一方面也为实现市场公平交易提供了法律依据。

大数据杀熟是指企业利用大数据分析消费者的个人特征，例如经济状况、消费习惯等信息，对消费者在交易价格等方面实行差别待遇，这种营销方式涉嫌误导、欺诈消费者。在大数据时代，个人信息处理者根据算法做决策，算法在设计过程中有可能会将不合理且不公平的内容写进算法，所以本条要求保障自动化决策的透明度和计算结果的公平。

第二十六条：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

具体解读:

本条明确了在公共场所安装摄像头的目的不能超出保护公共安全之必要。对于公共场所安装图像采集、个人身份识别设备是否超出必要，需要对安装主体、安装原因、安装环境等因素进行综合性判断和考量。实践中，一些商家或个人为保护自己权益会在店内或门口设置摄像头等监控系统，但在《个人信息保护法》实施后，这些摄像头是否超出公共安全的必要？采集到的数据是否侵害个人信息的权益？此外，公共区域与私人区域的界定、安装监控设备的许可、法规授权的具有管理许可权并承担责任的许可实施主体等一系列问题势必会在日后成为被大家所关注的热点。

第二十八条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第三十条：个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

具体解读:

本条体现了《个人信息保护法》对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，向个人告知处理的必要性以及对个人权益的影响，并且应当取得个人的单独同意或者书面同意，方可处理敏感个人信息。应对特殊敏感个人信息进行分类专项保护，将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。

第三十一条：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

具体解读:

本条特别将不满十四周岁未成年人的个人信息升级规定为敏感个人信息予以严格保护。同时，与《未成年人保护法》有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。

对于本条规定，笔者将从个人信息处理者角度来提出相关建议，首先，个人信息处理者应当在收集不满十四周岁未成年人的个人信息时，可以设置专门的用户协议，并指定专人来负责处理此类信息；其次，在收集到目标信息后，应当设置严格的信息访问权限、加强技术保障，防止信息被非法窃取；另外，在每次收集不满十四周岁未成年人信息的目的、使用方式、处理方式等内容发生变更后，必须重新征得未成年人本人和监护人的同意；最后，当未成年人及其监护人要求个人信息撤回、删除时，应当指派专人优先处理，并及时反馈给个人信息主体。