第壹節壹般規定
第十三條符合下列情形之壹的,個人信息處理者方可處理個人信息:
(壹)取得個人的同意;
(二)為訂立、履行個人作為壹方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公***衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公***利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;
(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
根據《個人信息保護法》第五條的規定“處理個人信息應當遵循合法、正當、必要和誠信原則”,那麽何為“合法、正當”呢?本條所解決的問題就是“合法、正當”的問題。 取得個人同意,在大多數沒有特殊關系和特別場景的情況下需要適用的規則。例如,我們的手機APP要收集哪些手機裏面的信息,需要經過我們的同意。 除了“取得個人同意之外”,在壹些特殊關系或者特定場景下,為了社會的正常運轉,考慮人們已經形成的慣常行為和習慣,可以不用經過個人的同意,也可以處理個人信息。這些情況是: 1、訂立、履行合同的需要。在簽訂合同的時候,我們需要寫清楚雙方當事人是誰。為了特定化當事人,需要寫入壹些當事人的信息,例如身份證信息。簽訂合同之後,履行合同的時候,由於履行的需要,雙方或者多方當事人得知道其他各方的壹些信息,例如聯系人的姓名、電話、郵箱、地址等等。如果沒有這些個人信息,會造成合同無法履行。 2、在勞動關系中,由於法律的規定以及繳納社保、公積金的要求,單位壹方往往需要知道員工很多的個人信息,這些信息相比簽訂履行合同所需要的的信息更多、更詳細。如果員工拒不提供個人信息,會導致單位無法依法履行其職責以及無法有效管理。 3、為履行法定職責或者法定義務所必需,指的是國家有關機關或者司法機關、事業單位,因為法律明確規定了他們的職責和義務,為了履行職責和義務,需要獲取個人信息的情況。例如,公安機關戶籍部門需要收集、整理公民的戶籍信息。 4、為應對突發公***衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需。這種情況在疫情期間表現的尤為明顯。在法律上,人的生命健康權是更高位階的權利。為了維護人的生命健康權,需要處理個人信息的,不用經過個人同意。不過,這裏面也有度的問題。,“ 應當限於實現處理目的的最小範圍,不得過度收集個人信息”,更不得濫用、非法轉讓和買賣收集到的個人信息。 5、在新聞報道中使用個人信息壹般屬於合理使用的範圍。之前的《民法典》第九百九十九條也規定:為公***利益實施新聞報道、輿論監督等行為的,可以合理使用民事主體的姓名、名稱、肖像、個人信息等;使用不合理侵害民事主體人格權的,應當依法承擔民事責任。 6、在《民法典》中,個人信息保護與隱私權保護放在了壹起進行規定,因為個人信息公開有可能侵犯其隱私權。但是,對於自行公開或者依法公開的個人信息,自然沒有隱私的問題,只要不侵犯其其他合法權益,是可以使用的。 其中,已經合法公開的個人信息,往往是因為法律的要求而公開的,有其他的社會價值。例如工商註冊信息、判決書、被執行人信息和限制高消費信息等。 有壹些APP就是通過集合已經公開的個人或者企業信息,進行進壹步的歸類,讓這些信息產生新的價值。 最後,規定了壹個兜底條款,為適應社會和法律的發展和變化留了余地,即“法律、行政法規規定的其他情形 ”。第十四條基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外。
從第十四條到第十六條是關於“個人同意”更為具體的規定。什麽叫“個人同意”?看上去是個簡單的問題,但是實踐中問題不少。例如,在網頁上或者APP上勾選電子協議或者各種方式的“告知書”,是否就算是“個人同意”呢?很長時間以來,不少網站和APP就是這麽做的。 可是,有多少人認真的看過電子協會或者告知書呢?服務或者產品的接受者之所以點擊“同意”,是因為不點擊同意就無法使用產品或者服務。電子協議或者告知書越寫越長,卻沒有什麽人看。這種情況下,貌似個人同意了處理個人信息,但是這種同意屬於“偽同意”,是壹種虛假的同意。 另外,如果錯誤的進行了“同意”,或者反悔了“同意”,能否撤回呢?之前,我們使用的產品或者服務中,基本上很少有這樣的功能,讓我們可以撤回同意。不能撤回的同意,其實也是虛偽的“同意”。 第十四條主要規定:同意的前提是“充分知情”。我國《消費者權益保護法》規定了消費者具有知情權。如果沒有“充分知情”,則沒有真正的“同意”。關於如何告知,下面的第十七條有明確的規定。 第十五條主要規定:個人有權撤回其同意,並且要求“個人信息處理者應當提供便捷的撤回同意的方式”。目前來看,很多產品或者服務目前不符合該條的規定。在《個人信息法》生效之後,提供的產品或者服務有處理個人信息情況的,需要進行功能的完善,增加“撤回同意”的方式。 第十六條主要規定,不同意處理其個人信息或者撤回同意的,能否繼續使用產品或者服務的問題。如前所述,消費者之所以同意處理其個人信息,原因是不同意就不能使用產品或者服務,沒得選擇,“傳統”做法其實是侵犯了消費者(或者用戶)的選擇權。 根據這條規定,如果涉及到處理個人信息的產品或者服務以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務的,需要說明理由,即需要說明特定的同意是提供產品或者服務所必須的。如果不是必須的,則違反了法律的規定。 根據這條規定,市場上的壹些產品或者服務需要進行修改,在用戶同意部分需要分清哪些是提供產品或者服務所必須的,哪些不是必須的。不是必須的,應該給用戶選擇權。 對於何種信息是必要,應用程序APP類的服務可以參見《常見類型移動互聯網應用程序必要個人信息範圍規定》的規定。第十七條個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(壹)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第壹款規定事項的,處理規則應當公開,並且便於查閱和保存。
第十八條個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第壹款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除後及時告知。
根據第十四條的規定“基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出”,這就要求個人信息處理者在處理個人信息之前,有告知的義務。告知的程度,應該達到個人“充分知情”的地步。 第十七條規定了需要向個人告知的事項。在這些事項中,名稱(姓名)和聯系方式是壹種常規告知。個人信息處理目的、處理方式,這壹部分可能會成為壹些企業重點考慮的問題,也可能是容易發生變更的事項。很多企業有最大限度處理個人信息的想法,但是目前要求明確處理目的和處理方式,無疑對之後個人信息處理的範圍進行了限制。另外,經營模式的發展以及企業和技術的發展,會產生新的個人信息的處理目的和處理方式。 當已經告知的事項發生變化的時候,需要再次將變更部分告知個人。同時,根據第十四條的規定,需要個人再次同意。這就為壹些產品或者服務的提供者提出了新的要求。 第十八條規定了向個人告知的例外情況,主要有兩種例外情況:1、法律、行政法規(不包括部門規章、地方性規定等法律類文件)應當保密的或者不需要告知的;2、緊急情況,為了更高位階的法律價值(生命健康、財產安全)無法及時告知的,可以在緊急情況消除後告知。這種情況不是不告知,只是可以暫緩告知義務。第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
本條是關於個人信息的保存期限的問題。對這個問題,《個人信息保護法》並沒有做出統壹的規定,而是規定了壹個確定時間的規則,即:為實現處理目的所必要的最短時間。 這條規則,如果遇到法律糾紛,其實是苛以了信息處理者壹個舉證義務:說明或者證明某種信息為什麽需要保存壹個月或者兩個月,必要性在哪裏?如果信息處理者無法說明或者證明“必要最短時間”的話,應該承擔相應的法律責任。第二十條兩個以上的個人信息處理者***同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何壹個個人信息處理者要求行使本法規定的權利。
個人信息處理者***同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
兩個以上的個人信息處理者***同處理個人信息的情況非常多。有的是兩個以上的經營者***同經營壹款產品或者服務,有的是壹個或者多個經營者在另外壹個經營者提供的平臺上經營,有的是兩個以上的經營者達成協議***同處理個人信息,無論哪種情況,如果***同決定個人信息的處理目的和處理方式的,應該根據本條的規定,約定各自的權利和義務。 ***同處理個人信息侵害個人權益的,屬於***同侵權行為,應該承擔連帶責任。第二十壹條個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
本條是規定受托處理個人信息者的義務問題。相比個人信息處理者的義務,受托處理個人信息者的義務要小的多:1、關於合同內容的要求,即約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等;2、接受受托人對個人信息處理活動的監督;3、依照約定處理個人信息;4、合同無效或者終止的,返還或者刪除個人信息;5、不得轉委托。 因為相比個人信息處理者,受托處理信息者的義務小的多,所以有可能壹些企業把自己定義為受托處理信息者,來躲避法定的義務。這個時候,我們需要根據實際情況來判決該企業究竟屬於個人信息處理者還是受托處理信息者。如果壹個企業既是個人信息處理者又是收圖圖哦處理個人信息者雙重身份,那麽就需要根據其具體的經營行為來具體判斷承擔什麽樣的法律義務。第二十二條個人信息處理者因合並、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
本條是關於個人信息處理者合並、分立、解散、被宣告破產等原因需要轉移個人信息的,怎麽怎麽辦的規則。需要指出的是,個人信息處理者合並、分立的時候未必需要轉移個人信息。而在解散、被宣告破產的時候,壹定需要轉移個人信息。第二十三條個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意
本條是第二個法律規定需要個人單獨同意的條款。 實踐中,個人信息處理者在收集到個人信息之後,往往有再次向其他個人信息處理者提供的行為,但是基本上沒有告知個人更沒有經過個人同意,頂多在用戶協議中預留了相關條款。 《個人信息保護法》實施後,向其他個人信息提供者提供個人信息的成本將提高,需要告知個人相關信息並且取得個人的單獨同意,預留相關條款的做法將達不到法律的要求。 在理解該條的時候要跟第二十壹條區分開。第二十壹條說的是受托處理個人信息的場景,例如個人信息處理者收集到個人信息之後,交給其供應商要求供應商按照其要求進行壹定的分析處理。而本條講的是把數據交給了另外壹個個人信息處理者,例如收集到個人信息之後,提供給另外壹個經營者用於其產品或者服務的設計和經營。第二十四條個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
這壹條規定的是“用戶畫像”以及“大數據殺熟”的問題。在壹段時間以來,很多消費者反映:自己剛剛在想要不要買某種商品,突然就接到了這種商品的推送;也有消費者反映遇到了大數據殺熟:同樣的商品或者服務,熟客與生客的價格不壹樣,甚至不同類型的手機、不同的性別顯示的價格不壹樣。很多人懷疑這是經營者在搞大數據殺熟,利用壹些熟客對價格的不敏感攫取不合理的利益。 本條並沒有規定不能進行“用戶畫像”,只是要求不得再交易價格等交易條件上實行不合理的差別待遇,另外主動推送的信息應提供不針對個人特征的選項並提供便捷的拒絕方式。這是把主動權給了個人,個人有權利拒絕針對個人特征的信息推送,有權利拒絕信息推送。第二十五條個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
這又是壹個關於個人“單獨同意”的條款。需要指出的是,“單獨同意”壹定是明示作出的,由個人有壹系列同意的動作,不能推論默示“單獨同意”。 所謂“公開”,即沒有把信息控制在壹定範圍內,不特定的人可以獲取。 如果把收集到的個人信息用作分析、為決策提供參考,不屬於公開,不用去的個人單獨同意。 但是,如果把收集到的個人信息經過加工之後,向不特定的人展示,則需要取得個人的單獨同意。 另外,這裏的個人信息指的是第十三條規定的基於取得個人同意處理的個人信息。其他並非基於取得個人同意處理的信息,在公開的時候,也不用再次取得個人的單獨同意。第二十六條在公***場所安裝圖像采集、個人身份識別設備,應當為維護公***安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公***安全的目的,不得用於其他目的;取得個人單獨同意的除外。
這是第三個法律規定需要個人單獨同意的條款。 根據這條規定,首先只有為了維護公***安全,才能在公***場所安裝采集、識別個人信息的設備。非為了維護公***安全的必需,不能隨意安裝。例如,某書店的經營者就不能安裝拍攝店外公***區域的拍攝設備。其次,應設置顯著的提示標誌。未設置顯著提示標誌的,沒有盡到法定義務。再次,所收集的個人信息只能用於維護公***安全的目的,不能用作其他目的。最後,如果需要用作其他目的的,那麽需要取得個人單獨同意。需要說明的是,壹些公***場合下采集的個人信息,如果涉及人數眾多,幾乎難以取得每壹個個人的單獨同意。例如,在機場、火車站收集到的個人信息。第二十七條個人信息處理者可以在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。
根據第十三條的規定,個人信息處理者可以依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息。那麽,何為“合理的範圍呢”? 本條給出了下面幾個規則:1、個人明確拒絕處理個人信息的,個人信息處理者不能處理;2、處理已經公開的個人信息對個人權益有重大影響的,應該取得個人的同意。 在蘇州貝爾塔數據技術有限公司與伊某人格權糾紛壹案中,貝爾塔公司把伊某的判決書放到了自己的網站上,被伊某起訴到了法院。法院指出:貝爾塔公司收到伊某要求後仍未及時刪除相關裁判文書和公告文書,有悖於伊某對已公開信息進行傳播控制的意思表示,違反了合法性、正當性和必要性原則,應該認為對伊某構成重大利益影響,侵犯了其個人信息權益。在伊某聯系貝爾塔公司要求刪除文書之後,貝爾塔公司仍以中國裁判文書網已公開訴爭文書為由拒絕刪除涉案文書,則構成對伊某個人信息的非法公開使用。