第二章 个人信息处理规则

【导读】

本章明确个人信息处理的基本规则。本章在第一章所确立个人信息处理应遵循原则的基础上，在规则层面对个人信息保护的有关问题进一步细化明确，分为一般规定（第二章第一节）、敏感个人信息的处理规则（第二章第二节）、国家机关处理个人信息的特别规定（第二章第三节）等章节。可以说，本章规定的有关制度设计是本法的核心之一，同时也构成了我国目前关于个人信息处理规则的顶层设计。

本章主要从沿用“告知—同意”核心框架、提出全生命周期针对性要求、对敏感个人信息特殊强化保护、专节规定国家机关处理规则等方面着手，系统构建个人信息保护的规则体系，体现了国际主流经验与国内法治实践、促进发展与维护安全、审慎性与前瞻性的衔接统一，有效解决了此前相关法律规范碎片化、位阶低以及缺乏顶层设计的问题，为数字经济时代贡献了个人信息保护的中国方案。

第一，沿用以“告知—同意”为核心框架的个人信息处理系列规则。系列规则有助于更好保障公民个人对于自身个人信息处理的知情权与决定权，主要体现在：其一，要求处理个人信息应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人，在个人充分知情的前提下取得个人自愿、明确的同意（第13条第1款、第14条第1款、第17条），当处理目的、处理方式、处理种类等重要事项发生变更的应当重新取得个人同意（第14条第2款），个人有权撤回同意（第15条）。此外，规定在紧急情况下无法及时告知的，应当在紧急情况消除后及时告知（第18条）。其二，不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（第16条）。其三，考虑到经济社会生活的复杂性和个人信息处理的不同情况，本法还对基于个人同意以外合法处理个人信息的情形作了规定，如为订立、履行合同或者人力资源管理所必需、为履行法定职责或者法定义务所必需、应对突发公共卫生事件或者紧急情况所必需、为公共利益在合理范围内处理等情形作为个人信息处理的合法性基础（第13条第1款第2项至第7项）。

第二，明确对个人信息的全生命周期各环节的规则要求。根据个人信息处理的不同环节、不同个人信息种类针对性明确规则要求，既注重对域外公平信息实践、《一般数据保护条例》等法治经验的借鉴参考，又注重与《网络安全法》《数据安全法》等法律的衔接，同时注重将散见于部门规章、规范性文件、行业标准等内容表述及实践中较为成熟的经验吸收上升为法律。其一，收集环节，以前述“告知—同意”为核心。其二，存储环节，明确个人信息的保存期限应当为实现处理目的所必要的最短时间（第19条）。其三，对个人信息的共同处理（第20条）、委托处理（第21条）、向第三方提供（第22条、第23条）、公开（第25条）、处理已公开的个人信息（第27条）等情形提出针对性的要求。其四，回应大数据杀熟、人脸识别等社会广泛关注的热点问题。明确自动化决策应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇（第24条）。规定公共场所的识别设备所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的（第26条）。

第三，对敏感个人信息特殊强化保护，同时将儿童个人信息纳入敏感个人信息范围。其一，确定了敏感个人信息范围，主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息（第28条）。其二，明确只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意（第28条第2款、第29条、第30条）。其三，与《未成年人保护法》《儿童个人信息网络保护规定》等对不满14周岁的未成年人个人信息进行特别保护的规定相衔接，规定应当取得未成年人的父母或者其他监护人的同意及制定专门的个人信息处理规则（第31条）。其四，行政法规层级以上对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定（第32条）。

第四，设专节规定国家机关处理个人信息的规则。在保障国家机关（含法律、法规授权的具有管理公共事务职能的组织）依法履行职责的同时，要求处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度（第33条、第34条、第37条），处理的个人信息应当履行告知义务（第35条），同时应当在境内存储，确需向境外提供的应当进行安全评估（第36条）。

（撰稿人：沈达）