第二节　遵循个人信息处理的基本规则和通用义务

1.遵循个人信息处理的基本原则和一般规则

（1）《个人信息保护法》的原则体系

与《网络安全法》《数据安全法》《民法典》相比，《个人信息保护法》设立了更为全面的处理个人信息的“原则”体系。

首先是“合法、正当、必要、诚信”原则堪称处理个人信息的“帝王条款”。根据《个人信息保护法》第5条的规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。法典中关于个人信息处理的合法性基础（legal basis）的规定、个人信息处理者的义务和个人权利的规定、处理的必要性和目的限定原则等都在呼应和落实“合法、正当、必要和诚信”原则。另外，该规定相比于《网络安全法》多规定了一个关于不诚信行为的负面清单，即“不得通过误导、欺诈、胁迫等方式处理个人信息”，这其实是当前执法中遇到众多此类“不诚信”处理活动的执法经验体现。

第6条专门细化规定了“最小必要”原则，即处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，还需要采取对个人权益影响最小的方式。收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。对于App运营者而言，还可以参考2021年5月生效的《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《必要个人信息范围规定》）。企业在运营App过程中，应当根据上述规定，明确提供基本功能服务所必须收集的个人信息范围，并与业务部门及时沟通调整实际收集个人信息的范围，以确保符合《个人信息保护法》的要求。针对不在《必要个人信息范围规定》中39类范围内的其他App以及其他形态的产品（如网站、PC端等），在收集个人信息时，可以参照这一规定并进行严格评估，避免超出必要范围收集使用个人信息。这里需要特别注意的是，“必要性”与“合法、正当”是《个人信息保护法》下同等序列的价值，因此，即使是获得了用户“同意”而处理个人信息，也不可以忽略“必要性”考量[1]。

第7条规定了“公开透明”原则，即处理个人信息应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围。这一原则对产品端的个人信息保护政策和各种告知文案的存在方式和内容提出了原则性要求。

第8条规定了“信息准确”原则，即处理个人信息应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围。

第9条规定了“主体责任”原则，即个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。这一原则与后续不同场景下的责任主体识别、举证责任等一脉相承。

值得注意的是，《个人信息保护法》的基本原则不仅仅为“宣誓性”条款，还提纲挈领规定和体现了下位立法、执法和司法的价值导向，在具体规则条款难以准确映射和适用的场景，还可能会得到执法和司法机关的不断适用，以便有效弥补法律在面对纷繁复杂的个人信息处理活动中出现的滞后性、规范的不完全性等问题。

（2）个人信息处理的一般规则

除了“基本原则”外，《个人信息保护法》还规定了大量的个人信息处理一般规则，对于所有处理活动场景都普遍适用。一般规则中最为核心的处理规则是“具备合法性基础”。

相比《网络安全法》和《民法典》，《个人信息保护法》提供了更为丰富的处理个人信息的合法性基础，见第七章第三节内容。

但无论是基于何种合法性基础，个人信息处理者都要履行“告知”义务，以符合“透明性”原则。就“告知”规则而言，此前法律层面的告知规则较为宽泛虚化，导致只能大量依赖下位规范性文件和分散的执法要求来落实“告知”要求。《个人信息保护法》则对“告知”规则做了大幅度的立法强化、条文严密细致。个人信息处理者需要以显著并且清晰易懂的方式将详细信息告知信息主体，在不同场景下还有各种具体的告知义务。具体可参见第七章第二节。

就最为重要的合法性基础“同意”，《个人信息保护法》在两个层面极大丰富了“同意”规则：从外延上，扩充了无需“同意”的其他合法性基础，减少“同意”的适用范围，从而弱化此前立法中对“同意”规则设定的刚性和唯一性；从内涵上，明确了同意规则的一系列要件，并特别规定了“单独同意”情形，从而破解“同意负担”“形式同意”“捆绑同意”等实践中高频出现的“无效同意”问题，让“同意”回归个人主体自决的本意。这两者结合起来才使得《个人信息保护法》下的“同意”规则更有实质内容，更有落地意义。其中“单独同意”是丰富“同意”落地方式的重要方式和破解“概括同意”的核心抓手（但并非上升为与“同意”并列的合法性基础）。具体可参见第七章第三节。

2.识别并遵守个人信息处理的一般义务

《个人信息保护法》为个人信息处理者设定了全套义务体系，覆盖了企业处理个人信息的全生命周期和管理个人信息的流转过程。

（1）设立个人信息处理的内部制度、技术和流程措施

·制定内部关于个人信息保护的管理制度和操作规程。

·对个人信息实行分类管理。这里的“数据分类”措施需要与《数据安全法》和相关行业规定、地方标准和业务场景密切结合。

·对于所处理的个人信息采取相应的加密、去标识化等安全技术措施。

·合理确定个人信息处理的操作权限。这一合规措施需要细密设计、嵌入个人信息处理的终端，与各个层级的业务工作流密切结合，遵守“获取操作权限的人数最少、获取权限的人享有的操作范围最小、操作权限应该需求触发、操作权限处理和审批留痕”。

·定期对从业人员进行安全教育和培训。在实践中，这里的“定期”至少应是一年一次，且对教育培训的活动应该保留完整记录，甚至配备相应的考试测评或签字承诺，以证明企业确实落实了这一合规要求，并在员工个人自行发生违规处理个人信息的行为时，能够为企业进行部分或全部免责。

企业应当根据个人信息的处理目的和处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，综合采取上述措施确保个人信息处理活动合规，尤其是要防止未经授权的访问以及个人信息泄露、篡改、丢失。当然，在实践中，关于个人信息的内部流程制度也需要配合相应的员工手册和奖惩措施一起才能长效落地、规范执行。

此外，在个人信息处理活动涉及与第三方的交互或共享时，除了要根据与第三方合作的关系签署不同类型的数据处理协议或合同条款外，还要注意对于数据的到岸和离岸环节（如SDK接入、API接口）等采取技术检测和监控措施。在采购网络安全产品和服务时，企业不仅要满足《个人信息保护法》的要求，也要考虑到兼顾《网络安全审查办法》以及《数据安全法》的相关规定。

（2）设立个人信息保护负责人和境内代表的组织措施

从个人信息保护的组织措施而言，当处理的个人信息达到国家网信部门规定的数量时，企业需要指定个人信息保护负责人，还需要公开该个人信息保护负责人的联系方式，并报送监管部门（《个人信息保护法》第52条）。需要注意的是，个人信息保护负责人的职责是对个人信息处理活动以及采取的保护措施等进行“监督”，因此基于回避利冲和保持独立性之考虑，个人信息保护负责人不应是实际从事个人信息处理活动的直接责任人员或者直接负责的主管人员，否则就变成“监督者和被监督者主体混同”，设立“个人信息负责人”岗位的意义也不复存在。

如果企业同时需要具备《个人信息保护法》下的“个人信息保护负责人”、《数据安全法》下的“数据安全负责人”以及《网络安全法》下的“网络安全负责人”，则能否任命为同一个人，对此法律上并没有禁止性规定。但即使是集成在同一个个体也要明确3个岗位承担不同的数据保护职能、各有侧重，即使有共通或重合的职责。至于企业设立了个人信息保护负责人之外，是否还可以或需要设立个人信息保护委员会或者专门的部门来支持、统筹和加强个人信息保护相关事宜，也需要根据企业的实际情况予以考虑。

同时，对于在境外的个人信息处理者则有义务在境内设立专门的机构或指定代表，负责处理个人信息保护相关事务，并将该等机构的名称或者代表的姓名、联系方式等报送相关监管部门（《个人信息保护法》第53条）。这条规定与GDPR第27条第1款项下的“当地代表”制度比较类似，但显然GDPR还进一步对“当地代表”的职责和免责做了规定[2]。

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。在实践中，这种合规审计可以由企业自身的个人信息保护负责人或相关部门进行，也可以委托一定的外部专业机构代为完成，频率也以至少一年一次为宜并保留相应的审计。

（3）个人信息泄露事件报告义务

按照《个人信息保护法》第57条，如果企业发生或者认为“可能发生”个人信息泄露、篡改、丢失（“个人信息泄露事件”）的，个人信息处理者应当“立即”采取补救措施，从而限制和控制危害后果的继续发生或扩大。但同时最为复杂的还是通知义务。

通知的对象是：履行个人信息保护职责的部门；个人信息泄露事件所涉及或可能涉及的个人，除非企业确保采取的措施能够有效避免信息泄露、篡改、丢失造成危害，但如果监管机构认为可能造成危害的，还是有权要求企业通知个人。

通知的内容包括：发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；个人信息处理者的联系方式。

《个人信息保护法》没有对个人信息泄露事件的通知义务给出明确的时间限定（如类似GDPR项下的72小时），通常认为“立即”的时间要求既要覆盖“补救措施”义务，也要覆盖“通知义务”，即一旦发现个人信息泄露事件，就即时触发了通知义务。但在不同的法律法规和规范性文件中对数据安全时间的报告时间规定有很大差异，例如，《计算机信息系统安全保护条例》（2011）规定对于计算机信息系统中发生的案件需要在24小时内报告当地县级以上人民政府公安机关；《非银行支付机构重大事项报告管理办法》中规定一类事项2小时[3]、二类事项24小时内通过电话、传真或电子邮件等形式报告，且一类事项2个工作日、二类事项5个工作日内以书面形式报告；《上海市网络安全事件应急预案》则规定网络安全事件应当在半小时内口头、1小时内书面报告给市网信办等。这些规定也是企业在进行安全事件预案和演习流程需要提前知悉的。

[1] 例如，即使用户在App首次运行时就给出了全部权限的授权，但App申请获取这些权限和处理相应的个人信息并没有对应具体的功能和目的，则该类个人信息的处理仍然不符合《个人信息保护法》的要求。

[2] GDPR, Article27:1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.

[3] 一类事项如发生客户个人信息泄露等信息安全事件一次性涉及客户信息数据超过5 000条或者客户超过500户；二类事项如发生客户个人信息泄露等信息安全事件一次性涉及客户信息数据不超过5 000条，且涉及客户不超过500户的。