第一节 一般规定

第一节 一般规定

第十三条 【处理个人信息的合法性基础】

【条文主旨】

本条是关于个人信息处理者处理个人信息的合法性基础及正当性依据的规定。

【条文理解】

个人信息是数据的主要来源之一，随着数据在数字经济时代新型生产要素地位的确立，抽离于隐私概念的个人信息同时被赋予了更多的财产性价值。然而，个人对个人信息的控制和支配需求与市场主体对个人信息的利用需求之间潜在存在一定的矛盾，这在某种程度上也体现为个人信息的人格利益和财产利益之间的协调与冲突。如果过于强调人格利益，个人对于其个人信息的“支配性”比例更高，那么个人信息处理者对个人信息的利用空间则相应会被缩减；反之，若过于强调财产利益，那么个人对其个人信息的支配和控制力度则会被相应削弱。个人信息的保护和利用之间如何进行恰当的平衡，直接决定着数据的发展和安全，以及大数据战略的实施。

个人信息处理的法定情形是个人信息处理的合法、正当基础，是判断个人信息处理行为合法与否的重要标准，也是缓解个人信息保护和利用之间紧张关系的重要缓冲带。民法典第一百一十一条、第一千零三十五条，网络安全法第四十一条，消费者权益保护法第二十九条，以及个人信息保护法第五条等均规定了个人信息的处理应当依法取得，并遵循合法、正当、必要的原则。那么此处的“合法、正当”应当作何理解，又应当如何把握呢？个人信息保护法第十三条则相应回答了这一问题，为个人信息处理行为划定了明晰的合法界限。

“告知-同意”是个人信息处理的一项核心规则，要求个人信息处理者在处理个人信息时，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知，并征得个人的同意。在我国关于个人信息的法律条文中，均或多或少地有关于“告知-同意”的规定，个人信息保护法也纳入了这一规则。“告知-同意”是个人信息合法收集、处理的一个重要的法定情形，然而面对纷繁复杂的社会场景，仅依靠“基于个人同意”这一合法性基础，并不能完全满足和应对多样化的社会需求。在某些特定的情形下，个人信息的获取具有一定的紧急性或者规模性，若在每一类场景中均强行要求逐一告知并获得个人的同意，是不具有现实可操作性的，也是低效率或者无效率的。因此，民法典第一千零三十五条、第一千零三十六条，网络安全法第四十一条，《信息安全技术 个人信息安全规范》第5.6条等规范也同时规定了其他的一些合法性事由。但是，其他无需经过个人同意的情形，分散于各个法律条文之中，相对较为分散，不利于系统性适用。而个人信息保护法第十三条，在我国现有法律规定的基础上，参考了外国立法和实践，进一步整合并延伸了各类法定情形，为个人信息的合法处理提供了多元的途径选择。

本法第十三条规定共分为两款条文，其中第一款采取“概述+列举+兜底”的方式，明确规定了六类个人信息处理者可以处理个人信息的情形，同时最后采用“兜底”的表述方式，为未来可能出现的其他情形留下立法和执法的空间，为本法适应社会的发展和变化留下了余地。第二款则规定，除下述第一项“取得个人的同意”情形中，处理个人信息应当取得个人同意之外，有第一款第二项至第七项规定情形的，均不需要取得个人同意。

一、取得个人的同意

“取得个人的同意”是第十三条第一款规定的第一项处理个人信息的合法性基础条件，也是实践中大多数个人信息处理者获取数据的主要方式。“同意”意味着个人对于其个人信息的处理方式、范围、目的等内容的认可和肯定，是个人的一种真实意思表示。将“取得个人的同意”作为处理个人信息最基础和最重要的合法性依据，不仅充分尊重和保护了宪法赋予公民个人的基本权利，同时也肯定了个人拥有对于其信息进行支配的自由，保护个人信息人格利益的同时，也不阻碍个人信息财产性价值的实现。个人信息保护法第十四条、第十五条、第十六条、第二十一条、第二十二条、第二十三条、第二十五条、第二十六条、第二十七条、第二十九条、第三十一条、第三十九条、第四十七条对于“同意”的前提要件同意的分类、同意的撤回、同意的场景分类和相应要求，以及法律责任等内容作出了详细规定。本书其他部分也会针对相应的条款和内容进行细致解读，在此不再赘述。

二、合同或人力资源管理所需

第十三条第一款第二项规定，个人信息处理者“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”处理个人信息，可以不经得个人的同意。本项共包括两个部分：

1.“为订立、履行个人作为一方当事人的合同所必需”。合同是民事主体之间设立、变更、终止民事法律关系的协议，是当事人对拟合作事项意思自治的体现，依法成立的合同，受法律保护。在合同自洽谈、磋商、签订、履行乃至违约追责的整个过程中，不可避免会涉及合同当事人的诸多个人信息，例如当事人的姓名/名称、住所、身份信息、联系方式等。如若缺失这些信息，则会影响合同的订立和履行，不利于正常交易活动的实现。此外，需要注意的是，合同具有相对性，除法律另有规定，依法成立的合同，仅对当事人具有法律约束力。因此，第十三条明确将个人信息主体限定为“合同一方当事人”，而非仅是为订立、履行合同所必需的所有主体的个人信息。

2.“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，在个人信息保护法的制订过程中，草案第一次审议稿和第二次审议稿均只规定了“为订立、履行个人作为一方当事人的合同所必需”，在审议过程中，有观点认为现实中有关企业、单位在人力资源管理工作中需要处理个人信息，建议在草案中将此类情况作为允许收集和处理个人信息的情形。经研究，采纳了这一建议，遂在本项新增这一部分的内容。^[1]在劳动者求职、面试、入职、就职、离职的整个周期中，人力资源管理部门不可避免需要接触和处理劳动者方方面面的基础信息。个人信息保护法充分考虑到实践中的这一现实需求，对人力资源的管理过程中处理个人信息的行为提供合法性基础，有助于用人单位的日常管理和运作。然而，需留意的是，劳动者和用人单位在工作关系中，具有隶属关系，并非处于完全平等的地位，而在工作场景中，劳动者各个维度的个人信息均有可能被涉及，若仅基于“人力资源管理所必需”这一理由便可不经劳动者同意而处理其信息，很可能导致用人单位滥用这一规定，从而侵害处于弱势地位一方的劳动者的合法权益。鉴于此，在“疏通”用人单位人力资源管理障碍的同时，也要适度地“堵住”超过合理限度范围的滥用行为。因此，个人信息保护法特别将实施人力资源管理所必需的情形限定在了“按照依法制定的劳动规章制度”和“依法签订的集体合同”两类场景之下，降低了劳动者的个人信息被不当侵害的风险。

三、法定职责或义务所需

第十三条第一款第三项规定，“为履行法定职责或者法定义务所必需”处理个人信息，亦无需取得个人的同意。根据我国相关法律的规定，为维持社会的安全有序运转，特定主体在一定范围内被赋予了特定的职责或者需要履行特定的义务，而在履行这些职责和义务的过程中，有必要收集和处理相关的个人信息。为了确保这些特定主体的法定职责或者义务的履行，也为了避免不同法律适用时存在矛盾，个人信息保护法特别规定了需获取个人同意的这一例外情形。

根据本项的规定，此处的职责或者义务均需要建立在“法定”的基础之上，因此适用本项作为合法性基础来处理个人信息，必须具备明确的法律依据。例如，反恐怖主义法第五十一条规定，“公安机关调查恐怖活动嫌疑，有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供”。再如，反洗钱法第十六条规定，“金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时，应当要求客户出示真实有效的身份证件或者其他身份证明文件，进行核对并登记……”因此，如若没有明确的法律赋权或者法律依据作为支撑，本项的规定则不可适用。

当然，特定主体“为履行法定职责或者法定义务所必需”处理个人信息，虽不需要经得个人的同意，但其必须基于履行法定职责或义务的必要范围，且同时对其所收取的个人信息，具有保密的义务。例如，网络安全法第四十五条规定，“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供”。数据安全法第三十八条规定，“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供”。电子商务法第八十七条规定，“依法负有电子商务监督管理职责的部门的工作人员，玩忽职守、滥用职权、徇私舞弊，或者泄露、出售或者非法向他人提供在履行职责中所知悉的个人信息、隐私和商业秘密的，依法追究法律责任。”《中国银保监会监管数据安全管理办法（试行）》第五条规定，“开展监管数据活动，必须遵守相关法律和行政法规。任何单位和个人对在监管数据活动中知悉的国家秘密、工作秘密、商业秘密和个人信息，应当依照相关规定予以保密。”刑法第二百五十三条之一第二款规定，“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”。

四、突发事件或紧急情况所需

第十三条第一款第四项规定，相关主体“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”处理个人信息，无需获取个人的同意。本项规定是在特殊的背景下出台的，在应对突发公共卫生事件的过程中，个人信息的收集、分析工作是必不可少的，如若要求必须征得每个人的同意方可处理相关信息，只要其中一人拒绝同意，可能对工作产生巨大的负面影响，甚至危及其他人的生命健康安全。也正因如此，传染病防治法第十二条第一款规定，“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况……”

法律是调整社会关系的综合，维护公共利益和社会秩序，是法追求的重要价值之一。个人信息保护法特别规定了本项无需获取个人同意的合法处理个人信息的事由。根据《突发公共卫生事件应急条例》第二条的规定，“突发公共卫生事件”是指突然发生，造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。在制定全国突发事件应急预案时，应当包括突发事件信息的收集、分析、报告、通报制度。而“紧急情况”则是发生或者即将发生的一系列不可预见的突发事件，亟须相关主体及时介入并采取相应措施，以避免、消除或者减少因紧急情况所致的一切危害后果，例如地震、水灾、大规模恶性冲突事件等。

需要强调的是，即便是为了应对突发公共卫生事件或者紧急情况，对个人信息的收集和处理也应当遵守“必要”和“目的专用”的原则，个人信息处理者应当在合理的限度范围内开展处理活动，不得超范围收集或者过度处理个人信息，更不能无正当理由泄露、公开或者交易所掌握的个人信息。正如传染病防治法第十二条规定，“……疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施，侵犯单位和个人合法权益的，有关单位和个人可以依法申请行政复议或者提起诉讼”。而个人信息保护法也将本项的适用严格限定在“为保护自然人的生命健康和财产安全所必需”的限度范围内，以防止侵害个人信息的行为。

五、公益新闻报道或舆论监督所需

第十三条第一款第五项规定，相关主体“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”亦无需征得个人的同意。新闻传播对于人类社会的发展具有不可或缺的重要性，人们在生产和共同生活过程中形成人与人之间的社会关系，从法律的角度而言，新闻报道是对公民言论自由和知情权的尊重；而从传播学的角度而言，新闻报道同时具有一定的社会规范功能，能够发挥舆论监督或者消除谣言的重要作用。

在我国的相关法律规定中，新闻报道常常成为权利限制或例外的正当事由之一，例如著作权法第二十四条第一款第三项将“为报道新闻，在报纸、期刊、广播电台、电视台等媒体中不可避免地再现或者引用已经发表的作品”作为一类作品合理使用的情形。民法典第九百九十九条规定，“为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等……”民法典第一千零二十条第二项规定，“为实施新闻报道，不可避免地制作、使用、公开肖像权人的肖像”可以不经肖像权人同意，此外，第一千零二十五条规定，“行为人为公共利益实施新闻报道、舆论监督等行为，影响他人名誉的，不承担民事责任……”

同样地，个人信息保护法也将新闻报道和舆论监督列为一类无需征得个人同意的情形之一。然而，需要注意的是，与其他法律规定相较，第十三条第一款第五项的适用，增加了更多的限制性条件，要求处理个人信息的目的必须是“为公共利益”，具体行为是“实施新闻报道、舆论监督等行为”，且处理个人信息的限度必须要求在“合理的范围内”。在这三个限制性要件中，如何把握“合理的范围内”则需要在具体个案的司法或者执行过程中具体来判定。若是过度收集并公开了与该新闻事件无直接关系的人员家属的个人信息，导致无辜者遭受“人肉搜索”或者“网络暴力”，则显然不属于本项所要求的在合理的限度范围内。

六、依法合理公开的个人信息

第十三条第一款第六项规定，相关主体“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”也无需取得个人同意便可处理个人信息。在个人信息保护法的起草过程中，草案第一次审议稿并无相关的规定，草案第二次审议稿增加“依照本法规定在合理的范围内处理已公开的个人信息”的规定，将“已公开”的个人信息作为需要获取个人同意的一种例外情形，在一定程度上鼓励了个人信息的流通。然而，“已公开”既包括自我主动公开，也包括被迫公开或者在不知情的情况下被他人公开等情形。“自行公开”是个人对于自身个人信息自主支配的表现，是个人愿意或者期望他人知悉或接触其信息的意思表示，因此法律应予尊重。但是被迫公开或者在不知情的情况下被他人公开等情形则是违反个人意思自治的表现，且会对个人造成潜在的伤害。

鉴于此，本法最终在草案第二次审议稿的基础之上，增加了“个人自行公开或者其他已经合法公开”的表述，将除个人自行公开之外的其他公开方式严格限定在“合法”的基础之上。此外，本项的适用还需同时要求满足“依照本法规定”和“在合理的范围内”两项限制条件。根据个人信息保护法第二十七条的规定，“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意”。因此，如若个人明确拒绝处理其已公开的个人信息，那么个人信息处理者不得进行处理活动；且若处理已公开的个人信息，会对个人权益产生重大影响，则仍应当征得个人的同意。

【适用指南】

在“告知-同意”的架构下，个人信息处理者主要基于“个人同意”来处理个人信息，然而在实践中，取得个人同意的手段、方式愈加复杂，导致一些个人信息处理者征得同意的目的流于“应付”，而个人的“同意”行为也可能出于“无奈”。因此，个人信息保护法第十三条的规定，对于个人信息处理者而言是利好的，不仅明确规定了取得个人的同意、合同或人力资源管理所需、法定职责或义务所需、突发事件或紧急情况所需、公益新闻报道或舆论监督所需、依法合理公开的个人信息共计六类无需征得个人同意的例外情形，同时还有兜底条款为日后新出现的其他情形留出空间。因此，个人信息处理者应根据本条的规定，对所涉及的个人信息处理活动之目的、方式、范围等内容进行合规性审查，论证该行为是否涉及本条规定涉及的法定情形，以及是否满足相应款项规定的限制性适用条件，如满足，则无需征得个人同意，便可开展个人信息处理活动；如若不满足，仍需根据本法的规定，获取个人的同意。

【相关规定】

《中华人民共和国民法典》第一百一十一条、第四百六十四条、第四百六十五条、第九百九十九条、第一千零二十条、第一千零二十五条、第一千零三十五条、第一千零三十六条；《中华人民共和国刑法》第二百五十三条；《中华人民共和国数据安全法》第一条、第十三条、第三十八条；《中华人民共和国网络安全法》第四十一条、第四十五条；《中华人民共和国消费者权益保护法》第二十九条；《中华人民共和国电子商务法》第八十七条；《中华人民共和国劳动合同法》第一条、第三条；《中华人民共和国反恐怖主义法》第五十一条；《中华人民共和国反洗钱法》第十六条；《中华人民共和国传染病防治法》第十二条、第十八条、第三十三条、第三十四条、第三十五条、第三十六条、第三十八条；《中华人民共和国著作权法》第二十四条；《中华人民共和国个人信息保护法》第五条、第十四条、第十五条、第十六条、第十七条、第十八条、第二十一条、第二十二条、第二十三条、第二十五条、第二十六条、第二十七条、第二十九条、第三十一条、第三十九条、第四十七条；《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条、第七条；《中国银保监会监管数据安全管理办法（试行）》第五条；《突发公共卫生事件应急条例》第二条、第十一条、第十九条、第四十条。

第十四条 【个人同意的类型】

【条文主旨】

本条是关于基于个人同意处理个人信息时一般同意、特殊同意以及重新同意三种同意类型的规定。

【条文理解】

根据个人信息保护法第十三条的规定，基于个人同意是个人信息处理者处理个人信息的一项主要的法定情形，第十四条在第十三条的基础上，进一步规定了不同情形之下同意的方式和类型。在同意规则的设计上，中国与欧盟均采取“进入机制”（Opt-in），即非经个人同意，不得对其个人信息进行处理。在“进入机制”的同意模式上，中国作出较欧盟更为严格的规定。关于同意的方式，民法典、网络安全法、消费者权益保护法等法律仅原则性地规定了应当取得“同意”，但没有进行类型的划分。《信息安全技术 个人信息安全规范》和《信息安全技术 个人信息告知同意指南（征求意见稿）》则提出了“明示同意”（explicit consent）和“授权同意”（consent）的概念。“明示同意”指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选，主动点击“同意”“注册”“发送”“拨打”，主动填写或提供等。而“授权同意”是指个人信息主体对其个人信息进行特定处理作出明确授权的行为。包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权（如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。与此不同的是，个人信息保护法未直接采用“明示同意”和“授权同意”的概念。根据第十四条的规定，基于不同的标准，可以将个人同意的方式划分为不同的类型。以同意的具体方式要求为标准，可以分为“一般同意”和“特殊同意”；以同意作出的先后时间顺序为标准，可以分为“初次同意”和“重新同意”。

一、一般同意

个人信息保护法第十四条第一款前半部分规定，“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”这一规定是对个人同意的一般性规定，即个人同意行为的作出应当建立在个人充分知情的前提下，且必须是个人以明确的方式自愿作出。真实有效的“同意”需要建立在“充分知情”的基础之上，这是对个人知情权的尊重和保障。关于知情权的规定，消费者权益保护法第八条规定，“消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。消费者有权根据商品或者服务的不同情况，要求经营者提供商品的价格、产地、生产者、用途、性能、规格、等级、主要成份、生产日期、有效期限、检验合格证明、使用方法说明书、售后服务，或者服务的内容、规格、费用等有关情况”。个人信息保护法第四十四条规定，“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理……”个人在不知情或者不完全知情的情况下作出“同意”的意思表示是存在效力瑕疵的，因此，个人信息处理者在处理个人信息时应当充分保障个人的知情权。

个人知情与否以及知情是否充分，在很大程度上取决于个人信息处理者是否告知以及其告知方式和告知程度。个人信息保护法第七条规定，“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”。个人信息处理者有主动告知的义务，因为个人信息处理者最为了解和清楚其为何要收集特定的个人信息以及其将如何收集和处理，且其处理活动可能会对个人产生何种影响等。因此，只有个人信息处理者主动充分告知，个人的“充分知情”才有可能实现。告知是个人信息处理者的义务，同意是个人的权利，告知是同意的基础，而同意取决于告知，在法律规定无需告知的情况下，自然也就无需获取个人的同意；相反，在无需同意的情形下，并不当然免除个人信息处理者的告知义务。

关于告知的规定，个人信息保护法第十七条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项……”第十八条规定了可以不予告知的例外情形，第二十二条、第三十条、第三十五条、第三十九条还规定了特殊场景下的告知义务。此外，消费者权益保护法第二十六条规定，“经营者在经营活动中使用格式条款的，应当以显著方式提请消费者注意商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等与消费者有重大利害关系的内容，并按照消费者的要求予以说明……”为了提高交易效率，实践中大多数情况的“一般同意”都是通过“格式条款”的途径来实现的，因此，对于与个人具备重大利害关系的内容，还需采取特别的告知方式重点提示个人予以留意，以保证个人充分知悉。

二、特殊同意

个人信息保护法第十四条第一款后半部分规定，“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”实践中，个人信息的类型及适用场景纷繁复杂，个人信息保护法没有采用“一刀切”的方式，规定统一适用“一般同意”，而是根据不同情形，差异化地规定了不同层次和要求的同意类型。相较“一般同意”，“单独同意”或“书面同意”仅需在法律、行政法规规定的特定情形中方才适用，因为在这些情形中，对个人信息处理者需要提出更为严格的要求，才能保障个人实现充分的知情权。因此，将“单独同意”或“书面同意”统称为“特殊同意”。

1.单独同意

关于“单独同意”的含义，相关规定并未给出明确的界定，但基于文义解释和体系解释的方法可知，“单独同意”强调独立性、针对性、突出性和可感知性，因而有别于集体同意、概括同意、一揽子同意或者捆绑同意等形式。“单独同意”要求特定场景中的个人信息处理者必须就其处理个人信息的目的、方式、范围、时间等关键内容向个人进行充分告知，且必须单独取得个人的同意，而非仅基于其他场景或者时间段获得的同意就开展个人信息的处理活动。因此，在“单独同意”这一同意类型下，个人信息处理者应做到“一告知、一同意、一处理”，避免采取变相或者隐匿的方式，欺骗或者诱导个人做出非其真实、自愿的意思表示，从而损害个人的合法权益。此外，对于“单独同意”作出的具体形式而言，法律并未规定必须以书面形式作出，因而“单独同意”可以采用书面形式、口头形式或者其他形式作出，但若个人信息处理者和个人之间在处理个人信息事宜时有特殊约定，应相应采用特定的形式。

根据个人信息保护法第十四条的规定，只有在法律、行政法规规定的情形中，才需采取“单独同意”的方式。对此，个人信息保护法中规定个人信息处理者应当采取“单独同意”的场景可参见下表：

此外，关于“单独同意”，一个值得思考的问题是，“同意”和“单独同意”，应当是并列关系、包含关系还是交叉关系呢？对于这一问题，目前存在不同的观点：一类观点认为，二者应当是包含的关系，即“同意”包含“单独同意”，“单独同意”是“同意”的一类子集。按照如此理解的话，如若非基于个人信息保护法第十三条第一款第一项“取得个人的同意”事由来处理个人信息，那么也无需再适用“单独同意”，换言之，如若按照法律规定，个人信息处理者在特定场景中无需取得个人同意，那么也相应不需要取得个人的“单独同意”。例如，电子商务的经营者在向消费者交付商品时，会将消费者的姓名、电话、地址提供给快递物流的服务者，根据个人信息保护法第二十三条的规定，这属于“向其他个人信息处理者提供其处理的个人信息”，应当取得个人的单独同意，但这同时也可能属于第十三条第一款第二项“为订立、履行个人作为一方当事人的合同所必需”，无需取得个人的同意，因此也就无需再取得个人的单独同意。另一类观点则认为，“单独同意”并不单纯是“同意”的子集，而是一种更高标准的“同意”。也就是说，个人信息保护法第十三条规定的无需同意的法定情形，并不能当然消除或者豁免个人信息处理者取得个人“单独同意”的义务，无论基于何种无需“同意”的法定情形处理个人信息，在法律规定的特定场景中，“单独同意”仍然是必不可少的。笔者认为，个人信息保护法第十四条第一款一开始就规定了“基于个人同意处理个人信息的……”因此，第十四条中的“一般同意”和“特殊同意”均是建立在第十三条第一款第一项“取得个人的同意”的基础之上的。因此，如若按照法律规定，无需取得个人同意，那么“一般同意”和“特殊同意”适用的前提条件也就不存在了，也就无需再适用“单独同意”。至于个人信息保护法中规定的应当采取“单独同意”的五类场景中，若同时涉及第十三条第一款第二项至第七项的情形，则就属于法条适用的选择，甚至是法律条文适用之间的竞合问题，应当基于具体的情况来选择判断。

2.书面同意

关于“书面同意”的定义，个人信息保护法亦未给出明确的界定，但根据民法典第四百六十九条规定“……书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式”。基于此，“书面同意”可以理解为个人信息处理者在特定场景下处理个人信息应当以纸质或者能够有形地表现所载内容的电子形式来获取个人的同意。与“单独同意”一样，“书面同意”也仅要求是在法律、行政法规规定的情形下方才适用。例如，个人信息保护法第二十九条规定，“……法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定”。作为特殊情形下的一类同意方式，法律规定“书面同意”仅在特定的场景才适用，但是，在实践中，从合规的角度而言，“书面同意”有助于个人信息处理者保留相关证据，较“口头同意”等方式更有利于个人信息处理者有效控制合规风险。

三、重新同意

个人信息保护法第十四条第二款规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”。个人信息的流动性决定了个人信息的处理不可能处于静止的状态，同一个人信息很可能“流淌”于不同的处理环节，基于不同的目的被使用。在“初次同意”时，个人与个人信息处理者往往就个人信息的处理目的、方式等内容达成一致，个人信息处理者经个人同意后方可使用。根据民法典第一百三十六条的规定，民事法律行为自成立时生效，行为人非依法律规定或者未经对方同意，不得擅自变更民事法律行为。个人与个人信息处理者经“初次同意”形成合意，就个人信息的处理事项已达成协议，为了保护个人的基本信赖利益，也为了维护个人的知情权等合法权益，如若个人信息的重要处理事项发生变更，应当及时告知个人并就变更事项重新取得个人的同意。个人信息的处理目的、方式以及个人信息的种类，是个人信息处理行为相关的实质性内容，一旦发生变化，会对个人产生实质性影响，若个人信息处理者仅依据“初次同意”便可处理，则很可能会侵害个人的相关权益。因此，“初次同意”并不能成为后续所有处理行为的正当依据，当个人信息的处理目的、方式以及个人信息的种类发生变化时，应当重新取得个人的同意。

“初次同意”和“重新同意”是以同意作出的先后时间顺序为标准来进行划分的，与“一般同意”和“特殊同意”处于不同的维度划分。因此，在“重新同意”的场景下，仍然需要像“初次同意”一样，遵循“一般同意”和“特殊同意”的规定。在具体的适用场景中，个人信息保护法规定了两类需要“重新同意”的情形：一类是本法第二十二条的规定，“个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意”。另一类是本法第二十三条的规定，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意”。

【适用指南】

个人信息保护法第十四条规定了基于个人同意处理个人信息时应当根据不同情形采取的获取个人同意的不同方式。个人信息处理者应当及时梳理自身的业务类型以及涉及个人信息处理的各个环节，首先判断相应的个人信息处理行为是否落入个人信息保护法第十三条第一款第一项规定的需要“取得个人的同意”的情况，如是，则需要进一步根据第十四条来判断此等同意应当采取何种类型，即基于具体的个人信息处理行为来判断是采取“一般同意”即可，还是需要采取要求更为严格的“特殊同意”和“重新同意”。对于“特殊同意”中的“单独同意”、“书面同意”以及“重新同意”的具体适用情形，个人信息保护法已明确规定了不同的适用场景，个人信息处理应认真对照分类，并根据法律规定采取相应的处理措施。此外，无论何种类型的同意，均要求是个人在充分知情的前提之下自愿、明确作出的，要做到“充分知情”，就需要个人信息处理者进行“充分告知”，尤其是涉及个人实质性利益的相关内容，告知的方式则可以结合技术手段，采取弹窗、加粗、下划线等显著的方式重点提示个人，而个人则可以通过点击“已明确知悉，同意继续使用”等按钮来主动明确地表达自己的意愿，以此满足“明确”要件的要求。当个人明确表示拒绝被收集相关信息时，不得强迫或者变相获取个人同意，同时，若个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意，这些都是对“自愿”这一要件的基本要求。最后，诸如医疗、金融等特殊领域中个人信息处理行为，还应当留意遵守相关的行业规定。

【相关规定】

《中华人民共和国民法典》第一百三十六条、第四百六十九条、第四百八十八条、第一千零三十三条、第一千零三十五条、第一千零三十六条、第一千零三十八条；《中华人民共和国网络安全法》第二十二条、第四十一条、第四十二条；《中华人民共和国消费者权益保护法》第八条、第十三条、第十九条、第二十六条；《中华人民共和国电子商务法》第九条、第十九条；《中华人民共和国个人信息保护法》第七条、第十三条、第十七条、第十八条、第二十二条、第三十条、第三十五条、第三十九条、第四十四条。

第十五条 【个人同意的撤回】

【条文主旨】

本条是关于基于个人同意处理个人信息时个人同意撤回的规定。

【条文理解】

个人信息保护法第十三条、第十四条分别规定了作为一类处理个人信息法定事由的个人同意及其同意类型，第十五条则规定了个人同意的撤回。关于同意撤回的规定，欧盟等司法辖区的相关法律均有所规定，已成为全球个人信息保护立法的重要内容。我国民法典、网络安全法、数据安全法等法律未对个人信息主体的撤回权作出规定，但在2019年8月公布的《儿童个人信息网络保护规定》第二十条中规定了儿童监护人撤回同意后的请求删除权。此外，《信息安全技术 个人信息安全规范》第8.4条规定了个人信息主体撤回授权同意时，个人信息控制者应当满足的要求。第8.7条则规定了个人信息控制者应当设置便捷的交互式页面提供功能或选项，以便于个人信息主体行使撤回授权同意的权利。《信息安全技术 个人信息安全规范》对个人信息主体的撤回权率先作出了规定，但鉴于其属于推荐性国家标准，并不具有法律的强制执行力，因而在适用上具有一定的局限性，但个人信息保护法的出台，纳入和完善了个人信息主体撤回权的规定，提升了其法律效力的位阶，更好地保护了个人信息主体对其信息的自主支配权和决定权。

一、撤回同意权的含义

个人同意的撤回，是个人信息主体对其自身权利的一种处分方式，是对其作出“同意”这一意思表示的撤回。民法典第一百四十一条规定，“行为人可以撤回意思表示。撤回意思表示的通知应当在意思表示到达相对人前或者与意思表示同时到达相对人”。根据民法典的规定可知，“撤回”不同于“撤销”，二者最关键的区别在于意思表示到达相对人的先后时间顺序，“撤回”要求意思表示到达相对人之前或者同时到达相对人；而“撤销”则适用于意思表示抵达相对人之后。然而，个人信息保护法中关于撤回同意权的规定，显然与民法典中的“撤回”含义有所不同，因为实践中，撤回同意权的行使往往发生在个人信息主体的同意行为生效之后。同时，个人信息保护法中的撤回同意权也等同于民法典中的“撤销”，因为民法典中规定的撤销权是具有溯及既往的效力的，而撤回同意权却不具备。此外，还需注意的是，撤回同意权也不等同于“删除权”，二者并非连带的关系，撤回同意权的行使并不必然产生删除权的效力，二者是个人信息保护法赋予个人信息主体的两个分别独立的权利。

二、撤回同意权的适用范围

个人信息保护法第十五条第一款前半部分规定，“基于个人同意处理个人信息的，个人有权撤回其同意”。由此可见，个人信息主体的撤回同意权的适用是存在范围限定的。个人信息保护法第十三条第一款规定了七项个人信息处理者处理个人信息的法定情形，但仅第一项需要经得个人信息主体的同意，其他几项并不需要。因此，如若不是基于个人同意这一法定事由来处理个人信息的，个人信息主体则不可以行使撤回其同意的权利。例如，公安机关为了履行户籍管理的职责，需要收集、储存公民的姓名、指纹、家庭关系等基本信息，此时个人信息主体则无权撤回此前已经同意提交给公安机关的个人信息，因为此处的个人信息处理者属于“为履行法定职责或者法定义务所必需”的情形。

三、撤回同意的便捷原则

个人信息保护法第十五条第一款后半部分规定，“个人信息处理者应当提供便捷的撤回同意的方式”。个人信息保护法第十五条第一款前半部分赋予了个人信息主体撤回其同意的权利，为个人信息主体提供了“反悔”的途径。然而，在实践中，这一权利的行使常常遇到诸多阻碍，导致个人信息主体无法撤回同意或者撤回同意的成本非常高昂，从而使得这一权利的设置流于形式。为了避免这一问题，个人信息保护法特别引入了撤回同意权的“便捷原则”，即个人信息处理者有义务为个人信息主体提供便捷地撤回同意的途径或方式。至于“便捷”的理解，个人信息保护法虽未给出界定，但从文义解释和体系解释而言，个人信息处理者首先需要提供撤回同意的途径，其次，个人信息主体撤回同意的难易程度应当与其作出同意之时的程度相当，撤回的难度不能大于同意的难度。例如，个人信息处理者可以在适当的位置采取醒目的方式为个人信息主体提供撤回的按钮或者选项，同时确保整个撤回的流程和程序清晰、简单、易懂且处理完成后还能有所反馈等。

四、撤回同意的法律效力

关于个人信息主体行使同意撤回权后，可能产生的法律效力有：

1.效力特定。个人信息保护法第四条第二款规定，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。由此可见，个人信息的处理行为涉及个人信息整个生命周期的各个环节，而每个环节均可能涉及“告知-同意”，同时也可能存在同意的撤回。因此，个人信息主体在行使撤回同意权时，也应当指明拟撤回的个人信息的范围、种类等事项，而撤回同意权的效力也应限定在个人信息主体所指定的范围内，且不同环节同意的撤回，并不影响其他环节已生效同意的效力，个人信息处理者仍然可以基于已获取的有效同意继续处理相应的个人信息。

2.不溯及既往。个人信息保护法第十五条第二款规定，“个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力”。在个人信息的整个生命周期中，涉及方方面面和各个环节，即便是单一个人信息，也有可能产生“牵一发而动全身”的后果。因此，为了保护个人信息相关利益主体的合法信赖利益，也为了维持市场的公平交易秩序，个人信息保护法规定个人信息主体的同意撤回权，不具有溯及既往的法律效力，即同意的撤回并不影响撤回同意权行使之前的已经发生或者正在进行的个人信息处理活动，但同意撤回之时以及撤回之后，个人信息处理者便不再有权利处理相应的个人信息。

3.不得借口拒绝。个人信息保护法第十六条规定，“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”。因此，如若个人信息主体拟撤回同意的个人信息不是个人信息处理者提供产品或者服务所必需，那么个人信息处理者不得仅因为个人信息主体撤回同意而拒绝为其提供相应的产品或者服务。关于第十六条的理解，本书将在下文进行详细解读，本处不再赘述。

4.删除请求权。个人信息保护法第四十七条规定，“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：……（三）个人撤回同意；……法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”。由此可见，个人信息主体撤回同意权的行使，还可能涉及删除权的适用，即当个人信息主体撤回同意之后，个人信息处理者应当主动删除个人信息，但是若删除存在技术上的不可操作性或者其他法定事由，则可以不完全删除，仅停止相应的处理行为即可。因此，撤回同意权并不必然引发删除个人信息的法律后果，还要根据具体的情况来具体分析。

【适用指南】

个人信息保护法第十五条赋予了个人信息主体撤回其同意的权利，根据本条规定，个人信息处理者应当：

1.及时厘清个人信息处理流程中涉及基于个人同意事由的处理行为及处理环节。

2.在隐私声明或者在与个人信息主体协议中的隐私条款中，增加“撤回同意权”的说明，明确告知个人信息主体所享有的该项权利、权利的内容以及如何行使该项权利。

3.结合业务流程和技术手段，在与个人信息主体交互的页面中增加或者完善“同意撤回”的选项。

4.“同意撤回”的选项应当满足易被发现、易操作的“便捷原则”，且个人信息处理者还应当设置问题反馈机制，以便在个人信息主体撤回同意遇到阻碍时，可以及时联系到个人信息处理者。

5.待个人信息主体请求“撤回”的响应完成后，个人信息处理者应当设置反馈机制，告知个人信息主体响应处理的结果。

6.个人信息主体撤回同意完成之后，个人信息处理者不得仅因同意的撤回就当然拒绝为个人信息主体提供相应产品或者服务，同时也要积极主动履行删除相应个人信息的义务，当然，这两项义务也存在例外的情形，若个人信息处理者满足相应条件，亦可不用履行。

【相关规定】

《中华人民共和国民法典》第一百四十一条、第一百四十七条、第一百五十二条、第一百九十九条；《中华人民共和国个人信息保护法》第四条、第十三条、第十四条、第十六条、第四十七条；《儿童个人信息网络保护规定》第二十条。

第十六条 【不得拒绝提供产品或服务的情形】

【条文主旨】

本条是关于个人信息处理者不得因个人信息主体拒绝或者撤回同意为由拒绝提供产品或服务的规定。

【条文理解】

个人信息保护法第十五条规定了个人信息主体的撤回同意权，第十六条顺承第十五条的规定，进一步规定了行使撤回同意权的法律影响，即个人信息处理者不得因此拒绝提供产品或服务。个人信息保护法第五条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息”。第十六条的规定即是处理个人信息“必要性原则”的体现。实践中，个人信息主体的“同意”往往流于形式，其中一个关键的症结就在于，个人虽然享有自主选择“同意”或者“不同意”的权利，但实际上个人并没有拒绝“同意”的选择，因为大多时候拒绝“同意”即意味着不能使用相应的产品或者服务，导致个人信息主体“被迫”或者“不情愿”地选择“同意”，以换取需要的产品或服务，即便是被收集的个人信息与个人信息处理者所提供的产品或服务根本不相关，也是如此。例如，在使用一些新闻聚合类App时，个人原本的目的仅是想要浏览新闻，却被要求收集手机通讯录信息或者开启手机定位功能，这实际上不符合个人信息处理的“必要性原则”。

一、个人信息处理者不得拒绝提供产品或服务的情形

个人信息保护法第十六条前半部分规定了两类个人信息处理者不得拒绝提供产品或服务的情形：（1）个人信息处理者不得以个人不同意处理其个人信息为由，拒绝提供产品或者服务。（2）个人信息处理者不得以个人撤回同意为由，拒绝提供产品或者服务。在这两类情形中，无论个人信息主体是在最初拒绝，还是同意后再撤回，均表明了不愿意被收集和处理其个人信息的意思表示，应当予以尊重，但这并不表明个人信息主体同时也拒绝使用相关产品或服务，只要个人信息主体所拒绝被处理的个人信息不会影响相应产品的基础运行或者相应服务的提供，那么个人信息处理者则不应当拒绝提供相应产品或者服务。正如《常见类型移动互联网应用程序必要个人信息范围规定》第四条的规定，“App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”。

二、个人信息处理者可以拒绝提供产品或服务的情形

个人信息保护法第十六条后半部分则同时作出了不得拒绝提供产品或服务的除外规定，即如若所处理的个人信息属于提供产品或者服务所必需的，那么个人信息处理者可以拒绝提供相应产品或服务，因为没有那些必要的个人信息，这些产品或服务就无法运行或者发挥不了应有的功能。《信息安全技术 个人信息安全规范》附录C.3b也规定：“个人信息主体不同意收集基本业务功能所必要收集的个人信息的，个人信息控制者可拒绝向个人信息主体提供该业务功能。”

在判断个人信息处理者是否可以拒绝提供产品或服务时，最为关键的点在于判断所处理的个人信息是否为相关产品或服务所“必需”。对此，《常见类型移动互联网应用程序必要个人信息范围规定》第三条给出了“必要个人信息”的界定，即“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息”。同时，该规定第五条还列举了诸如地图导航、网络约车、即时通讯、网络支付、网上购物等互联网应用程序的基本功能所必要的个人信息。《常见类型移动互联网应用程序必要个人信息范围规定》由国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合印发，对个人信息保护法第十六条中“必需”的理解和认定，具有重要的参考价值。

【适用指南】

关于个人信息保护法第十六条的适用，个人信息处理者关键需要及时梳理和把握，在相关业务的运行中或者个人信息处理的各个环节中：是否存在个人信息主体不同意处理其个人信息或者撤回其同意的情形，如是，接下来则需判断个人信息主体不同意处理或者撤回同意处理的个人是否为所提供产品或者服务所必需：

1.如是，个人信息处理者可以选择拒绝为个人信息主体提供相应的产品或者服务。

2.如否，个人信息处理者则不可以以此为由拒绝向个人信息主体提供相应产品或者服务。

至于是否“必需”的判断，可重点参考《App违法违规收集使用个人信息行为认定方法》第四条和《常见类型移动互联网应用程序必要个人信息范围规定》第五条的规定：

【相关规定】

《中华人民共和国个人信息保护法》第五条、第十五条；《常见类型移动互联网应用程序必要个人信息范围规定》第三条、第四条、第五条；《电信和互联网用户个人信息保护规定》第五条、第九条；《App违法违规收集使用个人信息行为认定方法》第四条。

第十七条 【告知事项】

【条文主旨】

本条是关于个人信息处理者在处理个人信息前应告知个人的事项的规定。

【条文理解】

一、告知同意原则

《全国人民代表大会常务委员会关于加强网络信息保护的决定》指明：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。”而后，我国网络安全法第四十一条吸收了这一内容。我国民法典第一千零三十五条沿用了前述规定并加以细化：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定……”

前述规定为我国个人信息处理划定了基本的边界，亦即个人信息收集和使用应当遵循“告知-同意”原则，即个人信息处理者在收集和使用个人信息之时，应当对该特定个人就有关个人信息被收集和使用的情况进行充分的告知，并征得其明确同意。该原则旨在使个人了解其特定范围的个人信息将会被何主体以何种方式进行处理，通过促进个人信息处理过程的透明化而实现其信息自决权。这一原则亦在全球有关数据处理或个人信息保护的规范性文件中有所体现。例如，欧盟GDPR第六条“处理的合法性”规定：“1.只有在以下至少一项使用的情况下，处理才具有合法性：（a）信息主体已同意出于一个或多个特定目的处理其个人信息……”；此外，GDPR第八条“信息社会服务中适用儿童同意的条件”对儿童个人信息处理的情形还增加了监护人之同意。经济合作与发展组织在其《关于隐私保护和个人信息跨境流通的指南》的“国家适用的基本原则”中同样规定，个人信息的收集须在信息主体知情或同意的前提下以合法和公平的方式取得；这些信息应与处理目的相关，且该目的应早于数据的收集确定；个人信息非经信息主体同意或法律授权，不得对外披露、提供或改变使用目的。

二、何为“显著”“清晰易懂”的告知方式

个人信息保护法第十七条对我国有关规定进行了进一步细化。然而，除了“真实”“准确”与“完整”具有客观标准外，个人信息处理者的告知是否采取了“显著方式”“清晰易懂的语言”，我国个人信息保护法中并未设置明确评价标准。日后如颁布个人信息保护法实施细则等规范，势必应将其进行明确，以便于个人信息保护法的施行。

不过，现阶段个人信息保护法无标准可循并不意味着我国相关规则体系中全无评价标准。2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局印发了《App违法违规收集使用个人信息行为认定方法》，其中多处规定可作为评价“显著方式”“清晰易懂的语言”的参考。

例如，《App违法违规收集使用个人信息行为认定方法》第一条规定：“以下行为可被认定为‘未公开收集使用规则’……2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。”第二条规定：“以下行为可被认定为‘未明示收集使用个人信息的目的、方式和范围’1.未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。”

【适用指南】

企业在开展个人信息处理活动前，应当对个人信息的处理目的、处理方式，处理的个人信息种类、保存期限进行梳理，并以弹窗、提示阅读等方式将前述信息与其他应当告知个人的信息一同以易于访问且易于阅读的方式告知当事人。并且，企业应当提供便于操作的更正、删除个人信息及注销用户账号的功能，以及个人信息安全投诉、举报渠道，以确保个人可以方便地行使本法规定权利。

除此之外，企业在处理个人信息时，涉及不满十四周岁未成年人个人信息的，还应当参照个人信息保护法第三十一条规定，取得未成年人的父母或者其他监护人的同意。

【相关规定】

《中华人民共和国民法典》第一千零三十五条；《中华人民共和国网络安全法》第四十一条；《App违法违规收集使用个人信息行为认定方法》。

第十八条 【告知事项的例外】

【条文主旨】

本条是关于在何种情形下个人信息处理者可不向（或不及时向）个人告知的规定。

【条文理解】

个人信息保护法第十八条的两款分别规定了两类告知事项的例外。第一款规定法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知。第二款则规定，在紧急情况下无法及时告知的，应在紧急情况消除后及时告知。

一、法定不予告知的情形

就个人信息保护法第十八条第一款而言，我国之所以在多部法律、行政法规中确立告知同意规则，其目的是通过提高个人信息处理过程的透明度，以保护个人的信息自决权；然而，当该个人信息处理活动涉及国家安全或公共利益时，个人权益应予让步，在这种情况下，即可以不向特定个人告知个人信息处理活动的有关事项。

例如，我国反恐怖主义法第五十一条规定：“公安机关调查恐怖活动嫌疑，有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供。”此处的“相关信息和材料”显然包括特定个人的个人信息，有关单位和个人所掌握的个人信息，除了个人自身的信息外，显然也是通过收集、处理所得，并且，这些通过收集、处理而获得的个人信息，在其收集之时一般无法预料到日后将会作为反恐之用，因此，亦符合“处理目的发生变更”。由于反恐工作具有保密性和紧迫性，一旦将有关事项告知特定个人，很可能会严重影响反恐工作的开展。因此，公安机关调查恐怖活动而收集或调取个人信息，应当适用个人信息保护法第十八条第一款规定。与之类似，公安机关或检察机关在侦查其他犯罪而必须对个人信息进行处理时，显然也无需向个人告知有关情况。欧盟GDPR亦有类似内容。GDPR第二条“适用范围”第二款规定：“本条例不适用于以下个人信息的处理：……（d）主管当局预防、调查、侦查或起诉刑事犯罪，或执行刑事处罚，包括防范对公共安全的威胁。”

二、基于紧急情况的情形

我国民法典第一千零三十六条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：……（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”而在个人信息保护法第十八条第二款中，“利益”或“权益”则被具体表述为“自然人的生命健康和财产”。并且，此处并未规定“自然人”只能是信息主体本人（“该自然人”），因此，个人信息保护法第十八条第二款既包括信息主体自身的生命健康和财产，也包括其他自然人的人身财产权益。

为更好地防控疫情，有关部门与通信运营商等常借助数据分析手段，将特定人员所到过的场所、所使用的交通方式等个人信息公之于众。流行病调查具有较强紧迫性，有关人员的活动轨迹需要尽快查清并向社会公布，从而有效阻断传播；有关部门与通信运营商等未必能及时告知信息主体。如此时仍坚持告知同意原则，很可能耽误疫情防控。因此，个人信息保护法第十八条第二款规定了紧急情况下可先行处理个人信息，待紧急情况消除后再告知信息主体。

与我国有关规定类似，欧盟GDPR在其序言第四十六条亦载明：“在基于保护信息主体或其他自然人至关重要的生命利益时，对个人信息的处理也应当视为是合法的。原则上，基于自然人切身利益对个人信息进行处理，只能是在处理活动显然无法依赖于其他法律基础而进行的情况下。当基于人道主义目的而处理信息时，则既可以基于公共利益，也可以基于信息主体的重大利益，特别是在天灾人祸发生的时候，包括在流行病蔓延检测或其他事出紧急的人道主义情况下。”

个人信息保护法第十八条第二款与前一款内容不同，在第二款中，向个人告知个人信息处理有关事项往往并不会引发不良后果，个人信息处理者之所以不在第一时间履行告知义务，其原因是存在阻碍其履行义务的紧急情况。在此情形中，个人信息处理者仍需要履行告知义务。而在第十八条第一款的情形中，向个人告知有关事项可能会产生不良影响（“法律、行政法规规定应当保密或者不需要告知”），因此个人信息处理者的告知义务被免除。

【适用指南】

企业在开展个人信息处理活动过程中，可能会遇到以下几种情形：

1.须紧急处理特定个人信息，否则可能会影响国家安全、公共利益或不特定人的人身财产安全，向信息主体告知有关事项存在阻碍。

2.须紧急处理特定个人信息，否则可能会影响国家安全、公共利益或不特定人的人身财产安全，向信息主体告知有关事项不存在阻碍且不会产生不良后果。

3.须紧急处理特定个人信息，否则可能会影响国家安全、公共利益或不特定人的人身财产安全，向信息主体告知有关事项不存在阻碍，但会产生不良后果。

对于情形1，显然可以适用个人信息保护法第十八条第二款关于紧急情况下的告知例外；在该情形中，在阻碍消失后，企业应当及时向个人告知有关个人信息处理的相关事项。

在情形2中，由于不存在告知的阻碍，企业应当及时告知个人；并且，如符合个人信息保护法第十三条第一款第二项至第七项规定情形，无需取得个人同意即可开展个人信息处理。

而情形3并不会一律自动免除企业的告知义务。企业应确认该情形是否为法律、行政法规所规定之应当保密或者不需要告知的情形，以此判断是否得以不向信息主体履行告知义务。

【相关规定】

《中华人民共和国反恐怖主义法》第五十一条；《中华人民共和国民法典》第一千零三十六条。

第十九条 【个人信息的保存期限】

【条文主旨】

本条是关于个人信息的保存期限的规定。

【条文理解】

我国民法典第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理……”个人信息保护法第五条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”作为我国个人信息保护法的基本原则之一，必要原则以多种形式反复出现在个人信息保护法中。例如，本法第六条规定了处理个人信息应当“采取对个人权益影响最小的方式”，收集个人信息应当“限于实现处理目的的最小范围”。本法第十九条对于个人信息的保存期限同样体现了必要原则，个人信息处理者应当以“必要的最短时间”保存个人期限。鉴于不少个人信息处理活动均基于个人信息处理者为特定个人所提供的服务，而这些服务可能存续一定时间，因此，此处“必要的最短时间”同样应考虑服务的存续状况进行评估和考量。

值得注意的是，由于我国多部法律、行政法规均对个人信息的保存期限进行了规定，有关主体在保存个人信息时，亦应当结合有关法律、行政法规的规定，而非单纯以是否实现处理目的作为唯一的时间衡量标准。

我国网络安全法第二十一条规定：“……采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月……”据此，如有个人信息存于网络日志中，那么其同样需要留存超过六个月。

我国电子商务法第三十一条规定：“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。”由于个人的联系方式、住址和其他相关用户画像往往是电子商务交易信息的重要组成部分，因此其同样适用电子商务法有关规定。

我国反恐怖主义法第三十二条规定：“……重点目标的管理单位应当建立公共安全视频图像信息系统值班监看、信息保存使用、运行维护等管理制度，保障相关系统正常运行。采集的视频图像信息保存期限不得少于九十日。”

我国电子签名法第二十四条规定：“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。”电子签名可用于识别签名人身份，显然亦属于个人信息范畴。

我国反洗钱法第十九条规定：“……客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年……”

我国证券投资基金法第一百零二条规定：“……基金份额登记机构应当妥善保存登记数据，并将基金份额持有人名称、身份信息及基金份额明细等数据备份至国务院证券监督管理机构认定的机构。其保存期限自基金账户销户之日起不得少于二十年……”

我国精神卫生法第四十七条规定：“医疗机构及其医务人员应当在病历资料中如实记录精神障碍患者的病情、治疗措施、用药情况、实施约束、隔离措施等内容，并如实告知患者或者其监护人。患者及其监护人可以查阅、复制病历资料；但是，患者查阅、复制病历资料可能对其治疗产生不利影响的除外。病历资料保存期限不得少于三十年。”

《征信业管理条例》第十六条规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”

《互联网信息服务管理办法》第十四条：“……互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”

《互联网上网服务营业场所管理条例》第二十三条规定：“互联网上网服务营业场所经营单位应当对上网消费者的身份证等有效证件进行核对、登记，并记录有关上网信息。登记内容和记录备份保存时间不得少于60日，并在文化行政部门、公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或者删除。”

《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条规定：“金融机构应当按照下列期限保存客户身份资料和交易记录：（一）客户身份资料，自业务关系结束当年或者一次性交易记账当年计起至少保存5年。（二）交易记录，自交易记账当年计起至少保存5 年。如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的，金融机构应将其保存至反洗钱调查工作结束。同一介质上存有不同保存期限客户身份资料或者交易记录的，应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的，至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。法律、行政法规和其他规章对客户身份资料和交易记录有更长保存期限要求的，遵守其规定。”

财政部、国家档案局发布的《会计档案管理办法》第十四条规定：“会计档案的保管期限分为永久、定期两类。定期保管期限一般分为10年和30年……”由于会计档案涉及包括个人差旅票据等在内的各种会计资料，其上自然也包括个人信息，有关资料的保存期限受此调整。

中国人民银行发布的《非银行支付机构网络支付业务管理办法》第十六条规定：“对于客户的网络支付业务操作行为，支付机构应当在确认客户身份及真实意愿后及时办理，并在操作生效之日起至少五年内，真实、完整保存操作记录……”

《网络借贷信息中介机构业务活动管理暂行办法》第二十三条规定：“网络借贷信息中介机构应当采取适当的方法和技术，记录并妥善保存网络借贷业务活动数据和资料，做好数据备份。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。”

《医疗机构管理条例实施细则》第五十三条规定：“医疗机构的门诊病历的保存期不得少于十五年；住院病历的保存期不得少于三十年。”

我国住房和城乡建设部、国家发展和改革委员会、人力资源和社会保障部发布的《房地产经纪管理办法》第二十六条规定：“……房地产经纪机构应当保存房地产经纪服务合同，保存期不少于5年。”

《网络预约出租汽车经营服务管理暂行办法》第二十七条规定：“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流……”

我国交通运输部发布的《道路旅客运输及客运站管理规定》第六十七条第二款规定：“实行实名制管理的客运班线开展定制客运的，班车客运经营者和网络平台应当落实实名制管理相关要求。网络平台应当采取安全保护措施，妥善保存采集的个人信息和生成的业务数据，保存期限应当不少于3年，并不得用于定制客运以外的业务。”

《旅行社条例实施细则》第五十条规定：“旅行社应当妥善保存《条例》规定的招徕、组织、接待旅游者的各类合同及相关文件、资料，以备县级以上旅游行政管理部门核查。前款所称的合同及文件、资料的保存期，应当不少于两年。旅行社不得向其他经营者或者个人，泄露旅游者因签订旅游合同提供的个人信息；超过保存期限的旅游者个人信息资料，应当妥善销毁。”

国家市场监督管理总局发布的《网络餐饮服务食品安全监督管理办法》第十五条规定：“网络餐饮服务第三方平台提供者和自建网站餐饮服务提供者应当履行记录义务，如实记录网络订餐的订单信息，包括食品的名称、下单时间、送餐人员、送达时间以及收货地址，信息保存时间不得少于6个月。”

国家互联网信息办公室发布的《互联网直播服务管理规定》第十六条规定：“互联网直播服务提供者应当记录互联网直播服务使用者发布内容和日志信息，保存六十日……”

【适用指南】

企业在开展运营过程中，应当确定包含个人信息处理活动的业务范围，并根据调整该业务范围的法律、行政法规，以及为达成处理活动目的所需要的最短时间，确定相应个人信息的保存期限。由于前述法律、行政法规所确定的个人信息保存期限通常较长，因此，企业亦应当采取适当的技术措施，以确保数据安全。

【相关规定】

《中华人民共和国民法典》第一千零三十五条；《中华人民共和国网络安全法》第二十一条；《中华人民共和国电子商务法》第三十一条；《中华人民共和国反恐怖主义法》第三十二条；《中华人民共和国电子签名法》第二十四条；《中华人民共和国反洗钱法》第十九条；《中华人民共和国证券投资基金法》第一百零二条；《中华人民共和国精神卫生法》第四十七条；《征信业管理条例》第十六条；《互联网信息服务管理办法》第十四条；《互联网上网服务营业场所管理条例》第二十三条；《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条；《会计档案管理办法》第十四条；《非银行支付机构网络支付业务管理办法》第十六条；《网络借贷信息中介机构业务活动管理暂行办法》第二十三条；《医疗机构管理条例实施细则》第五十三条；《房地产经纪管理办法》第二十六条；《网络预约出租汽车经营服务管理暂行办法》第二十七条；《道路旅客运输及客运站管理规定》第六十七条；《旅行社条例实施细则》第五十条；《网络餐饮服务食品安全监督管理办法》第十五条；《互联网直播服务管理规定》第十六条。

第二十条 【共同处理个人信息】

【条文主旨】

本条是关于个人信息处理者共同处理个人信息的规定。

【条文理解】

本条由两款内容构成，第一款规定了共同处理者内部的关系，即约定各自权利义务，但也明确此约定仅内部有效，不具有对外效力，故不影响个人向任一处理者行使权利。第二款规定了共同处理造成损害的对外担责形式，即承担连带责任。

一、共同处理

本条的重大影响是连带责任的确定，但核心是判断何为“共同处理”，不同于传统的共同侵权规则，“共同处理”这一场景具有特殊性。根据本条第一款的解释，“共同处理”即“共同决定个人信息的处理目的和处理方式”。第二十条和第二十一条均是规定两个及以上主体之间法律关系，区别在于主体地位不同，第二十条的多方主体是平等的“共同处理者”，第二十一条的多方主体是有监督关系的“委托人”和“受托人”。对比可以发现，第二十条规定情形的侧重点应该系“决定”二字，而非“共同”，即民事法律行为要求的“意思表示一致”，因此若要适用第二十条，仅达到个人信息处理者有“共同处理”个人信息的意思表示将无法区分与第二十一条的差异，还必须要有“决定”的意思表示。

二、连带责任

本条为个人信息保护法中唯一有“连带责任”字样的条款，在逻辑体系上，广义连带责任可分为狭义连带责任、不真正连带责任、补充连带责任等。^[2]本条中连带责任的构成要件包括：

（1）数量要求：2个以上个人信息处理者；

（2）行为要求：共同处理；

（3）危害结果：侵害个人信息权益且造成损害。

民法典中有关共同侵权承担连带责任的相关规定为第一千一百六十八条：二人以上共同实施侵权行为，造成他人损害的，应当承担连带责任。关于对共同实施的理解，按照通说和司法实践，其包括三层含义：

（1）共同故意侵害他人合法权益，不以侵权人的意思联络为必要；

（2）共同过失，指数个行为人共同从事某种行为，基于共同的疏忽大意，造成他人损害；

（3）故意行为与过失行为相结合。

从司法实践角度来看，连带责任的意义在于增加责任主体的数量，加强对受害人请求权的保护，由有清偿能力的侵权人先行赔偿，而后由其再向其他侵权人追偿，这样就能确保受害人最大限度获得赔偿。^[3]

该条草案一审稿表述为“依法承担连带责任”，草案二审稿表述为“应当承担连带责任”，正式法条确定为“应当依法承担连带责任”，从“依法”到“应当”再到“应当依法”，表述逐渐趋于严谨。“应当依法”意味着该条款可以作为单独的请求权基础，体现了个人信息保护法的规范内容从需要参考民法典到直接作为规范基础适用的转变。在未来个人信息保护相关的诉讼中，也将优先适用个人信息保护法第二十条的规定，使得从严要求共同信息处理者成为常态。^[4]

此外，相较于草案，本法在正式文本中，增加了“造成损害”的表述，是为忠实于侵权责任的构成要件，具有合理性。

个人信息保护法在共同处理场景下采取连带责任的规定，其核心目的是保障个人信息主体的权利，便利个人行使复制权等个人权利。连带责任的特点在于，一方面，连带责任是法定责任，不得改变。它不因共同行为人内部责任份额或内部约定而改变其连带责任性质。因此共同处理者之间的内部约定不影响连带责任的承担，也不影响个人行使权利的对象选择。另一方面，侵权连带责任的各连带责任人对内按份承担责任。共同加害人和共同危险行为人对外承担整体责任，不分份额，对内，应依其过错程度和行为的原因力不同，承担按份责任。当部分共同行为人承担了超出自己责任份额以外的责任后，有权向没有承担应承担的责任份额的其他连带责任人求偿。^[5]在共同处理场景下，个人信息保护法并未具体规定共同处理者内部连带责任如何分担，是否参照民法侵权连带责任的规定，承担按份责任，并享有内部求偿权。由于个人信息保护法并非民法典的下位法，故不能当然照搬民法规则，这也对实践造成了不确定性，具体的责任承担规则仍待相关法规司法解释等进行细化。

《信息安全技术 个人信息安全规范》第9.6条在此基础上，进一步规定了信息处理者有义务将共同信息处理者（第三方）“向个人信息主体明确告知”。

【适用指南】

本条规定对实务影响重大，例如以下实务中的典型场景：在数字化时代，企业日常管理中涉及许多员工个人信息的处理，越来越多的企业选择通过人力资源办公软件（包括办公线上系统在内）来达到辅助和优化人力资源日常管理的目的，而这些软件的所有权人在处理使用软件的员工的个人信息时，如果发生侵权行为，其与企业的关系如何定义？若适用个人信息保护法第二十条之规定，便是认为企业与人力资源办公软件所有权人之间系“共同决定”处理员工的个人信息。若适用个人信息保护法第二十一条之规定，便是认为企业系委托人力资源办公软件所有权人处理员工的个人信息，并对其行为进行监督。由此可见，企业与软件所有权人之间的关系认定不同，产生的法律效果必定是截然不同的。

《信息安全技术 个人信息安全规范》第9.6条对“共同个人信息控制者”权责进行了规定，要求：

（1）当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；

（2）如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。

由此可见，第9.6条对共同个人信息控制者的要求更加详细，可执行性更高，可以作为个人信息处理者内部划分权利义务的参考。需要注意的是，《信息安全技术 个人信息安全规范》中使用的是“共同个人信息控制者”的表述，与GDPR中数据控制者（data controller）的表述类似，但个人信息保护法中的“处理者”实际法律地位类似于GDPR中的“控制者”，两者皆是决定个人信息处理的目的和方式，故此处虽然表述不一致，但实质要求是相关的。

从责任承担看，本条第二款对共同处理个人信息的处理者提出了严格的责任承担要求，即“依法承担连带责任”，这就意味着个人信息处理者在选择共同处理个人信息的其他处理者时，最好对其进行必要的尽调，了解其个人信息安全能力、制度制定与实施情况、是否存在侵犯个人信息权益的黑历史等。

对于通常作为个人信息处理者的企业来说，“连带责任”强调的是各方侵权人对受害人承担的责任。虽合同具有相对性，合同约定的内容无法对抗第三人，但一方侵权人若承担了全部的损害赔偿等侵权责任，仍有权根据合同向其他侵权人追偿。因此企业在与其他共同处理者签订民事合同时，应当特别注意信息泄露、丢失等责任承担条款的约定。

为应对个人信息保护法的新要求，一方面，企业需在从事业务过程中识别可能属于共同处理者的情形，进行合规准备。另一方面，基于降低风险考虑，由于第三方的责任内容不可控，承担连带责任会为企业带来诸多不确定的风险，故从法律责任隔离的角度而言，企业或可通过制度设计尽量避免与第三方成为共同个人信息处理者。

【相关规定】

《中华人民共和国民法典》第一千一百六十八条。

第二十一条 【委托处理个人信息】

【条文主旨】

本条是关于委托处理情形下，个人信息处理者和受托人之间的权利义务关系的规定。

【条文理解】

此前，绝大多数涉及个人信息安全的法规或规范性文件都比较笼统，大多只是对于个人信息保护原则的强调，没有专门规定“委托处理”问题。而网络安全法第四十二条“未经被收集者同意，不得向他人提供个人信息”的表述进一步增加了该问题的不确定性。

国家推荐性标准GB/T 35273-2017《信息安全技术 个人信息安全规范》，首次在全行业范围对“委托处理”行为进行明确规定并提出合规要求，其目的主要是对“委托处理”行为进行规范，同时间接也起到了确认“委托处理”行为法律地位的作用，但是该规范亦未明确规定“委托处理”是否需要个人另行授权。GB/T 35273-2020《信息安全技术 个人信息安全规范》指出：“个人信息控制者作出委托行为，不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形”，但并未正面回答若超出范围后如何处理，以及是否需要专门授权的问题。

个人信息保护法第二十一条对“委托处理”情形明确了以下关键问题：(https://www.daowen.com)

1.法律认可“委托处理”情形的存在。

2.当个人信息处理者委托受托人处理个人信息时，需要签订委托处理协议来约定双方的权利义务关系。

3.委托人有监督受托人的义务，避免受托人超出协议约定处理数据或者违规转委托。

4.受托人需严格在委托人（个人信息处理者）的委托范围内处理数据，不得再转委托。

5.个人信息处理者委托受托人处理个人信息，此种委托行为无需取得用户的授权同意。

6.在委托关系终止、解除或者无效后，受托人应当将个人信息返还给个人信息处理者或者予以删除，不得保留。

委托第三方处理个人信息是数字经济发展中一种普遍常见的业务活动，正式公布的个人信息保护法本条与草案二审稿相差不大，相较草案一审稿，草案二审稿对此处修改主要体现在三方面：一是将个人信息处理的期限纳入到委托方和受托方的约定内容中，即个人信息处理者应当明确受托方留存所委托个人信息的具体时间。二是将受托方返还或删除受托个人信息的合同触发条件表述与民法典规定（第五百零七条规定：“合同不生效、无效、被撤销或者终止的，不影响合同中有关解决争议方法的条款的效力”）保持一致。三是增加了受托方在返还或删除受托个人信息后，“不得保留”的规定，使本款更加完整。补充强调一点：对于受托方，即使将个人信息交由母公司、子公司等关联公司处理，也属于转委托，也需要获得委托方的同意方可转委托。

委托第三方进行个人信息处理从法律关系上界定属于委托合同的具体类型，委托事项为个人信息处理。^[6]根据我国民法典的规定，在委托代理法律关系中，委托代理人的权限来源于被代理人的委托。^[7]基于该等规定，处理个人信息的委托代理人无法脱离被代理人意志自主决定处理个人信息的目的与处理方式。

个人信息保护法第二十条共同个人信息处理者与第二十一条委托关系中的受托方的区别在于，受托方并非个人信息处理者，而应当在委托方的授权范围内进行个人信息处理。委托其他信息业者进行个人信息处理，应当属于特别委托而非概括委托，委托方应当向受托方明确所委托的个人信息处理事项范围，受托方仅可在授权范围内进行个人信息处理。委托方对受托方有监督义务，受托方的义务是按照委托方的指示进行个人信息处理，不得超过委托范围。委托个人信息处理是以对受托方业者的技术能力、数据安全能力等的信任为基础的。

此外，个人信息保护法第五十九条规定了受托人的个人信息保护义务，“接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务”。根据该规定，受托人应同样遵循个人信息保护法第五章关于个人信息处理者的义务的规定。

个人信息保护法第二十一条并未要求在委托处理的情形下向个人告知受托方的信息，亦未特别规定该等委托处理需征得个人同意。《信息安全技术 个人信息安全规范》在第9.1条关于委托处理的规范中也没有此类要求。之所以需要讨论该等问题，是因为个人信息保护法第二十三条规定，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意……”网络安全法第四十二条也规定，“……未经被收集者同意，不得向他人提供个人信息……”由此一来，如果委托第三方处理数据被认定为包含向第三方“提供”数据的行为，则应当适用于前述披露受托人身份、委托事项以及征得个人同意的法律规定。但需注意，该等“提供”行为的本身，不应剥夺接收方处理该等个人信息的自由意志；而“提供”的对象（即“他人”）应当是“个人信息处理者”。因此，个人信息保护法第二十一条与第二十三条之间不应存在法律竞合的情况。

需注意，个人信息保护法的部分规定与现有的法律法规之间存在不同的设计，或可能有冲突情况。例如，在个人信息委托处理的场景下，受托人无法自主决定个人信息的处理目的与处理方式，显然不属于个人信息处理者，且通过反向解释个人信息保护法第二十一条第三款，发现只需要获取个人信息处理者的同意，受托人就能转委托他人处理个人信息。而民法典第一百六十九条所规定的转委托规则要求转委托需要取得被代理人的同意或者追认。换言之，个人信息保护法在个人信息委托处理场景下，将个人信息处理者界定为被代理人，这是否在一定程度上有损个人信息主体对于个人信息的自主控制权，仍有待进一步商榷。

【适用指南】

一、不能规避责任

“委托处理”法律关系的构建，对于受托人来说，可能带来两大益处，一方面，可能基于委托人的便利性和客户体验，无需获得用户单独同意；另一方面，自身作为受托人可能无需承担“共同处理”法律关系下的连带责任风险。为此，未来不排除存在通过构建“委托处理法律关系”来规避个人信息处理者义务和责任的趋势。

但不管是基于金融监管的“穿透原则”，还是《全国法院民商事审判工作会议纪要》^[8]与目前实务中法院对于“探索真实意思表示”^[9]的基本原理，仅仅通过协议文本或者通过协议抬头来规避共同处理的实质，是行不通，也是存在巨大法律风险的。

二、履行对受托方的监督义务

个人信息保护法第二十一条要求委托方对受托方进行监督，倘若由于故意或者重大过失导致其未能监督到位，可能存在被处罚及诉讼风险。但此条并未对具体的保护措施进行明确。而具体的落地措施则可参照《信息安全技术 个人信息安全规范》。

《信息安全技术 个人信息安全规范》第9.1条规定了个人信息处理者可采取的多种监督行为：

（1）通过合同方式规定受委托人的责任和义务，并对委托行为进行个人信息安全影响评估，确保受委托者达到相应的数据安全能力要求（即受托方拥有满足相应国家标准的适当的数据安全能力，拥有必要的管理和技术措施，能够防止个人信息的泄露、损毁、丢失和篡改）；

（2）对受委托者进行审计。

由于对个人信息的处理是处于动态之中的，这意味着个人信息处理者对受托方的监督也应为动态监督，仅在合同中要求受托方作出承诺难以保障委托行为的实质合规。个人信息处理者可以定时或不定时要求审查受托方的个人信息处理记录、共同管理数据库权限、调整数据传输接口等方式进行相应管理，从而切实地履行己方的监督责任。个人信息保护法虽然并未明确受托方违法违约处理个人信息情况下的责任承担，但从加强约束和威慑的角度，委托方可以在合同文本中加重受托方违法违约处理个人信息的违约责任。

三、个人信息的返还或删除

个人信息保护法第二十一条要求，明确了委托进行信息处理的相关合同效力基础消灭后，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。严格依照文义解释，可以发现，受托人也无法通过匿名化的技术措施将数据进行保留。此条明确要求删除的规定或许能成为第十九条适用的参考。第十九条中规定个人信息保护的最短时间，但并未明确若超期后是进行删除、匿名化处理还是合理转移。参考第二十一条的规定，当处理的合法性基础消灭后，原则上应当进行删除，不得以任何方式保留。

在实践操作中，合同履行完毕的信息返还或予以删除较为容易，而在合同履行过程中，个人信息主体撤回其授权同意而导致委托关系解除的情形则较为复杂。欧盟GDPR第十九条要求数据主体在撤回同意后，数据控制者有义务告知数据共享的第三方（无论其是数据控制者还是数据处理者）数据主体已撤回同意，并要求第三方删除数据主体的相应信息并停止进一步的处理。依据GDPR引言中的第六十六条的描述，第十九条的主要目的在于强化数据主体撤回权在信息网络时代的运用，保障其相应信息在网络上“彻底消失”，鉴于数据在网络上分发/共享后控制的难度，这一要求给网络信息处理者增加了极大的义务负担。

个人信息保护法与GDPR规定类似，即在个人信息主体撤回同意后，若无第十三条所规定的其他个人信息处理的合法性依据，个人信息处理者应告知受托方个人信息主体撤回授权这一事实，同步解除针对该撤回同意的个人信息主体的信息委托处理关系，要求受托方从各个处理系统（包括备份系统）中删除个人信息主体的相关信息，并保证其在技术上难以复原。若是受托方由于自身原因造成信息泄露或侵权的，则可能被侵权人会要求赔偿，也可能据此承担相应违约责任。

为保障个人信息保护法第二十一条的要求切实落地，委托方需建立一套应对个人信息主体撤回授权的处理机制，以有效规避由于第三方未及时删除个人信息而引起的处罚与纠纷。

【相关规定】

《中华人民共和国民法典》第一百六十九条、第五百零七条；《中华人民共和国网络安全法》第四十二条。

第二十二条 【转移个人信息】

【条文主旨】

本条是关于因合并、分立、解散、被宣告破产等原因需要转移个人信息情形下的要求的规定。

【条文理解】

一、“同意”的要求

对比本法草案一审稿与二审稿对告知同意的表述，可以发现二审稿中最后一句话将“向个人告知”这一表述删除。正式法条中保留了这一修改。基于此需要探讨，第二十二条中“重新取得个人同意”如何理解？

《信息安全技术 个人信息安全规范》第5.4条b）提出，“收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。”该条款着重强调了个人信息主体的自主意愿表示。

欧盟GDPR以及《通用数据保护条例（GDPR）下的同意指南》中也指出，同意作为数据处理的合法基础的前提是，个人数据主体对自己的数据有实际的控制权并且有真正的选择（genuine choice）。

从上述两则规范中可以得出结论，同意的内涵是指个人信息主体在完全知情的基础上自主给出的、具体的、清晰明确的真正选择。本条规定与《信息安全技术 个人信息安全规范》第9.3条类似。在理解上，本条的适用范围仅限于以第十三条第一款第一项“取得个人的同意”为合法性基础的信息处理。

个人同意是处理个人信息的合法性基础之一，告知则是个人信息处理者必须要履行的义务之一，两者虽然在实践中的关联度很高，但在法律规定上视为两个有所区别的不同概念。草案二审稿和正式法条最后一句中删去“向个人告知”，主要是考虑到告知义务的履行同样存在例外情形，例如个人信息保护法第十八条规定：“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。”可见，若只单独规定“向个人告知”可能会引起上下条文矛盾或比较烦琐的表述，因而将其删去。但需要注意的是，删去“向个人告知”并不会减少企业实际的合规义务，因为在实践如果要取得个人同意，必然需要进行充分的告知。

二、变更目的和使用方式需履行的义务

从接收方的义务看，应当继续履行个人信息处理者的义务，在变更处理目的和处理方式的情况下还需要重新向个人告知并取得同意。需要指出的是，本条的适用与本法第十三条也可能存在冲突。如果不是适用第十三条第一款第一项“取得个人的同意”而是适用第十三条第一款的其他项处理个人信息，比如“为履行法定职责或者法定义务所必需”而处理个人信息，按理是无需获得个人同意的，如果接收方基于履行法定职责或者法定义务所必需而变更处理目的和处理方式，从理解的角度，仍然无需获得个人的同意，而仅仅进行告知即可。但个人信息保护法第二十二条规定所有变更都需取得同意，仅规定了一项处理的合法性基础，与第十三条之间如何协调仍值得商榷。

“变更处理目的和处理方式后需履行一定义务”的要求体现了“目的专用原则”，目的专用原则（Purpose Limitation Principle）又被一些国内学者称为目的限制原则。

目的专用原则要求“数据只因特定、明确且合法的目的而收集，且随后不得以与该目的相矛盾的方式进行处理”。有学者指出，现有法律规定没有区分数据使用和处理中的目的变更和语境变更。^[10]所谓语境变更，是指后续处理过程中的数据使用，不仅包含超出了原定的目的范围，同时，还因为数据控制主体将数据转让给第三方，当第三方开始再利用这些数据时，数据的处理语境已经发生了变更，这就是个人信息保护法第二十二条中规定的“转移给接收方”的情景。语境变更区别于一般的目的变更的一个关键点就在于是否有流通给第三方的环节介入。

个人信息保护法也注意到这一情况，故而要求在“转移给接收方”这种语境变更的情况下，一方面，原先的个人信息处理者要告知个人信息主体接收方的信息；另一方面，若接收方变更了目的，则需重新获取个人信息主体的同意。

【适用指南】

一、转移情形下的义务

本法草案二审稿中“需要转移个人信息的”情形仅列明“合并、分立等”，但正式法条中补充了“解散、被宣告破产”。此条与《信息安全技术 个人信息安全规范》第9.3条相类似，个人信息保护法也提出了合并、分立等需要转移个人信息情形下个人信息处理者和接收方的义务。

本条是关于个人信息承继的规范。公司在开设之后可能面临被兼并、收购、分立、解散和被宣告破产等情形，因此个人信息保护法规定了公司因合并、分立等原因需要转移个人信息的相应规范。首先需要明确的是，本条并非规定的是将个人信息转移给第三人，仅是个人信息承继的一种规范。根据法条文义解释，当公司出现合并、分立等需要转移个人信息的，合并和分立后的公司只需要履行通知义务（向个人告知接收方的名称或者姓名和联系方式）即可，而无需另行获得相应授权。只有当“接收方变更原先的处理目的、处理方式的”，才会需要向个人“取得同意”。

二、告知接收方信息的义务

本法草案一审稿和二审稿的表述皆是“接收方的身份、联系方式”，但接收方的“身份”需要具体到何种程度并未说明，故而正式法条改为“接收方的名称或者姓名和联系方式”，规定更为明晰。“提供接收方信息”这一要求在个人信息保护法第二十三条中也有体现：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”对比可发现第二十三条关于“提供接收方信息”的内容更多，还包括“处理目的、处理方式、个人信息的种类”。

“提供接收方信息”这一要求与此前对SDK^[11]的监管要求相一致。根据《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的要求，在App嵌入相关SDK时，需要向用户告知所接入的涉及个人信息收集的SDK的名称，SDK收集的个人信息类型、目的和方式，申请的敏感权限、申请目的等，并征得用户同意。若SDK需向用户单独告知收集使用个人信息的行为，App需为其中无单独页面的SDK提供向用户告知的便捷渠道。^[12]

较之个人信息保护法第二十三条和《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的要求，个人信息保护法第二十二条“提供接收方信息”的要求最低，提供的信息最少，且无需再次获得个人信息主体的授权同意。

三、接收方变更处理目的和方式需履行的义务

变更涉及多种情况，如变更法律主体，变更隐私政策，变更授权目的，或者不再处理个人信息。不同变更情形企业所需履行的具体义务也有所差别：

（1）若仅变更法律主体，此时可以通过公告等方式告知个人信息主体；

（2）若需改变隐私政策中列明的个人信息处理目的、方式和范围，则需重新取得个人信息主体的明确同意，比如某App要把相关数据用于其他用户并未授权的目的，与其他业务相融合，此时需要弹出隐私政策，重新取得用户授权；

（3）若业务直接停止，此时不会有接收方，则需要提前发布公告，给个人信息主体留出充足时间处理其个人信息。

【相关规定】

《中华人民共和国个人信息保护法》第十三条、第二十二条。

第二十三条 【提供个人信息的单独同意与重新同意】

【条文主旨】

本条是关于向其他个人信息处理者提供信息的要求的规定。

【条文理解】

本条与第二十二条规定结构类似，第二十二条是规定个人信息处理者转移个人信息的情形，本条涉及个人信息处理者向其他个人信息处理者提供个人信息的情形。主要涉及三方主体的权利义务关系：个人信息主体、原始个人信息处理者、接收方。

本条关于“取得同意”的义务与网络安全法的规定类似，网络安全法第四十二条第一款规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”，采取反向规定的方式，即若是取得被收集者同意，即可向他人提供个人信息，这与个人信息保护法第二十三条“并取得个人的单独同意”一致，仅是网络安全法采取反向规定，而个人信息保护法采取正向规定，并明确是“单独同意”。

民法典第一千零三十八条第一款也有相关规定，“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外”。可以发现，民法典的规定与网络安全法的表述类似，区别在于民法典要求“不得向他人非法提供其个人信息”，强调了“非法”，在个人同意条件上还要求符合法律规定。

《信息安全技术 个人信息安全规范》第9.2条有相似规定，“……向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外……”对比可以发现，个人信息保护法中规定为“向其他个人信息处理者提供……”，而《信息安全技术 个人信息安全规范》采取的是“共享、转让”的表述，对比概念关系，“提供”概括性更强，更为周延。

本条与第二十条至第二十二条的关系可参见日本《个人信息保护法修正案》第二十三条的规定。日本《个人信息保护法修正案》第二十三条第二款为“个人信息处理业者向第三方提供个人信息”的相关规定，第三款明确受托人、企业合并继承、共同信息处理者不属于该条所述的“第三方”。

“告知接收方信息”的要求在SDK的治理中也有类似规定，根据《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的要求，在App嵌入相关SDK时，需要向用户告知所接入的涉及个人信息收集的SDK的名称，SDK收集的个人信息类型、目的和方式，申请的敏感权限、申请目的等，并征得用户同意。SDK作为典型的提供服务的第三方，因存在大量的恶意行为、违法违规收集使用个人信息等问题，而被强制要求披露名称及处理的个人信息类型、目的和方式。个人信息保护法第二十三条中描述的向第三方提供个人信息的行为，其对个人信息主体的安全影响与SDK相类似。

此外，体系性理解个人信息保护法第二十条至第二十三条，可以发现，虽然相比于GDPR所规定的数据控制者（Data Controller）和数据处理者（Data Processor），个人信息保护法仅用“个人信息处理者”一个概念表述，从比较法角度存在差异理解问题，但个人信息保护法通过委托处理（第二十一条）和转移处理（第二十三条）两种方式的规定，实际上充分考虑了以“数据控制者”和“数据处理者”为理解背景的场景适用。从周延性的角度来说，并无实质不同。

【适用指南】

“第三方”目前并不是十分准确的法律概念，民法典中使用“第三人”的概念（未出现“第三方”），而且通常是指与双方当事人之间的诉讼标的有独立请求权或利害关系的他人。因此，草案二审稿将“第三方”修改为外延更大的“他人”概念，正式法律进一步修改为“其他个人信息处理者”，概念更为周延，也与民法典保持一致，将接收个人信息的他人明确为“接收方”概念，也更通俗易懂。

在向他人提供其处理的数据时，为了在最大程度上减少合规风险，需要将数据接收方的相关信息告知个人用户。而当前很多企业没有认识到将数据接收方披露的重要性，例如某啤酒厂商在其小程序的活动规则中有明确提到其收集的个人数据将会涉及第三方传输，但是并没有将接收方是谁披露出来，也没有提供联系方式，会产生较大的合规风险。

因此，企业在合规过程中需注意：

（1）除非属于个人信息保护法第十三条同意例外的事项，否则个人信息的共享需要取得个人的单独同意，例如App中小程序要获取用户账号信息时，应当通过弹窗授权的方式获取；

（2）个人信息的提供需要与接收方之间签署相关协议，约定权利义务关系，符合法律要求；

（3）接收方如果将相关个人信息用于用户没有单独同意的事项，则需要重新取得用户的授权同意；

（4）如果实践中既需要共享用户个人信息，又难以取得用户单独同意的，可以对相关个人信息进行无法识别个人且不能复原的匿名化技术处理。

在实践中禁止非法提供个人信息，例如“××堂非法提供个人信息案”^[13]。2019年2月19日，临沂市中级人民法院对该案作出二审判决，一审中全部21名被告终审判决有罪，刑期从十个月到四年六个月不等，且均并处罚金。该案被告人数之所以高达21人，是因为被告人既包括信息出售方、也包括信息购买方；既包括数据公司的负责高管，也包括了直接参与信息处理、交易的销售、技术等岗位员工。其中6名被告为××堂公司员工。××堂成立于2011年，其自称是一家专注于线下数据的互联网综合服务公司。

法院查明，××堂的营销产品线在运营时，由资源合作部购入数据，该案某被告之一所在的资源平台部负责接收数据，并将数据放入公司集群。另一被告所在的技术组根据产品组要求，将集群上的数据根据用户兴趣、爱好等分别打上不同标签，之后依据客户需求向其传输数据。

根据刑法第二百五十三条之一，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役。该罪最高刑罚为七年。按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的；住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的；其他公民个人信息5000条以上的；违法所得5000元以上的，构成“情节严重”标准。此外，利用非法购买、收受的公民个人信息合法经营获利5万元以上的，也构成入罪的“情节严重”标准。

本案清晰地解答了在“侵犯公民个人信息罪”认定中，公司内部不同级别和岗位员工责任的认定问题，即在公司上、下级员工共同参与信息交易，且信息收集、处理、交易各环节由不同岗位员工分别完成的情况下，不同职级被告人的犯罪地位、作用如何认定，上级员工能否以没有直接实施具体交易行为为由减轻处罚，下级员工能否以被动执行公司职务为由免除刑责，技术岗位员工能否以仅负责技术问题未参与业务为由免除刑责？

本案的两审法院在判决中回答了以上问题，即被告人在企业中的职级以及具体分管的业务，直接决定了法院如何认定其在犯罪行为中所实际发挥的作用，即使存在高管被告人向下级授权、其并不具体实施犯罪行为的情况，此时法院依然会认为高管被告人对相关犯罪事实“应当知道”，因而并不能免除其所应当承担的主管责任；侵犯公民个人信息罪属于故意犯罪，若法院基于在案证据认定被告人知道或应当知道其所从事的技术工作属于犯罪行为的一部分，那中立性的技术工作便同时成为主犯犯罪的帮助行为，这种情况下，技术岗位员工当然应负刑事责任。

【相关规定】

《中华人民共和国网络安全法》第四十二条；《中华人民共和国民法典》第一千零三十八条；《中华人民共和国刑法》第二百五十三条之一。

第二十四条 【自动化决策】

【条文主旨】

本条是关于利用个人信息进行自动化决策的规定。

【条文理解】

个人信息保护法吸纳了电子商务法第十八条和《信息安全技术 个人信息安全规范》第7.5条关于定向推送和个性化展示的规定，在第二十四条新增了对自动化决策的规定，在一定程度上保障了个人信息主体的选择权、知情权和决定权，并针对公众热议的“大数据杀熟”问题进行回应。

第一款要求自动化决策的过程透明、结果公平。

第二款中通过自动化决策方式进行商业营销、信息推送的行为在电子商务法第十八条、《App违法违规收集使用个人信息行为认定方法》第三点中均有类似规定。此前在《信息安全技术 个人信息安全规范》第7.5条中，也对向个人信息主体提供电子商务服务或推送新闻信息服务中使用个性化展示的行为进行了约束，但对提供电子商务服务的个人信息控制者的要求与提供推送新闻信息服务的个人信息控制者的要求不同。推送新闻信息服务的个人信息控制者不仅需要同时向消费者提供不针对其个人特征的选项，还应当向个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。个人信息保护法草案二审稿的修订，将个人信息主体的退出权利拓展到了商业营销中，是立法实践中的进步。

第三款“个人有权要求个人信息处理者予以说明”是否规定了算法解释权存在争议。法国1972年《关于信息技术、数据文件和公民自由的信息自由法案》、1978年《数据保护法》，经济合作与发展组织《隐私保护与个人数据跨国流通指南》第十二条和第十三条，欧盟1995年《数据保护指令》第十二条均规定了算法解释权。GDPR第十三条第二款第（f）项和第十四条第二款第（g）项也规定，数据主体有权了解自动化决策涉及逻辑的有意义信息和该处理对数据的设想后果和重要性。在我国，有学者认为，算法解释权已成为学界共识并在多国实践中展开。^[14]也有学者认为，本条规定是在相对人遭受重大损害时，算法使用人应承担的重要信息说明义务，属于相对人知情权的范畴。^[15]

第三款后半段明确了信息主体拥有反自动化决策权。GDPR中的第二十二条第一款规定了信息主体对自动化决策的拒绝权，但第二款同时列出了几种除外情况：“（1）自动化决策的决定是缔结、履行个人数据主体与数据控制者之间的合同所必需的；（2）欧盟或成员国法律授权数据处理者所作的，并且该等法律也同时提供了保护个人数据主体权利、自由及合法权益的适宜措施；（3）个人数据主体已给予了明示同意。”

虽然在除外情况的（1）、（3）两种情形中，个人数据主体也至少有权表达反对意见并要求数据控制者进行人工干预，但情形（2）赋予欧盟及其成员国通过其他法律约束个人信息主体该项权利的权力。GDPR第二十条第二款规定，在基于合同、法律或同意的例外情形下，信息主体不享有拒绝权但享有第三款赋予的异议权。

个人信息保护法第二十四条虽然强调了利用个人信息进行自动化决策，应当保证决策的透明度，但该透明度具体在实践中该如何体现，暂未有详细的说明。参考《信息安全技术 个人信息安全规范》第7.5条第d）项的要求，“在向个人信息主体提供业务功能的过程中使用个性化展示的，宜建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力”。给予个人信息主体调控个性化展示相关性程度的能力不失为展现决策透明度的一种表现。

个人信息保护法一审稿第二十五条第一款允许个人信息主体在其“认为自动化决策对其权益造成重大影响”时，要求个人信息处理者予以说明和拒绝个人信息处理者仅以自动化决策的方式作出决定，这可能导致个人信息主体随意向企业提出说明请求，大大增加企业应对个人信息主体行权的负担。草案二审稿第二十五条第三款删去了“个人认为”的主观前提，将重大影响的判断由主观标准调整为客观标准，降低了个人信息主体滥用权利的可能性。

对通过自动化决策方式进行商业营销、信息推送的，除了一审稿已规定的、通常适用于App场景下的“提供不针对个人特征的选项”之外，草案二审稿增加了“向个人提供拒绝的方式”这一选项，为个人信息主体提供了更多的选择。

【适用指南】

近年来，一些商家通过收集、分析个人信息并进行“大数据杀熟”的行为，受到社会各界诟病。个人信息保护法对“大数据杀熟”等问题作出规制，其充分赋予个人自主选择是否接受自动化决策的权利。^[16]

与此同时，2021年8月17日，市场监管总局还起草了《禁止网络不正当竞争行为规定（公开征求意见稿）》，其中明确了：利用数据、算法等技术手段，通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式，对交易条件相同的交易相对方不合理地提供不同的交易信息，侵害交易相对方的知情权、选择权、公平交易权等，扰乱市场公平交易秩序，实施“大数据杀熟”的行为，均会受到《反不正当竞争法》的限制。^[17]

但需要注意的是，数据和技术一样，本身具有中立性，将算法分析可能导致的价格歧视归咎于数据处理有“原罪”，因而要求限制数据的收集和使用是非理性的。其实，“大数据杀熟”问题和数据的收集无关，关键在于所收集数据的使用是否合法正当。事实上，无论是个人信息保护法抑或2021年2月7日颁布的《国务院反垄断委员会关于平台经济领域的反垄断指南》，其规制对象皆仅为无合理理由的基于价格的差别化待遇，由此，“差异化定价”合规与否应依业务场景判断，不宜一律打上“大数据杀熟”的标签，而其判断的关键在于是否会侵犯消费者权益，有损消费者福利。随着数字技术的普及，经营者能够通过监视个人的在线行为来收集有关消费者的详细信息。这也导致反垄断法在规制个性化定价算法的标准上与规制传统价格歧视行为时有所不同，需要在适用法律时给予高度关注。^[18]但差异化定价背后的原因很复杂，因为大数据的算法模型是否会导致歧视的产生取决于数据数量和质量。差异化定价法律规制的真正难题在于如何协调经营者的商业自由（包含定价自由）与交易公平（尤其是消费者的交易公平）。例如定价算法解释具体规制规则的设定，需要综合考虑自动化决策场景中的“算法可解释性”与“决策真实性”之关联，以及企业商业秘密保护的需求。^[19]

近期，杭州互联网法院对一起涉及算法自动化决策的司法审查案件作出判决。^[20]在该案中，被告所运营的网站平台以大数据排查的方式认定原告账户存在“流量异常”，冻结其佣金17万元。原告则以协议条款不符合公平规定、平台未披露判定流量异常证据等为由，要求平台解除对自身账户的冻结。法院认为，平台利用算法进行自治具有正当性，用户也有权对自动化决策提出怀疑和申诉，而司法机构不能仅凭大数据专业分析报告进行司法审查。目前该判决已生效，这意味着平台根据算法进行自动化决策有了更权威的标准。

此条可能会在今后的实务应用中与相关AI算法的监管结合比较紧密。

从自动化决策的过程和结果要求看，与GDPR第二十二条相类似，个人信息安全法强调自动化决策的透明和处理结果的公平合理，并为个人提供了救济途径。举例来说，在金融借贷场景下，如果依据数据模型自动决定个人贷款额度的，个人可以要求个人信息处理者作出说明并有权拒绝个人信息处理者仅以数据模型自动决策的方式作出决定，相对应地，在个人依据本条提出权利主张的情况下，个人信息处理者可能需要对个人的贷款额度进行人工复核。

总结而言，企业在合规中需注意：

（1）实践中涉及个性化推荐（如个性化广告投放等）的，应当设置一键退出个性化推荐的选项；

（2）个性化推荐以外的算法自动化决策，比如利用算法来判断是否具有贷款资格，是否具有购房资格的，需要保留人工客服通道，允许用户对算法提出挑战，进行人工复核；

（3）如果利用算法进行自动化决策涉及收集使用个人信息的，应当通过隐私政策或用户协议等方式明确告知个人信息主体。

【相关规定】

《中华人民共和国电子商务法》第十八条；《App违法违规收集使用个人信息行为认定方法》；《国务院反垄断委员会关于平台经济领域的反垄断指南》。

第二十五条 【个人信息公开】

【条文主旨】

本条是关于个人信息公开的原则要求和例外情形的规定。

【条文理解】

本条规定个人信息“以不公开为原则，以公开为例外”。

民法典第一百一十一条明确规定“不得非法买卖、提供或者公开他人个人信息”；《信息安全技术 个人信息安全规范》第9.4条规定了“个人信息原则上不应公开披露”，以及“个人信息控制者经法律授权或具备合理事由确需公开披露时”应符合的具体要求。

对比个人信息保护法草案二审稿与一审稿对第二十六条（即正式法条中第二十五条）的表述，可以看到二审稿删去了“法律、行政法规另有规定的除外”这一表述。正式法条与二审稿保持一致，删去的原因或许是避免表述的冗余。个人信息保护法第十三条已对个人信息处理者处理个人信息的合法性基础进行了列举，囊括了“（三）为履行法定职责或者法定义务所必需”；及“（七）法律、行政法规规定的其他情形”。

鉴于个人信息保护法第四条第二款规定了“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。因而“公开”作为个人信息处理的一种方式，其合法性基础也为第十三条所涵盖。故第二十五条着重强调的是在处理个人信息的合法性基础是个人的同意时，针对个人信息处理者“公开”这一行为，对其获取个人的“同意”是否有特殊要求。

此外，关于个人信息公开的规定还体现在个人信息保护法第二十七条，即“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意”。

【适用指南】

当前，出于政府信息公开、司法透明、建设社会信用体系等诸多目的，多个政府机关通过其主办的网站（如国家企业信用信息公示系统、信用中国网、中国裁判文书网、中国执行信息公开网等）经常性地发布一些可能含有公民个人信息的内容，这些网站已然成为我们查询、了解市场主体信用情况的重要途径，政府也成了大量信息的原始采集者。此种公开目的是基于履行法定职责。

实践中泄露出来公开出售的信息，包括公民信息，银行、证券等金融机构的客户信息，各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户、用户信息。^[21]

因此，针对此种非法公开个人信息的行为，个人信息保护法予以严厉规制，其要求除非取得单独同意，否则不得公开处理个人信息。

单独同意是指个人信息处理者要针对特定的数据处理活动征得个人的同意，且不能与其他的征得同意活动捆绑在一起，但其仍旧属于个人同意的范畴，仍可以适用于个人信息保护法第十三条最后一款规定。因此本法草案二审稿将“法律、行政法规另有规定的除外”删去，并不意味着企业在公开披露个人信息时必须取得个人单独同意。企业仍可以援引本法第十三条第一款第二项至第七项规定的合法性基础，而无需取得个人同意。

从原则要求看，以不公开为原则，因为一般来说，公开个人信息可能会加大个人信息权益受侵犯的风险；从例外情形看，取得个人单独同意或者法律、行政法规另有规定的情况下可以公开个人信息。对于取得个人同意公开个人信息的情况下，需要遵循个人信息保护法的一般要求，即向个人告知并确有必要公开。

实践中，经常发生个人同意进行的个人信息处理活动，但在个人信息处理期间发现个人信息处理者存在“过度处理”其个人信息的行为，该个人想撤回其之前的同意，但在网络平台的环境下，个人撤回其同意的行为必须得到个人信息处理者的配合，否则个人无法实现所谓“有权撤回其同意”之目的。个人信息保护法确立的未经个人单独同意不得公开个人信息，以及“个人信息处理者应当提供便捷的撤回同意的方式”的个人信息处理规则，遵循了“以人民为中心”的理念，体现了数据私权至上的个人信息处理规则。

若是未经本人允许或授权擅自将其个人信息在网络上进行公开，侵害了公民的个人信息，应承担侵权责任。例如，王某某向济宁市任城区人民法院起诉称：2020年9月4日，被告王某甲、王某乙未经原告王某某同意将含有原告王某某身份信息（姓名、身份证号码、出生日期、家庭住址）的济宁市任城区人民法院（2020）鲁0811民初8423号民事调解书通过网络发布，严重侵犯王某某个人隐私。2021年1月19日，公安机关对二被告作出罚款500元的行政处罚决定。为维护原告的合法权益，根据民法典的相关规定，诉请：判令二被告以书面方式向原告赔礼道歉，并将其书写的赔礼道歉信在其全部社交圈（即在被告微信圈或报纸）中公开发布，消除影响，恢复名誉；判决二被告向原告支付经济赔偿金3万元；诉讼费等费用由被告承担。

被告王某甲、王某乙辩称：1.本案为隐私权、个人信息保护纠纷，并未对原告的名誉权产生影响。2.原告要求被告在其“全部社交圈中公开发布”的诉求也是一种不明确的诉讼请求。被告将未打马赛克的调解文书发布系失误操作，发现后立即删除了相关原始载体的照片，主动停止了侵权行为，且原始载体为济宁市任城区人民法院为原被告双方制作的调解书，显示的内容是原被告双方在真实意思表示下对其权利义务的处分，原始载体中的内容并未侵犯原告的名誉权，也未对原告造成任何的经济影响、精神影响。3.在认定人格侵权责任应考虑的主要因素中，应当考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素。综上，原告的诉求不应得到法院的支持，请求法院依法判决驳回原告的诉讼请求。

济宁市任城区人民法院判决：一、被告王某甲、王某乙于判决生效之日起十日内在其发布（2020）鲁0811民初8423号民事调解书的两个贴吧所辐射到的网络影响范围内公开向原告王某某赔礼道歉；二、驳回原告王某某的其他诉讼请求。判决后双方当事人均未提出上诉。^[22]

民法典将个人信息作为人格权范围内的一项重要民事权益予以保护，说明对个人信息的保护可以采取人格权的保护方法，民法典第一千一百六十五条第一款是个人信息遭受侵害的被侵权人的请求权基础，即在归责原则上均为一般过错责任。本案中，被告王某甲、王某乙将含有原告王某某姓名、身份证号码、出生日期、家庭住址等个人信息的民事调解书通过某网络平台发布，未经作为个人信息主体的王某某同意，王某甲、王某乙对发布王某某个人信息的行为存在主观过错，且该行为对王某某的生活安宁造成滋扰。故王某甲、王某乙的上述行为构成对王某某合法权益的侵害，应承担侵权责任。

个人信息保护法颁布后，也可以成为个人信息主体寻求救济的新依据，具体适用注意点仍待未来司法判例进行阐释。

总结而言，企业在合规时需注意：

（1）公开个人信息前，必须取得个人的单独同意；

（2）如果依据法律进行公开的，则不需要单独同意，例如公开违法犯罪人员个人信息的。

【相关规定】

《中华人民共和国民法典》第一百一十一条、第一千一百六十五条。

第二十六条 【公共场所图像采集与个人身份识别】

【条文主旨】

本条是关于公共场所安装图像采集、个人身份识别设备的规定。

【条文理解】

本条未将安装图像采集的主体限定为国家机关，即信息处理者涵盖一般主体。

在信息时代，人们在享受科技带来的便利的同时，也面临人脸数据等公民个人信息被滥用的焦虑和困扰。与之相伴的是公众对强化人脸信息保护的呼声渐高，期待搭建更完善的个人信息保护体系。2021年7月，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》公布，针对实践中反映的突出问题，对人脸识别技术的应用从法律层面进行规制。刚刚出台的个人信息保护法，也设立专章对敏感个人信息的处理原则进行规范。保护公民个人信息的法律网正在逐渐织密。

个人信息保护法第二十六条要求，在公共场所安装人脸识别设备的，应当为维护公共安全所必需，所收集的个人图像、个人身份特征信息也只能用于维护公共安全的目的，不得用于其他目的，除非取得了个人的单独同意。

在实践中，“公共安全”这一概念的含义并不十分明确。“维护公共安全”这一认定谁有权作出？是否需要批准程序？谁可以安装图像采集和个人身份识别设备？即使是出于维护公共安全的目的，如何防止信息被过度收集？这些问题都亟待配套规则予以细化。

同时，虽然经过个人单独同意，个人信息处理者可以公开或向他人提供所收集的个人图像及个人身份信息，但实践中个人信息处理者该以何种方式获得个人信息主体的单独同意？该问题也有待根据实践经验进一步探讨。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条前三项规定了应对突发公共卫生事件、维护公共安全、为公共利益实施新闻报道、舆论监督等行为处理人脸信息的合法性，第四项规定了基于“同意”的合法性基础。

【适用指南】

实践中已经存在公共场所安装图像采集、个人身份识别设备的情况，比如商场安装人脸识别摄像头，用于统计人流量和识别重要客户等。根据个人信息保护法的规定，前述场景下很难满足“维护公共安全所必需”的要求，“法律、行政法规另有规定”基本也难以适用，而“取得个人单独同意”同样存在很大难度。

值得注意的是，针对举证难的问题，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对举证责任进行了更合理的分配。在民事领域，“谁主张，谁举证”是一般情况下的举证规则。该规定充分考虑双方当事人的经济实力不对等、专业信息不对称等因素，在举证责任分配上给信息处理者更多的举证责任。针对一些App通过强制捆绑等不合理方式索取人脸信息等公民个人信息的问题，该规定和个人信息保护法都明确了“单独同意规则”，即App如果想要处理人脸信息等敏感信息，需要单独征得用户的同意。

为确保制度落地，个人信息保护法还专门设立公益诉讼条款，明确将个人信息保护纳入检察公益诉讼法定领域。对此，2021年8月21日，最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，要求各级检察机关深刻领会个人信息保护法设置公益诉讼条款的重要意义，进一步增强检察履职的责任感和紧迫感，切实加大办案力度，推动公益诉讼条款落地落实。^[23]

2021年的“3·15”晚会上，部分企业违法采集人脸数据事件被曝光引起社会关注。得知情况后，广东省检察院立即梳理相关线索，鼓励其他地市检察机关搜索本地媒体曝光的违法采集人脸数据的新闻线索，全省检察机关对部分辖区住宅小区、房地产售楼部、商场、培训机构等安装人脸识别系统的场景深入摸排。截至7月，全省共排查线索317条，惠州、江门、佛山、肇庆、广州、珠海、韶关、揭阳8个地市检察机关启动行政公益诉讼程序，立案249件，办理诉前程序案件34件。^[24]

之前，由上海市奉贤区检察院办理的一起侵犯公民个人信息刑事附带民事公益诉讼案公开宣判，庭审现场全程网络直播引起公众关注。该案中，2020年6月至9月，上海某网络科技公司程序员李某制作了一款能够非法窃取手机相册照片的“黑客软件”，将其伪装成“颜值检测”软件，在某网站发布，提供免费下载。用户安装该软件后，未经授权，软件就能窃取用户手机相册照片并自动上传存储至服务器后台。经查，该软件共窃取照片1751张，其中部分照片含有人脸信息、自然人姓名、身份证号码、住址等100余条公民个人信息。此外，李某还从非法渠道购买含有QQ账号、车房借贷等重要信息的“资料库”。出于炫耀，他将这些信息资料免费分享到某QQ群并提供下载。经鉴定，该资料库包含公民个人信息共计8100万余条。

2021年8月，奉贤区检察院以李某涉嫌侵犯公民个人信息罪向该区法院提起公诉，并提起刑事附带民事公益诉讼。检察官认为，被告人李某违反国家有关规定，非法获取并向他人提供公民个人信息，涉嫌侵犯公民个人信息罪。李某的行为同时侵犯了不特定多数人的个人隐私及个人信息安全，损害了社会公共利益，请求法院判令李某在国家级新闻媒体上公开赔礼道歉，下架并删除“颜值检测”软件及相关代码，删除存储的公民个人信息并注销侵权所用QQ号。

2021年8月23日，奉贤区法院对该案公开审理，当庭作出一审判决，以侵犯公民个人信息罪判处李某有期徒刑三年，缓刑三年，并处罚金1万元，同时支持检察机关全部公益诉讼请求。^[25]

2021年9月1日，江苏省市场监管局公布三起非法采集消费者人脸信息典型案例，分别为××掌公司销售×××会员识别分析仪及人脸识别服务、×樾公司楼盘售楼处采购安装具有人脸识别功能的摄像设备、×谦公司楼盘售楼处及洽谈区域安装人脸信息抓拍摄像机。以上案例均涉及非法采集消费者人脸信息行为。相关部门提醒，企业确需收集、使用个人信息，应当同时遵循合法、正当、必要原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。消费者如发现自身权益受到侵犯，可及时拨打12315服务热线进行维权。^[26]

总结而言，企业在合规时需注意：

1.基于安防监控等公共目的收集的视频图像，不得用于非安防监控目的。

2.要使用人脸信息用于非公共安全目的的，应当取得用户的单独同意，属于个人信息保护法第十三条规定的同意例外情形除外。

【相关规定】

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。

第二十七条 【已公开个人信息的处理】

【条文主旨】

本条是关于处理已公开个人信息的要求的规定。

【条文理解】

民法典第一千零三十六条第一款规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：……（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。

GDPR第九条第一款规定禁止处理特殊种类的个人数据，第二款第（e）项规定，对于被数据主体明确公开的个人数据除外。

个人信息保护法第二十七条规定，当处理已公开的个人信息对个人权益有重大影响时，才需取得个人同意。若个人信息主体将其个人信息公开在某个人信息处理者A控制的商业运营网站/平台上时，另一个人信息处理者B在获取该部分公开的个人信息时，是否需要取得个人信息处理者A的同意？本条的规定意味着个人信息处理者B在处理用户公开在个人信息处理者A的平台上的内容时，只要符合用户公开信息时的目的，在合理范围内使用，即不再需要A的授权。

【适用指南】

网络爬虫技术是采集大数据的主要方式之一，也是重要的大数据信息来源。但基于商业利益等因素的考量，部分网站会选择通过制定和公布机器人协议（Robots协议）或通过设置技术性障碍或通过平台服务协议等方式来限制或禁止外部爬虫访问特定的数据信息。若被爬取数据的网站并未开放或授权数据采集，以爬虫方式收集数据信息的行为可能会违反机器人协议，构成侵权、侵犯商业秘密或者不正当竞争；即使无Robots协议^[27]，根据爬取行为的严重性不同，也可能构成不同的侵权、违法甚至犯罪行为。

根据爬取行为的严重性不同，可能构成不同的侵权、违法甚至犯罪行为，见下表：

在个人信息保护法出台前，就B对用户授权A公开的数据的爬取/收集这一行为，我国的司法判例主要倾向于仍然需要获得A的授权，如甲公司诉乙公司不正竞争一案^[28]中，法院审理后认为，乙公司通过搜索技术从甲公司等网站获取信息，并将搜索引擎抓取的信息直接提供给网络用户，其和甲公司一样都向网络用户提供商户信息和点评信息，乙公司不仅是搜索服务提供商，还是内容提供商。乙公司通过××地图和××知道与甲公司争夺网络用户，可以认定乙公司与×涛公司（即甲公司的运营方）存在竞争关系。乙公司的搜索引擎抓取涉案信息不违反Robots协议，但这并不意味着乙公司可以任意使用上述信息，乙公司应当本着诚实信用的原则和公认的商业道德，合理控制来源于其他网站信息的使用范围和方式，否则其完全可以凭借技术优势和市场地位，以极低的成本攫取其他网站的成果，达到排挤竞争对手的目的。

个人信息保护法出台后，宣判了一起著名的“数据爬虫案”，即“丙公司与丁公司数据爬虫案”， 2017年，丙公司认为丁公司在其网站的Robots.txt文件中，仅针对丁公司软件进行限制，阻止丁公司软件的网络机器人抓取丁公司平台中对公众和其他所有网络机器人完全公开并可以自由访问的网站内容，这项行为违反了互联网行业公认的商业道德，构成不正当竞争。这成为本案的导火索，丙公司据此提起对丁公司的不正当竞争之诉。本案于2021年10月8日发布终审判决。

本案一审法院认为，丁公司对丙公司设置唯一黑名单的行为影响丁公司软件的使用，破坏公平竞争秩序，也违背开放信息的原则，违反行业公认的商业道德，构成不正当竞争。

二审法院认为，通过Robots协议对网络机器人进行限制并不当然违背互联网行业的商业道德；非搜索引擎场景应用与搜索引擎不同，因此在对非搜索引擎网络机器人通过Robots协议进行限制时，不宜当然地借用对于搜索引擎进行限制的规则；《互联网搜索引擎服务自律公约》仅可作为搜索引擎服务行业的商业道德，而不能成为互联网行业通行的商业道德；Robots协议的合法性，应结合协议设置方与被限制方所处的经营领域和经营内容、被限制的网络机器人应用场景、协议的设置对其他经营者、消费者以及竞争秩序的影响等多种因素进行综合判断。

本案最终认定丁公司系在行使其自主经营权，设置Robots协议限制抓取并非不正当竞争。

法律通常需要在公利和私利之间找到最佳平衡点，促成社会与个人的共同发展。诚如“丙公司与丁公司数据爬虫案”的二审判决书所述：“在判断Robots协议对于网络机器人限制行为的正当性时，其核心在于保护网站经营者的自主经营权与维护其他经营者利益、维护消费者利益、维护竞争秩序之间的平衡。”^[29]

但是在2021年的戊公司爬虫案中，戊公司的入罪原因，既不是在数据收集环节未经社保、公积金、运营商等平台授权爬取个人信息，也不是在数据提供环节向下游暴力催收公司提供数据服务，而是在未经用户授权的情况下非法留存数据而被判处刑罚。

2019年9月，戊公司被杭州警方调查。2020年9月10日，杭州市西湖区人民检察院以戊公司、周某、袁某犯侵犯公民个人信息罪，向西湖区人民法院提起公诉。

法院查明，2016年年初，被告单位戊公司由周某等人出资成立，被告人周某系戊公司法定代表人、总经理，负责公司整体运营，被告人袁某系戊公司技术总监，技术负责人，负责相关程序设计。戊公司主要与各网络贷款公司、小型银行进行合作，为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据，其方式是戊公司将其开发的前端插件嵌入网贷平台中，在网贷平台用户使用网贷平台的App借款时，贷款用户需要在戊公司提供的前端插件上，输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码，经过贷款用户授权后，戊公司的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。其间，戊公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的某服务器上。被告人周某知道公司存在保存用户账户密码的行为，未尽管理职责；被告人袁某负责编写具有保存用户账户密码功能的网关程序。截至2019年9月案发时，对戊公司租用的某服务器进行勘验检查，发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。其中大部分账号密码无法二次使用，仅有邮箱等部分账号密码存在未经用户授权被戊公司二次使用的情况。

法院认为，被告单位戊公司以其他方法非法获取公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。被告人周某、袁某分别系对被告单位戊公司侵犯公民个人信息行为直接负责的主管人员和其他直接责任人员，其行为均已构成侵犯公民个人信息罪。^[30]

透过此案可以发现，用户在账号内的信息，虽存储在第三方平台账户内，但经过用户单方授权许可，法院并未以此认定戊公司还需经过用户和第三方平台双重授权才能获取数据。这说明杭州市西湖区法院倾向于认同，用户存储在第三方平台账户内的信息，凭借用户单方授权即可，无需平台再次授权。

在民法典第一千零三十六条第一款第二项的基础上，个人信息保护法对于处理已公开的个人信息提出了更严格的要求。举例来说，A想要出售房子，自行在网络上发布了房子的信息和自己的联系方式。某汽车销售商B看到了A的联系方式，与A进行联系，但是是为了销售汽车而不是为了购买房子。在该例子中，汽车销售商的个人信息处理行为就很难被论证为是在A公开信息用途相关的合理范围内进行的处理。

总结而言，企业合规时需注意：

1.公开的个人信息可在合理范围内使用。例如采集公众人物的人脸图片，用于舆情分析和处置；采集公开的中介电话，用于制作中介通讯录。但是，如果用户明确提出拒绝使用的，应当不得使用或接到通知后立即删除。

2.公开的个人信息不得用于对用户权益有重大影响的用途。例如，将网上公开的明星照片用于业务的商业宣传，该使用可能会侵犯明星的肖像权。

【相关规定】

《中华人民共和国民法典》第一千零三十六条。