二、个人信息处理的基本原则
(一)合法、正当、必要、诚信原则
《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。《个人信息保护法》在沿用《民法典》《网络安全法》和《个人信息安全规范》关于合法、正当、必要原则规定的基础上,增加了诚信原则,并禁止采取“误导、欺诈、胁迫”等方式处理个人信息。
(二)目的明确和最小必要原则
《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。该条沿用了《个人信息安全规范》关于目的明确原则(即具有明确、清晰、具体的个人信息处理目的)和最小必要原则(即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量)的规定,并首次在法律层面提出了直接相关、最小影响、最小范围的要求。
(三)公开透明原则
《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。该条沿用了《个人信息安全规范》关于公开透明原则(即以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督)的规定,保障了个人信息主体的知情权,与第十七条第二款规定的“个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存”相呼应。
(四)质量及安全保障原则
除上述原则外,《个人信息保护法》第八条、第九条还规定了处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响;个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》第五十一条、第五十二条进一步细化了个人信息处理者在该等原则下的义务,如制定内部管理制度、实行分类管理、采取安全技术措施、确定个人信息处理的操作权限、定期进行安全教育和培训、制定并组织实施个人信息安全事件应急预案以及指定个人信息保护负责人等法律、行政法规规定的措施,确保个人信息处理活动符合法律、行政法规的规定,并防止个人信息的泄漏、篡改或丢失。
三、个人信息处理的规则
(一)扩大合法性基础
《网络安全法》将个人信息主体的“同意”视为个人信息处理的唯一合法性基础,这一规定虽然体现了对个人信息主体权利的尊重和保障,但是忽略了实务中大量存在的涉及订立或履行合同所必需、自然人的重大利益、公共利益等多种个人信息处理场景。《民法典》虽然在法律层级规定了“同意的例外”,但仅限于处理已公开信息的情形以及维护公共利益或者自然人合法权益的情形。《个人信息保护法》在延续《民法典》立法思路并借鉴GDPR相关规则的基础上,增加了处理个人信息的其他合法情形,将订立或履行合同所必需、保护自然人的重大利益以及公共利益等情形作为例外情况纳入合法性基础场景,并结合我国新冠疫情防控的现状,增加了突发公共卫生事件的例外情形,为疫情防控时期基础电信企业、地图平台等企业收集疫情信息提供法律依据。具体如下:
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
值得注意的是,《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。此外,虽然个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但根据《个人信息保护法》第二十七条规定,如个人明确拒绝则不得处理其公开个人信息,并且个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,还应当取得个人同意。
