個(gè)人信息保護(hù)法教程 課件全套 第1-7章 個(gè)人信息保護(hù)法基本問(wèn)題-個(gè)人信息保護(hù)法律責(zé)任

個(gè)人信息保護(hù)法教程

張新寶

丁曉東

主編新時(shí)代法學(xué)系列教材第一章個(gè)人信息保護(hù)法基本問(wèn)題第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（一）數(shù)據(jù)與信息概述1.數(shù)據(jù)的概念《數(shù)據(jù)安全法》第3條第1款規(guī)定：“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄?！?.信息與數(shù)據(jù)的關(guān)系信息是數(shù)據(jù)的內(nèi)容，數(shù)據(jù)是信息的形式。就個(gè)人數(shù)據(jù)而言，只有其包含個(gè)人信息時(shí)才會(huì)具有財(cái)產(chǎn)或者人格利益。自然人對(duì)個(gè)人數(shù)據(jù)的民事權(quán)益是指自然人對(duì)于以數(shù)據(jù)形式呈現(xiàn)的個(gè)人信息的民事權(quán)益或?qū)τ诎藗€(gè)人信息的數(shù)據(jù)的權(quán)益。第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（二）個(gè)人信息概述1.個(gè)人信息的概念：識(shí)別說(shuō)界定模式“識(shí)別說(shuō)”是指通過(guò)信息定位到個(gè)人，即“由信息本身的特殊性直接回溯到特定個(gè)人”?！毒W(wǎng)絡(luò)安全法》第76條第5項(xiàng)和《民法典》第1034條第2款采用了“識(shí)別說(shuō)”。第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（二）個(gè)人信息概述2.個(gè)人信息的概念：關(guān)聯(lián)說(shuō)界定模式“關(guān)聯(lián)說(shuō)”是指從個(gè)人到信息，即“已知曉既定個(gè)人，進(jìn)一步知曉關(guān)于該個(gè)人的其他信息”，與已經(jīng)識(shí)別和可能識(shí)別的個(gè)人相關(guān)聯(lián)的信息均屬于個(gè)人信息。《個(gè)人信息保護(hù)法》第4條第1款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！边@一規(guī)定實(shí)際的適用效果是擴(kuò)張了《民法典》對(duì)個(gè)人信息界定的范圍。第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（二）個(gè)人信息概述3.一般個(gè)人信息與敏感個(gè)人信息個(gè)人信息區(qū)分為一般個(gè)人信息與敏感個(gè)人信息。《個(gè)人信息保護(hù)法》以定性加開(kāi)放性列舉的方式，將敏感個(gè)人信息分為三類。敏感個(gè)人信息之外的其他個(gè)人信息，屬于一般個(gè)人信息。對(duì)敏感個(gè)人信息予以強(qiáng)化保護(hù)的意義在于：一是能夠更好地保護(hù)自然人的合法權(quán)益。二是有利于調(diào)和個(gè)人信息保護(hù)與利用的需求沖突，實(shí)現(xiàn)利益平衡。三是強(qiáng)調(diào)敏感個(gè)人信息的特殊性對(duì)于利益相關(guān)主體具有預(yù)警作用。第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（三）個(gè)人信息的特征1.個(gè)人信息具有算法識(shí)別性2.個(gè)人信息無(wú)法為個(gè)人所單獨(dú)控制3.個(gè)人信息的有限保護(hù)第一節(jié)

個(gè)人信息與個(gè)人信息處理一、數(shù)據(jù)、信息與個(gè)人信息（四）個(gè)人信息去標(biāo)識(shí)化與匿名化去標(biāo)識(shí)化，是指對(duì)個(gè)人信息進(jìn)行處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程。去標(biāo)識(shí)化的個(gè)人信息數(shù)據(jù)雖然經(jīng)過(guò)處理者的特殊處理，但依然保留了一定程度的可識(shí)別性。匿名化，是指對(duì)個(gè)人信息進(jìn)行處理，使其無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。匿名化的個(gè)人信息數(shù)據(jù)已不再具有可識(shí)別性，其承載的信息已經(jīng)不再是個(gè)人信息。第一節(jié)

個(gè)人信息與個(gè)人信息處理二、個(gè)人信息處理（一）個(gè)人信息處理的概念個(gè)人信息處理可以指任何一項(xiàng)或多項(xiàng)針對(duì)單一或多個(gè)個(gè)人信息進(jìn)行的操作。《個(gè)人信息保護(hù)法》第4條第2款對(duì)個(gè)人信息的處理方式進(jìn)行了不完全列舉，包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。第一節(jié)

個(gè)人信息與個(gè)人信息處理二、個(gè)人信息處理（二）個(gè)人信息處理行為的類型1.收集2.存儲(chǔ)3.使用4.加工5.傳輸6.提供7.公開(kāi)8.刪除第一節(jié)

個(gè)人信息與個(gè)人信息處理三、個(gè)人信息權(quán)益（一）個(gè)人信息權(quán)益概述個(gè)人信息權(quán)益，是指?jìng)€(gè)人基于個(gè)人信息所享有的實(shí)體性權(quán)利和利益，以及在個(gè)人信息處理活動(dòng)中依法享有的保護(hù)此等權(quán)利和利益的程序性權(quán)利。實(shí)體性權(quán)利和利益包括憲法規(guī)定的人權(quán)、公民的人格尊嚴(yán)、通信自由和通信秘密、公民的人身和財(cái)產(chǎn)安全等基本權(quán)利，公法上的權(quán)利和利益，以及民法上的人格尊嚴(yán)和人格權(quán)益，特別是隱私權(quán)、名譽(yù)權(quán)、姓名權(quán)、肖像權(quán)等，具有綜合性特征。程序性權(quán)利則是指在個(gè)人信息處理活動(dòng)中個(gè)人享有的用以保護(hù)其實(shí)體性權(quán)益的權(quán)利，包括同意權(quán)、知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、個(gè)人信息處理規(guī)則說(shuō)明權(quán)以及個(gè)人訴權(quán)。第一節(jié)

個(gè)人信息與個(gè)人信息處理三、個(gè)人信息權(quán)益（二）個(gè)人信息權(quán)益的內(nèi)涵1.個(gè)人的人格尊嚴(yán)2.個(gè)人的人身財(cái)產(chǎn)安全3.個(gè)人的通信自由和通信秘密第一節(jié)

個(gè)人信息與個(gè)人信息處理三、個(gè)人信息權(quán)益（三）個(gè)人信息權(quán)益的基本特征1.個(gè)人信息權(quán)益的主體是自然人2.個(gè)人信息權(quán)益是對(duì)人格權(quán)益的綜合性保護(hù)3.個(gè)人信息權(quán)益是對(duì)世性權(quán)益第二節(jié)

個(gè)人信息保護(hù)法治一、我國(guó)個(gè)人信息保護(hù)法治的建立與完善過(guò)程我國(guó)也十分重視個(gè)人信息保護(hù)，在2021年8月20日頒布《個(gè)人信息保護(hù)法》這一專門性法律之前，我國(guó)一直在不斷地探索和完善個(gè)人信息保護(hù)法治。2021年8月，《個(gè)人信息保護(hù)法》出臺(tái)。這標(biāo)志著我國(guó)個(gè)人信息保護(hù)立法體系進(jìn)入新的階段，為個(gè)人信息權(quán)益保護(hù)提供了全面的、體系化的法律依據(jù)。第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要1.《個(gè)人信息保護(hù)法》的體系作為保護(hù)個(gè)人信息的基本法律，《個(gè)人信息保護(hù)法》共分為8章：第一章“總則”明確立法目的、適用范圍、個(gè)人信息等概念以及個(gè)人信息保護(hù)的基本原則；第二章“個(gè)人信息處理規(guī)則”，規(guī)定以“告知—同意”為核心規(guī)則，并對(duì)敏感個(gè)人信息的處理規(guī)則作出更為嚴(yán)格的限制，此外還對(duì)作為特殊主體的國(guó)家機(jī)關(guān)應(yīng)如何處理個(gè)人信息作出特別規(guī)定；第三章“個(gè)人信息跨境提供的規(guī)則”，明確向境外提供個(gè)人信息的前提條件，對(duì)“告知—同意”規(guī)則作出更為嚴(yán)格的要求，并規(guī)定境外的組織、個(gè)人損害我國(guó)個(gè)人信息權(quán)益或者采取歧視性禁止或限制等不合理措施的，我國(guó)也可以采取相應(yīng)的措施；第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要2.《個(gè)人信息保護(hù)法》與憲法憲法是國(guó)家的根本法，具有最高的法律效力。《個(gè)人信息保護(hù)法》以憲法為立法依據(jù)，個(gè)人信息保護(hù)的憲法基礎(chǔ)是國(guó)家所負(fù)有的保護(hù)義務(wù)。3.《個(gè)人信息保護(hù)法》與《民法典》《個(gè)人信息保護(hù)法》與《民法典》構(gòu)成特別法與一般法的關(guān)系，《民法典》為其提供兜底保護(hù)、查缺補(bǔ)漏的功能。第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要4.《個(gè)人信息保護(hù)法》與刑法隨著隱私權(quán)與個(gè)人信息權(quán)益的區(qū)分與理清，以及立法的日益完善與健全，“先刑后民”的思路與策略已經(jīng)不再可行，而應(yīng)當(dāng)“民先刑后”“民緊刑松”，將刑法保護(hù)作為最后一道防線?！秱€(gè)人信息保護(hù)法》中的一些禁止性規(guī)定同《刑法》中相應(yīng)的罪名與刑罰存在對(duì)應(yīng)關(guān)系，5.《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》的諸多條文均可參考適用。第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要6.《個(gè)人信息保護(hù)法》與行政法規(guī)《個(gè)人信息保護(hù)法》通過(guò)授權(quán)立法的方式，將部分職責(zé)在法律保留的原則下授予行政法規(guī)。截至目前，雖然尚未有依據(jù)《個(gè)人信息保護(hù)法》而制定的行政法規(guī)，但在具體場(chǎng)景中《個(gè)人信息保護(hù)法》與現(xiàn)存行政法規(guī)存在交叉重疊的現(xiàn)象。7.《個(gè)人信息保護(hù)法》與部門規(guī)章、其他規(guī)范性文件在個(gè)人信息保護(hù)領(lǐng)域，《個(gè)人信息保護(hù)法》作為原則性立法，也有賴于個(gè)人信息保護(hù)主管部門等國(guó)家監(jiān)管機(jī)構(gòu)的執(zhí)行，相應(yīng)地，為執(zhí)行法律事項(xiàng)而制定的部門規(guī)章及規(guī)范性文件也成為《個(gè)人信息保護(hù)法》落地的依托。第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要8.《個(gè)人信息保護(hù)法》與地方性法規(guī)地方性法規(guī)作為中國(guó)特色社會(huì)主義法律體系的重要組成部分，在國(guó)家立法前，可以充分發(fā)揮地方主動(dòng)性，先行先試，為國(guó)家立法提供樣本經(jīng)驗(yàn)，發(fā)揮立法試驗(yàn)田的作用；在國(guó)家立法后，又在貫徹落實(shí)法律、行政法規(guī)和國(guó)家政策中發(fā)揮作用。在我國(guó)，相關(guān)地市制定的數(shù)據(jù)條例等地方性法規(guī)與作為專門性法律的《個(gè)人信息保護(hù)法》的關(guān)系也是如此。9.《個(gè)人信息保護(hù)法》與國(guó)家標(biāo)準(zhǔn)在個(gè)人信息保護(hù)領(lǐng)域，為應(yīng)對(duì)個(gè)人信息安全風(fēng)險(xiǎn)，在《個(gè)人信息保護(hù)法》出臺(tái)之前，我國(guó)已經(jīng)制定了諸多相關(guān)國(guó)家標(biāo)準(zhǔn)，為《個(gè)人信息保護(hù)法》提供了參考。第二節(jié)

個(gè)人信息保護(hù)法治二、個(gè)人信息保護(hù)現(xiàn)行法律制度概要10.《個(gè)人信息保護(hù)法》與司法解釋由于法律的滯后性與立法技術(shù)的局限性，最高人民法院、最高人民檢察院往往會(huì)作出針對(duì)具體法律條文的屬于審判、檢察工作中具體應(yīng)用法律問(wèn)題的解釋。在《個(gè)人信息保護(hù)法》出臺(tái)前，基于相關(guān)的司法實(shí)踐，與個(gè)人信息保護(hù)相關(guān)的司法解釋就已存在，且集中在民事與刑事領(lǐng)域。這些司法解釋在與《個(gè)人信息保護(hù)法》不沖突的前提下，依舊有效。第二節(jié)

個(gè)人信息保護(hù)法治三、作為領(lǐng)域法的個(gè)人信息保護(hù)法及其法學(xué)作為領(lǐng)域法的個(gè)人信息保護(hù)法學(xué)，以“兩頭強(qiáng)化，三方平衡”理論作為個(gè)人信息保護(hù)與利用法治的基礎(chǔ)理論。“兩頭強(qiáng)化”是指建立“個(gè)人敏感隱私信息”的概念，在個(gè)人敏感隱私信息與個(gè)人一般信息區(qū)分的基礎(chǔ)之上，通過(guò)強(qiáng)化對(duì)個(gè)人敏感隱私信息的保護(hù)和對(duì)個(gè)人一般信息的利用，調(diào)和個(gè)人信息保護(hù)與利用的需求沖突，實(shí)現(xiàn)利益平衡。“三方平衡”是指?jìng)€(gè)人對(duì)個(gè)人信息保護(hù)的利益（核心是人格自由和人格尊嚴(yán)利益）、信息業(yè)者對(duì)個(gè)人信息利用的利益（核心是通過(guò)經(jīng)營(yíng)活動(dòng)獲取經(jīng)濟(jì)利益）和國(guó)家管理社會(huì)的公共利益之間的平衡。第二節(jié)

個(gè)人信息保護(hù)法治四、個(gè)人信息保護(hù)法的立法目的依據(jù)《個(gè)人信息保護(hù)法》第1條的規(guī)定，該法的立法目的主要包括保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動(dòng)及促進(jìn)個(gè)人信息的合理利用三個(gè)方面。第三節(jié)

個(gè)人信息處理的原則《個(gè)人信息保護(hù)法》第5～9條分別規(guī)定了個(gè)人信息處理的五項(xiàng)基本原則。其中合法、正當(dāng)、必要和誠(chéng)信原則為總體原則，發(fā)揮統(tǒng)領(lǐng)作用；目的原則以個(gè)人信息處理的目的為核心，對(duì)于處理個(gè)人信息的限度提出了全面要求；公開(kāi)、透明原則以處理者告知義務(wù)的履行來(lái)維護(hù)個(gè)人主體的知情利益與公共利益的平衡；質(zhì)量原則旨在保證個(gè)人信息的準(zhǔn)確性、完整性和時(shí)效性，是在個(gè)人信息處理活動(dòng)中保護(hù)個(gè)人信息權(quán)益、實(shí)現(xiàn)個(gè)人信息經(jīng)濟(jì)價(jià)值和社會(huì)管理價(jià)值的基本前提；責(zé)任原則在綜合考量負(fù)責(zé)與安全的基礎(chǔ)上，進(jìn)一步加強(qiáng)了我國(guó)個(gè)人信息處理活動(dòng)的規(guī)范化。第三節(jié)

個(gè)人信息處理的原則一、合法、正當(dāng)、必要和誠(chéng)信原則《個(gè)人信息保護(hù)法》第5條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。”合法、正當(dāng)、必要和誠(chéng)信原則是個(gè)人信息處理的總體原則。“合法”是指處理者需遵循法律法規(guī)的規(guī)定，具有規(guī)范指引的功能?！罢?dāng)”包括目的的正當(dāng)和手段的正當(dāng)，要求處理者處理個(gè)人信息的目的及手段均符合正向價(jià)值判斷標(biāo)準(zhǔn)?！氨匾笔侵柑幚碚咛幚韨€(gè)人信息時(shí)不應(yīng)當(dāng)超過(guò)可以實(shí)現(xiàn)處理目的的最低限度及最小范圍。誠(chéng)信原則要求處理者對(duì)個(gè)人抱有基本的善意，尊重個(gè)人的合理信賴。第三節(jié)

個(gè)人信息處理的原則二、目的原則《個(gè)人信息保護(hù)法》第6條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息?！钡谝唬幚韨€(gè)人信息應(yīng)當(dāng)具有明確目的。第二，處理個(gè)人信息應(yīng)當(dāng)具有合理目的。第三，處理個(gè)人信息應(yīng)當(dāng)與處理目的直接相關(guān)。第四，處理個(gè)人信息應(yīng)當(dāng)采取對(duì)個(gè)人權(quán)益影響最小的方式，并限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。第三節(jié)

個(gè)人信息處理的原則三、公開(kāi)、透明原則《個(gè)人信息保護(hù)法》第7條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)遵循公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。”第一，處理者需真實(shí)、完整、準(zhǔn)確地對(duì)個(gè)人信息處理活動(dòng)相關(guān)的重要事項(xiàng)予以全面披露。第二，處理者的告知義務(wù)應(yīng)當(dāng)隨著處理活動(dòng)的變化而不斷更新。第三節(jié)

個(gè)人信息處理的原則四、質(zhì)量原則《個(gè)人信息保護(hù)法》第8條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響?！辟|(zhì)量原則具有以下幾個(gè)方面的重要意義：第一，是保護(hù)個(gè)人信息權(quán)益的必然要求。第二，保障了個(gè)人主體在信息處理活動(dòng)中的相關(guān)程序性權(quán)利。第三，是信息處理者對(duì)數(shù)據(jù)信息進(jìn)行有效處理的前提。第四，是加快建設(shè)數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府的關(guān)鍵一環(huán)。第三節(jié)

個(gè)人信息處理的原則五、責(zé)任原則《個(gè)人信息保護(hù)法》第9條規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全?！钡谝唬幚碚邞?yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)的規(guī)范化負(fù)責(zé)。第二，保障個(gè)人信息的安全是處理者在個(gè)人信息處理活動(dòng)中應(yīng)當(dāng)重點(diǎn)負(fù)責(zé)的內(nèi)容。第三，處理者應(yīng)當(dāng)對(duì)其違法處理個(gè)人信息的行為承擔(dān)相應(yīng)的法律責(zé)任。第三節(jié)

個(gè)人信息處理的原則六、原則的適用新時(shí)代中國(guó)網(wǎng)絡(luò)法治建設(shè)理念要堅(jiān)持以人民為中心。個(gè)人信息處理的各項(xiàng)原則，要把體現(xiàn)人民利益、反映人民愿望、維護(hù)人民權(quán)益、增進(jìn)人民福祉落實(shí)到網(wǎng)絡(luò)法治建設(shè)的各方面，立足中國(guó)互聯(lián)網(wǎng)發(fā)展實(shí)踐，處理好發(fā)展和安全、自由和秩序、開(kāi)放和自主、管理和服務(wù)的關(guān)系，運(yùn)用法治思維和法治方式解決制約互聯(lián)網(wǎng)發(fā)展的問(wèn)題。在五項(xiàng)基本原則中，合法、正當(dāng)、必要和誠(chéng)信原則是個(gè)人信息處理的總體原則；目的原則，公開(kāi)、透明原則，質(zhì)量原則和責(zé)任原則是針對(duì)個(gè)人信息處理某個(gè)特定方面的原則。五項(xiàng)基本原則所蘊(yùn)含的制度價(jià)值彼此間相互關(guān)聯(lián)，因而在實(shí)踐中可能發(fā)生基本原則的綜合適用問(wèn)題，其中既包括總體原則與方面原則的綜合適用，也包括方面原則與方面原則的綜合適用。第二章個(gè)人信息處理規(guī)則第一節(jié)

個(gè)人信息處理規(guī)則概述一、個(gè)人信息處理的合法性基礎(chǔ)（一）取得個(gè)人的同意原則上，個(gè)人信息處理均應(yīng)獲得信息主體的同意方能獲得合法性基礎(chǔ)?；凇案嬷狻币?guī)則的特殊地位，《個(gè)人信息保護(hù)法》第14～18條對(duì)同意規(guī)則與告知規(guī)則予以細(xì)化。第一節(jié)

個(gè)人信息處理規(guī)則概述一、個(gè)人信息處理的合法性基礎(chǔ)（二）法定許可基于公共利益的考量，《個(gè)人信息保護(hù)法》規(guī)定了6種“告知—同意”規(guī)則之外的其他獲得合法性基礎(chǔ)的方式。其一，為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需。其二，為履行法定職責(zé)或者法定義務(wù)所必需。其三，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需。第一節(jié)

個(gè)人信息處理規(guī)則概述一、個(gè)人信息處理的合法性基礎(chǔ)（二）法定許可其四，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息。其五，依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息。其六，法律、行政法規(guī)規(guī)定的其他情形。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（一）“告知—同意”規(guī)則的歷史淵源從歷史淵源的角度看，關(guān)于“告知—同意”規(guī)則在全球個(gè)人信息保護(hù)立法中的產(chǎn)生至少存在以下幾種學(xué)說(shuō)：其一，醫(yī)療領(lǐng)域起源說(shuō)。其二，公平信息實(shí)踐起源說(shuō)，即個(gè)人信息保護(hù)領(lǐng)域的“告知—同意”規(guī)則起源于美國(guó)的公平信息實(shí)踐。其三，德國(guó)立法確立說(shuō)，即1970年德國(guó)黑森州出臺(tái)的《數(shù)據(jù)保護(hù)法》。“告知—同意”規(guī)則仍然是全球個(gè)人信息保護(hù)立法中普遍采用的核心制度。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（二）“告知—同意”規(guī)則的性質(zhì)1.我國(guó)“告知—同意”規(guī)則的性質(zhì)《個(gè)人信息保護(hù)法》中的“告知—同意”規(guī)則是多維的制度工具：其一，我國(guó)現(xiàn)行立法下的“告知—同意”規(guī)則具備合規(guī)要求的屬性，個(gè)人信息處理者據(jù)此證明自身對(duì)基本權(quán)利的尊重。其二，“告知—同意”規(guī)則具備一定的消費(fèi)者合同的特征。其三，在具體實(shí)踐層面，告知同意所依托的文本有可能作為個(gè)人信息處理者的自我聲明，從而便于履行個(gè)人信息保護(hù)職責(zé)的部門據(jù)之采取行政執(zhí)法措施。此外，告知同意所依托的文本還有可能作為個(gè)人信息處理者進(jìn)行自我規(guī)制的章程、作為傳達(dá)聲譽(yù)的媒介，以及作為強(qiáng)化信息主體個(gè)人信息保護(hù)意識(shí)的工具。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（二）“告知—同意”規(guī)則的性質(zhì)2.美國(guó)：聲明或合同在美國(guó)司法實(shí)踐中，個(gè)人信息保護(hù)領(lǐng)域的告知同意在有限的案例中得到了合同法的救濟(jì)。對(duì)于以點(diǎn)擊協(xié)議（clickwrapagreement）等形式引起用戶顯著關(guān)注的隱私政策，美國(guó)法院將其視為合同。在其他情形中，告知同意被視為企業(yè)的單方聲明，法院認(rèn)為隱私政策并不會(huì)被消費(fèi)者所閱讀，也不會(huì)讓消費(fèi)者對(duì)隱私政策的內(nèi)容產(chǎn)生依賴，因此隱私政策并不能被認(rèn)定為合同。整體而言，美國(guó)監(jiān)管機(jī)構(gòu)將告知同意規(guī)則所基于的文本（隱私政策）作為行政執(zhí)法的依據(jù)。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（二）“告知—同意”規(guī)則的性質(zhì)3.歐盟：基本權(quán)利合規(guī)措施與消費(fèi)者合同《歐盟基本權(quán)利憲章》第8條第1款規(guī)定：“每個(gè)人都有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)?！薄兑话銛?shù)據(jù)保護(hù)條例》第1條第2款規(guī)定：“本條例保護(hù)自然人的基本權(quán)利和自由，特別是其個(gè)人數(shù)據(jù)被保護(hù)的權(quán)利?！睔W盟的隱私政策也具有一定的消費(fèi)者合同特征。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（三）告知規(guī)則1.告知的時(shí)間原則上，個(gè)人信息處理者必須在處理個(gè)人信息前向信息主體進(jìn)行告知，但存在例外。2.告知的形式根據(jù)《個(gè)人信息保護(hù)法》第17條，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知一系列信息。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（三）告知規(guī)則3.告知的事項(xiàng)其一，個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；其二，個(gè)人信息的處理目的、處理方式；其三，處理的個(gè)人信息種類、保存期限；其四，個(gè)人行使本法規(guī)定權(quán)利的方式和程序；其五，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（四）同意規(guī)則1.同意的形式《個(gè)人信息保護(hù)法》第14條對(duì)有效同意的一般形式與特殊形式、重新同意作出了一般性規(guī)定。根據(jù)《個(gè)人信息保護(hù)法》第14條第1款，有效同意的一般形式是“由個(gè)人在充分知情的前提下自愿、明確作出”。該款表明同意以明示為原則，預(yù)選方框、不作為等默示行為一般不構(gòu)成同意。有效同意的特殊形式則包括單獨(dú)同意與書面同意?！秱€(gè)人信息保護(hù)法》第14條第2款規(guī)定了應(yīng)當(dāng)重新獲得個(gè)人同意的情形，即“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更”。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（四）同意規(guī)則2.撤回同意《個(gè)人信息保護(hù)法》第15條第1款規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意……”第2款規(guī)定：“個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力?！睂?duì)于信息主體的撤回同意應(yīng)作如下理解：其一，撤回同意不同于《民法典》中規(guī)定的對(duì)意思表示的撤回。其二，撤回同意不受除斥期間的限制。其三，根據(jù)《個(gè)人信息保護(hù)法》第15條第2款的規(guī)定，撤回同意不具有溯及力。第一節(jié)

個(gè)人信息處理規(guī)則概述二、“告知—同意”規(guī)則（四）同意規(guī)則3.同意與提供產(chǎn)品或服務(wù)《個(gè)人信息保護(hù)法》第16條規(guī)定，“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”。第一節(jié)

個(gè)人信息處理規(guī)則概述三、有關(guān)個(gè)人信息處理者的一般規(guī)定（一）多方參與的個(gè)人信息處理1.共同處理在外部關(guān)系上，《個(gè)人信息保護(hù)法》第20條第2款規(guī)定：“個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任?！痹趦?nèi)部關(guān)系上，《個(gè)人信息保護(hù)法》第20條第1款規(guī)定：“兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利?！钡谝还?jié)

個(gè)人信息處理規(guī)則概述三、有關(guān)個(gè)人信息處理者的一般規(guī)定（一）多方參與的個(gè)人信息處理2.委托處理《個(gè)人信息保護(hù)法》第21條規(guī)定：“個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無(wú)效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。未經(jīng)個(gè)人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個(gè)人信息?！钡谝还?jié)

個(gè)人信息處理規(guī)則概述三、有關(guān)個(gè)人信息處理者的一般規(guī)定（二）個(gè)人信息處理者變更《個(gè)人信息保護(hù)法》第22條規(guī)定：“個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意?！钡谝还?jié)

個(gè)人信息處理規(guī)則概述三、有關(guān)個(gè)人信息處理者的一般規(guī)定（三）對(duì)外提供個(gè)人信息《個(gè)人信息保護(hù)法》第23條規(guī)定：“個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。”對(duì)該條的理解需要從“提供”的內(nèi)涵、提供方的“告知—同意”規(guī)則、接收方的“告知—同意”規(guī)則三個(gè)方面展開(kāi)。第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（一）自動(dòng)化決策的概念與風(fēng)險(xiǎn)挑戰(zhàn)根據(jù)《個(gè)人信息保護(hù)法》第73條第2項(xiàng)，自動(dòng)化決策是指“通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)”。法律對(duì)以算法決策為代表的自動(dòng)化決策加以控制的理?yè)?jù)包括以下方面：其一，自動(dòng)化決策可能挑戰(zhàn)人類決策的知情權(quán)與自主性。其二，自動(dòng)化決策可能威脅個(gè)體的隱私和自由。其三，自動(dòng)化決策可能會(huì)導(dǎo)致歧視與偏見(jiàn)。第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（二）自動(dòng)化決策的一般規(guī)則《個(gè)人信息保護(hù)法》第24條第1款規(guī)定：“個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。”第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（二）自動(dòng)化決策的一般規(guī)則1.透明度“透明度”是指自動(dòng)化決策所基于的規(guī)則及其實(shí)際決策過(guò)程能夠?yàn)樾畔⒅黧w或監(jiān)管機(jī)構(gòu)所理解。從解釋論的角度看，此處的“透明度”是《個(gè)人信息保護(hù)法》第7條中的“公開(kāi)、透明原則”在自動(dòng)化決策場(chǎng)景中的細(xì)化。透明度要求，一方面是個(gè)人信息處理者的客觀義務(wù)，另一方面也是信息主體的主觀權(quán)利。為實(shí)現(xiàn)透明度要求，個(gè)人信息處理者應(yīng)當(dāng)以增進(jìn)信息主體信任為目標(biāo)，以此承擔(dān)義務(wù)、回應(yīng)信息主體的權(quán)利請(qǐng)求。第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（二）自動(dòng)化決策的一般規(guī)則2.結(jié)果公平、公正“結(jié)果公平、公正”可以與“不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”結(jié)合起來(lái)分析?！敖Y(jié)果公平、公正”允許對(duì)個(gè)人的差別待遇，但此種差別待遇應(yīng)在合理的范圍內(nèi)，需要法院和行政監(jiān)管機(jī)構(gòu)在利益衡量的基礎(chǔ)上進(jìn)行個(gè)案判斷?！敖Y(jié)果公平、公正”同樣具有客觀義務(wù)與主觀權(quán)利的雙層保障機(jī)制：一方面，履行個(gè)人信息保護(hù)職責(zé)的部門可以行使其行政執(zhí)法權(quán)，對(duì)結(jié)果不公平、不公正的自動(dòng)化決策施加行政責(zé)任；另一方面，個(gè)人可以在前述透明度要求的輔助下行使其限制處理權(quán)或拒絕處理權(quán)。第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（三）自動(dòng)化決策的特殊規(guī)則《個(gè)人信息保護(hù)法》第24條第2款規(guī)定：“通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式?！睂?duì)信息推送、商業(yè)營(yíng)銷場(chǎng)景中的自動(dòng)化決策進(jìn)行專門規(guī)定的意義在于，對(duì)作為合法性基礎(chǔ)的“告知—同意”規(guī)則予以操作層面的限定，恢復(fù)信息主體對(duì)個(gè)人信息自決性的人格利益。在操作層面上，“不針對(duì)個(gè)人特征的自動(dòng)化決策”與“拒絕自動(dòng)化決策”的選項(xiàng)是一種增強(qiáng)告知，對(duì)前者的呈現(xiàn)是對(duì)告知行為的額外約束，對(duì)后者的呈現(xiàn)則旨在輔助用戶作出拒絕同意的決定。第一節(jié)

個(gè)人信息處理規(guī)則概述四、自動(dòng)化決策（四）對(duì)個(gè)人權(quán)益有重大影響的情形《個(gè)人信息保護(hù)法》第24條第3款規(guī)定：“通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。”其一，要求個(gè)人信息處理者對(duì)自動(dòng)化決策予以說(shuō)明的權(quán)利。其二，拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定的權(quán)利，即“完全自動(dòng)化決策拒絕權(quán)”。第一節(jié)

個(gè)人信息處理規(guī)則概述五、個(gè)人信息公開(kāi)的一般禁止根據(jù)《個(gè)人信息保護(hù)法》第25條，“個(gè)人信息處理者不得公開(kāi)其處理的個(gè)人信息，取得個(gè)人單獨(dú)同意的除外”，這是個(gè)人信息處理過(guò)程中有關(guān)個(gè)人信息公開(kāi)的一般禁止。在“告知—同意”規(guī)則作為個(gè)人信息處理的合法性基礎(chǔ)時(shí)，《個(gè)人信息保護(hù)法》第25條是有關(guān)告知同意事項(xiàng)的默認(rèn)規(guī)則。第25條對(duì)個(gè)人信息公開(kāi)的一般禁止在本質(zhì)上是對(duì)信息主體偏好的預(yù)設(shè)，目的在于彌補(bǔ)告知同意的不完備性。第25條不適用于法定同意作為個(gè)人信息處理合法性基礎(chǔ)的情形。在法定同意情形中，公開(kāi)是否具有合法性取決于公開(kāi)目的是否與法定許可所依托的利益保護(hù)目的相稱。第一節(jié)

個(gè)人信息處理規(guī)則概述六、在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的處理規(guī)則《個(gè)人信息保護(hù)法》第26條規(guī)定：“在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外?！钡谝还?jié)

個(gè)人信息處理規(guī)則概述七、已公開(kāi)個(gè)人信息的處理規(guī)則《個(gè)人信息保護(hù)法》第27條規(guī)定：“個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意?！痹摋l確立了已公開(kāi)個(gè)人信息的處理規(guī)則，尤其明確了對(duì)已公開(kāi)個(gè)人信息處理的一般允許規(guī)則。第一節(jié)

個(gè)人信息處理規(guī)則概述七、已公開(kāi)個(gè)人信息的處理規(guī)則（一）已公開(kāi)個(gè)人信息處理的合法性基礎(chǔ)“個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”，此類個(gè)人信息處理具有多重的合法性基礎(chǔ)：《個(gè)人信息保護(hù)法》第13條第1款第6項(xiàng)是已公開(kāi)個(gè)人信息處理的直接合法性基礎(chǔ)；同時(shí)，基于個(gè)人自行公開(kāi)或合法強(qiáng)制公開(kāi)的處理分別以推定同意、與強(qiáng)制公開(kāi)具有一致目的為合法性基礎(chǔ)。第一節(jié)

個(gè)人信息處理規(guī)則概述七、已公開(kāi)個(gè)人信息的處理規(guī)則（二）已公開(kāi)個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)在個(gè)人自行公開(kāi)的情形中，對(duì)已公開(kāi)個(gè)人信息的認(rèn)定需要結(jié)合個(gè)人信息處理的場(chǎng)景加以判斷。對(duì)已公開(kāi)個(gè)人信息的范圍的厘定也需要以對(duì)個(gè)人意愿的推斷為方法。在合法強(qiáng)制公開(kāi)的情形中，對(duì)已公開(kāi)個(gè)人信息的認(rèn)定則相對(duì)容易，即屬于在事實(shí)上已經(jīng)被合法強(qiáng)制公開(kāi)的個(gè)人信息的范圍。第一節(jié)

個(gè)人信息處理規(guī)則概述七、已公開(kāi)個(gè)人信息的處理規(guī)則（三）合理范圍的認(rèn)定標(biāo)準(zhǔn)在《個(gè)人信息保護(hù)法》的規(guī)范體系中，合理范圍的要求是目的特定原則在已公開(kāi)個(gè)人信息處理領(lǐng)域的規(guī)則細(xì)化，對(duì)合理范圍的認(rèn)定也需要結(jié)合目的特定原則加以判斷。目的特定原則要求個(gè)人信息處理應(yīng)當(dāng)和處理目的直接相關(guān)，并采取對(duì)個(gè)人權(quán)益影響最小的方式。在個(gè)人自行公開(kāi)的情形下，對(duì)個(gè)人信息處理的合理范圍的判斷與對(duì)已公開(kāi)個(gè)人信息的判斷一樣需要結(jié)合場(chǎng)景。在合法強(qiáng)制公開(kāi)的情形下，對(duì)個(gè)人信息處理的合理范圍的判斷則需要結(jié)合法定許可所基于的利益保護(hù)目的。第一節(jié)

個(gè)人信息處理規(guī)則概述七、已公開(kāi)個(gè)人信息的處理規(guī)則（四）阻斷合法性的例外情形其一，作為合法性阻斷事由的“個(gè)人明確拒絕”。在個(gè)人自行公開(kāi)的情形下，信息主體可以通過(guò)明確拒絕的方式來(lái)推翻推定同意，以維護(hù)其個(gè)人的偏好與意愿。在合法強(qiáng)制公開(kāi)的情形下，信息主體也可以通過(guò)明確拒絕來(lái)阻斷個(gè)人信息處理的合法性，但這一拒絕權(quán)的行使條件較為苛刻。其二，作為合法性阻斷事由的“對(duì)個(gè)人權(quán)益有重大影響”。從我國(guó)立法來(lái)看，對(duì)“重大”的認(rèn)定即判斷在何種情形下應(yīng)當(dāng)優(yōu)先保護(hù)個(gè)人權(quán)益而禁止未經(jīng)同意的處理活動(dòng)。第二節(jié)

敏感個(gè)人信息處理規(guī)則一、敏感個(gè)人信息的概念界定（一）敏感個(gè)人信息的定義敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。敏感個(gè)人信息的核心要素在于“敏感性”。這一定義從風(fēng)險(xiǎn)角度進(jìn)行闡釋，主要規(guī)范了風(fēng)險(xiǎn)的對(duì)象及風(fēng)險(xiǎn)的概率兩個(gè)維度。風(fēng)險(xiǎn)的對(duì)象包括人格尊嚴(yán)及人身、財(cái)產(chǎn)安全，這一范圍遠(yuǎn)大于隱私權(quán)的范圍，基本包含了與個(gè)人信息有關(guān)的具體人格權(quán)及一般人格權(quán)的范疇，甚至包括財(cái)產(chǎn)危害的內(nèi)容；風(fēng)險(xiǎn)的概率為容易導(dǎo)致，指產(chǎn)生風(fēng)險(xiǎn)的概率極高，這是與一般個(gè)人信息進(jìn)行對(duì)比的結(jié)果。第二節(jié)

敏感個(gè)人信息處理規(guī)則一、敏感個(gè)人信息的概念界定（二）法律具體列舉的六類典型敏感個(gè)人信息1.生物識(shí)別信息生物識(shí)別信息，也稱“個(gè)人生物特征”“個(gè)人生物識(shí)別信息”，是指關(guān)于自然人的身體、生理或行為特征的信息，包括人臉、指紋、聲紋、掌紋、基因、虹膜、耳郭等信息。生物識(shí)別信息具有唯一性，難以或無(wú)法改變，通過(guò)這些信息能識(shí)別到特定自然人。第二節(jié)

敏感個(gè)人信息處理規(guī)則一、敏感個(gè)人信息的概念界定（二）法律具體列舉的六類典型敏感個(gè)人信息2.宗教信仰信息所謂宗教信仰信息，是指?jìng)€(gè)人是否信仰宗教，以及信仰何種宗教、信仰的程度如何等個(gè)人信息。宗教信仰信息屬于敏感個(gè)人信息，此類信息的泄露和非法使用容易引起宗教上的仇視、對(duì)個(gè)人的偏見(jiàn)和不公平的對(duì)待，尤其是在那些有著宗教不寬容歷史的國(guó)家或地區(qū)。第二節(jié)

敏感個(gè)人信息處理規(guī)則一、敏感個(gè)人信息的概念界定（二）法律具體列舉的六類典型敏感個(gè)人信息3.特定身份信息特定身份信息是指對(duì)個(gè)人人格尊嚴(yán)和社會(huì)評(píng)價(jià)有重大影響的身份信息，特別是那些可能導(dǎo)致社會(huì)歧視的身份信息。4.醫(yī)療健康信息醫(yī)療健康信息范圍非常廣泛，既包括個(gè)人的就診記錄、用藥記錄、病史、身體癥狀等在醫(yī)療活動(dòng)中產(chǎn)生的信息，還包括體重、心率、身高、肺活量等衡量個(gè)人健康狀況的信息。第二節(jié)

敏感個(gè)人信息處理規(guī)則一、敏感個(gè)人信息的概念界定（二）法律具體列舉的六類典型敏感個(gè)人信息5.金融賬戶信息金融賬戶信息既包括銀行賬戶、證券賬戶、支付寶賬戶等，還包括賬戶密碼、支付口令、交易記錄等。6.行蹤軌跡信息行蹤軌跡信息，包括個(gè)人所處地理位置、活動(dòng)地點(diǎn)和活動(dòng)軌跡等信息。第二節(jié)

敏感個(gè)人信息處理規(guī)則二、敏感個(gè)人信息的要素判斷除上述六種明確被列舉為敏感個(gè)人信息的信息之外，敏感個(gè)人信息和非敏感個(gè)人信息之間還存在互相轉(zhuǎn)化的可能。一方面，處理個(gè)人信息的目的與信息的敏感性密切相關(guān)。另一方面，信息處理的場(chǎng)景也會(huì)影響對(duì)敏感性的判斷。因此，判斷某類信息是否屬于敏感個(gè)人信息，應(yīng)當(dāng)有一定的歸入和擇出標(biāo)準(zhǔn)。第二節(jié)

敏感個(gè)人信息處理規(guī)則二、敏感個(gè)人信息的要素判斷對(duì)敏感性的判斷，必須結(jié)合場(chǎng)景要素進(jìn)行綜合判定，這已經(jīng)形成基本共識(shí)。景中需要考慮的變量可以被歸納為五個(gè)要素：（1）信息主體。（2）信息處理者。（3）第三方主體。（4）信息性質(zhì)。（5）處理目的。第二節(jié)

敏感個(gè)人信息處理規(guī)則三、處理敏感個(gè)人信息的條件（一）特定目的和充分必要性《個(gè)人信息保護(hù)法》第6條規(guī)定了目的特定原則和最小必要原則：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。”所謂的特定目的和充分必要性，實(shí)際上是目的特定原則和最小必要原則在敏感個(gè)人信息處理中的具體化。對(duì)于敏感個(gè)人信息的處理，除遵循目的特定原則和最小必要原則外，還應(yīng)當(dāng)遵循非必要不處理原則，《個(gè)人信息保護(hù)法》第28條第2款中用了“只有”二字對(duì)此進(jìn)行強(qiáng)調(diào)。第二節(jié)

敏感個(gè)人信息處理規(guī)則三、處理敏感個(gè)人信息的條件（二）嚴(yán)格保護(hù)措施首先，應(yīng)當(dāng)在制度、技術(shù)、管理和應(yīng)急等方面采取更嚴(yán)格的措施（《個(gè)人信息保護(hù)法》第51條）。其次，應(yīng)當(dāng)按照《個(gè)人信息保護(hù)法》第55條和第56條的要求，對(duì)敏感個(gè)人信息的處理進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，判斷和評(píng)估處理目的、處理方式等是否合法、正當(dāng)、必要，所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。第二節(jié)

敏感個(gè)人信息處理規(guī)則四、處理敏感個(gè)人信息的特殊要求（一）單獨(dú)同意與書面同意所謂的單獨(dú)同意，結(jié)合《個(gè)人信息保護(hù)法》第14條的規(guī)定，應(yīng)當(dāng)在個(gè)人充分知情的前提下自愿、明確作出。同時(shí)，針對(duì)該條規(guī)定的信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等處理，都必須單獨(dú)獲得同意，避免與一般個(gè)人信息的處理所獲得的同意混淆。所謂的書面同意，是指在法律法規(guī)有特殊規(guī)定的情形下，獲得信息主體的敏感個(gè)人信息必須經(jīng)過(guò)書面同意，個(gè)人信息處理者需以紙質(zhì)或數(shù)字電文等有形地表現(xiàn)所載內(nèi)容，并由個(gè)人通過(guò)主動(dòng)簽名、簽章等形式取得個(gè)人同意。第二節(jié)

敏感個(gè)人信息處理規(guī)則四、處理敏感個(gè)人信息的特殊要求（二）告知的特殊性處理敏感個(gè)人信息的告知與處理一般個(gè)人信息的告知的不同之處在于：除《個(gè)人信息保護(hù)法》第17條第1款規(guī)定的需要告知的事項(xiàng)外，還需要另外向信息主體告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。第二節(jié)

敏感個(gè)人信息處理規(guī)則五、未成年人個(gè)人信息的保護(hù)（一）需特殊保護(hù)的未成年人的年齡的確定我國(guó)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》確認(rèn)14周歲以下作為兒童的年齡，主要是考慮到未成年人觸網(wǎng)年齡趨低、新生代“互聯(lián)網(wǎng)原住民”等特點(diǎn)，為了確保監(jiān)管措施的針對(duì)性、有效性，在保護(hù)未成年人個(gè)人信息方面，對(duì)被保護(hù)群體作進(jìn)一步細(xì)分。對(duì)于一定年齡以上的未成年人來(lái)說(shuō)，其互聯(lián)網(wǎng)認(rèn)知水平和操作水平已經(jīng)不亞于成年人，適用一般的個(gè)人信息保護(hù)規(guī)則就能夠滿足實(shí)際需要，因此，以14周歲為界線，主要保護(hù)不滿14周歲的未成年人。第二節(jié)

敏感個(gè)人信息處理規(guī)則五、未成年人個(gè)人信息的保護(hù)（二）未成年人父母或者其他監(jiān)護(hù)人的同意《個(gè)人信息保護(hù)法》確立了處理不滿14周歲的未成年人個(gè)人信息應(yīng)取得監(jiān)護(hù)人同意的規(guī)則，這一規(guī)定也是國(guó)際社會(huì)通行的處理未成年人個(gè)人信息的規(guī)則。但如何取得監(jiān)護(hù)人的可驗(yàn)證的同意，《個(gè)人信息保護(hù)法》并未進(jìn)一步明確?！秲和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第9條要求網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人，并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意。敏感個(gè)人信息的處理規(guī)則同時(shí)適用于處理不滿14周歲的未成年人個(gè)人信息，監(jiān)護(hù)人的同意必須是單獨(dú)同意，或是法律、行政法規(guī)要求下的書面同意。第二節(jié)

敏感個(gè)人信息處理規(guī)則五、未成年人個(gè)人信息的保護(hù)（三）未成年人個(gè)人信息處理規(guī)則國(guó)家互聯(lián)網(wǎng)信息辦公室制定了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，該規(guī)定專門針對(duì)未成年人的個(gè)人信息處理，共計(jì)29條，包括網(wǎng)絡(luò)運(yùn)營(yíng)者處理未成年人個(gè)人信息時(shí)應(yīng)當(dāng)告知的具體事項(xiàng)，網(wǎng)絡(luò)運(yùn)營(yíng)者在收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息過(guò)程中的具體義務(wù)，以及兒童或者其監(jiān)護(hù)人所享有的相應(yīng)的權(quán)利，等等。信息處理者也應(yīng)該為監(jiān)護(hù)人提供一整套便捷易用的工具，如密碼保護(hù)、阻止/允許列表、年齡驗(yàn)證及信息過(guò)濾等，幫助監(jiān)護(hù)人為兒童（特別是年幼的兒童）創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則一、概述（一）“綜合立法”模式縱觀全球個(gè)人信息保護(hù)法律制度，對(duì)于國(guó)家機(jī)關(guān)或者說(shuō)公權(quán)機(jī)關(guān)的個(gè)人信息處理活動(dòng)，存在兩種規(guī)制模式：一種是“綜合立法”模式，即一部統(tǒng)一的個(gè)人信息保護(hù)法同時(shí)適用于私人主體和公權(quán)主體。另一種是“分散立法”模式。我國(guó)《個(gè)人信息保護(hù)法》選擇了“綜合立法”模式，但在第二章第三節(jié)明確“國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”，并于第33條規(guī)定：“國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定?！钡谌?jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則一、概述（二）國(guó)家機(jī)關(guān)的界定根據(jù)《個(gè)人信息保護(hù)法》第33條和第37條，個(gè)人信息保護(hù)領(lǐng)域的國(guó)家機(jī)關(guān)包括兩類：一是“國(guó)家機(jī)關(guān)”；二是“準(zhǔn)國(guó)家機(jī)關(guān)”，即“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織”?！秱€(gè)人信息保護(hù)法》并未詳細(xì)界定，但對(duì)其內(nèi)涵可參照先前立法來(lái)理解。“國(guó)家機(jī)關(guān)”是指“國(guó)家為實(shí)現(xiàn)其政治統(tǒng)治職能和管理職能而設(shè)立的國(guó)家機(jī)構(gòu)的總稱”。“準(zhǔn)國(guó)家機(jī)關(guān)”通常簡(jiǎn)稱為“法律、法規(guī)授權(quán)組織”，在嚴(yán)格意義上并不屬于國(guó)家機(jī)關(guān)，但在現(xiàn)實(shí)中行使公權(quán)力。2008年《政府信息公開(kāi)條例》第36條就將法律、法規(guī)授權(quán)組織納入政府信息公開(kāi)法制框架。因此，《個(gè)人信息保護(hù)法》將“準(zhǔn)國(guó)家機(jī)關(guān)”也一并納入適用對(duì)象范圍。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（一）為履行法定職責(zé)所必需關(guān)于何謂“法定職責(zé)”，理論界爭(zhēng)議的焦點(diǎn)在于這里的“法”之范圍是否僅限于法律、行政法規(guī)。“法定”的廣義說(shuō)，即既包括全國(guó)人大及其常委會(huì)頒布的法律，也包括行政法規(guī)、地方性法規(guī)、部門規(guī)章和地方政府規(guī)章等規(guī)范性法律文件，更為合理。關(guān)于何謂“所必需”，根據(jù)《個(gè)人信息保護(hù)法》第5條、第6條規(guī)定的必要原則和目的限定要求，應(yīng)采用比例原則展開(kāi)分析，具體包括：第一，適當(dāng)性分析。第二，必要性分析。第三，相稱性分析，又稱狹義比例原則分析。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（二）取得個(gè)人的同意當(dāng)國(guó)家機(jī)關(guān)與公民個(gè)人之間發(fā)生民事法律關(guān)系時(shí)，例如國(guó)家機(jī)關(guān)向公民個(gè)人購(gòu)買服務(wù)時(shí)，雙方就是平等關(guān)系。因此，有必要給國(guó)家機(jī)關(guān)依據(jù)同意處理個(gè)人信息留出空間。值得注意的是，為了避免國(guó)家機(jī)關(guān)借助自身的權(quán)力優(yōu)勢(shì)，以獲取信息主體同意之名，行規(guī)避法定職責(zé)之實(shí)，在國(guó)家機(jī)關(guān)使用同意作為處理個(gè)人信息的合法性依據(jù)時(shí)，應(yīng)確保同意是真實(shí)、自愿、不受脅迫而作出的?？蓪⒕唧w判斷標(biāo)準(zhǔn)確定為：只有在個(gè)人不同意或撤回同意完全不影響獲得國(guó)家機(jī)關(guān)的給付，也不會(huì)招致國(guó)家機(jī)關(guān)的不利對(duì)待時(shí)，該同意才是有效的。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（三）為訂立、履行合同或?qū)嵤┤肆Y源管理所必需由于處理個(gè)人信息是履行合同所必需的，故可不以同意作為處理個(gè)人信息的合法性基礎(chǔ)，而援引《個(gè)人信息保護(hù)法》第13條第1款第2項(xiàng)的“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需”作為依據(jù)。國(guó)家機(jī)關(guān)在因管理需要處理其工作人員的個(gè)人信息時(shí)，也可以《個(gè)人信息保護(hù)法》第13條第1款第2項(xiàng)的“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”作為合法性基礎(chǔ)，無(wú)須征得同意。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或者緊急情況下保護(hù)自然人人身財(cái)產(chǎn)安全所必需一些規(guī)定授權(quán)特定國(guó)家機(jī)關(guān)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或其他緊急事件而處理個(gè)人信息，此時(shí)國(guó)家機(jī)關(guān)應(yīng)以依法履職而非應(yīng)急必需作為處理個(gè)人信息的合法性依據(jù)。當(dāng)某國(guó)家機(jī)關(guān)未經(jīng)上述法律、法規(guī)授權(quán)，不具有應(yīng)急的法定職責(zé)，亦未經(jīng)信息主體同意的，原則上就不得基于防疫需要來(lái)處理個(gè)人信息；但該國(guó)家機(jī)關(guān)可以援引《個(gè)人信息保護(hù)法》第13條“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”。此等處理行為由于不具有法律、法規(guī)的明文授權(quán)，根據(jù)行政應(yīng)急性原則，須在事后接受審查，確認(rèn)屬于應(yīng)急所必需的，方能免責(zé)；若被判定為不能免責(zé)，則應(yīng)承擔(dān)國(guó)家賠償責(zé)任；即便免責(zé)，根據(jù)《民法典》第182條第2款，仍應(yīng)給予適當(dāng)補(bǔ)償。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（五）合理處理已自愿或合法公開(kāi)的個(gè)人信息《個(gè)人信息保護(hù)法》第27條規(guī)定：“個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意?！鄙鲜鲆?guī)定對(duì)國(guó)家機(jī)關(guān)同樣適用。但須明確以下四點(diǎn)適用條件：第一，公開(kāi)是指對(duì)世公開(kāi)，而非有限范圍內(nèi)的披露。第二，公開(kāi)必須出于自愿或依法為之，否則不得處理。第三，對(duì)公開(kāi)信息的處理必須是合理的。第四，在信息主體明確拒絕時(shí)，國(guó)家機(jī)關(guān)不得處理公開(kāi)的個(gè)人信息；對(duì)信息主體個(gè)人權(quán)益有重大影響的個(gè)人信息，原則上不得處理，實(shí)在需要處理的應(yīng)當(dāng)轉(zhuǎn)而尋求《個(gè)人信息保護(hù)法》第13條第1款第1項(xiàng)規(guī)定的同意作為合法性基礎(chǔ)。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則二、國(guó)家機(jī)關(guān)處理個(gè)人信息的合法性基礎(chǔ)（六）法律、行政法規(guī)規(guī)定的其他情形根據(jù)《個(gè)人信息保護(hù)法》第13條第1款第7項(xiàng)，法律、行政法規(guī)有特別規(guī)定的，國(guó)家機(jī)關(guān)也可處理個(gè)人信息。需強(qiáng)調(diào)的是，此項(xiàng)規(guī)定不能與依法履職相混同，即“法律、行政法規(guī)規(guī)定的其他情形”不能是國(guó)家機(jī)關(guān)的職責(zé)，否則可徑直適用《個(gè)人信息保護(hù)法》第13條第1款第3項(xiàng)。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則三、國(guó)家機(jī)關(guān)處理個(gè)人信息的告知義務(wù)《個(gè)人信息保護(hù)法》第35條規(guī)定：“國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外?！薄秱€(gè)人信息保護(hù)法》第18條第1款規(guī)定：“個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知……”結(jié)合上文所揭示的國(guó)家機(jī)關(guān)處理個(gè)人信息的多元合法性基礎(chǔ)，可以將國(guó)家機(jī)關(guān)處理個(gè)人信息的告知義務(wù)歸納如下：第一，“告知+同意”。第二，“告知+無(wú)須同意”。第三，“無(wú)須告知+無(wú)須同意”。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則四、國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境流動(dòng)規(guī)則（一）國(guó)家機(jī)關(guān)處理的個(gè)人信息境內(nèi)存儲(chǔ)義務(wù)《個(gè)人信息保護(hù)法》第36條規(guī)定的“國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)”，應(yīng)當(dāng)參照該法第40條規(guī)定的“在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)”來(lái)理解。只有國(guó)家機(jī)關(guān)處理的在我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息，才需要在境內(nèi)存儲(chǔ)?！熬硟?nèi)存儲(chǔ)”的含義是：第一，在物理空間意義上，個(gè)人信息存儲(chǔ)介質(zhì)位于我國(guó)境內(nèi)；第二，在虛擬空間意義上，位于我國(guó)境內(nèi)的個(gè)人信息存儲(chǔ)介質(zhì)上的個(gè)人信息不被境外組織或個(gè)人讀取，公開(kāi)渠道讀取的除外?！秱€(gè)人信息保護(hù)法》第36條第一句要求國(guó)家機(jī)關(guān)處理的個(gè)人信息原則上同時(shí)處于這兩種狀態(tài)。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則四、國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境流動(dòng)規(guī)則（二）國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境提供規(guī)則《個(gè)人信息保護(hù)法》第36條規(guī)定：“國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。安全評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。”《個(gè)人信息保護(hù)法》第38條第1款第2～4項(xiàng)并不能作為國(guó)家機(jī)關(guān)個(gè)人信息出境的通路，否則會(huì)使第40條關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者個(gè)人信息出境的特別規(guī)定失去意義。第三節(jié)

國(guó)家機(jī)關(guān)處理個(gè)人信息特別規(guī)則四、國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境流動(dòng)規(guī)則（二）國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境提供規(guī)則國(guó)家機(jī)關(guān)在開(kāi)展安全評(píng)估時(shí)，“可以要求有關(guān)部門提供支持與協(xié)助”，目的在于補(bǔ)強(qiáng)國(guó)家機(jī)關(guān)自行評(píng)估的專業(yè)知識(shí)和能力，避免監(jiān)管評(píng)估缺位帶來(lái)的個(gè)人信息出境風(fēng)險(xiǎn)。因此，盡管《個(gè)人信息保護(hù)法》第36條中的表述是“可以要求”，但非網(wǎng)信部門的國(guó)家機(jī)關(guān)原則上都應(yīng)當(dāng)要求支持與協(xié)助，且被要求機(jī)關(guān)應(yīng)當(dāng)提供支持與協(xié)助。“有關(guān)部門”一般指網(wǎng)信部門，但不限于國(guó)家網(wǎng)信部門，基于降低行政成本的考慮，較低級(jí)別的國(guó)家機(jī)關(guān)自行開(kāi)展安全評(píng)估不必通過(guò)所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門要求支持與協(xié)助。經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國(guó)家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。第三章個(gè)人信息跨境提供規(guī)則第一節(jié)

個(gè)人信息跨境提供概述一、個(gè)人信息跨境提供的價(jià)值與國(guó)際背景（一）個(gè)人信息跨境提供的多重價(jià)值1.個(gè)人信息跨境提供中的隱私權(quán)保護(hù)價(jià)值2.個(gè)人信息跨境提供中的國(guó)家安全價(jià)值3.促進(jìn)國(guó)際經(jīng)貿(mào)關(guān)系發(fā)展（1）多邊體制視角下的個(gè)人信息跨境。（2）區(qū)域貿(mào)易協(xié)定視角下的個(gè)人信息跨境提供與保護(hù)。第一節(jié)

個(gè)人信息跨境提供概述一、個(gè)人信息跨境提供的價(jià)值與國(guó)際背景（二）個(gè)人信息跨境提供的國(guó)際背景1.個(gè)人信息跨境提供的多邊國(guó)際行動(dòng)第一，鼓勵(lì)跨境數(shù)據(jù)流動(dòng)，推動(dòng)全球數(shù)字經(jīng)濟(jì)發(fā)展。第二，構(gòu)建與數(shù)字經(jīng)濟(jì)發(fā)展相匹配的數(shù)據(jù)隱私保護(hù)框架和數(shù)字技術(shù)信任體系，消除跨境數(shù)據(jù)流動(dòng)壁壘。第三，關(guān)注跨境數(shù)據(jù)流動(dòng)規(guī)制的風(fēng)險(xiǎn)管控和互操作性。第一節(jié)

個(gè)人信息跨境提供概述一、個(gè)人信息跨境提供的價(jià)值與國(guó)際背景（二）個(gè)人信息跨境提供的國(guó)際背景2.個(gè)人信息跨境提供中的國(guó)際行動(dòng)困境第一，效力不足。第二，難以平衡良好的數(shù)據(jù)保護(hù)和跨境數(shù)據(jù)自由流動(dòng)。第三，既有多邊規(guī)制受到歐盟和美國(guó)兩大規(guī)制體系的影響，無(wú)法保持自身獨(dú)立性。第一節(jié)

個(gè)人信息跨境提供概述二、我國(guó)關(guān)于個(gè)人信息跨境提供的制度建設(shè)《個(gè)人信息保護(hù)法》于2021年11月1日生效，是我國(guó)個(gè)人信息保護(hù)領(lǐng)域第一部普適性、綜合性的法律。該法汲取了《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》等境內(nèi)個(gè)人信息保護(hù)立法和國(guó)家標(biāo)準(zhǔn)的主要規(guī)則，借鑒了境外個(gè)人信息保護(hù)立法的有益經(jīng)驗(yàn)，并將實(shí)踐中行之有效的做法上升為法律規(guī)范，為個(gè)人信息保護(hù)提供了綜合性的監(jiān)管法律框架和規(guī)范。針對(duì)個(gè)人信息跨境提供，除“安全評(píng)估”的合規(guī)出境方式外，《個(gè)人信息保護(hù)法》第38條還明確了個(gè)人信息出境的另外兩種途徑，即“標(biāo)準(zhǔn)合同”和“認(rèn)證”。這為個(gè)人信息合規(guī)出境方式提供了更多的選擇空間。第一節(jié)

個(gè)人信息跨境提供概述三、個(gè)人信息跨境提供中的執(zhí)法與司法國(guó)際合作我國(guó)對(duì)在執(zhí)法與司法過(guò)程中跨境調(diào)取個(gè)人信息的基本立場(chǎng)均是強(qiáng)調(diào)主權(quán)不容侵犯，堅(jiān)持在執(zhí)法與司法過(guò)程中跨境調(diào)取個(gè)人信息應(yīng)通過(guò)主權(quán)國(guó)家之間的平等互惠合作來(lái)開(kāi)展。這也是我國(guó)拒絕加入《網(wǎng)絡(luò)犯罪公約》的原因所在。在面對(duì)執(zhí)法跨境調(diào)取數(shù)據(jù)的利益考量時(shí)，我國(guó)在國(guó)家主權(quán)、安全和發(fā)展利益的平衡之上，更多的是遵循“防守”策略，考慮國(guó)家主權(quán)和安全利益。然而，僅僅采取防御策略并非最佳出路，我國(guó)應(yīng)當(dāng)將單邊式應(yīng)對(duì)的壓力，疏導(dǎo)到多邊的框架下解決問(wèn)題。此外，面對(duì)美歐的擴(kuò)張式立法，我國(guó)可通過(guò)強(qiáng)調(diào)數(shù)據(jù)安全的方式，應(yīng)對(duì)執(zhí)法跨境調(diào)取個(gè)人信息。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度一、數(shù)據(jù)出境安全評(píng)估制度分析（一）適用范圍《數(shù)據(jù)出境安全評(píng)估辦法》首次完整地規(guī)定了安全評(píng)估的具體適用范圍。首先，《數(shù)據(jù)出境安全評(píng)估辦法》第2條將“數(shù)據(jù)出境”定義為“向境外提供”。其次，《數(shù)據(jù)出境安全評(píng)估辦法》第2條規(guī)定，需要安全評(píng)估的出境數(shù)據(jù)系“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的”數(shù)據(jù)。再次，《數(shù)據(jù)出境安全評(píng)估辦法》第2條明確在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評(píng)估是強(qiáng)制性的，并首次將范圍從關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者擴(kuò)大至所有數(shù)據(jù)處理者。最后，結(jié)合《數(shù)據(jù)出境安全評(píng)估辦法》第4條可知，出境數(shù)據(jù)涉及個(gè)人信息的，達(dá)到一定要求時(shí)才需進(jìn)行安全評(píng)估，即滿足主體條件、客體條件及其他條件。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度一、數(shù)據(jù)出境安全評(píng)估制度分析（二）評(píng)估原則《數(shù)據(jù)出境安全評(píng)估辦法》第3條明確了數(shù)據(jù)出境安全評(píng)估原則：事前評(píng)估與持續(xù)監(jiān)督相結(jié)合，風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，保障數(shù)據(jù)依法有序自由流動(dòng)?！笆虑霸u(píng)估”，即數(shù)據(jù)在安全評(píng)估通過(guò)之前不得出境。“持續(xù)監(jiān)督”則體現(xiàn)在《數(shù)據(jù)出境安全評(píng)估辦法》第14條和第17條中，即對(duì)已通過(guò)評(píng)估的數(shù)據(jù)處理活動(dòng)在如下三種情形下需要進(jìn)行再評(píng)估：（1）兩年期滿；（2）情勢(shì)變化；（3）違規(guī)處理?！帮L(fēng)險(xiǎn)自評(píng)估”與“安全評(píng)估”的內(nèi)容貫穿于《數(shù)據(jù)出境安全評(píng)估辦法》第5~13條中。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度一、數(shù)據(jù)出境安全評(píng)估制度分析（三）風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估1.評(píng)估流程《數(shù)據(jù)出境安全評(píng)估辦法》第5條明確“數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估”，因此理論上風(fēng)險(xiǎn)自評(píng)估僅適用于需申報(bào)數(shù)據(jù)出境安全評(píng)估的情形?！稊?shù)據(jù)出境安全評(píng)估辦法》第6、7、10、11、12、13條規(guī)定了安全評(píng)估的具體流程，其中也包括《個(gè)人信息保護(hù)法》涉及的其他出境管理制度?！稊?shù)據(jù)出境安全評(píng)估辦法》明確了國(guó)家網(wǎng)信部門在數(shù)據(jù)出境安全評(píng)估中的主導(dǎo)地位，第10條中首次提到“專門機(jī)構(gòu)”，此機(jī)構(gòu)可能為國(guó)家網(wǎng)信部門指定的特定評(píng)估機(jī)構(gòu)。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度一、數(shù)據(jù)出境安全評(píng)估制度分析（三）風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估2.評(píng)估事項(xiàng)及簡(jiǎn)析《數(shù)據(jù)出境安全評(píng)估辦法》第5條和第8條分別列舉風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估的重點(diǎn)事項(xiàng)，兩者既有區(qū)別也有聯(lián)系。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度二、數(shù)據(jù)出境安全評(píng)估具體流程設(shè)計(jì)與實(shí)現(xiàn)（一）個(gè)人信息出境安全評(píng)估總體流程對(duì)擬出境數(shù)據(jù)進(jìn)行個(gè)人信息識(shí)別評(píng)估，如果擬出境數(shù)據(jù)包含個(gè)人信息、個(gè)人敏感信息，則首先評(píng)估該出境活動(dòng)的合規(guī)性，即其是否具有正當(dāng)必要的目的、是否符合出境數(shù)據(jù)最小化原則、是否征得了個(gè)人信息主體的同意、是否被法律法規(guī)或國(guó)家有關(guān)部門明令禁止。若經(jīng)評(píng)估后個(gè)人信息出境不滿足合規(guī)性要求，則建議不得出境。在通過(guò)個(gè)人信息出境合規(guī)性評(píng)估的基礎(chǔ)上，再評(píng)估個(gè)人信息出境的安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估結(jié)果為高或極高的，建議不得出境，將個(gè)人信息出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)有效地降至最低限度。第二節(jié)

個(gè)人信息跨境提供的安全評(píng)估制度二、數(shù)據(jù)出境安全評(píng)估具體流程設(shè)計(jì)與實(shí)現(xiàn)（二）重要數(shù)據(jù)出境安全評(píng)估總體流程對(duì)擬出境數(shù)據(jù)進(jìn)行重要數(shù)據(jù)識(shí)別評(píng)估，如果其包含重要數(shù)據(jù)，則首先對(duì)該出境活動(dòng)的合規(guī)性進(jìn)行評(píng)估，即其是否具有正當(dāng)必要的目的、是否符合出境數(shù)據(jù)最小化原則、是否被法律法規(guī)或國(guó)家有關(guān)部門明令禁止。如重要數(shù)據(jù)出境不具備合規(guī)性，則建議不得出境。在通過(guò)合規(guī)性評(píng)估的基礎(chǔ)上，再評(píng)估該數(shù)據(jù)出境的安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估結(jié)果為高或極高的，建議不得出境，將重要數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)有效地降至最低限度。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度一、標(biāo)準(zhǔn)合同制度的適用范圍（一）跨境傳輸行為在我國(guó)，標(biāo)準(zhǔn)合同條款僅適用于個(gè)人信息跨境傳輸，境內(nèi)傳輸能否適用，法無(wú)明文規(guī)定。理論上，境內(nèi)傳輸與跨境傳輸均可使用標(biāo)準(zhǔn)合同條款，域外實(shí)踐不乏其例。就個(gè)人信息跨境傳輸而言，鑒于《數(shù)據(jù)出境安全評(píng)估辦法》第4條明確列舉了數(shù)據(jù)出境安全評(píng)估的四類情形，結(jié)合該條的規(guī)定，標(biāo)準(zhǔn)合同條款并非普適性的出境工具，而僅限于非重要、小規(guī)模的傳輸場(chǎng)景。標(biāo)準(zhǔn)合同條款與數(shù)據(jù)出境安全評(píng)估“整體聯(lián)動(dòng)”，不需要安全評(píng)估的跨境傳輸場(chǎng)景，方有經(jīng)由標(biāo)準(zhǔn)合同條款實(shí)現(xiàn)個(gè)人信息出境之空間。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度一、標(biāo)準(zhǔn)合同制度的適用范圍（二）標(biāo)準(zhǔn)合同的典型適用場(chǎng)景：同類重復(fù)傳輸與關(guān)聯(lián)性傳輸其一，同類重復(fù)傳輸，多見(jiàn)于涉及人力資源、金融信息、客戶信息等的跨國(guó)運(yùn)營(yíng)的大型商業(yè)組織。該領(lǐng)域有大量性質(zhì)類似的重復(fù)傳輸需求，所涉行業(yè)中的大型運(yùn)營(yíng)商數(shù)量相對(duì)較少且廣受公眾監(jiān)督。其二，關(guān)聯(lián)性傳輸，多見(jiàn)于跨國(guó)公司，以關(guān)聯(lián)或隸屬關(guān)系為特征。當(dāng)進(jìn)出口方是跨國(guó)公司、關(guān)聯(lián)公司或者隸屬于同一經(jīng)濟(jì)實(shí)體時(shí)，雙方聯(lián)系較為緊密，應(yīng)重點(diǎn)構(gòu)造進(jìn)出口方的責(zé)任承擔(dān)條款。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度一、標(biāo)準(zhǔn)合同制度的適用范圍（三）標(biāo)準(zhǔn)合同的結(jié)構(gòu)特色：傳輸模塊傳輸模塊是配置進(jìn)出口方義務(wù)的基本單元。進(jìn)出口方可依據(jù)處理角色，選擇不同模塊，以調(diào)整合同義務(wù)。傳輸模塊之設(shè)計(jì)，受到進(jìn)出口方之間關(guān)系與性質(zhì)、傳輸角色、預(yù)期處理性質(zhì)、傳輸目的等因素影響。在我國(guó)，立法難點(diǎn)在于細(xì)分傳輸主體，《個(gè)人信息保護(hù)法》第38條僅區(qū)分個(gè)人信息處理者和境外接收方，進(jìn)出口方既可以是實(shí)際控制信息的處理者，也可以是僅處理，但不實(shí)際控制信息的處理者。此種概念錯(cuò)位導(dǎo)致我國(guó)無(wú)法直接套用域外通行的傳輸模塊。因此，單獨(dú)制定委托處理的標(biāo)準(zhǔn)合同條款，在回避概念錯(cuò)位的前提下，回應(yīng)區(qū)分進(jìn)出口方角色（實(shí)際控制方和處理方）的現(xiàn)實(shí)需求，或?yàn)閼?yīng)對(duì)之策。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（一）個(gè)人信息安全義務(wù)個(gè)人信息安全義務(wù)，原則上是進(jìn)出口方均應(yīng)負(fù)擔(dān)的主給付義務(wù)?；趥€(gè)人信息處理者的安全義務(wù)和信息安全原則，進(jìn)出口方應(yīng)確保個(gè)人信息安全，根據(jù)處理的性質(zhì)、目的、范圍、方式、技術(shù)水平等因素，采取適當(dāng)?shù)募夹g(shù)、運(yùn)營(yíng)措施，確保處理的安全性，避免信息泄露、篡改、丟失等安全風(fēng)險(xiǎn)。進(jìn)出口方所負(fù)的個(gè)人信息安全義務(wù)，側(cè)重不同。出口方應(yīng)確保個(gè)人信息在傳輸至進(jìn)口方的過(guò)程中的安全性。進(jìn)口方應(yīng)就收到的個(gè)人信息承擔(dān)額外的安全義務(wù)，例如應(yīng)定期檢查，確保傳輸?shù)募夹g(shù)和組織措施持續(xù)具備安全水準(zhǔn)，確保授權(quán)人員對(duì)處理行為予以保密。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（二）個(gè)人信息安全事件的通知義務(wù)個(gè)人信息安全事件的通知義務(wù)是典型的進(jìn)口方義務(wù)，是個(gè)人信息安全義務(wù)之延伸，為真正義務(wù)。就通知事由而言，《個(gè)人信息保護(hù)法》第57條僅列舉了個(gè)人信息泄露、篡改、丟失三類情形。在實(shí)踐中，風(fēng)險(xiǎn)源隨技術(shù)發(fā)展而變化，個(gè)人信息安全風(fēng)險(xiǎn)不限于泄露、篡改或丟失。個(gè)人信息安全事件通知義務(wù)的構(gòu)造方案為：在知悉個(gè)人信息安全事件的發(fā)生風(fēng)險(xiǎn)或現(xiàn)實(shí)危險(xiǎn)時(shí)，進(jìn)口方和出口方應(yīng)立即通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人信息主體，通知內(nèi)容包括對(duì)個(gè)人信息安全事件性質(zhì)的描述、可能的危害、已采取的補(bǔ)救措施、可采取的減輕危害的措施等。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（三）個(gè)人信息安全事件的補(bǔ)救、減損義務(wù)個(gè)人信息安全事件的補(bǔ)救、減損義務(wù)，是典型的進(jìn)口方義務(wù)，構(gòu)成個(gè)人信息安全義務(wù)之延伸，為真正義務(wù)?；凇秱€(gè)人信息保護(hù)法》第57條第1款第2項(xiàng)和第2款，在發(fā)生或可能發(fā)生個(gè)人信息安全事件時(shí)，處理者應(yīng)履行補(bǔ)救、減損義務(wù)?！稊?shù)據(jù)安全法》第29條前段亦規(guī)定了發(fā)生數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)處理者的補(bǔ)救義務(wù)。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（四）告知義務(wù)告知義務(wù)是典型的出口方義務(wù)，又稱透明度要求。基于《個(gè)人信息保護(hù)法》的公開(kāi)、透明原則和告知規(guī)則，個(gè)人信息處理者負(fù)有主動(dòng)告知和經(jīng)問(wèn)詢告知的雙重義務(wù)。前者為一般的信息公開(kāi)義務(wù)（主動(dòng)告知義務(wù)）；后者為經(jīng)問(wèn)詢的告知義務(wù)。告知通常可明示為之，或在涉及商業(yè)秘密等保密事項(xiàng)時(shí)共享特定范圍內(nèi)的部分副本，或在個(gè)人信息主體無(wú)法理解副本內(nèi)容時(shí)提供可理解的摘要。但是，告知義務(wù)絕非單純的出口方義務(wù)，在特定情形下，進(jìn)口方亦負(fù)有告知義務(wù)。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（五）目的限制義務(wù)目的限制義務(wù)是典型的進(jìn)口方義務(wù)。進(jìn)出口方應(yīng)限于特定目的處理個(gè)人信息。原則上，進(jìn)出口方均為處理者，均負(fù)有目的限制義務(wù)。實(shí)踐中，在出口方將個(gè)人信息傳輸至進(jìn)口方后，主要由進(jìn)口方實(shí)施處理，進(jìn)口方承擔(dān)目的限制義務(wù)更為合理。目的限制義務(wù)之構(gòu)造，可區(qū)分為一般規(guī)則和豁免規(guī)則。第三節(jié)

個(gè)人信息跨境提供的標(biāo)準(zhǔn)合同制度二、進(jìn)出口方的個(gè)人信息保護(hù)義務(wù)（六）合規(guī)審計(jì)義務(wù)合規(guī)審計(jì)義務(wù)是典型的出口方義務(wù)，是指出口方應(yīng)對(duì)進(jìn)口方是否遵守個(gè)人信息保護(hù)法和標(biāo)準(zhǔn)合同條款展開(kāi)審計(jì)，其名為義務(wù)，實(shí)為審計(jì)權(quán)限。此為自律性對(duì)己義務(wù)，相較之下，域外的合規(guī)審計(jì)主要是合同合規(guī)審計(jì)，而非法律合規(guī)審計(jì)，由出口方對(duì)進(jìn)口方是否遵守合同條款予以審計(jì)。因此，若對(duì)《個(gè)人信息保護(hù)法》第54條作目的性擴(kuò)張解釋，除法律合規(guī)審計(jì)外，合規(guī)審計(jì)義務(wù)的具體內(nèi)容還應(yīng)包括是否遵守標(biāo)準(zhǔn)合同條款的合同合規(guī)審計(jì)。合規(guī)審計(jì)條款之設(shè)計(jì)，應(yīng)重點(diǎn)構(gòu)造出口方對(duì)進(jìn)口方是否遵守標(biāo)準(zhǔn)合同條款的合同合規(guī)審計(jì)事項(xiàng)。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度一、認(rèn)證的功能《個(gè)人信息保護(hù)法》第38條第1款第2項(xiàng)規(guī)定，個(gè)人信息處理者通過(guò)國(guó)家網(wǎng)信部門認(rèn)可的專業(yè)機(jī)構(gòu)的“個(gè)人信息保護(hù)認(rèn)證”，可以合法進(jìn)行個(gè)人信息出境。第38條第3款要求，“個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”。首先，認(rèn)證的功能是，審查和確認(rèn)個(gè)人信息處理者是否根據(jù)個(gè)人信息出境風(fēng)險(xiǎn)采取合理必要措施，確保境外接收方的個(gè)人信息保護(hù)水平滿足《個(gè)人信息保護(hù)法》的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。其次，認(rèn)證是分擔(dān)國(guó)家監(jiān)管部門個(gè)人信息出境監(jiān)管重任的一種有效途徑。最后，專業(yè)機(jī)構(gòu)作為第三方提供的認(rèn)證是一種市場(chǎng)化的個(gè)人信息保護(hù)解決方案，能夠比較靈活地同時(shí)滿足企業(yè)的商業(yè)性個(gè)人信息跨境提供需求和國(guó)家有關(guān)個(gè)人信息跨境提供的安全監(jiān)管要求，因而比較容易滿足跨國(guó)企業(yè)的個(gè)人信息跨境提供的需求。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度二、認(rèn)證范圍《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》（以下簡(jiǎn)稱《實(shí)施規(guī)則》）規(guī)定了對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。從認(rèn)證主體來(lái)看，凡是個(gè)人信息處理者皆可申請(qǐng)?jiān)擁?xiàng)認(rèn)證；從認(rèn)證對(duì)象來(lái)看，認(rèn)證涉及個(gè)人信息處理活動(dòng)過(guò)程中的產(chǎn)品、服務(wù)、管理體系；從認(rèn)證內(nèi)容來(lái)看，認(rèn)證僅僅涉及個(gè)人信息，而不包括其他數(shù)據(jù)。此外，認(rèn)證是對(duì)個(gè)人信息處理的認(rèn)證?？傮w來(lái)看，《實(shí)施規(guī)則》規(guī)定的認(rèn)證主體范圍更明確，適用對(duì)象范圍更廣闊（包括產(chǎn)品、服務(wù)和管理體系），內(nèi)容范圍更有針對(duì)性（僅限于個(gè)人信息）。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度三、認(rèn)證依據(jù)最新版本的《信息安全技術(shù)個(gè)人信息安全規(guī)范》和《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》是《實(shí)施規(guī)則》所規(guī)定的認(rèn)證依據(jù)。前者是由國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的國(guó)家標(biāo)準(zhǔn)；后者是由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制定和發(fā)布的技術(shù)規(guī)范。根據(jù)《實(shí)施規(guī)則》的規(guī)定，所有個(gè)人信息處理者均需要符合前一種規(guī)范的要求，而開(kāi)展數(shù)據(jù)跨境傳輸?shù)膫€(gè)人信息處理者還應(yīng)當(dāng)符合后一種規(guī)范的要求。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度四、認(rèn)證程序“技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督”是《實(shí)施規(guī)則》提出的個(gè)人信息保護(hù)認(rèn)證模式。按此模式，認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托人提交的認(rèn)證委托進(jìn)行審查后，決定是否受理并向委托人及時(shí)反饋，受理后將確定認(rèn)證方案并告知委托人。《實(shí)施規(guī)則》以認(rèn)證前資料審查、認(rèn)證中能力審核、認(rèn)證后持續(xù)監(jiān)管的事前、事中、事后全過(guò)程規(guī)制模式對(duì)認(rèn)證程序作出了具體規(guī)定。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度五、認(rèn)證證書認(rèn)證機(jī)構(gòu)對(duì)符合認(rèn)證要求的認(rèn)證委托人頒發(fā)認(rèn)證證書，有效期為3年。在此期間，認(rèn)證委托人可向認(rèn)證機(jī)構(gòu)提出變更委托，對(duì)已獲認(rèn)證的個(gè)人信息處理者的相關(guān)資料進(jìn)行變更，也可申請(qǐng)將認(rèn)證證書暫停、注銷；認(rèn)證證書到期后，認(rèn)證委托人需要延續(xù)使用的，應(yīng)在有效期屆滿前6個(gè)月內(nèi)提出申請(qǐng)。獲得認(rèn)證后，認(rèn)證委托人將受認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督，在監(jiān)督過(guò)程中若已獲得認(rèn)證的個(gè)人信息處理者不再符合認(rèn)證要求，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書予以暫停直至撤銷。認(rèn)證證書既不是行業(yè)許可證，也不是營(yíng)業(yè)執(zhí)照，而是一種資質(zhì)認(rèn)證，體現(xiàn)出認(rèn)證機(jī)構(gòu)對(duì)于認(rèn)證委托人的個(gè)人信息保護(hù)能力的肯定性評(píng)價(jià)。第四節(jié)

個(gè)人信息跨境提供的認(rèn)證制度六、認(rèn)證責(zé)任《實(shí)施規(guī)則》規(guī)定，認(rèn)證機(jī)構(gòu)、技術(shù)驗(yàn)證機(jī)構(gòu)、認(rèn)證委托人分別對(duì)各自的認(rèn)證結(jié)論、技術(shù)驗(yàn)證結(jié)論、認(rèn)證委托資料的真實(shí)性和合法性負(fù)責(zé)。認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息主體造成損失則需承擔(dān)連帶責(zé)任，這意味著認(rèn)證機(jī)構(gòu)在個(gè)人信息保護(hù)認(rèn)證工作實(shí)施過(guò)程中擔(dān)負(fù)著持續(xù)的監(jiān)督和審查義務(wù)，面臨著重要的認(rèn)證責(zé)任。第四章個(gè)人在個(gè)人信息處理中的權(quán)利第一節(jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述一、“個(gè)人信息權(quán)益”與“個(gè)人信息權(quán)利”辨析針對(duì)是“個(gè)人信息權(quán)益”還是“個(gè)人信息權(quán)利”，究竟采用何種表述，學(xué)界一直存在爭(zhēng)議。使用“權(quán)益”是考慮到信息化時(shí)代個(gè)人信息之上承載著廣泛的個(gè)人權(quán)利和利益，其與個(gè)人的人身、財(cái)產(chǎn)安全密切相關(guān)，并非一項(xiàng)單一的權(quán)利，而是各種利益的類型化集合；使用“權(quán)利”則是因?yàn)閲?guó)際社會(huì)及我國(guó)各項(xiàng)相關(guān)立法均賦予個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)、決定權(quán)，并以此作為保障個(gè)人信息權(quán)益的方式、個(gè)人信息權(quán)益是“本權(quán)權(quán)益”，主要包括人格尊嚴(yán)、人身財(cái)產(chǎn)安全以及通信自由和通信秘密等利益，但不包括財(cái)產(chǎn)利益，兼具公法與私法雙重性質(zhì)；個(gè)人信息權(quán)利則是保護(hù)“本權(quán)權(quán)益”的權(quán)利，是權(quán)利人保護(hù)其“本權(quán)權(quán)益”的法律手段。第一節(jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述二、個(gè)人信息權(quán)益和權(quán)利的平衡保護(hù)“兩頭強(qiáng)化，三方平衡”理論作為個(gè)人信息保護(hù)的基礎(chǔ)理論，在個(gè)人信息權(quán)益構(gòu)造的教義學(xué)闡釋中發(fā)揮著決定作用。總之，個(gè)人信息權(quán)益和權(quán)利保護(hù)的價(jià)值取向不是單一的，而是多元、兼容并包的；其追求的不是個(gè)人、一般個(gè)人信息處理者或者國(guó)家某一方利益的全部實(shí)現(xiàn)，而是三方利益的相互平衡，從而實(shí)現(xiàn)“多贏”和“共和”。第一節(jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述三、死者個(gè)人信息的保護(hù)1.死者個(gè)人信息保護(hù)的沿革我國(guó)對(duì)于死者權(quán)益一直采取間接保護(hù)的路徑，主張近親屬對(duì)死者生前形象享有懷念、祭奠、追思或寄托美好情感的法律利益。從死者人格利益保護(hù)的歷史看，其呈現(xiàn)出保護(hù)范圍不斷拓展、種類不斷增多的趨勢(shì)。2021年《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》第15條規(guī)定：“自然人死亡后，信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理人臉信息，死者的近親屬依據(jù)民法典第九百九十四條請(qǐng)求信息處理者承擔(dān)民事責(zé)任的，適用本規(guī)定?！钡谝还?jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述三、死者個(gè)人信息的保護(hù)2.死者個(gè)人信息的積極保護(hù)《個(gè)人信息保護(hù)法》第49條從《民法典》對(duì)死者個(gè)人信息的消極保護(hù)邁向了積極保護(hù)，鼓勵(lì)死者生前對(duì)個(gè)人信息作出安排，并承認(rèn)在一定條件下死者的近親屬可以針對(duì)死者的相關(guān)個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，為死者的近親屬維護(hù)自身合法、正當(dāng)利益提供了新途徑。第一節(jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述三、死者個(gè)人信息的保護(hù)3.死者個(gè)人信息的生前安排若死者生前對(duì)其死后個(gè)人信息的安排與其近親屬權(quán)利行使申請(qǐng)相沖突，則應(yīng)當(dāng)優(yōu)先保護(hù)死者生前的決定。在實(shí)踐中，死者在生前可以通過(guò)如下方式安排其個(gè)人信息：（1）與個(gè)人信息處理者達(dá)成用戶協(xié)議；（2）在用戶協(xié)議的基礎(chǔ)上，向個(gè)人信息處理者發(fā)出特別通知；（3）在遺囑中指明由特定人士負(fù)責(zé)行使全部或部分個(gè)人信息權(quán)益。第一節(jié)

個(gè)人在個(gè)人信息處理中的權(quán)利概述三、死者個(gè)人信息的保護(hù)4.死者個(gè)人信息的近親屬權(quán)利在死者生前未作出個(gè)人信息的安排或安排無(wú)效的情形下，近親屬有權(quán)出于自身權(quán)益的考慮，行使死者的部分個(gè)人信息權(quán)益。對(duì)此，應(yīng)注意如下幾點(diǎn)：第一，近親屬的范圍和順位。第二，對(duì)近親屬權(quán)利行使的限制。第三，近親屬權(quán)利行使的范圍。第二節(jié)

個(gè)人的知情權(quán)和決定權(quán)一、個(gè)人知情權(quán)、決定權(quán)系個(gè)人信息權(quán)益中的概括性權(quán)利《個(gè)人信息保護(hù)法》在《民法典》第1037條所列舉的個(gè)人查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)的基礎(chǔ)上，進(jìn)一步提升、抽象為個(gè)人“知情權(quán)、決定權(quán)”，并成為《個(gè)人信息保護(hù)法》第二章“個(gè)人信息處理規(guī)則”、第三章“個(gè)人信息跨境提供的規(guī)則”中的告知同意規(guī)定的權(quán)利基礎(chǔ)。作為概括性權(quán)利，個(gè)人知情權(quán)、決定權(quán)發(fā)揮著如下兩大功能：其一，價(jià)值指引功能。其二，權(quán)利創(chuàng)設(shè)功能。第二節(jié)

個(gè)人的知情權(quán)和決定權(quán)二、個(gè)人知情權(quán)、決定權(quán)的對(duì)象：個(gè)人信息處理活動(dòng)《個(gè)人信息保護(hù)法》的“知情權(quán)、決定權(quán)”即個(gè)人向信息處理者和接受委托處理個(gè)人信息的受托人，主張告知其信息處理的目的、方式及處理信息的種類等事項(xiàng)，并明確、自愿作出決定的權(quán)利?！皞€(gè)人信息”并非知情權(quán)、決定權(quán)的對(duì)象，《個(gè)人信息保護(hù)法》也并未賦予個(gè)人針對(duì)個(gè)人信息的控制權(quán)，而是通過(guò)規(guī)定“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，防范個(gè)人信息處理對(duì)個(gè)人的侵害，維護(hù)人的主體地位和人格自由發(fā)展，避免個(gè)人淪為由他人操縱的客體，損害其人格尊嚴(yán)。第二節(jié)

個(gè)人的知情權(quán)和決定權(quán)三、個(gè)人知情權(quán)的行使個(gè)人只有知曉其個(gè)人信息處理活動(dòng)中與其利益密切相關(guān)的重要事項(xiàng)，才能理性地作出決策，否則便不能保護(hù)自己的權(quán)益。個(gè)人自治是個(gè)人信息權(quán)益的重要組成部分。個(gè)人對(duì)其個(gè)人信息處理活動(dòng)相關(guān)事項(xiàng)的知情權(quán)，是基于其身份而享有的知悉的權(quán)利。知情權(quán)一方面表現(xiàn)為個(gè)人向個(gè)人信息處理者主張的請(qǐng)求權(quán)，即有權(quán)要求后者提供與其個(gè)人信息處理相關(guān)事項(xiàng)的信息；另一方面表現(xiàn)為個(gè)人信息處理者的法定義務(wù)，只要個(gè)人未明確放棄其知情權(quán)，即便其未主動(dòng)行使其知情權(quán)，個(gè)人信息處理者亦應(yīng)依法或依約主動(dòng)告知個(gè)人與其個(gè)人信息處理相關(guān)事項(xiàng)的信息。第二節(jié)

個(gè)人的知情權(quán)和決定權(quán)四、個(gè)人決定權(quán)的行使個(gè)人對(duì)其個(gè)人信息處理活動(dòng)享有決定權(quán)，即享有對(duì)其個(gè)人信息如何收集、存儲(chǔ)、使用、加工、