专题工作 |《个人信息保护法》第十三条 探究与分析-《个保法》实施大家谈

• 核心内涵：处理个人信息的合法性基础要求。

• 核心原则：“告知—同意”为处理个人信息最基本的原则，通过此原则可衍生出更正权、删除权等重要权利。

• 
  

• 个人信息主体作出同意的条件
• （一）个人信息主体必须对其个人信息的内容、处理方式、用途等充分知情；
• （二）个人信息主体在年龄、智力上应属于民法上的完全民事行为能力人，能够独立做出民事法律行为，承担民事法律责任；
• （三）个人信息主体所作出的同意应当自愿且明确。
• 
  
• 个人信息保护与使用间平衡：
• 本条体现了兼顾个人信息保护与个人信息合法使用之间的平衡。通过“知情同意原则”赋予信息主体对其个人信息的支配性地位，但由于会增加社会交往成本，可能未必有利于经济、技术的发展（本条第一项）。
• 本条二至七项实际就在解决个人信息适用的问题，使各方利益均能够得到充分主张和合法使用。通过第一项和其他六项的组合，有效实现了个人信息权益保护和个人信息合理利用之间的动态平衡，即该条第二款规定的：依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。
• 
  
  本条第二项诠释
• （一）信息主体自愿进入合同，通过约定限制自己的权利或为自己设定义务，当处理个人信息为服务内容时，即便未取得个人同意，属于合同所必须事项是具有合法性和正当性的。

• 如个人信息主体使用地图导航，此时地图处理个人的地理位置数据便是履行合同所必需，但处理后仍继续保留、使用等就应取得个人明确同意。
• （二）本项将个人信息处理者和个人信息主体之间的合同扩张至劳动合同。

• 如收集劳动者姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人或家庭成员等合法信息；未经征求劳动者同意不得收集宗教信仰、婚育状况、是否为乙肝表面抗原携带者等信息。
• （三）为避免个人信息处理者可能利用此条凭借雇主有事地位肆意收集、使用员工个人信息等。本项除强调“合同必须”外，将人力资源管理所必须的场景限缩于“按照依法制定的劳动规章制度”和“依法签订的集体合同实施人力资源管理”两大场景。

如收集员工银行卡信息，履行劳动合同关于薪酬支付约定等。




• 本条第三项诠释
• 本项规定主要针对“公权力”主体在法律法规的授权下处理公民个人信息的行为。公权力机关在符合比例原则等法律要求的前提下，即便未取得信息主体的同意，其处理行为也具有正当性，但仍需履行告知义务（此处需要结合社会发展形态进一步研究）。

• 
  

  本条第四项诠释
• （一）前半句所述情形与公共卫生事件有关，由政府机关作为个人信息处理者；
• （二）后半句涉及紧急避险制度的具体化，此时处理者是国家机关；
• （三）所“必需”字样指要求个人信息处理需限于“明确、特定的目的”。
• （四）告知义务：依照本条规定处理个人信息虽然无需经过个人同意，但仍应告知相关个人。

• 
  

  本条第五项诠释
• 该项表明，未经个人同意处理其个人信息的前提是实施新闻报道和舆论监督以维护国防、公共卫生等公共利益为目的，但娱乐性的报道或对不道德行为的监督不符合本项规定的情形；另一方面，即便是基于公共利益进行新闻报道，也不应超出必要的限度，如对自然人的人格权中的姓名权、肖像权、隐私权等个人信息权益造成损害，也应依法承担相应的民事责任。

• 
  

  本条第六项诠释
• 公开个人信息，并非意味着个人同意他人恣意处理个人信息，即便已经合法公开的个人信息依然受《个人信息保护法》的保护，自然人有权拒绝他人对这些信息进行处理。由于个人信息的保护对于维护自然人的人格尊严和人格自由具有重要意义，因此即便已经合法公开的个人信息也应在合理范围内使用。

• 
  

  本条第七项诠释
• 兜底条款。

• 
  

  界定个人信息
• 通过本条对个人信息的定义可看出，个人信息我国采用的是“关联说”理论（只要相关信息与已识别或者可识别的自然人相关，就被认定为个人信息），规避了之前的“识别说”理论（只有相关信息能够直接或间接识别特定自然人被认定为个人信息）。
• 两者区别：“识别说”是指通过目标信息能够识别出特定个人信息，即以目标信息为导向；而“关联说”只要个人是明确而特定的，并不一定是通过目标信息识别的。该目标信息如果与个人信息相关，仍能以个人信息为主，以关联性目标信息为副主体，共同被认定为个人信息。
• 因此，我国《个人信息保护法》语境下的个人信息不仅仅强调信息本身的“识别性”，而是关注与个人之间的“关联性”。

• 通过上述合规解读可看出，本条在“取得同意”外，新增了未取得用户同意而处理个人信息的其他合法情形。但这里需注意，要慎用本条第二项至第七项未经个人同意所收集的个人信息。因为目前来看，关于个人信息的未经个人同意收集个人信息范围相对模糊，如政务共享数据、政府共享的信用数据、一网通办等收集的数据、支撑大数据分析采集的数据等还很难寻找出明确的边界范围。因此，个人信息在开展个人信息处理活动前，应秉持谨慎原则，明确所适用的个人信息处理的合法基础。

1. “告知—同意”的基本由来及原理
   

   
   

2. 4

   法律关联

●本条与《网络安全法》第四十条进行关联——即：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度；

●本条与《网络安全法》第四十一条进行关联——即：个人信息的收集和使用都必须确保用户的“知情同意”；

●本条与《网络安全法》第四十二条进行关联——即：网络运营者不得泄露 、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外；

●本条与《网络安全法》第四十三条进行关联——即：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用期个人信息的，有权要求网络运营者删除其个人信息；

●本条与《民法典》第1035条第1款进行关联——即：进一步明确个人信息主体的同意是处理个人信息的合法性基础；

●本条与 《信息安全技术、公共及商用服务信息系统个人信息保护指南》提到数据处理基本原则进行关联（即：目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则、责任明确原则等）；

●本条与《电信和互联网用户个人信息保护规定》第九条进行关联——即：明确强调电信业务经营者、互联网信息服务提供者在收集数据时必须遵守“知情同意原则”；

●本条与《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条进行关联——即：明确了对“敏感信息”的收集和使用必须得到信息主体的事前同意；

●本条第四项与《突发事件应对法》第69条进行关联——即：在进入紧急状态前，行政主体应先采取法律、法规、规章规定的应急处置措施；

●本条第六项与《民法典》第1036条第2项进行关联——即：如果自然人明确拒绝处理已公开的个人信息，那么个人信息处理者不得继续处理 ，哪怕该个人信息是通过合理渠道公开的；

●本条与《个人信息刑事司法解释》第3条第2款进行关联——即：未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但经过处理无法识别特定个人且不能复原的除外；

●本条与《消费者权益保护法》第29条进行关联——即：经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息目的、方式和范围，并经消费者同意；

●本条与《数据安全法》第三十二条进行关联；——即：任何组织、个人收集数据，应当采取合法、正当的方式……

●本条与《信息安全技术 个人信息安全规范》第5.4条进行关联 ；——即：收集个人信息时的授权同意……

●本条与《信息安全技术 个人信息安全规范》第5.6条进行关联 ；——即：个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意……

●本条与《信息安全技术 个人信息告知同意指南》第6.3条进行关联；——即：对外提供个人 信息时免于告知同意的情形……

（本文作者：杭州美创科技股份有限公司 王泽）