逐条精解:《个人信息保护法》13-27条
“
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,自2021年11月1日起施行。
本文作者基于在数据合规、数据治理方面的领先研究,从律师视角对该法的立法背景、法律实操、监管处罚、应用场景、合规建设等方面展开系列解读,本文是该系列的第二篇,点击链接查看《个人信息保护法》第1-12条的内容。
”
文 | 夏海波 郑泽爽 上海格联律师事务所
校对 | 古锐 王军华 上海格联律师事务所
本文由作者向新则独家供稿
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
条文精讲:本条在《民法典》第1035条以及《网络安全法》第42条要求“取得个人同意”的基础上列举了其他几种处理个人信息的合法情形,对“处理个人信息”进行了一定程度的延伸,为个人信息的处理提供了多样化的选择路径。
在劳动人事领域,也为用人单位的用工管理作了一定的豁免,意味着用人单位需要对规章制度和员工手册进行合规修订,对员工个人信息的收集和使用不能超过合理限度。此外,考虑到新冠疫情等突发公共卫生事件等客观因素,将紧急情况纳入合法情形的考量,体现了政府监管及互联网企业的现实需要。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
条文精讲:本条明确了“明示同意”、“授权同意”以及“重新取得同意”三种情形的适用规则。
“明示同意”是《个人信息保护法》在《信息安全技术个人信息安全规范》(GB/T35273-2020)的基础上进行的细化。实务中,我们一般建议互联网企业通过加粗、下划线、斜杠等形式清晰地提示用户阅读和重视相关内容。
“授权同意”结合了《个人信息保护法》第30条的相关内容,即在处理敏感个人信息时,应当告知其必要性以及对个人权益的影响。需明确,此处的“单独同意”需要同时满足“明示同意”的要求,而“授权同意”也必须符合“书面同意”的形式要件。
“重新取得同意”是在“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的”的情形下才会发生。因这些情形属于法律认定的较大变更,若按照原有的授权原则可能会侵害他人合法权益,因此法律规定了需要“重新取得同意”。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
条文精讲:本条重点关注法律赋予个人的“撤销权”。但该权利仅限于在第十五条第一款的情形下适用,除此之外法律并未授权个人此权利。基于此,就要求互联网企业在线上必须架设撤销端口,供个人撤销其授权。但这并不意味着为个人提供的服务受限,互联网企业可以修改《注册协议》对该事由予以明示。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
条文精讲:本条明确了不得因个人拒绝或撤回个人信息的处理授权,进而拒绝提供相应商品或服务。换句话说,不得进行产品捆绑或服务捆绑,除非与个人信息的处理是强关联,比如寄送商品就需要消费者提供个人收件地址、收件人联系方式。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
条文精讲:本条规定了个人信息处理者在处理个人信息前所需披露事项。
本条多体现于互联网企业的《隐私权政策》中,即在任何情形下取得的个人信息,都需按本条规定对披露的时间、方式及内容进行相应调整。实务中,互联网企业只需根据自身所制定的个人信息处理规则的方式修订相关协议即可,但应满足“便于查阅和保存”的要求。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
条文精讲:本条规定了个人信息处理前告知豁免的两种情形。
第一种情况最为典型的是根据《中华人民共和国反恐怖主义法》第51条的规定,即公安机关在调查恐怖活动的案件中,可以获得事先告知豁免。
第二种情况是针对《个人信息保护法》等13条第4款的补充规定,即在发生紧急情况时,可以不事先告知,但在紧急情况消除后应当予以告知。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
条文精讲:《个人信息保护法》并未规定固定个人信息的最短保存期限,而是根据必要性的要求,规定在满足处理目的后,尽快予以删除。
另外,本条也设置了兜底条款,常见的法律、法规另有规定的情形包括:
①《反洗钱法》第19条第3款“客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。”
②《电子商务法》第31条“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。”
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
条文精讲:本条明确了个人信息处理者共同处理信息的权利义务划分和责任承担。
实务中,存在着大量授权第三方处理个人信息的情形。本条基于这一现象,在原有《信息安全技术个人信息安全规范》(GB/T35273-2020)第9.6条的基础上进行了细化,明确了各方所应遵循的权利义务,即无论内部如何约定,任何一方对外均各自单独需要符合法律的规定。
在责任承担方面,《个人信息保护法》规定了最严格的连带责任,即将共同信息处理致使他人受损的情形,视为一种共同侵权行为,由于个人信息关乎自然人的隐私及其它合法权益,故法律的本意在于严厉打击可能存在的违法违规行为。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息
条文精讲:本条规定,委托方需要注意授权的范围,并确保受托方在授权的范围内行使相应职责。
对于受托方而言,需注意不能超出授权范围行事。在委托关系结束时,受托方应当全面删除或者返还相关个人信息。由于受托方自身原因造成信息泄露或侵权的,可能会被要求承担侵权赔偿责任,也可能据此承担相应违约责任。
最后,受托人只有经过个人信息处理者同意才能转委托他人处理个人信息。
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
条文精讲:本条是关于个人信息承继的规范。公司创设后可能面临被兼并、收购、分立等情形,因此《个人信息保护法》规定了公司因合并、分立等原因需要转移个人信息的相应规范。
本条并非规定的是将个人信息转移给第三人,仅为个人信息承继的一种规范。根据文义解释,当公司出现合并和分立需要转移个人信息的,合并和分立后的公司只需要履行通知义务即可,而无需另行获得相应授权。只有在第14条规定,当“接收方变更原先的处理目的、处理方式的”情形下,才需向个人“取得同意”。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
条文精讲:本条明确获取个人信息的主体为第三方时,则按照《个人信息保护法》的立法精神,需要履行“告知和同意原则”。
《网络安全法》第42条的规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”因此,向第三方提供匿名化信息属于例外情形,无需事先经过个人的同意,但第三方不得利用技术等手段重新识别个人身份。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
条文精讲:本条是针对人工智能中自动化决策(即大数据算法)的规范。
《电子商务法》第18条也有类似规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”
可见,在适用自动化决策的过程中,互联网公司需同时设置不针对其个人特征的选项,以保证交易的公平性。这一法律规定,也充分考虑到了常见的大数据杀熟等不合理现象,依法纠偏。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
条文精讲:本条规定了个人信息处理应当“以不公开原则,以公开为例外”。
个人信息的处理仅需获得个人同意即可,只有个人就个人信息的公开“单独同意”或者有法可依的情况下,个人信息处理者才能公开其处理的个人信息,其他一律应当通过技术手段予以保密。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
条文精讲:本条规定基于“公共安全”的需要,可以对个人进行身份识别,但仍应符合第25条的规定,一般不得将所获个人信息进行公开或者向第三方提供。
需明确,只要是以维护“公共安全”为目的的主体,均可就个人身份进行识别,但需符合相应的保密规定。对于各种公共场所常见的人脸识别,需要符合公共安全的必要目的,杭州动物园以人脸识别刷屏入场,显然与这一目的不符,故其答辩理由被法院依法驳回。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
条文精讲:本条规定个人信息是行为人自行公开时,个人信息处理者为满足其公开的用途即可直接使用该公开的个人信息。此外,超出原始用途合理范围内的,则需要重新履行“告知和同意原则”。
当个人信息公开时的用途并不明确时,个人信息处理者需要合理、谨慎地处理已公开的个人信息。当用途不明,且同时存在利用已公开的个人信息从事对个人有重大影响的活动时,就不得对个人信息进行处理,除非履行了“告知和同意原则”。
对比《民法典》第1036条第2项规定的“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”,本条是在《民法典》的基础上进行了有效补充,两者在法律适用上不存在任何冲突。
此外,针对《民法典》第1036条第2项中的例外情况,即“该自然人明确拒绝”,实则是一种“撤销权”的表现形式,与《个人信息保护法》第15条的规定相呼应,即无论个人信息公布时的用途是否明确,个人均有随时行使“撤销权”的权利。
相关文章链接:《逐条精解:<个人信息保护法>1-12条》
- END -
# 大鱼聊天室 #
10月2日,大鱼聊天室国庆特别版
大鱼和你聊一聊
律师业务增长的底层逻辑
立即预约
# 推荐阅读 #