《个人信息保护法（草案）》全文逐条解读（二）

刘新宇等中伦视界 2022-03-20

作者：刘新宇宋海新吴豪雳

前言

在《<个人信息保护法（草案）>全文逐条解读（一）》中，我们为大家逐条解读了《个人信息保护法（草案）》第一条至第十三条的规定。接下来，作为逐条解读系列的第二篇，我们将继续为大家解读《个人信息保护法（草案）》第十四条至第二十四条的内容。

第十四条处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

// 【解读】

本条明确了处理个人信息的一般同意和特殊同意以及重新取得同意的情形。

从处理个人信息的一般同意看，是在《个人信息保护法（草案）》第十三条第一款“同意”的情形下，也就是需要获得个人同意才能处理个人信息的情形下，需要依据《个人信息保护法（草案）》第七条的规定向个人明示个人信息处理规则，在确保个人充分知情的基础上，由个人自主作出明确的意思表示。从实践角度，对于需要用户同意才能处理用户个人信息的情形，需要通过《个人信息保护政策》等个人信息授权文本，向用户充分说明处理个人信息的规则，并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的同意。

从处理个人信息的特殊同意看，其来源于法律或行政法规的规定，具体要求为“单独同意或者书面同意”。可能大家会有疑问，什么情形需要“单独同意或者书面同意”呢？《个人信息保护法（草案）》在其第二十四条、第三十条、第三十九条规定了需要单独同意的三种情形，分别是“向第三方提供其处理的个人信息”“基于个人同意处理敏感个人信息的”以及“向中华人民共和国境外提供个人信息”。前述情形如何理解，我们在后续相应条文解读时再行展开，此处不再赘述。

从重新取得同意的情形看，在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下，需要重新取得同意。鉴于原始同意时区分一般同意的情况和特殊同意的情况，重新取得同意时，需要与原始同意相对应，需要获得特殊同意的仍需获得特殊同意。

第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的，应当取得其监护人的同意。

// 【解读】

本条规定了处理不满十四周岁未成年人个人信息的特殊同意要求。

《儿童个人信息网络保护规定》第九条规定“网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意”，在此基础上，《个人信息保护法（草案）》增加了“知道或者应当知道”的情形要求，一定程度上减轻了个人信息处理者的责任，但要论证确实不知道其处理的个人信息未不满十四周岁未成年人（以下简称“儿童”）个人信息，存在一定难度。可能在对个人的身份、年龄等进行了充分认证的前提下，基于技术限制、个人恶意隐瞒等原因确实未发现为儿童的情况下，能够豁免未取得儿童监护人同意的责任，但具体适用，有待立法机关的进一步解释和细化。

需要指出的是，结合《个人信息保护法（草案）》第十三条的规定来看，本条的适用与第十三条可能存在冲突。本条与GDPR第8条第（1）款内容相近，但又缺少了“在适用‘取得个人的同意’的情形下”[1]的限制，这就直接导致如果不是适用第十三条第一款第一项“取得个人的同意”而是适用第十三条第一款的其他项处理个人信息，比如“为履行法定职责或者法定义务所必需”而处理个人信息，按说是无需获得个人同意的，无论个人是否是儿童。但本条直接要求需要获得儿童的监护人同意，是否意味着即使是“为履行法定职责或法定义务所必需”处理儿童个人信息也需要获得儿童监护人的同意？如果是这样，那条文之间已经存在冲突，可能需要参照GDPR第8条第（1）款的规定增加“在适用本法第十三条第一款第一项的情况下”的适用限制。

第十六条 基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。

// 【解读】

本条明确了个人有权撤回同意的情形。

相较于《网络安全法》和《民法典》，《个人信息保护法（草案）》首次专门从法律层面规定了个人有权撤回同意的要求，当然，本条也划定了适用的范围限制，即“基于个人同意”情形下，也就意味着，如果不是基于个人同意而是依据《个人信息保护法（草案）》第十三条第一款的其他情形处理个人信息，个人是无法撤回同意的。从实践角度，如果通过《个人信息保护政策》等授权文本获得个人同意而处理个人信息，应该在App等业务开展渠道或者个人可以通过联系客服的方式撤回对授权文本的同意。

第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

// 【解读】

本条明确了不得拒绝提供产品或者服务的情形。

如果个人不同意处理其个人信息或者撤回其对个人信息处理的同意，而相对应的个人信息是属于提供产品或服务所必需的，个人信息处理者可以拒绝提供产品或服务。但如果不是提供产品或服务所必需的，个人信息处理者不得拒绝提供产品或服务。举例来说，在金融借贷场景下，收集使用用户的通讯录信息一般来说不属于提供金融借贷服务所必需的信息，用户不同意提供通讯录信息或者之前同意提供通讯录信息现在想要撤回处理通讯录信息的同意，金融机构不得以此拒绝提供金融借贷服务。

第十八条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言向个人告知下列事项：

（一）个人信息处理者的身份和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

// 【解读】

本条明确了处理个人信息前的告知要求。

第一款规定的告知要求，包含以下几个要点：（1）告知时间，处理个人信息前；（2）告知语言要求，以显著方式、清晰易懂的语言告知，即不得使用有歧义、容易引起误解或者大量使用晦涩难懂的专业术语进行告知；（3）告知内容要求，具体包括：1）第一项，“身份和联系方式”，对于联系方式，可以是客服电话、个人信息保护专用客服电话、个人信息保护部门联系电话/邮箱等；2）第二项，“处理目的、处理方式、处理的个人信息种类、保存期限”，一定程度上可以理解为《个人信息保护法（草案）》第七条规定的“个人信息处理规则”的范围。举例来说，收集个人信息时，需要告知收集个人信息的目的、收集方式（直接收集、间接收集等）、收集的个人信息种类和保存期限；3）第三项，“个人行使本法规定权利的方式和程序”，《个人信息保护法（草案）》第四章专章规定了“个人在个人信息处理活动中的权利”，从告知角度，需要告知行使这些权利的方式和程序。对于方式，从理解的角度，包括自主通过App等业务渠道行使权利、联系客服提出行使权利的主张等；对于程序，以自助通过App行使权利为例，需要告知个人在App上的具体操作路径和响应时间等；4）第四项，“法律、行政法规规定应当告知的其他事项”，本项为兜底规定。

第二款规定了变更情况下的告知要求，这里没有对告知作出详细的限制，从理解的角度，可以通过网站公告、App内通知、App弹窗、短信等方式对变更的部分进行告知。

第三款规定了通过制定个人信息处理规则的方式告知的特殊要求，要求规则应该公开、便于查阅和保存，也就是需要方便个人查询到规则全文和保存规则全文。对于查询到规则全文的要求，随着App的专项整治不断深入开展和《App违法违规收集使用个人信息行为认定方法》的实施，基本上很多App都能够在进入首页后四次点击范围内查询到《个人信息保护政策》全文；但便于保存的要求，系《个人信息安全法（草案）》首次提出，实践中相当一部分App的《个人信息保护政策》无法直接保存甚至采取技术措施专门实现无法复制粘贴的效果，后续需要进行相应调整。当然，实践中不乏部分App可以直接下载《个人信息保护政策》的PDF全文，值得其他App借鉴和学习。

最后，需要特别强调的是，本条规定的告知要求并未限制在经个人同意而处理个人信息的情形，而是对所有处理个人信息的情形提出了告知要求。从主体角度，也未进行限制，意味着无论是国家机关、事业单位还是普通的法人、非法人组织，抑或是其他类型的个人信息处理者处理个人信息之前，均要依据本条的规定进行相应的告知。当然，《个人信息保护法（草案）》第十九条规定了处理前告知的例外情形，对于例外情形可以适用第十九条的规定而不需要告知或者事后告知

第十九条 个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。

// 【解读】

本条明确了处理个人信息前需要告知的例外情形。

从不需要向个人告知的例外情形看，其适用限制在“有法律、行政法规规定应当保密或者不需要告知”的范围内。比如，《中华人民共和国反恐怖主义法》第五十一条规定，“公安机关调查恐怖活动嫌疑，有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供”，根据该条规定，如果公安机关向某恐怖活动嫌疑人的工作单位或者亲属收集调取嫌疑人的个人信息，是无需向嫌疑人进行告知的。

从不需要提前向个人告知的例外情形看，与《个人信息保护法（草案）》第十三条第一款第（四）项规定相关，该种紧急情况下无法及时向个人告知的，紧急情况消除后需要进行告知，而非不需要告知。

第二十条 个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的，从其规定。

// 【解读】

本条明确了个人信息保存期限最小化的要求和例外情形。

一般来说，应当在实现处理目的所必要的最短时间内保存个人信息。但如果法律、行政法规另有规定，比如《反洗钱法》第十九条第三款规定“客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年”，据此，金融机构需要将该等信息至少保存五年。

第二十一条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益的，依法承担连带责任。

// 【解读】

本条明确了个人信息处理者共同处理个人信息的要求。

从内部权利义务划分与个人权利主张主体看，本条第一款的规定与GDPR第26条相类似，要求共同处理个人信息的处理者内部划分权利和义务，但不得影响个人向任一处理者要求行使个人权利，这就要求处理者在内部划分权利和义务时，需要就响应个人权利主张作出相应约定。《信息安全技术个人信息安全规范》（GB/T 35273-2020，以下简称“《个人信息安全规范》”）第9.6条对共同个人信息控制者的要求更加详细，可执行性更高，可以作为个人信息处理者内部划分权利义务的参考。

从责任承担看，本条第二款对共同处理个人信息的处理者提出了严格的责任承担要求，即“依法承担连带责任”，这就意味着个人信息处理者在选择共同处理个人信息的其他处理者时，最好对其进行必要的尽调，了解其个人信息安全能力、制度制定与实施情况、是否存在侵犯个人信息权益的黑历史等，不能选择“猪队友”，否则容易被牵连

第二十二条 个人信息处理者委托处理个人信息的，应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托方的个人信息处理活动进行监督。

受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，并应当在合同履行完毕或者委托关系解除后，将个人信息返还个人信息处理者或者予以删除。

未经个人信息处理者同意，受托方不得转委托他人处理个人信息。

// 【解读】

本条明确了委托处理个人信息的要求。

与GDPR第28条相类似，《个人信息保护法（草案）》规定了委托处理个人信息的情况下委托方的义务以及受托方的义务。《个人信息安全规范》第9.1条对委托处理做了更详细的规定，一定程度上可以作为适用本条的参考。

从委托方的义务看，主要在于通过合同文本约束受托方和进行监督，意味着需要定期或不定期的检查受托方是否根据合同约定处理个人信息。《个人信息保护法（草案）》并未明确受托方违法违约处理个人信息情况下的责任承担，但从加强约束和威慑的角度，建议委托方在合同文本中加重受托方违法违约处理个人信息的违约责任。

从受托方的义务看，主要在于按约处理个人信息、及时返还个人信息或删除个人信息以及未经同意不得转委托。按约处理个人信息，无需多言。及时返还个人信息或删除个人信息，意味着不得再行存储个人信息，也不得通过匿名化的方式来规避本条的规定。未经同意，不得转委托，意思也比较好理解，补充强调一点，对于受托方，即使将个人信息交由母公司、子公司等关联公司处理，也属于转委托，也需要获得委托方的同意方可转委托。

第二十三条 个人信息处理者因合并、分立等原因需要转移个人信息的，应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。

// 【解读】

本条明确了合并、分立等需要转移个人信息情形下的要求。

与《个人信息安全规范》第9.3条相类似，《个人信息保护法（草案）》提出了合并、分立等需要转移个人信息情形下个人信息处理者和接收方的义务。

从个人信息处理者的义务看，需要向个人告知接收方的身份、联系方式，这里的“身份”“联系方式”可以和《个人信息保护法（草案）》第十八条第一款第一项中“身份”、“联系方式”作同样理解，不再赘述。

从接收方的义务看，应当继续履行个人信息处理者的义务，变更处理目的和处理方式的情况下还需要重新向个人告知并取得同意。需要指出的是，与《个人信息保护法（草案）》第十五条可能与第十三条的规定存在冲突相类似，本条的适用与本法第十三条也可能存在冲突。如果不是适用第十三条第一款第一项“取得个人的同意”而是适用第十三条第一款的其他项处理个人信息，比如“为履行法定职责或者法定义务所必需”而处理个人信息，按说是无需获得个人同意的，如果接收方基于履行法定职责或者法定义务所必需而变更处理目的和处理方式，从理解的角度，仍然无需获得个人的同意，而仅仅进行告知即可。因此，可能需要将本条最后一句调整为“接收方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知，依据本法第十三条第一款第一项处理个人信息的还需要取得其同意”

第二十四条 个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。

个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。

// 【解读】

本条明确了向第三方提供个人信息的要求。

与《网络安全法》第四十二条第一款和《民法典》第一千零三十八条第一款相类似，《个人信息保护法（草案）》对于向第三方提供个人信息，向个人信息处理者和接收个人信息的第三方提出了要求。

从个人信息处理者的义务看，应当向个人告知“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”，并“取得个人的单独同意”。这里出现了《个人信息保护法（草案）》第十四条提到的“另有规定”的第一个“单独同意”情形。但与《个人信息保护法（草案）》第十五条、第二十三条可能和第十三条存在冲突相类似，本条可能也与本法第十三条存在冲突，比如我们在电商平台购物，为了依照合同约定向我们配送商品，在没有或者不通过自有物流的情况下，电商平台必须将我们的收件信息提供给第三方物流公司，这种情况下，是否属于“为履行合同所必需”而无需获得我们的同意？或者说，即便不是“为履行合同所必需”，如果我们不同意将我们的收件信息提供给第三方物流公司，电商平台无法完整提供购物服务，那么电商平台是否可以适用本法第十七条依据处理个人信息属于提供服务所必需而拒绝提供服务呢？如果是这样，我们不同意提供收件信息，又有何意义？对此，有待进一步探讨。

从接收个人信息的第三方的义务看，变更处理目的、处理方式情况下，需要重新向个人告知并取得其同意。这里存在与本法第二十三条接收方义务相类似的问题，不再重复。另外，本条第二款的规定可能存在冲突，根据本法第六十九条第一款第四项“匿名化”的定义，匿名化信息就是无法复原的信息，如果向第三方提供的确实是匿名化信息，第三方不可能复原识别个人身份。因此，可能需要对本条第二款进行删减或者调整。

下篇预告

就《个人信息保护法（草案）》的其余内容，笔者还将在后续的系列文章中以逐条解读的方式为大家分析，敬请关注。

[注]

[1] 注：GDPR原文大意为“在向儿童直接提供信息社会服务的情形中适用本条例第6条第（1）款（a）项的规定时”。

点击阅读

《个人信息保护法（草案）》全文逐条解读（一）

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁

宋海新律师