《网络安全法讲义》第六章 个人信息保护制度（中）

【编者按】

本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写，内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件，权威性高，实用性强，可供关心网络安全法律政策的读者阅读。连载共13篇。

目录

第一章  网络安全法导读

第二章  网络安全法总则

第三章  网络安全支持与促进制度

第四章  网络运行安全制度一般规定（上）

第四章  网络运行安全制度一般规定（下）

第五章  关键信息基础设施运行安全制度

第六章  个人信息保护制度（上）

第六章  个人信息保护制度（中）

第六章  个人信息保护制度（下）

第七章  违法信息监管制度

第八章  数据出境管理制度

第九章  网络安全监测预警与应急处置制度

第十章  网络安全法律责任制度

网络安全法第四章网络信息安全包含第四十条至第五十条，其中第四十条至第四十五条是关于个人信息保护制度的规定，第四十六条至第五十条是关于违法信息监管制度的规定。

我国个人信息保护法自2021年11月1日起施行。

本章讨论个人信息保护制度，具体包括我国个人信息保护的法律体系、个人信息保护制度概述、《个人信息保护法》概述、个人信息保护的具体规则、移动互联网应用程序（App）收集使用个人信息的专项治理等。

本书另设专章讨论违法信息监管制度。

第三节 个人信息保护法概述

2021年8月20日《中华人民共和国个人信息保护法》由全国人大常委会表决通过。下面选取重点内容进行介绍。

一、关于制定本法的必要性

党的十八大以来，全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中，确立了个人信息保护的主要规则；在修改刑法中，完善了惩治侵害个人信息犯罪的法律制度；在编纂民法典中，将个人信息受法律保护作为一项重要民事权利作出规定。我国个人信息保护法律制度逐步建立，但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此，应当在现行法律基础上制定出台专门法律，增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

第二，制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园，必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益，而且危害交易安全，扰乱市场竞争，破坏网络空间秩序。因此，应当制定出台专门法律，以严密的制度、严格的标准、严厉的责任，规范个人信息处理活动，落实企业、机构等个人信息处理者的法律义务和责任，维护网络空间良好生态。
第三，制定个人信息保护法是促进数字经济健康发展的重要举措。当前，以数据为新生产要素的数字经济蓬勃发展，数据的竞争已成为国际竞争的重要领域，而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求，应当统筹个人信息保护与利用，通过立法建立权责明确、保护有效、利用规范的制度规则，在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济持续健康发展。

二、关于起草工作和把握的几点

起草工作注意把握以下几点：一是，坚持立足国情与借鉴国际经验相结合。从我国实际出发，深入总结网络安全法等法律、法规、标准的实施经验，将行之有效的做法和措施上升为法律规范。从上世纪70年代开始，经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规，有140多个国家和地区制定了个人信息保护方面的法律。草案充分借鉴有关国际组织和国家、地区的有益做法，建立健全适应我国个人信息保护和数字经济发展需要的法律制度。二是，坚持问题导向和立法前瞻性相结合。既立足于个人信息保护领域存在的突出问题和人民群众的重大关切，建立完善可行的制度规范。同时，对一些尚存争议的理论问题，在本法中留下必要空间，对新技术新应用带来的新问题，在充分研究论证的基础上作出必要规定，体现法律的包容性、前瞻性。三是，处理好与有关法律的关系。把握权益保护的立法定位，与民法典等有关法律规定相衔接，细化、充实个人信息保护制度规则。同时，与网络安全法和已提请全国人大常委会审议的数据安全法草案相衔接，对于网络安全法、数据安全法草案确立的网络和数据安全监管相关制度措施，本法不再作规定。

三、关于《个人信息保护法》的主要内容

《个人信息保护法》共八章七十四条，主要内容包括：

（一）明确本法适用范围

二是，明确在我国境内处理个人信息的活动适用本法的同时，借鉴有关国家和地区的做法，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益，规定：以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为以及法律、行政法规规定的其他情形等发生在我国境外的个人信息处理活动，也适用本法；并要求境外的个人信息处理者在境内设立专门机构或者指定代表，负责个人信息保护相关事务。（第三条、第五十三条）

（二）健全个人信息处理规则

一是，确立个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的，限于实现处理目的的最小范围，遵循公开、透明原则，公开处理规则，保证个人信息质量，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。（第五条至第九条）

二是，确立以“告知-同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况，立法还对基于个人同意以外合法处理个人信息的情形作了规定。（第十三条至第十八条）

三是，根据个人信息处理的不同环节、不同个人信息种类，对个人信息的共同处理、委托处理、向其他个人信息处理者提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。（第二十条至第二十七条）

四是，设专节对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。（第二十八条至第三十二条）
五是，设专节规定国家机关处理个人信息的规则，在保障国家机关依法履行职责的同时，要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。（第三十三条至第三十七条）
在应对新冠肺炎疫情中，大数据应用为联防联控和复工复产提供了有力支持。为此，立法将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一。需要强调的是，在上述情形下处理个人信息，也必须严格遵守本法规定的处理规则，履行个人信息保护义务。

（三）完善个人信息跨境提供规则

四是，对从事侵害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了可以对等采取措施。（第四十二条、第四十三条）

（四）明确个人信息处理活动中个人的权利和处理者义务

（五）关于履行个人信息保护职责的部门

四、《个人信息保护法》确立的个人信息处理原则

【个人信息处理原则】第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

【必要性原则/目的限制原则】第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

【透明原则】第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则，明示处理的目的、方式和范围。

【准确原则】第八条 处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

【负责和安全原则】第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

【存储期限必要原则】第十九条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

五、《个人信息保护法》确立的个人信息处理规则

（一）一般规定

【个人信息处理合法性基础】第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意；

(二)为订立或者履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

(三)为履行法定职责或者法定义务所必需；

(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

(五)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

(六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

【同意条件、重新取得个人同意】第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

【同意撤回】第十五条 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

【撤回后果】第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

【告知要件】第十七条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

【告知的法定例外】第十八条 个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。

【共同处理决定】第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

【委托处理关系】第二十一条 个人信息处理者委托处理个人信息的，应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托方的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，委托合同不生效、无效、被撤销或者终止的，受托方应当将个人信息返还个人信息处理者或者予以删除，不得保留。
未经个人信息处理者同意，受托方不得转委托他人处理个人信息。

【合并分立解散破产】第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

【向其他个人信息处理者提供】第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

【自动化决策】第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果的公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

【不得公开处理的信息】 第二十五条 个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

【公共场所信息采集提示】 第二十六条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

【公开个人信息处理原则】 第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意 。

（二）敏感个人信息的处理规则

【目的特定和必要，敏感信息定义】第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

【敏感信息处理，单独同意原则】第二十九条 处理敏感个人信息应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

【特殊告知义务】第三十条 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

【法定行政许可】第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出其他限制的，从其规定。

（三）国家机关处理个人信息的特别规定

【国家机关例外规定】第三十三条 国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。

【职责必要原则】第三十四条 国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

【告知义务及其例外】第三十五条 国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

【境内存储，境外提供安全评估】第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第四节 个人信息的收集、使用规则

一、相关规定

关于网络运营者收集使用个人信息的规则，网络安全法第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

民法典第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”

二、个人信息的收集

《个人信息安全规范》的“5 个人信息的收集”部分有如下规定：

5.1 收集个人信息的合法性

对个人信息控制者的要求包括：

a) 不应以欺诈、诱骗、误导的方式收集个人信息；

b) 不应隐瞒产品或服务所具有的收集个人信息的功能；

c) 不应从非法渠道获取个人信息。

5.2收集个人信息的最小必要

对个人信息控制者的要求包括：

a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；

b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数据。

5.3 多项业务功能的自主选择

当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括：

a) 不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的各项业务功能收集个人信息的请求。

b) 应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后，开始收集个人信息；

c) 关闭或退出业务功能的途径或方法应与个人信息主体选择使用业务功能的途径或方法同样方便。个人信息主体选择关闭或退出特定业务功能后，个人信息控制者应停止该业务功能的个人信息收集活动；

d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应频繁征求个人信息主体的授权同意；

e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应暂停个人信息主体自主选择使用的其他业务功能，或降低其他业务功能的服务质量；

f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

5.4 收集个人信息时的授权同意

对个人信息控制者的要求包括：

a)收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息护体的授权同意；

注1：如产品或服务仅提供一项收集、使用个人信息的业务功能时，个人信息控制者可通过个人信息保护政策的形式，实现向个人信息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除个人信息保护政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、范式和范围，以便个人信息主体在作出具体的授权同意前，能充分考虑对其的具体影响。

注2：符合5.3和a) 要求的实现方法，可参考附录C。

b) 收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；

c) 收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意；

注：个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

d) 收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意；

e) 间接获取个人信息时：

1） 应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；

2) 应了解个人信息提供方已获取的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除等；

3） 如开展业务所需进行的个人信息处理活动超出已获取的授权同意范围的，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意，或通过个人信息提供方征得个人信息主体的明示同意。

5.5 征得授权同意的例外

以下情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意：

a) 与个人信息控制者履行法律法规规定的义务相关的；

b) 与国家安全、国防安全直接相关的；

c) 与公共安全、公共卫生、重大公共利益直接相关的；

d) 与刑事侦查、起诉、审判和判决执行等直接相关的；

e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；

f) 所涉及的个人信息是个人信息主体自行向社会公开的；

g) 根据个人信息主体要求签订和履行合同所必需的；

注：个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不宜将其视为合同。

h) 从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；

i)维护所提供服务或产品的安全稳定运行所必需的，如发现、处置产品或服务的故障；

j) 个人信息控制者为新闻单位，且其开展合法的新闻报道所必需的；

k) 个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的。

5.6 个人信息保护政策

对个人信息控制者的要求包括：

a) 应制定个人信息保护政策，内容应包括但不限于：

1）个人信息控制者的基本情况，包括主体身份、联系方式；

2）收集、使用个人信息的业务功能，以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的，需明确标识或突出显示；

3）个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则；

4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及各自的安全和法律责任；

5）个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等；

6）提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

7）遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，必要时可公开数据安全和个人信息保护相关的合规证明；

8）处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

b) 个人信息保护政策所告知的信息应真实、准确、完整；

c) 个人信息保护政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言。

d) 个人信息保护政策应公开发布且易于访问，例如，在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接；

e) 个人信息保护政策应逐一送达个人信息主体。当成本过高或显著困难时，可以公告的形式发布；

f)在a)所载事项发生变化时，应及时更新个人信息保护政策并重新告知个人信息主体。

注1：组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称，其内容宜与个人信息保护政策内容保持一致。

注2：个人信息保护政策的内容可参考附录D。

注3：在个人信息主体首次打开产品或服务、注册账户等情形时，宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容，帮助个人信息主体理解该产品或服务的个人信息处理范围和规则，并决定是否继续使用该产品或服务。 

三、个人信息的使用

《个人信息安全规范》的“7 个人信息的使用”部分有如下规定：

7.1 个人信息访问控制措施

对个人信息控制者的要求包括:

a) 对被授权访问个人信息的人员，应建立最小授权的访问控制策略，使其只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限；

b) 对个人信息的重要操作设置内部审批流程，如进行批量修改、拷贝、下载等重要操作；

c) 对安全管理人员、数据操作人员、审计人员的角色进行分离设置；

d) 确因工作需要，需授权特定人员超权限处理个人信息的，应经个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；

注:个人信息保护责任人或个人信息保护工作机构的确定见11.1。

e) 对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需要触发操作授权。例如，当收到客户投诉，投诉处理人才访问该个人信息主体的相关信息。

7.2 个人信息的展示限制

涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

7.3 个人信息使用的目的限制

对个人信息控制者的要求包括：

a)使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意；

注：将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状况的描述，属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时，需对结果中所包含的个人信息进行去标识化处理。

b) 如所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别特定自然人身份或反映特定自然人活动情况的，应将其认定为个人信息。对其处理应遵循收集个人信息时获取的授权同意范围。

注：加工处理而产生的个人信息属于个人敏感信息的，对其处理需符合对个人敏感信息的要求。

7.4 用户画像的使用限制

对个人信息控制者的要求包括:

a）用户画像中对个人信息主体的特征描述，不应：

1）包含淫秽、色情、赌博、迷信、恐怖、暴力的内容；

2）表达对民族、种族、宗教、残疾、疾病歧视的内容。

b)在业务运营或对外合作中使用用户画像的，不应：

1) 侵害公民、法人和其他组织的合法权益；

2）危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序。

c) 除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像。

7.5 个性化展示的使用

对个人信息控制者的要求包括：

a) 在向个人信息主体提供业务功能的过程中使用个性化展示的，应显著区分个性化展示的内容和非个性化展示的内容；

注：显著区分的方式包括但不限于：标明“定推”等字样，或通过不同的栏目、版块、页面分别展示等。

b)在向个人信息主体提供电子商务服务的过程中，根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项；

注：基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序，且不因个人信息主体身份不同展示不一样的内容和搜索结果排序，则属于不针对其个人特征的选项。

c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应：

1）为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项；

2) 当个人信息主体选择退出或关闭个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

d) 在向个人信息主体提供业务功能的过程中使用个性化展示的，宜建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力。

7.6 基于不同业务目的所收集个人信息的汇聚融合

对个人信息控制者的要求包括:

a) 应遵守7.3的要求；

b） 应根据汇聚融合后个人信息所用于的目的，开展个人信息安全影响评估，采取有效地个人信息保护措施。

7.7 信息系统自动决策机制的使用

个人信息控制者业务运营所使用的信息系统，具备自动决策机制且能对个人信息主体权益造成显著影响的（例如，自动决定个人征信及贷款额度，或用于面试人员的自动化筛选等），应:

a)在规划设计阶段或首次使用前开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；

b)在使用过程中定期（至少每年一次）开展个人信息安全影响评估，并依评估结果改进保护个人信息主体的措施；

c)向个人信息主体提供对自动决策结果的投诉渠道，并支持对自动决策结果的人工复核。

第五节 个人信息的存储、委托处理、共享、转让、公开披露规则

一、相关规定

关于网络运营者的个人信息保护义务，网络安全法第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

关于禁止非法获取、出售、提供个人信息，网络安全法第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

关于网络安全监管部门及其工作人员的保密义务，网络安全法第四十五条规定：“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”

民法典第一千零三十八条规定：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”

第一千零三十九条规定：“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”

《个人信息保护法》“第五章 个人信息处理者的义务”部分，规定如下：

【安全保障义务】 第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失：

(一)制定内部管理制度和操作规程；

(二)对个人信息实行分类管理；

(三)采取相应的加密、去标识化等安全技术措施；

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训；

(五)制定并组织实施个人信息安全事件应急预案；

(六)法律、行政法规规定的其他措施。

【信息保护负责人】第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式等,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

【境外处理者处理中国公民信息的条件】第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

【合规审计】第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

【个人信息保护影响评估】第五十五条 有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录:

(一)处理敏感个人信息；

(二)利用个人信息进行自动化决策；

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息；

(五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容：

(一)个人信息的处理目的、处理方式等是否合法、正当、必要；

(二)对个人权益的影响及安全风险；

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》于 2020年11月19日发布，2021年6月1日实施。

【泄露补救措施】第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

(一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

(三)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

【大型互联网平台的特殊义务】第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

【受托人义务】第五十九条 接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

二、个人信息的存储

《个人信息安全规范》的“6 个人信息的存储”部分有如下规定：

6.1 个人信息存储时间最小化

对个人信息控制者的要求包括：

a) 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另外授权同意的除外；

b) 超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理

6.2 去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。

6.3 个人敏感信息的传输和存储

对个人信息控制者的要求包括：

a) 传输和存储个人敏感信息时，应采用加密等安全措施；

注：采用密码技术时宜遵循密码管理相关国家标准。

b) 个人生物识别信息应与个人身份信息分开存储；

c) 原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：

1）仅存储个人生物识别信息的摘要信息；

2）在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；

3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

注1：摘要信息通常具有不可逆特征，无法回溯到原始信息。

注2：个人信息控制者履行法律法规规定的义务相关的情形除外。

6.4 个人信息控制者停止运营

当个人信息控制者停止运营期产品或服务时，应：

a) 及时停止继续收集个人信息；

b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；

c) 对其所持的个人信息进行删除或匿名化处理。

三、个人信息的委托处理

《个人信息安全规范》的“9 个人信息的委托处理、共享、转让、公开披露”部分有如下规定：

9.1 委托处理

个人信息控制者委托第三方处理个人信息时，应符合以下要求:

a) 个人信息控制者作出委托行为，不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形；

b) 个人信息控制者应对为委托行为进行个人信息安全影响评估，确保受委托者达到11.5的数据安全能力要求；

c) 受委托者应：

1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的，应及时向个人信息控制者反馈；

2）受托者确需再次委托时，应事先征得个人信息控制者的授权；

3）协助个人信息控制者响应个人信息主体基于8.1-8.6提出的请求；

4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的，应及时向个人信息控制者反馈；

5) 在委托关系解除时不再存储相关个人信息。

d) 个人信息控制者应对受委托者进行监督，方式包括但不限于:

1) 通过合同等方式规定受托者的责任和义务；

2）对受托者进行审计。

e) 个人信息控制者应准确记录和存储委托处理个人信息的情况；

f) 个人信息控制者得知或者发现受托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，应立即要求受托者停止相关行为，且采取或要求受托者采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受托者的业务关系，并要求受托者及时删除从个人信息控制者获得的个人信息。”

四、个人信息的共享、转让

《个人信息安全规范》的“9 个人信息的委托处理、共享、转让、公开披露”部分有如下规定：

“9.2 个人信息共享、转让

个人信息控制者共享、转让个人信息时，应充分重视风险。共享转让个人信息，非因收购、兼并、重组、破产原因的，应符合以下要求：

a) 事先开展个人信息安全影响评估，并依据评估结果采取有效的保护个人信息主体的措施；

b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外；

c) 共享、转让个人敏感信息前，除b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；

d) 通过合同等方式规定数据接收方的责任和义务；

e) 准确记录和存储个人信息的共享、转让情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等；

f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的，应立即要求数据接收方停止相关行为，并采取或要求数据接收方采取有效补救措施（如更改口令、回收权限、断开网络链接等）控制或消除个人信息面临的安全风险；必要时个人信息控制者应解除与数据接收方的业务关系，并要求数据接收方及时删除从个人信息控制者获取的个人信息；

g) 因共享、转让个人信息发生安全事件对个人信息主体合法权益造成损害的，个人信息控制者应承担相应的责任。

h) 帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等；

i) 个人生物识别信息原则上不应共享、转让。因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

9.3收购、兼并、重组、破产时的个人信息转让

当个人信息控制者发生收购、兼并、重组、破产等变更时，对个人信息控制者的要求包括：

a) 向个人信息主体告知有关情况；

b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务，如变更个人信息使用目的后，应重新取得个人信息主体的明示同意。

c) 如破产且无承接方的，对数据做删除处理。”

五、个人信息公开披露

《个人信息安全规范》的“9个人信息的委托处理、共享、转让、公开披露”部分有如下规定：

“9.4 个人信息公开披露

个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应符合以下要求：

a) 事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；

b) 向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意；

c) 公开披露个人敏感信息前，除b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；

d) 准确记录和存储个人信息的公开披露情况，包括公开披露的日期、规模、目的、公开范围等；

e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；

f) 不应公开披露个人生物识别信息；

g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。”

六、共享、转让、公开披露个人信息时事先征得授权同意的例外

《个人信息安全规范》的“9个人信息的委托处理、共享、转让、公开披露”部分有如下规定：

9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外

以下情形中，个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意：

a) 与个人信息控制者履行法律法规规定的义务相关的；

b) 与国家安全、国防安全直接相关的；

c) 与公共安全、公共卫生、重大公共利益直接相关的；

d) 与刑事侦查、起诉、审判和判决执行等直接相关的；

e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；

f) 个人信息主体自行向社会公众公开的个人信息；

g) 从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；”

七、共同个人信息控制者

《个人信息安全规范》对“共同个人信息控制者”有如下规定：

9.6 共同个人信息控制者

对个人信息控制者的要求包括：

a) 当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；

b) 如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。

注：如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如，网络经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口），且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。”

八、第三方接入管理

《个人信息安全规范》对“第三方接入管理”规定如下：

9.7 第三方接入管理

当个人信息控制者在其产品或服务中接入具有收集个人信息功能的第三方产品或服务且不适用9.1-9.6时，对个人信息控制者的要求包括：

a) 建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；

b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；

c) 应向个人信息主体明确标识产品或服务由第三方提供；

d) 应妥善留存平台第三方接入有关合同和管理记录，确保并供相关方查阅；

e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意，必要时核验其实现的方式；

f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制，以供个人信息主体查询、使用；

g) 应监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入；

h) 产品或服务嵌入或接入第三方自动化工具（如代码、脚本、接口、算法模型、软件开发工具包、小程序等）的，宜采取以下措施：

1）开展技术监测确保其个人信息收集、使用行为符合约定要求；

2）对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定的行为，及时切断接入。”

作者简介 PROFILE

寿步  国瓴名誉主任 

寿步教授现为上海交通大学法学院教授、博士生导师，上海交通大学知识产权研究中心主任、网络空间治理研究中心主任，中国法学会网络与信息法学研究会副会长，中国科学技术法学会副会长、网络空间法专业委员会主任，中国法学会知识产权法学研究会常务理事，中国法学会案例法学研究会常务理事，中华全国律师协会信息网络与高新技术法律专业委员会顾问，上海知识产权法院特邀知识产权专家。

寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作，尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。

寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。