個人信息保護法教程

張新寶

丁曉東

主編新時代法學系列教材第一章個人信息保護法基本問題第一節

個人信息與個人信息處理一、數據、信息與個人信息（一）數據與信息概述1.數據的概念《數據安全法》第3條第1款規定：“本法所稱數據，是指任何以電子或者其他方式對信息的記錄。”2.信息與數據的關系信息是數據的內容，數據是信息的形式。就個人數據而言，只有其包含個人信息時才會具有財產或者人格利益。自然人對個人數據的民事權益是指自然人對于以數據形式呈現的個人信息的民事權益或對于包含了個人信息的數據的權益。第一節

個人信息與個人信息處理一、數據、信息與個人信息（二）個人信息概述1.個人信息的概念：識別說界定模式“識別說”是指通過信息定位到個人，即“由信息本身的特殊性直接回溯到特定個人”。《網絡安全法》第76條第5項和《民法典》第1034條第2款采用了“識別說”。第一節

個人信息與個人信息處理一、數據、信息與個人信息（二）個人信息概述2.個人信息的概念：關聯說界定模式“關聯說”是指從個人到信息，即“已知曉既定個人，進一步知曉關于該個人的其他信息”，與已經識別和可能識別的個人相關聯的信息均屬于個人信息?！秱€人信息保護法》第4條第1款規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！边@一規定實際的適用效果是擴張了《民法典》對個人信息界定的范圍。第一節

個人信息與個人信息處理一、數據、信息與個人信息（二）個人信息概述3.一般個人信息與敏感個人信息個人信息區分為一般個人信息與敏感個人信息?！秱€人信息保護法》以定性加開放性列舉的方式，將敏感個人信息分為三類。敏感個人信息之外的其他個人信息，屬于一般個人信息。對敏感個人信息予以強化保護的意義在于：一是能夠更好地保護自然人的合法權益。二是有利于調和個人信息保護與利用的需求沖突，實現利益平衡。三是強調敏感個人信息的特殊性對于利益相關主體具有預警作用。第一節

個人信息與個人信息處理一、數據、信息與個人信息（三）個人信息的特征1.個人信息具有算法識別性2.個人信息無法為個人所單獨控制3.個人信息的有限保護第一節

個人信息與個人信息處理一、數據、信息與個人信息（四）個人信息去標識化與匿名化去標識化，是指對個人信息進行處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。去標識化的個人信息數據雖然經過處理者的特殊處理，但依然保留了一定程度的可識別性。匿名化，是指對個人信息進行處理，使其無法識別特定自然人且不能復原的過程。匿名化的個人信息數據已不再具有可識別性，其承載的信息已經不再是個人信息。第一節

個人信息與個人信息處理二、個人信息處理（一）個人信息處理的概念個人信息處理可以指任何一項或多項針對單一或多個個人信息進行的操作。《個人信息保護法》第4條第2款對個人信息的處理方式進行了不完全列舉，包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。第一節

個人信息與個人信息處理二、個人信息處理（二）個人信息處理行為的類型1.收集2.存儲3.使用4.加工5.傳輸6.提供7.公開8.刪除第一節

個人信息與個人信息處理三、個人信息權益（一）個人信息權益概述個人信息權益，是指個人基于個人信息所享有的實體性權利和利益，以及在個人信息處理活動中依法享有的保護此等權利和利益的程序性權利。實體性權利和利益包括憲法規定的人權、公民的人格尊嚴、通信自由和通信秘密、公民的人身和財產安全等基本權利，公法上的權利和利益，以及民法上的人格尊嚴和人格權益，特別是隱私權、名譽權、姓名權、肖像權等，具有綜合性特征。程序性權利則是指在個人信息處理活動中個人享有的用以保護其實體性權益的權利，包括同意權、知情權、決定權、查閱權、復制權、轉移權、更正權、補充權、刪除權、個人信息處理規則說明權以及個人訴權。第一節

個人信息與個人信息處理三、個人信息權益（二）個人信息權益的內涵1.個人的人格尊嚴2.個人的人身財產安全3.個人的通信自由和通信秘密第一節

個人信息與個人信息處理三、個人信息權益（三）個人信息權益的基本特征1.個人信息權益的主體是自然人2.個人信息權益是對人格權益的綜合性保護3.個人信息權益是對世性權益第二節

個人信息保護法治一、我國個人信息保護法治的建立與完善過程我國也十分重視個人信息保護，在2021年8月20日頒布《個人信息保護法》這一專門性法律之前，我國一直在不斷地探索和完善個人信息保護法治。2021年8月，《個人信息保護法》出臺。這標志著我國個人信息保護立法體系進入新的階段，為個人信息權益保護提供了全面的、體系化的法律依據。第二節

個人信息保護法治二、個人信息保護現行法律制度概要1.《個人信息保護法》的體系作為保護個人信息的基本法律，《個人信息保護法》共分為8章：第一章“總則”明確立法目的、適用范圍、個人信息等概念以及個人信息保護的基本原則；第二章“個人信息處理規則”，規定以“告知—同意”為核心規則，并對敏感個人信息的處理規則作出更為嚴格的限制，此外還對作為特殊主體的國家機關應如何處理個人信息作出特別規定；第三章“個人信息跨境提供的規則”，明確向境外提供個人信息的前提條件，對“告知—同意”規則作出更為嚴格的要求，并規定境外的組織、個人損害我國個人信息權益或者采取歧視性禁止或限制等不合理措施的，我國也可以采取相應的措施；第二節

個人信息保護法治二、個人信息保護現行法律制度概要2.《個人信息保護法》與憲法憲法是國家的根本法，具有最高的法律效力。《個人信息保護法》以憲法為立法依據，個人信息保護的憲法基礎是國家所負有的保護義務。3.《個人信息保護法》與《民法典》《個人信息保護法》與《民法典》構成特別法與一般法的關系，《民法典》為其提供兜底保護、查缺補漏的功能。第二節

個人信息保護法治二、個人信息保護現行法律制度概要4.《個人信息保護法》與刑法隨著隱私權與個人信息權益的區分與理清，以及立法的日益完善與健全，“先刑后民”的思路與策略已經不再可行，而應當“民先刑后”“民緊刑松”，將刑法保護作為最后一道防線?！秱€人信息保護法》中的一些禁止性規定同《刑法》中相應的罪名與刑罰存在對應關系，5.《個人信息保護法》與《網絡安全法》、《數據安全法》等法律《網絡安全法》、《數據安全法》與《個人信息保護法》的諸多條文均可參考適用。第二節

個人信息保護法治二、個人信息保護現行法律制度概要6.《個人信息保護法》與行政法規《個人信息保護法》通過授權立法的方式，將部分職責在法律保留的原則下授予行政法規。截至目前，雖然尚未有依據《個人信息保護法》而制定的行政法規，但在具體場景中《個人信息保護法》與現存行政法規存在交叉重疊的現象。7.《個人信息保護法》與部門規章、其他規范性文件在個人信息保護領域，《個人信息保護法》作為原則性立法，也有賴于個人信息保護主管部門等國家監管機構的執行，相應地，為執行法律事項而制定的部門規章及規范性文件也成為《個人信息保護法》落地的依托。第二節

個人信息保護法治二、個人信息保護現行法律制度概要8.《個人信息保護法》與地方性法規地方性法規作為中國特色社會主義法律體系的重要組成部分，在國家立法前，可以充分發揮地方主動性，先行先試，為國家立法提供樣本經驗，發揮立法試驗田的作用；在國家立法后，又在貫徹落實法律、行政法規和國家政策中發揮作用。在我國，相關地市制定的數據條例等地方性法規與作為專門性法律的《個人信息保護法》的關系也是如此。9.《個人信息保護法》與國家標準在個人信息保護領域，為應對個人信息安全風險，在《個人信息保護法》出臺之前，我國已經制定了諸多相關國家標準，為《個人信息保護法》提供了參考。第二節

個人信息保護法治二、個人信息保護現行法律制度概要10.《個人信息保護法》與司法解釋由于法律的滯后性與立法技術的局限性，最高人民法院、最高人民檢察院往往會作出針對具體法律條文的屬于審判、檢察工作中具體應用法律問題的解釋。在《個人信息保護法》出臺前，基于相關的司法實踐，與個人信息保護相關的司法解釋就已存在，且集中在民事與刑事領域。這些司法解釋在與《個人信息保護法》不沖突的前提下，依舊有效。第二節

個人信息保護法治三、作為領域法的個人信息保護法及其法學作為領域法的個人信息保護法學，以“兩頭強化，三方平衡”理論作為個人信息保護與利用法治的基礎理論。“兩頭強化”是指建立“個人敏感隱私信息”的概念，在個人敏感隱私信息與個人一般信息區分的基礎之上，通過強化對個人敏感隱私信息的保護和對個人一般信息的利用，調和個人信息保護與利用的需求沖突，實現利益平衡?！叭狡胶狻笔侵競€人對個人信息保護的利益（核心是人格自由和人格尊嚴利益）、信息業者對個人信息利用的利益（核心是通過經營活動獲取經濟利益）和國家管理社會的公共利益之間的平衡。第二節

個人信息保護法治四、個人信息保護法的立法目的依據《個人信息保護法》第1條的規定，該法的立法目的主要包括保護個人信息權益、規范個人信息處理活動及促進個人信息的合理利用三個方面。第三節

個人信息處理的原則《個人信息保護法》第5～9條分別規定了個人信息處理的五項基本原則。其中合法、正當、必要和誠信原則為總體原則，發揮統領作用；目的原則以個人信息處理的目的為核心，對于處理個人信息的限度提出了全面要求；公開、透明原則以處理者告知義務的履行來維護個人主體的知情利益與公共利益的平衡；質量原則旨在保證個人信息的準確性、完整性和時效性，是在個人信息處理活動中保護個人信息權益、實現個人信息經濟價值和社會管理價值的基本前提；責任原則在綜合考量負責與安全的基礎上，進一步加強了我國個人信息處理活動的規范化。第三節

個人信息處理的原則一、合法、正當、必要和誠信原則《個人信息保護法》第5條規定：“處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。”合法、正當、必要和誠信原則是個人信息處理的總體原則?！昂戏ā笔侵柑幚碚咝枳裱煞ㄒ幍囊幎?，具有規范指引的功能。“正當”包括目的的正當和手段的正當，要求處理者處理個人信息的目的及手段均符合正向價值判斷標準。“必要”是指處理者處理個人信息時不應當超過可以實現處理目的的最低限度及最小范圍。誠信原則要求處理者對個人抱有基本的善意，尊重個人的合理信賴。第三節

個人信息處理的原則二、目的原則《個人信息保護法》第6條規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息?！钡谝?，處理個人信息應當具有明確目的。第二，處理個人信息應當具有合理目的。第三，處理個人信息應當與處理目的直接相關。第四，處理個人信息應當采取對個人權益影響最小的方式，并限于實現處理目的的最小范圍，不得過度收集個人信息。第三節

個人信息處理的原則三、公開、透明原則《個人信息保護法》第7條規定：“處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍?！钡谝唬幚碚咝枵鎸?、完整、準確地對個人信息處理活動相關的重要事項予以全面披露。第二，處理者的告知義務應當隨著處理活動的變化而不斷更新。第三節

個人信息處理的原則四、質量原則《個人信息保護法》第8條規定：“處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響?！辟|量原則具有以下幾個方面的重要意義：第一，是保護個人信息權益的必然要求。第二，保障了個人主體在信息處理活動中的相關程序性權利。第三，是信息處理者對數據信息進行有效處理的前提。第四，是加快建設數字經濟、數字社會、數字政府的關鍵一環。第三節

個人信息處理的原則五、責任原則《個人信息保護法》第9條規定：“個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全?！钡谝?，處理者應當對其個人信息處理活動的規范化負責。第二，保障個人信息的安全是處理者在個人信息處理活動中應當重點負責的內容。第三，處理者應當對其違法處理個人信息的行為承擔相應的法律責任。第三節

個人信息處理的原則六、原則的適用新時代中國網絡法治建設理念要堅持以人民為中心。個人信息處理的各項原則，要把體現人民利益、反映人民愿望、維護人民權益、增進人民福祉落實到網絡法治建設的各方面，立足中國互聯網發展實踐，處理好發展和安全、自由和秩序、開放和自主、管理和服務的關系，運用法治思維和法治方式解決制約互聯網發展的問題。在五項基本原則中，合法、正當、必要和誠信原則是個人信息處理的總體原則；目的原則，公開、透明原則，質量原則和責任原則是針對個人信息處理某個特定方面的原則。五項基本原則所蘊含的制度價值彼此間相互關聯，因而在實踐中可能發生基本原則的綜合適用問題，其中既包括總體原則與方面原則的綜合適用，也包括方面原則與方面原則的綜合適用。第二章個人信息處理規則第一節

個人信息處理規則概述一、個人信息處理的合法性基礎（一）取得個人的同意原則上，個人信息處理均應獲得信息主體的同意方能獲得合法性基礎?；凇案嬷狻币巹t的特殊地位，《個人信息保護法》第14～18條對同意規則與告知規則予以細化。第一節

個人信息處理規則概述一、個人信息處理的合法性基礎（二）法定許可基于公共利益的考量，《個人信息保護法》規定了6種“告知—同意”規則之外的其他獲得合法性基礎的方式。其一，為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。其二，為履行法定職責或者法定義務所必需。其三，為應對突發公共衛生事件，或緊急情況下為保護自然人的生命健康和財產安全所必需。第一節

個人信息處理規則概述一、個人信息處理的合法性基礎（二）法定許可其四，為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息。其五，依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息。其六，法律、行政法規規定的其他情形。第一節

個人信息處理規則概述二、“告知—同意”規則（一）“告知—同意”規則的歷史淵源從歷史淵源的角度看，關于“告知—同意”規則在全球個人信息保護立法中的產生至少存在以下幾種學說：其一，醫療領域起源說。其二，公平信息實踐起源說，即個人信息保護領域的“告知—同意”規則起源于美國的公平信息實踐。其三，德國立法確立說，即1970年德國黑森州出臺的《數據保護法》?！案嬷狻币巹t仍然是全球個人信息保護立法中普遍采用的核心制度。第一節

個人信息處理規則概述二、“告知—同意”規則（二）“告知—同意”規則的性質1.我國“告知—同意”規則的性質《個人信息保護法》中的“告知—同意”規則是多維的制度工具：其一，我國現行立法下的“告知—同意”規則具備合規要求的屬性，個人信息處理者據此證明自身對基本權利的尊重。其二，“告知—同意”規則具備一定的消費者合同的特征。其三，在具體實踐層面，告知同意所依托的文本有可能作為個人信息處理者的自我聲明，從而便于履行個人信息保護職責的部門據之采取行政執法措施。此外，告知同意所依托的文本還有可能作為個人信息處理者進行自我規制的章程、作為傳達聲譽的媒介，以及作為強化信息主體個人信息保護意識的工具。第一節

個人信息處理規則概述二、“告知—同意”規則（二）“告知—同意”規則的性質2.美國：聲明或合同在美國司法實踐中，個人信息保護領域的告知同意在有限的案例中得到了合同法的救濟。對于以點擊協議（clickwrapagreement）等形式引起用戶顯著關注的隱私政策，美國法院將其視為合同。在其他情形中，告知同意被視為企業的單方聲明，法院認為隱私政策并不會被消費者所閱讀，也不會讓消費者對隱私政策的內容產生依賴，因此隱私政策并不能被認定為合同。整體而言，美國監管機構將告知同意規則所基于的文本（隱私政策）作為行政執法的依據。第一節

個人信息處理規則概述二、“告知—同意”規則（二）“告知—同意”規則的性質3.歐盟：基本權利合規措施與消費者合同《歐盟基本權利憲章》第8條第1款規定：“每個人都有權保護與其有關的個人數據。”《一般數據保護條例》第1條第2款規定：“本條例保護自然人的基本權利和自由，特別是其個人數據被保護的權利?！睔W盟的隱私政策也具有一定的消費者合同特征。第一節

個人信息處理規則概述二、“告知—同意”規則（三）告知規則1.告知的時間原則上，個人信息處理者必須在處理個人信息前向信息主體進行告知，但存在例外。2.告知的形式根據《個人信息保護法》第17條，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知一系列信息。第一節

個人信息處理規則概述二、“告知—同意”規則（三）告知規則3.告知的事項其一，個人信息處理者的名稱或者姓名和聯系方式；其二，個人信息的處理目的、處理方式；其三，處理的個人信息種類、保存期限；其四，個人行使本法規定權利的方式和程序；其五，法律、行政法規規定應當告知的其他事項。第一節

個人信息處理規則概述二、“告知—同意”規則（四）同意規則1.同意的形式《個人信息保護法》第14條對有效同意的一般形式與特殊形式、重新同意作出了一般性規定。根據《個人信息保護法》第14條第1款，有效同意的一般形式是“由個人在充分知情的前提下自愿、明確作出”。該款表明同意以明示為原則，預選方框、不作為等默示行為一般不構成同意。有效同意的特殊形式則包括單獨同意與書面同意?！秱€人信息保護法》第14條第2款規定了應當重新獲得個人同意的情形，即“個人信息的處理目的、處理方式和處理的個人信息種類發生變更”。第一節

個人信息處理規則概述二、“告知—同意”規則（四）同意規則2.撤回同意《個人信息保護法》第15條第1款規定：“基于個人同意處理個人信息的，個人有權撤回其同意……”第2款規定：“個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力?！睂τ谛畔⒅黧w的撤回同意應作如下理解：其一，撤回同意不同于《民法典》中規定的對意思表示的撤回。其二，撤回同意不受除斥期間的限制。其三，根據《個人信息保護法》第15條第2款的規定，撤回同意不具有溯及力。第一節

個人信息處理規則概述二、“告知—同意”規則（四）同意規則3.同意與提供產品或服務《個人信息保護法》第16條規定，“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外”。第一節

個人信息處理規則概述三、有關個人信息處理者的一般規定（一）多方參與的個人信息處理1.共同處理在外部關系上，《個人信息保護法》第20條第2款規定：“個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任?！痹趦炔筷P系上，《個人信息保護法》第20條第1款規定：“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。”第一節

個人信息處理規則概述三、有關個人信息處理者的一般規定（一）多方參與的個人信息處理2.委托處理《個人信息保護法》第21條規定：“個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經個人信息處理者同意，受托人不得轉委托他人處理個人信息。”第一節

個人信息處理規則概述三、有關個人信息處理者的一般規定（二）個人信息處理者變更《個人信息保護法》第22條規定：“個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意?！钡谝还?/p>

個人信息處理規則概述三、有關個人信息處理者的一般規定（三）對外提供個人信息《個人信息保護法》第23條規定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意?！睂υ摋l的理解需要從“提供”的內涵、提供方的“告知—同意”規則、接收方的“告知—同意”規則三個方面展開。第一節

個人信息處理規則概述四、自動化決策（一）自動化決策的概念與風險挑戰根據《個人信息保護法》第73條第2項，自動化決策是指“通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動”。法律對以算法決策為代表的自動化決策加以控制的理據包括以下方面：其一，自動化決策可能挑戰人類決策的知情權與自主性。其二，自動化決策可能威脅個體的隱私和自由。其三，自動化決策可能會導致歧視與偏見。第一節

個人信息處理規則概述四、自動化決策（二）自動化決策的一般規則《個人信息保護法》第24條第1款規定：“個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇?！钡谝还?/p>

個人信息處理規則概述四、自動化決策（二）自動化決策的一般規則1.透明度“透明度”是指自動化決策所基于的規則及其實際決策過程能夠為信息主體或監管機構所理解。從解釋論的角度看，此處的“透明度”是《個人信息保護法》第7條中的“公開、透明原則”在自動化決策場景中的細化。透明度要求，一方面是個人信息處理者的客觀義務，另一方面也是信息主體的主觀權利。為實現透明度要求，個人信息處理者應當以增進信息主體信任為目標，以此承擔義務、回應信息主體的權利請求。第一節

個人信息處理規則概述四、自動化決策（二）自動化決策的一般規則2.結果公平、公正“結果公平、公正”可以與“不得對個人在交易價格等交易條件上實行不合理的差別待遇”結合起來分析。“結果公平、公正”允許對個人的差別待遇，但此種差別待遇應在合理的范圍內，需要法院和行政監管機構在利益衡量的基礎上進行個案判斷。“結果公平、公正”同樣具有客觀義務與主觀權利的雙層保障機制：一方面，履行個人信息保護職責的部門可以行使其行政執法權，對結果不公平、不公正的自動化決策施加行政責任；另一方面，個人可以在前述透明度要求的輔助下行使其限制處理權或拒絕處理權。第一節

個人信息處理規則概述四、自動化決策（三）自動化決策的特殊規則《個人信息保護法》第24條第2款規定：“通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式?！睂π畔⑼扑?、商業營銷場景中的自動化決策進行專門規定的意義在于，對作為合法性基礎的“告知—同意”規則予以操作層面的限定，恢復信息主體對個人信息自決性的人格利益。在操作層面上，“不針對個人特征的自動化決策”與“拒絕自動化決策”的選項是一種增強告知，對前者的呈現是對告知行為的額外約束，對后者的呈現則旨在輔助用戶作出拒絕同意的決定。第一節

個人信息處理規則概述四、自動化決策（四）對個人權益有重大影響的情形《個人信息保護法》第24條第3款規定：“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定?！逼湟唬髠€人信息處理者對自動化決策予以說明的權利。其二，拒絕個人信息處理者僅通過自動化決策的方式作出決定的權利，即“完全自動化決策拒絕權”。第一節

個人信息處理規則概述五、個人信息公開的一般禁止根據《個人信息保護法》第25條，“個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外”，這是個人信息處理過程中有關個人信息公開的一般禁止。在“告知—同意”規則作為個人信息處理的合法性基礎時，《個人信息保護法》第25條是有關告知同意事項的默認規則。第25條對個人信息公開的一般禁止在本質上是對信息主體偏好的預設，目的在于彌補告知同意的不完備性。第25條不適用于法定同意作為個人信息處理合法性基礎的情形。在法定同意情形中，公開是否具有合法性取決于公開目的是否與法定許可所依托的利益保護目的相稱。第一節

個人信息處理規則概述六、在公共場所安裝圖像采集、個人身份識別設備的處理規則《個人信息保護法》第26條規定：“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外?！钡谝还?/p>

個人信息處理規則概述七、已公開個人信息的處理規則《個人信息保護法》第27條規定：“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意?！痹摋l確立了已公開個人信息的處理規則，尤其明確了對已公開個人信息處理的一般允許規則。第一節

個人信息處理規則概述七、已公開個人信息的處理規則（一）已公開個人信息處理的合法性基礎“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”，此類個人信息處理具有多重的合法性基礎：《個人信息保護法》第13條第1款第6項是已公開個人信息處理的直接合法性基礎；同時，基于個人自行公開或合法強制公開的處理分別以推定同意、與強制公開具有一致目的為合法性基礎。第一節

個人信息處理規則概述七、已公開個人信息的處理規則（二）已公開個人信息的認定標準在個人自行公開的情形中，對已公開個人信息的認定需要結合個人信息處理的場景加以判斷。對已公開個人信息的范圍的厘定也需要以對個人意愿的推斷為方法。在合法強制公開的情形中，對已公開個人信息的認定則相對容易，即屬于在事實上已經被合法強制公開的個人信息的范圍。第一節

個人信息處理規則概述七、已公開個人信息的處理規則（三）合理范圍的認定標準在《個人信息保護法》的規范體系中，合理范圍的要求是目的特定原則在已公開個人信息處理領域的規則細化，對合理范圍的認定也需要結合目的特定原則加以判斷。目的特定原則要求個人信息處理應當和處理目的直接相關，并采取對個人權益影響最小的方式。在個人自行公開的情形下，對個人信息處理的合理范圍的判斷與對已公開個人信息的判斷一樣需要結合場景。在合法強制公開的情形下，對個人信息處理的合理范圍的判斷則需要結合法定許可所基于的利益保護目的。第一節

個人信息處理規則概述七、已公開個人信息的處理規則（四）阻斷合法性的例外情形其一，作為合法性阻斷事由的“個人明確拒絕”。在個人自行公開的情形下，信息主體可以通過明確拒絕的方式來推翻推定同意，以維護其個人的偏好與意愿。在合法強制公開的情形下，信息主體也可以通過明確拒絕來阻斷個人信息處理的合法性，但這一拒絕權的行使條件較為苛刻。其二，作為合法性阻斷事由的“對個人權益有重大影響”。從我國立法來看，對“重大”的認定即判斷在何種情形下應當優先保護個人權益而禁止未經同意的處理活動。第二節

敏感個人信息處理規則一、敏感個人信息的概念界定（一）敏感個人信息的定義敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。敏感個人信息的核心要素在于“敏感性”。這一定義從風險角度進行闡釋，主要規范了風險的對象及風險的概率兩個維度。風險的對象包括人格尊嚴及人身、財產安全，這一范圍遠大于隱私權的范圍，基本包含了與個人信息有關的具體人格權及一般人格權的范疇，甚至包括財產危害的內容；風險的概率為容易導致，指產生風險的概率極高，這是與一般個人信息進行對比的結果。第二節

敏感個人信息處理規則一、敏感個人信息的概念界定（二）法律具體列舉的六類典型敏感個人信息1.生物識別信息生物識別信息，也稱“個人生物特征”“個人生物識別信息”，是指關于自然人的身體、生理或行為特征的信息，包括人臉、指紋、聲紋、掌紋、基因、虹膜、耳郭等信息。生物識別信息具有唯一性，難以或無法改變，通過這些信息能識別到特定自然人。第二節

敏感個人信息處理規則一、敏感個人信息的概念界定（二）法律具體列舉的六類典型敏感個人信息2.宗教信仰信息所謂宗教信仰信息，是指個人是否信仰宗教，以及信仰何種宗教、信仰的程度如何等個人信息。宗教信仰信息屬于敏感個人信息，此類信息的泄露和非法使用容易引起宗教上的仇視、對個人的偏見和不公平的對待，尤其是在那些有著宗教不寬容歷史的國家或地區。第二節

敏感個人信息處理規則一、敏感個人信息的概念界定（二）法律具體列舉的六類典型敏感個人信息3.特定身份信息特定身份信息是指對個人人格尊嚴和社會評價有重大影響的身份信息，特別是那些可能導致社會歧視的身份信息。4.醫療健康信息醫療健康信息范圍非常廣泛，既包括個人的就診記錄、用藥記錄、病史、身體癥狀等在醫療活動中產生的信息，還包括體重、心率、身高、肺活量等衡量個人健康狀況的信息。第二節

敏感個人信息處理規則一、敏感個人信息的概念界定（二）法律具體列舉的六類典型敏感個人信息5.金融賬戶信息金融賬戶信息既包括銀行賬戶、證券賬戶、支付寶賬戶等，還包括賬戶密碼、支付口令、交易記錄等。6.行蹤軌跡信息行蹤軌跡信息，包括個人所處地理位置、活動地點和活動軌跡等信息。第二節

敏感個人信息處理規則二、敏感個人信息的要素判斷除上述六種明確被列舉為敏感個人信息的信息之外，敏感個人信息和非敏感個人信息之間還存在互相轉化的可能。一方面，處理個人信息的目的與信息的敏感性密切相關。另一方面，信息處理的場景也會影響對敏感性的判斷。因此，判斷某類信息是否屬于敏感個人信息，應當有一定的歸入和擇出標準。第二節

敏感個人信息處理規則二、敏感個人信息的要素判斷對敏感性的判斷，必須結合場景要素進行綜合判定，這已經形成基本共識。景中需要考慮的變量可以被歸納為五個要素：（1）信息主體。（2）信息處理者。（3）第三方主體。（4）信息性質。（5）處理目的。第二節

敏感個人信息處理規則三、處理敏感個人信息的條件（一）特定目的和充分必要性《個人信息保護法》第6條規定了目的特定原則和最小必要原則：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息?！彼^的特定目的和充分必要性，實際上是目的特定原則和最小必要原則在敏感個人信息處理中的具體化。對于敏感個人信息的處理，除遵循目的特定原則和最小必要原則外，還應當遵循非必要不處理原則，《個人信息保護法》第28條第2款中用了“只有”二字對此進行強調。第二節

敏感個人信息處理規則三、處理敏感個人信息的條件（二）嚴格保護措施首先，應當在制度、技術、管理和應急等方面采取更嚴格的措施（《個人信息保護法》第51條）。其次，應當按照《個人信息保護法》第55條和第56條的要求，對敏感個人信息的處理進行個人信息保護影響評估，并對處理情況進行記錄，判斷和評估處理目的、處理方式等是否合法、正當、必要，所采取的保護措施是否合法、有效并與風險程度相適應。第二節

敏感個人信息處理規則四、處理敏感個人信息的特殊要求（一）單獨同意與書面同意所謂的單獨同意，結合《個人信息保護法》第14條的規定，應當在個人充分知情的前提下自愿、明確作出。同時，針對該條規定的信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理，都必須單獨獲得同意，避免與一般個人信息的處理所獲得的同意混淆。所謂的書面同意，是指在法律法規有特殊規定的情形下，獲得信息主體的敏感個人信息必須經過書面同意，個人信息處理者需以紙質或數字電文等有形地表現所載內容，并由個人通過主動簽名、簽章等形式取得個人同意。第二節

敏感個人信息處理規則四、處理敏感個人信息的特殊要求（二）告知的特殊性處理敏感個人信息的告知與處理一般個人信息的告知的不同之處在于：除《個人信息保護法》第17條第1款規定的需要告知的事項外，還需要另外向信息主體告知處理敏感個人信息的必要性以及對個人權益的影響。第二節

敏感個人信息處理規則五、未成年人個人信息的保護（一）需特殊保護的未成年人的年齡的確定我國《兒童個人信息網絡保護規定》確認14周歲以下作為兒童的年齡，主要是考慮到未成年人觸網年齡趨低、新生代“互聯網原住民”等特點，為了確保監管措施的針對性、有效性，在保護未成年人個人信息方面，對被保護群體作進一步細分。對于一定年齡以上的未成年人來說，其互聯網認知水平和操作水平已經不亞于成年人，適用一般的個人信息保護規則就能夠滿足實際需要，因此，以14周歲為界線，主要保護不滿14周歲的未成年人。第二節

敏感個人信息處理規則五、未成年人個人信息的保護（二）未成年人父母或者其他監護人的同意《個人信息保護法》確立了處理不滿14周歲的未成年人個人信息應取得監護人同意的規則，這一規定也是國際社會通行的處理未成年人個人信息的規則。但如何取得監護人的可驗證的同意，《個人信息保護法》并未進一步明確?！秲和瘋€人信息網絡保護規定》第9條要求網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意。敏感個人信息的處理規則同時適用于處理不滿14周歲的未成年人個人信息，監護人的同意必須是單獨同意，或是法律、行政法規要求下的書面同意。第二節

敏感個人信息處理規則五、未成年人個人信息的保護（三）未成年人個人信息處理規則國家互聯網信息辦公室制定了《兒童個人信息網絡保護規定》，該規定專門針對未成年人的個人信息處理，共計29條，包括網絡運營者處理未成年人個人信息時應當告知的具體事項，網絡運營者在收集、存儲、使用、轉移、披露兒童個人信息過程中的具體義務，以及兒童或者其監護人所享有的相應的權利，等等。信息處理者也應該為監護人提供一整套便捷易用的工具，如密碼保護、阻止/允許列表、年齡驗證及信息過濾等，幫助監護人為兒童（特別是年幼的兒童）創造安全的網絡環境。第三節

國家機關處理個人信息特別規則一、概述（一）“綜合立法”模式縱觀全球個人信息保護法律制度，對于國家機關或者說公權機關的個人信息處理活動，存在兩種規制模式：一種是“綜合立法”模式，即一部統一的個人信息保護法同時適用于私人主體和公權主體。另一種是“分散立法”模式。我國《個人信息保護法》選擇了“綜合立法”模式，但在第二章第三節明確“國家機關處理個人信息的特別規定”，并于第33條規定：“國家機關處理個人信息的活動，適用本法；本節有特別規定的，適用本節規定?！钡谌?/p>

國家機關處理個人信息特別規則一、概述（二）國家機關的界定根據《個人信息保護法》第33條和第37條，個人信息保護領域的國家機關包括兩類：一是“國家機關”；二是“準國家機關”，即“法律、法規授權的具有管理公共事務職能的組織”?！秱€人信息保護法》并未詳細界定，但對其內涵可參照先前立法來理解?！皣覚C關”是指“國家為實現其政治統治職能和管理職能而設立的國家機構的總稱”?！皽蕠覚C關”通常簡稱為“法律、法規授權組織”，在嚴格意義上并不屬于國家機關，但在現實中行使公權力。2008年《政府信息公開條例》第36條就將法律、法規授權組織納入政府信息公開法制框架。因此，《個人信息保護法》將“準國家機關”也一并納入適用對象范圍。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（一）為履行法定職責所必需關于何謂“法定職責”，理論界爭議的焦點在于這里的“法”之范圍是否僅限于法律、行政法規。“法定”的廣義說，即既包括全國人大及其常委會頒布的法律，也包括行政法規、地方性法規、部門規章和地方政府規章等規范性法律文件，更為合理。關于何謂“所必需”，根據《個人信息保護法》第5條、第6條規定的必要原則和目的限定要求，應采用比例原則展開分析，具體包括：第一，適當性分析。第二，必要性分析。第三，相稱性分析，又稱狹義比例原則分析。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（二）取得個人的同意當國家機關與公民個人之間發生民事法律關系時，例如國家機關向公民個人購買服務時，雙方就是平等關系。因此，有必要給國家機關依據同意處理個人信息留出空間。值得注意的是，為了避免國家機關借助自身的權力優勢，以獲取信息主體同意之名，行規避法定職責之實，在國家機關使用同意作為處理個人信息的合法性依據時，應確保同意是真實、自愿、不受脅迫而作出的?？蓪⒕唧w判斷標準確定為：只有在個人不同意或撤回同意完全不影響獲得國家機關的給付，也不會招致國家機關的不利對待時，該同意才是有效的。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（三）為訂立、履行合同或實施人力資源管理所必需由于處理個人信息是履行合同所必需的，故可不以同意作為處理個人信息的合法性基礎，而援引《個人信息保護法》第13條第1款第2項的“為訂立、履行個人作為一方當事人的合同所必需”作為依據。國家機關在因管理需要處理其工作人員的個人信息時，也可以《個人信息保護法》第13條第1款第2項的“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”作為合法性基礎，無須征得同意。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（四）為應對突發公共衛生事件或者緊急情況下保護自然人人身財產安全所必需一些規定授權特定國家機關為應對突發公共衛生事件或其他緊急事件而處理個人信息，此時國家機關應以依法履職而非應急必需作為處理個人信息的合法性依據。當某國家機關未經上述法律、法規授權，不具有應急的法定職責，亦未經信息主體同意的，原則上就不得基于防疫需要來處理個人信息；但該國家機關可以援引《個人信息保護法》第13條“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”。此等處理行為由于不具有法律、法規的明文授權，根據行政應急性原則，須在事后接受審查，確認屬于應急所必需的，方能免責；若被判定為不能免責，則應承擔國家賠償責任；即便免責，根據《民法典》第182條第2款，仍應給予適當補償。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（五）合理處理已自愿或合法公開的個人信息《個人信息保護法》第27條規定：“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意?！鄙鲜鲆幎▽覚C關同樣適用。但須明確以下四點適用條件：第一，公開是指對世公開，而非有限范圍內的披露。第二，公開必須出于自愿或依法為之，否則不得處理。第三，對公開信息的處理必須是合理的。第四，在信息主體明確拒絕時，國家機關不得處理公開的個人信息；對信息主體個人權益有重大影響的個人信息，原則上不得處理，實在需要處理的應當轉而尋求《個人信息保護法》第13條第1款第1項規定的同意作為合法性基礎。第三節

國家機關處理個人信息特別規則二、國家機關處理個人信息的合法性基礎（六）法律、行政法規規定的其他情形根據《個人信息保護法》第13條第1款第7項，法律、行政法規有特別規定的，國家機關也可處理個人信息。需強調的是，此項規定不能與依法履職相混同，即“法律、行政法規規定的其他情形”不能是國家機關的職責，否則可徑直適用《個人信息保護法》第13條第1款第3項。第三節

國家機關處理個人信息特別規則三、國家機關處理個人信息的告知義務《個人信息保護法》第35條規定：“國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外?！薄秱€人信息保護法》第18條第1款規定：“個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知……”結合上文所揭示的國家機關處理個人信息的多元合法性基礎，可以將國家機關處理個人信息的告知義務歸納如下：第一，“告知+同意”。第二，“告知+無須同意”。第三，“無須告知+無須同意”。第三節

國家機關處理個人信息特別規則四、國家機關處理的個人信息跨境流動規則（一）國家機關處理的個人信息境內存儲義務《個人信息保護法》第36條規定的“國家機關處理的個人信息應當在中華人民共和國境內存儲”，應當參照該法第40條規定的“在中華人民共和國境內收集和產生的個人信息存儲在境內”來理解。只有國家機關處理的在我國境內收集和產生的個人信息，才需要在境內存儲。“境內存儲”的含義是：第一，在物理空間意義上，個人信息存儲介質位于我國境內；第二，在虛擬空間意義上，位于我國境內的個人信息存儲介質上的個人信息不被境外組織或個人讀取，公開渠道讀取的除外?！秱€人信息保護法》第36條第一句要求國家機關處理的個人信息原則上同時處于這兩種狀態。第三節

國家機關處理個人信息特別規則四、國家機關處理的個人信息跨境流動規則（二）國家機關處理的個人信息跨境提供規則《個人信息保護法》第36條規定：“國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助?！薄秱€人信息保護法》第38條第1款第2～4項并不能作為國家機關個人信息出境的通路，否則會使第40條關于關鍵信息基礎設施運營者個人信息出境的特別規定失去意義。第三節

國家機關處理個人信息特別規則四、國家機關處理的個人信息跨境流動規則（二）國家機關處理的個人信息跨境提供規則國家機關在開展安全評估時，“可以要求有關部門提供支持與協助”，目的在于補強國家機關自行評估的專業知識和能力，避免監管評估缺位帶來的個人信息出境風險。因此，盡管《個人信息保護法》第36條中的表述是“可以要求”，但非網信部門的國家機關原則上都應當要求支持與協助，且被要求機關應當提供支持與協助。“有關部門”一般指網信部門，但不限于國家網信部門，基于降低行政成本的考慮，較低級別的國家機關自行開展安全評估不必通過所在地省級網信部門向國家網信部門要求支持與協助。經安全評估認定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的，不得出境。第三章個人信息跨境提供規則第一節

個人信息跨境提供概述一、個人信息跨境提供的價值與國際背景（一）個人信息跨境提供的多重價值1.個人信息跨境提供中的隱私權保護價值2.個人信息跨境提供中的國家安全價值3.促進國際經貿關系發展（1）多邊體制視角下的個人信息跨境。（2）區域貿易協定視角下的個人信息跨境提供與保護。第一節

個人信息跨境提供概述一、個人信息跨境提供的價值與國際背景（二）個人信息跨境提供的國際背景1.個人信息跨境提供的多邊國際行動第一，鼓勵跨境數據流動，推動全球數字經濟發展。第二，構建與數字經濟發展相匹配的數據隱私保護框架和數字技術信任體系，消除跨境數據流動壁壘。第三，關注跨境數據流動規制的風險管控和互操作性。第一節

個人信息跨境提供概述一、個人信息跨境提供的價值與國際背景（二）個人信息跨境提供的國際背景2.個人信息跨境提供中的國際行動困境第一，效力不足。第二，難以平衡良好的數據保護和跨境數據自由流動。第三，既有多邊規制受到歐盟和美國兩大規制體系的影響，無法保持自身獨立性。第一節

個人信息跨境提供概述二、我國關于個人信息跨境提供的制度建設《個人信息保護法》于2021年11月1日生效，是我國個人信息保護領域第一部普適性、綜合性的法律。該法汲取了《網絡安全法》《信息安全技術個人信息安全規范》等境內個人信息保護立法和國家標準的主要規則，借鑒了境外個人信息保護立法的有益經驗，并將實踐中行之有效的做法上升為法律規范，為個人信息保護提供了綜合性的監管法律框架和規范。針對個人信息跨境提供，除“安全評估”的合規出境方式外，《個人信息保護法》第38條還明確了個人信息出境的另外兩種途徑，即“標準合同”和“認證”。這為個人信息合規出境方式提供了更多的選擇空間。第一節

個人信息跨境提供概述三、個人信息跨境提供中的執法與司法國際合作我國對在執法與司法過程中跨境調取個人信息的基本立場均是強調主權不容侵犯，堅持在執法與司法過程中跨境調取個人信息應通過主權國家之間的平等互惠合作來開展。這也是我國拒絕加入《網絡犯罪公約》的原因所在。在面對執法跨境調取數據的利益考量時，我國在國家主權、安全和發展利益的平衡之上，更多的是遵循“防守”策略，考慮國家主權和安全利益。然而，僅僅采取防御策略并非最佳出路，我國應當將單邊式應對的壓力，疏導到多邊的框架下解決問題。此外，面對美歐的擴張式立法，我國可通過強調數據安全的方式，應對執法跨境調取個人信息。第二節

個人信息跨境提供的安全評估制度一、數據出境安全評估制度分析（一）適用范圍《數據出境安全評估辦法》首次完整地規定了安全評估的具體適用范圍。首先，《數據出境安全評估辦法》第2條將“數據出境”定義為“向境外提供”。其次，《數據出境安全評估辦法》第2條規定，需要安全評估的出境數據系“在中華人民共和國境內運營中收集和產生的”數據。再次，《數據出境安全評估辦法》第2條明確在出境數據涉及重要數據的情況下，安全評估是強制性的，并首次將范圍從關鍵信息基礎設施的運營者擴大至所有數據處理者。最后，結合《數據出境安全評估辦法》第4條可知，出境數據涉及個人信息的，達到一定要求時才需進行安全評估，即滿足主體條件、客體條件及其他條件。第二節

個人信息跨境提供的安全評估制度一、數據出境安全評估制度分析（二）評估原則《數據出境安全評估辦法》第3條明確了數據出境安全評估原則：事前評估與持續監督相結合，風險自評估與安全評估相結合，保障數據依法有序自由流動?！笆虑霸u估”，即數據在安全評估通過之前不得出境?！俺掷m監督”則體現在《數據出境安全評估辦法》第14條和第17條中，即對已通過評估的數據處理活動在如下三種情形下需要進行再評估：（1）兩年期滿；（2）情勢變化；（3）違規處理?！帮L險自評估”與“安全評估”的內容貫穿于《數據出境安全評估辦法》第5~13條中。第二節

個人信息跨境提供的安全評估制度一、數據出境安全評估制度分析（三）風險自評估與安全評估1.評估流程《數據出境安全評估辦法》第5條明確“數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估”，因此理論上風險自評估僅適用于需申報數據出境安全評估的情形。《數據出境安全評估辦法》第6、7、10、11、12、13條規定了安全評估的具體流程，其中也包括《個人信息保護法》涉及的其他出境管理制度?！稊祿鼍嘲踩u估辦法》明確了國家網信部門在數據出境安全評估中的主導地位，第10條中首次提到“專門機構”，此機構可能為國家網信部門指定的特定評估機構。第二節

個人信息跨境提供的安全評估制度一、數據出境安全評估制度分析（三）風險自評估與安全評估2.評估事項及簡析《數據出境安全評估辦法》第5條和第8條分別列舉風險自評估和安全評估的重點事項，兩者既有區別也有聯系。第二節

個人信息跨境提供的安全評估制度二、數據出境安全評估具體流程設計與實現（一）個人信息出境安全評估總體流程對擬出境數據進行個人信息識別評估，如果擬出境數據包含個人信息、個人敏感信息，則首先評估該出境活動的合規性，即其是否具有正當必要的目的、是否符合出境數據最小化原則、是否征得了個人信息主體的同意、是否被法律法規或國家有關部門明令禁止。若經評估后個人信息出境不滿足合規性要求，則建議不得出境。在通過個人信息出境合規性評估的基礎上，再評估個人信息出境的安全風險。安全風險評估結果為高或極高的，建議不得出境，將個人信息出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險有效地降至最低限度。第二節

個人信息跨境提供的安全評估制度二、數據出境安全評估具體流程設計與實現（二）重要數據出境安全評估總體流程對擬出境數據進行重要數據識別評估，如果其包含重要數據，則首先對該出境活動的合規性進行評估，即其是否具有正當必要的目的、是否符合出境數據最小化原則、是否被法律法規或國家有關部門明令禁止。如重要數據出境不具備合規性，則建議不得出境。在通過合規性評估的基礎上，再評估該數據出境的安全風險。安全風險評估結果為高或極高的，建議不得出境，將重要數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險有效地降至最低限度。第三節

個人信息跨境提供的標準合同制度一、標準合同制度的適用范圍（一）跨境傳輸行為在我國，標準合同條款僅適用于個人信息跨境傳輸，境內傳輸能否適用，法無明文規定。理論上，境內傳輸與跨境傳輸均可使用標準合同條款，域外實踐不乏其例。就個人信息跨境傳輸而言，鑒于《數據出境安全評估辦法》第4條明確列舉了數據出境安全評估的四類情形，結合該條的規定，標準合同條款并非普適性的出境工具，而僅限于非重要、小規模的傳輸場景。標準合同條款與數據出境安全評估“整體聯動”，不需要安全評估的跨境傳輸場景，方有經由標準合同條款實現個人信息出境之空間。第三節

個人信息跨境提供的標準合同制度一、標準合同制度的適用范圍（二）標準合同的典型適用場景：同類重復傳輸與關聯性傳輸其一，同類重復傳輸，多見于涉及人力資源、金融信息、客戶信息等的跨國運營的大型商業組織。該領域有大量性質類似的重復傳輸需求，所涉行業中的大型運營商數量相對較少且廣受公眾監督。其二，關聯性傳輸，多見于跨國公司，以關聯或隸屬關系為特征。當進出口方是跨國公司、關聯公司或者隸屬于同一經濟實體時，雙方聯系較為緊密，應重點構造進出口方的責任承擔條款。第三節

個人信息跨境提供的標準合同制度一、標準合同制度的適用范圍（三）標準合同的結構特色：傳輸模塊傳輸模塊是配置進出口方義務的基本單元。進出口方可依據處理角色，選擇不同模塊，以調整合同義務。傳輸模塊之設計，受到進出口方之間關系與性質、傳輸角色、預期處理性質、傳輸目的等因素影響。在我國，立法難點在于細分傳輸主體，《個人信息保護法》第38條僅區分個人信息處理者和境外接收方，進出口方既可以是實際控制信息的處理者，也可以是僅處理，但不實際控制信息的處理者。此種概念錯位導致我國無法直接套用域外通行的傳輸模塊。因此，單獨制定委托處理的標準合同條款，在回避概念錯位的前提下，回應區分進出口方角色（實際控制方和處理方）的現實需求，或為應對之策。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（一）個人信息安全義務個人信息安全義務，原則上是進出口方均應負擔的主給付義務。基于個人信息處理者的安全義務和信息安全原則，進出口方應確保個人信息安全，根據處理的性質、目的、范圍、方式、技術水平等因素，采取適當的技術、運營措施，確保處理的安全性，避免信息泄露、篡改、丟失等安全風險。進出口方所負的個人信息安全義務，側重不同。出口方應確保個人信息在傳輸至進口方的過程中的安全性。進口方應就收到的個人信息承擔額外的安全義務，例如應定期檢查，確保傳輸的技術和組織措施持續具備安全水準，確保授權人員對處理行為予以保密。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（二）個人信息安全事件的通知義務個人信息安全事件的通知義務是典型的進口方義務，是個人信息安全義務之延伸，為真正義務。就通知事由而言，《個人信息保護法》第57條僅列舉了個人信息泄露、篡改、丟失三類情形。在實踐中，風險源隨技術發展而變化，個人信息安全風險不限于泄露、篡改或丟失。個人信息安全事件通知義務的構造方案為：在知悉個人信息安全事件的發生風險或現實危險時，進口方和出口方應立即通知履行個人信息保護職責的部門和個人信息主體，通知內容包括對個人信息安全事件性質的描述、可能的危害、已采取的補救措施、可采取的減輕危害的措施等。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（三）個人信息安全事件的補救、減損義務個人信息安全事件的補救、減損義務，是典型的進口方義務，構成個人信息安全義務之延伸，為真正義務。基于《個人信息保護法》第57條第1款第2項和第2款，在發生或可能發生個人信息安全事件時，處理者應履行補救、減損義務?！稊祿踩ā返?9條前段亦規定了發生數據安全缺陷、漏洞等風險時處理者的補救義務。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（四）告知義務告知義務是典型的出口方義務，又稱透明度要求?；凇秱€人信息保護法》的公開、透明原則和告知規則，個人信息處理者負有主動告知和經問詢告知的雙重義務。前者為一般的信息公開義務（主動告知義務）；后者為經問詢的告知義務。告知通?？擅魇緸橹蛟谏婕吧虡I秘密等保密事項時共享特定范圍內的部分副本，或在個人信息主體無法理解副本內容時提供可理解的摘要。但是，告知義務絕非單純的出口方義務，在特定情形下，進口方亦負有告知義務。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（五）目的限制義務目的限制義務是典型的進口方義務。進出口方應限于特定目的處理個人信息。原則上，進出口方均為處理者，均負有目的限制義務。實踐中，在出口方將個人信息傳輸至進口方后，主要由進口方實施處理，進口方承擔目的限制義務更為合理。目的限制義務之構造，可區分為一般規則和豁免規則。第三節

個人信息跨境提供的標準合同制度二、進出口方的個人信息保護義務（六）合規審計義務合規審計義務是典型的出口方義務，是指出口方應對進口方是否遵守個人信息保護法和標準合同條款展開審計，其名為義務，實為審計權限。此為自律性對己義務，相較之下，域外的合規審計主要是合同合規審計，而非法律合規審計，由出口方對進口方是否遵守合同條款予以審計。因此，若對《個人信息保護法》第54條作目的性擴張解釋，除法律合規審計外，合規審計義務的具體內容還應包括是否遵守標準合同條款的合同合規審計。合規審計條款之設計，應重點構造出口方對進口方是否遵守標準合同條款的合同合規審計事項。第四節

個人信息跨境提供的認證制度一、認證的功能《個人信息保護法》第38條第1款第2項規定，個人信息處理者通過國家網信部門認可的專業機構的“個人信息保護認證”，可以合法進行個人信息出境。第38條第3款要求，“個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準”。首先，認證的功能是，審查和確認個人信息處理者是否根據個人信息出境風險采取合理必要措施，確保境外接收方的個人信息保護水平滿足《個人信息保護法》的個人信息保護標準。其次，認證是分擔國家監管部門個人信息出境監管重任的一種有效途徑。最后，專業機構作為第三方提供的認證是一種市場化的個人信息保護解決方案，能夠比較靈活地同時滿足企業的商業性個人信息跨境提供需求和國家有關個人信息跨境提供的安全監管要求，因而比較容易滿足跨國企業的個人信息跨境提供的需求。第四節

個人信息跨境提供的認證制度二、認證范圍《個人信息保護認證實施規則》（以下簡稱《實施規則》）規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。從認證主體來看，凡是個人信息處理者皆可申請該項認證；從認證對象來看，認證涉及個人信息處理活動過程中的產品、服務、管理體系；從認證內容來看，認證僅僅涉及個人信息，而不包括其他數據。此外，認證是對個人信息處理的認證?？傮w來看，《實施規則》規定的認證主體范圍更明確，適用對象范圍更廣闊（包括產品、服務和管理體系），內容范圍更有針對性（僅限于個人信息）。第四節

個人信息跨境提供的認證制度三、認證依據最新版本的《信息安全技術個人信息安全規范》和《個人信息跨境處理活動安全認證規范》是《實施規則》所規定的認證依據。前者是由國家市場監督管理總局與國家標準化管理委員會聯合發布的國家標準；后者是由全國信息安全標準化技術委員會組織制定和發布的技術規范。根據《實施規則》的規定，所有個人信息處理者均需要符合前一種規范的要求，而開展數據跨境傳輸的個人信息處理者還應當符合后一種規范的要求。第四節

個人信息跨境提供的認證制度四、認證程序“技術驗證+現場審核+獲證后監督”是《實施規則》提出的個人信息保護認證模式。按此模式，認證機構在對認證委托人提交的認證委托進行審查后，決定是否受理并向委托人及時反饋，受理后將確定認證方案并告知委托人?！秾嵤┮巹t》以認證前資料審查、認證中能力審核、認證后持續監管的事前、事中、事后全過程規制模式對認證程序作出了具體規定。第四節

個人信息跨境提供的認證制度五、認證證書認證機構對符合認證要求的認證委托人頒發認證證書，有效期為3年。在此期間，認證委托人可向認證機構提出變更委托，對已獲認證的個人信息處理者的相關資料進行變更，也可申請將認證證書暫停、注銷；認證證書到期后，認證委托人需要延續使用的，應在有效期屆滿前6個月內提出申請。獲得認證后，認證委托人將受認證機構的持續監督，在監督過程中若已獲得認證的個人信息處理者不再符合認證要求，認證機構應當及時對認證證書予以暫停直至撤銷。認證證書既不是行業許可證，也不是營業執照，而是一種資質認證，體現出認證機構對于認證委托人的個人信息保護能力的肯定性評價。第四節

個人信息跨境提供的認證制度六、認證責任《實施規則》規定，認證機構、技術驗證機構、認證委托人分別對各自的認證結論、技術驗證結論、認證委托資料的真實性和合法性負責。認證機構對個人信息主體造成損失則需承擔連帶責任，這意味著認證機構在個人信息保護認證工作實施過程中擔負著持續的監督和審查義務，面臨著重要的認證責任。第四章個人在個人信息處理中的權利第一節

個人在個人信息處理中的權利概述一、“個人信息權益”與“個人信息權利”辨析針對是“個人信息權益”還是“個人信息權利”，究竟采用何種表述，學界一直存在爭議。使用“權益”是考慮到信息化時代個人信息之上承載著廣泛的個人權利和利益，其與個人的人身、財產安全密切相關，并非一項單一的權利，而是各種利益的類型化集合；使用“權利”則是因為國際社會及我國各項相關立法均賦予個人對其個人信息處理的知情權、決定權，并以此作為保障個人信息權益的方式、個人信息權益是“本權權益”，主要包括人格尊嚴、人身財產安全以及通信自由和通信秘密等利益，但不包括財產利益，兼具公法與私法雙重性質；個人信息權利則是保護“本權權益”的權利，是權利人保護其“本權權益”的法律手段。第一節

個人在個人信息處理中的權利概述二、個人信息權益和權利的平衡保護“兩頭強化，三方平衡”理論作為個人信息保護的基礎理論，在個人信息權益構造的教義學闡釋中發揮著決定作用。總之，個人信息權益和權利保護的價值取向不是單一的，而是多元、兼容并包的；其追求的不是個人、一般個人信息處理者或者國家某一方利益的全部實現，而是三方利益的相互平衡，從而實現“多贏”和“共和”。第一節

個人在個人信息處理中的權利概述三、死者個人信息的保護1.死者個人信息保護的沿革我國對于死者權益一直采取間接保護的路徑，主張近親屬對死者生前形象享有懷念、祭奠、追思或寄托美好情感的法律利益。從死者人格利益保護的歷史看，其呈現出保護范圍不斷拓展、種類不斷增多的趨勢。2021年《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第15條規定：“自然人死亡后，信息處理者違反法律、行政法規的規定或者雙方的約定處理人臉信息，死者的近親屬依據民法典第九百九十四條請求信息處理者承擔民事責任的，適用本規定?！钡谝还?/p>

個人在個人信息處理中的權利概述三、死者個人信息的保護2.死者個人信息的積極保護《個人信息保護法》第49條從《民法典》對死者個人信息的消極保護邁向了積極保護，鼓勵死者生前對個人信息作出安排，并承認在一定條件下死者的近親屬可以針對死者的相關個人信息行使查閱、復制、更正、刪除等權利，為死者的近親屬維護自身合法、正當利益提供了新途徑。第一節

個人在個人信息處理中的權利概述三、死者個人信息的保護3.死者個人信息的生前安排若死者生前對其死后個人信息的安排與其近親屬權利行使申請相沖突，則應當優先保護死者生前的決定。在實踐中，死者在生前可以通過如下方式安排其個人信息：（1）與個人信息處理者達成用戶協議；（2）在用戶協議的基礎上，向個人信息處理者發出特別通知；（3）在遺囑中指明由特定人士負責行使全部或部分個人信息權益。第一節

個人在個人信息處理中的權利概述三、死者個人信息的保護4.死者個人信息的近親屬權利在死者生前未作出個人信息的安排或安排無效的情形下，近親屬有權出于自身權益的考慮，行使死者的部分個人信息權益。對此，應注意如下幾點：第一，近親屬的范圍和順位。第二，對近親屬權利行使的限制。第三，近親屬權利行使的范圍。第二節

個人的知情權和決定權一、個人知情權、決定權系個人信息權益中的概括性權利《個人信息保護法》在《民法典》第1037條所列舉的個人查閱權、復制權、更正權、刪除權的基礎上，進一步提升、抽象為個人“知情權、決定權”，并成為《個人信息保護法》第二章“個人信息處理規則”、第三章“個人信息跨境提供的規則”中的告知同意規定的權利基礎。作為概括性權利，個人知情權、決定權發揮著如下兩大功能：其一，價值指引功能。其二，權利創設功能。第二節

個人的知情權和決定權二、個人知情權、決定權的對象：個人信息處理活動《個人信息保護法》的“知情權、決定權”即個人向信息處理者和接受委托處理個人信息的受托人，主張告知其信息處理的目的、方式及處理信息的種類等事項，并明確、自愿作出決定的權利?！皞€人信息”并非知情權、決定權的對象，《個人信息保護法》也并未賦予個人針對個人信息的控制權，而是通過規定“個人在個人信息處理活動中的權利”，防范個人信息處理對個人的侵害，維護人的主體地位和人格自由發展，避免個人淪為由他人操縱的客體，損害其人格尊嚴。第二節

個人的知情權和決定權三、個人知情權的行使個人只有知曉其個人信息處理活動中與其利益密切相關的重要事項，才能理性地作出決策，否則便不能保護自己的權益。個人自治是個人信息權益的重要組成部分。個人對其個人信息處理活動相關事項的知情權，是基于其身份而享有的知悉的權利。知情權一方面表現為個人向個人信息處理者主張的請求權，即有權要求后者提供與其個人信息處理相關事項的信息；另一方面表現為個人信息處理者的法定義務，只要個人未明確放棄其知情權，即便其未主動行使其知情權，個人信息處理者亦應依法或依約主動告知個人與其個人信息處理相關事項的信息。第二節

個人的知情權和決定權四、個人決定權的行使個人對其個人信息處理活動享有決定權，即享有對其個人信息如何收集、存儲、使用、加工、