一、合法性基础条款

（一）规范要求

合法性原则是个人信息处理的重要原则之一，而《个保法》第十三条明确了七项具体的合法性基础，分别是（1）取得个人的同意；（2）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（3）为履行法定职责或者法定义务所必需；（4）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（6）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（7）法律、行政法规规定的其他情形。下文将对其中的四个条款展开分析重点说明企业目前的落地情况及实施展望。

（二）落地情况

1. 取得个人的同意

“取得个人的同意”是个人信息处理合法性基础的明星条款，在《个保法》颁布之前，“同意”作为获取个人信息的合法性事由曾经一统天下。即便在《个保法》实施后，“同意”与第十三条的其他六项合法性基础并列，并且还被规定当且仅当其他合法性基础无法满足适用时，“同意”才能出场作为合法依据。并且，在实践中，在用户作出“同意”的意思表达之前，“告知”与“同意”常常伴随出现，共同体现在相关产品的隐私合规设计中。《个保法》第十七条规定的“告知”义务则是个人信息处理者开展处理行为的基础。例如，个人信息处理者通常通过“隐私政策的弹窗”形式完成告知，并会在相关页面设置勾选框或者通过同意按钮来取得用户的同意。同时，为了确保用户是在充分知情的情况下给出的同意，部分App还会在用户点击隐私政策后锁定同意按钮，强制用户翻阅完隐私政策后才能勾选“同意”或“不同意”；或者要求用户在一定时间（例如十秒钟）后才能勾选“同意”或“不同意”。同时，以用户“主动”明示勾选，而非采用默认勾选隐私政策等非明示方式，也已成为实施个人信息主体“同意”的“标准”方式。

   图1

   图2

除此以外，在一些特殊场景中，“告知同意”的形式也会发生变化。例如，对于某些IoT产品/设备，由于产品功能所限，并没有屏幕，无法通过书面形式在产品上“告知”用户并取得“同意”。此时，一些企业会选择通过与设备互连操作的手机App来实现“告知同意”（如下图3）。《信息安全技术个人信息告知同意指南》（征求意见稿）还建议具备语音交互功能的IoT设备可以通过语音播报的方式来获得用户同意，但应避免在此过程中收集新的个人信息。又例如，在车载场景中，告知同意的方式则更为多样化，《汽车数据安全管理若干规定（试行）》要求汽车数据处理者应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式告知个人相关事项。

    图3

2. 订立、履行合同所必需

当个人作为一方当事人与作为另一方当事人的处理者正在订立合同或者履行已经成立的合同时，处理者必须处理该个人的某些个人信息才能与之缔结合同或履行合同，该个人明知且自愿提供其个人信息以促成合同的缔结或者履行。这种情形仅适用于处理者与个人作为平等的民事主体之间订立或履行合同的场合。在实践中，较为常见的是在电子商务经营过程中，网店在接受顾客的订单后为了向顾客交货，不得不向用户收集收货人姓名、收货地址和联系方式。如果顾客通过银行转账或信用卡支付，那么网店就需要处理顾客的银行卡信息账号或信用卡信息。以上这些场景下的个人信息处理行为均可以通过合同所必需这一项合法性基础进行支持。[1]但在实践中，即使这类案例还可以举出很多，但是由于对合同成立要件以及是否构成合同成立或履行所必须的要素判断，需要有较高的法律理论功底和实务经验，无论是企业还是执法机关均很有可能在实操中无法对某一特定事例快速达成一致理解。鉴于此，目前此事由在实践中被应用的机会反而不多。

3. 法定职责与法定义务

所谓“法定职责”包括法定职权和法定责任，是指国家机关依据法律法规的规定而享有的职权以及必须履行的义务。为确保国家机关法定职责的履行，在此过程中获取所必需的个人信息不需取得个人同意。例如，我国《刑事诉讼法》第一百三十二条第一款规定：“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态，可以对人身进行检查，可以提取指纹信息，采集血液、尿液等生物样本。”此时，公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等，就属于履行法定职责；又例如《出境入境管理法》第七条规定，经国务院批准，公安部、外交部根据出境入境管理的需要，可以留存出境入境人员的指纹等人体生物识别信息。如果国家机关将履行法定职责作为处理个人信息的合法性基础，根据《个保法》第三十四条，则应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

而“法定义务”是指个人信息处理者依据法律法规的规定而负有的义务。对于“法定义务”的“法”的范围和层级，立法者并没有给予明确的界定，而学者们对此也多有争论。[2]较为常见的法定义务诸如，在社会保险的征缴中，《社会保险法》要求企业收集参保员工的相关个人信息；在金融安全领域，《反洗钱法》第三条要求金融机构建立健全客户身份识别制度、客户身份资料和交易记录保存制度。在实践中，除了法律以外，也有部门规章给个人信息处理者施加了法定义务。例如，《互联网信息服务管理办法》第十二条要求互联网信息服务提供者应当展示合理范围内的互联网用户账号的互联网协议（IP）地址归属地信息；《移动互联网应用程序信息服务管理规定》则要求应用程序提供者对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。上述规定下的有关个人信息处理者，均可依据“法定义务”的合法性基础处理相关主体的个人信息。

除此之外，“法定义务”更多被运用在个人信息的保存期限制度上，即当个人信息处理者因履行这些“法定义务”而存储相关信息时，无需取得个人的同意。下表为部分法律法规规定的保存期限汇总。

4. 突发公共卫生事件

根据《突发公共卫生事件应急条例》第2条，“突发公共卫生事件”是指突然发生，造成或可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。在我国新冠肺炎疫情的防控过程中，借助大数据分析手段，位置信息、行动轨迹等个人信息在疫情预测预警、人员流动监控、物资调配分发等方面发挥了重要作用。而这些个人信息的处理行为很多都依赖于本项合法性基础，例如，各地健康宝对个人信息的处理（如下图4）。

图4

（三）合规展望

合法性基础是个人信息处理行为的基石。《个保法》规定的七种合法性基础，各自有不同的实现要件和门槛。在实践中，企业仍需要对于这些合法性基础进行深入研究，方能准确地把握不同事由所对应的适用场景，避免企业应选取合法性基础错误或者不够准确而被认定为违法违规处理个人信息。

二、“单独同意”规则

（一）规范要求

《个保法》第十四条设立了“单独同意”制度，要求在法定情形下，个人信息处理者必须就其处理目的、行为等单独向个人告知并取得同意，它是对《个保法》第十三条第二款第一项“同意”作为合法性基础的补充。

在《个保法》中，需要取得单独同意的场景包括：向其他个人信息处理者提供其处理的个人信息（第二十三条）、公开个人信息（第二十五条）、公共场所安装监控或身份识别信息（第二十六条）、处理敏感个人信息（第二十九条）以及向境外提供个人信息（第四十条）。

（二）落地情况

1. 向其他个人信息处理者提供个人信息

在实践中，部分个人信息处理者的App产品在登录注册时允许用户使用其他平台的账号进行登录，此时便会存在用户的账号信息在两个处理者之间共享。此时，合规实践较好的App会跳出弹窗（单独授权）页面，将账号信息授权事项（明示）告知给用户，并征得用户对该共享的单独同意（如下图5）。

   图5

此外，在一些聚合类打车平台上，当用户使用第三方打车平台服务时，平台也会弹出单独的告知页面，有些第三方出行企业还会展示自己（而非默认同意打车平台）的隐私政策并取得用户的单独同意（如下图6）。

   图6

2. 公开个人信息

绝大多数企业在业务过程中并不需要也不会公开其所收集的用户/客户的个人信息。实践中，更多时候个人信息公开是个人信息主体的主动选择行为。例如，某App公开抽奖活动的中奖人名单（有些还涉及公开微信昵称、头像或者手机号），此时企业需要在用户参与中奖活动前提供活动规则以及中奖后处理用户个人信息的情况，以供用户选择同意，同时也需要对公开的信息进行去标识化等处理措施。如企业会在隐私政策中告知用户“如必须公开时，我们会向您告知此次公开的目的、所公开信息的类型以及可能涉及的敏感个人信息，并征得您的明示同意”。除了单独同意外，企业也会在隐私政策中告知其他非基于同意的公开场景，例如基于法律法规或司法程序要求、保护其他方的人身财产安全等（如图7）。

图7

3. 在公共场所安装监控或身份识别信息设备

例如315所曝光，某企业在线下门店安装带有人脸识别功能的摄像头，未告知客户并获取其同意，也无其他《个保法》下合法性基础的情况下违法违规处理个人信息，此类事件一直以来为社会各界所关注。《个保法》规定，除取得个人“单独同意”外，个人信息处理者在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的。

对于在线下门店安装摄像头采集个人信息的行为，监管部门对于构成有效的“单独同意”标准已较为严格。例如，在杭州房产置业公司案件中，虽然房产公司在售楼部主出入口、人脸识别摄像头安装点粘贴写有“温馨提示：本售楼处安装有人脸识别系统，您已进入视频监控区域，我们承诺保护您的人脸等信息安全，详情可扫描二维码或询问接待人员了解”字样的监控警示牌，并在警示牌旁放置二维码，内嵌《关于收集个人信息的知情同意书》。但经检察机关随机抽取10名客户进行询问，客户均表示自己对售楼部现场收集人脸生物识别信息、身份信息的情况并不知情，更未自愿作出同意的表示。《信息安全技术 个人信息安全规范》第3.6条规定，明示同意需要个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作。而检察机关认为房产公司未能取得到访客户的书面同意，不能认为有效地取得了到访客户的“单独同意”，故不能将购房者的人脸信息用于监控安全以外的其他目的，特别对购房者进行精准营销或者通过结合其他数据对顾客进行大数据杀熟。

4. 处理敏感个人信息

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。国家标准《信息安全技术 个人信息安全规范》在附录中列出了敏感个人信息的类型示例。

对于敏感个人信息的单独同意，较为常见的是当涉及App向终端设备索取系统权限后收集敏感个人信息时，App会通过跳出弹窗（修改系统弹窗的授权措词或者增加告知浮窗）的形式让用户充分知悉授权的目的与方式、获取敏感个人信息的类型，并获取用户的“单独同意”（如图8）。

图8

对于一些特殊行业的企业而言，在业务过程中有更多，更频繁的敏感个人信息的处理需求，此时能否有效地取得用户的单独同意成为避免合规风险的关键。例如，部分企业在用户登录或开展业务时会要求用户进行人脸识别验证。而人脸信息是典型的敏感个人信息，因此在识别之前需要通过例如弹窗或单独页面方式取得用户的单独同意（如图9）。

图9

而在客户投资、购买理财产品时，金融机构往往需要取得客户对多个事项的同意，不仅包括敏感个人信息的处理，还可能包括风险提示以及其他金融资管的合规要求。为了将多个同意事项均能有效告知客户并落地单独同意要求，部分App产品采取了分段告知并逐项取得用户同意的方式（如图10）。

图10

5. 向境外提供个人信息

《个保法》第三十九条要求个人信息处理者在向境外提供个人信息时向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

在实践中，相关App产品会在触发可能向境外传输个人信息的场景时，通过单独勾选的方式取得用户的单独同意。例如，在某App产品中，当用户订购国际机票时，订单下方的“下一步”按钮旁会显示《个人信息授权声明》。点击进入后，用户能看到《个保法》第三十九条要求的告知事项（如图11）。

图11

又如，某奢侈品网购小程序中在用户下单页面直接展示了与跨境传输个人信息相关的告知事项，并通过勾选框的形式征得用户的单独同意（如图12）。

    图12

（三）合规展望

单独同意是个人信息保护的一项重点，也是企业经营过程合规与业务增长碰撞最为激烈的方面。究其原因，一方面，目前《个保法》对于“单独同意”的规定较为笼统，对于企业精准把握落地思路存在较多的不确定性；《网络数据安全管理条例（征求意见稿）》对“单独同意”进一步明确内涵与定义，即单独同意是指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意，应当引起个人信息处理者的高度重视。[3]另一方面，从目前来看，个人信息主体在个人信息跨境传输、公共场所安装监控或身份识别信息设备、敏感个人信息处理（如在线问诊等产品）等领域，履行与落单独同意义务实仍有较大的改善空间。所幸，我们也不乏能看到一些企业有创新之举，实属可圈可点，例如充分利用App、小程序等产品清晰地告知用户关键事项（如图6、图11、图12），保护用户的重要权益。而这些实践案例可以为各行业未来履行法律规定和合规要求提供一个参考范例。

三、个人信息主体权利条款

（一）规范要求

《个保法》第四章规定了个人信息主体在信息处理活动中享有的权利，分别是第四十四条的知情决定权、第四十五条的查阅权、复制转移权、第四十六条的更正权、第四十七条的删除权、第四十八条的要求解释说明权以及第四十九条与逝者个人信息保护相关的权利。同时，第十五条给予了用户撤回同意的权利。此外，《个保法》第五十条还要求个人信息处理者应当建立便捷的个人行权申请受理和处理机制。

（二）落地情况

1. 知情决定权

个人信息主体的知情权在实践中具体体现为对“告知”内容的了解，以及在此基础上作出是否允许个人信息处理者收集自己的个人信息。近年来监管部门在不断尝试优化处理者告知的方式。例如，工信部开展了“信息通信服务感知提升行动”，要求个人信息处理者建立“已收集个人信息清单”和“与第三方共享个人信息清单”（即“双清单”），清晰地列出App（包括内嵌第三方软件工具开发包SDK）收集和共享用户个人信息的基本情况。实践中，企业大多会将“双清单”放置在App的“设置”或“隐私管理”菜单栏中，或者嵌入隐私政策（如图13）。在第三方共享清单中，企业还会区分共享/委托处理场景、关联场景以及第三方SDK场景，并分别制作清单展示。此外，“感知提升行动”还要求企业优化隐私政策和权限调用的展示方式，向用户提供App产品隐私政策摘要和清晰简易的权限调取信息，以使得用户更为便捷清晰地了解相应内容（如图14）。

图13

   图14

2. 查阅与更正权

实践中，目前大多数企业基本上都为用户提供了专门的“个人信息查阅”的菜单，集中向用户披露企业所运营的终端设备收集用户的个人信息情况。但同时，“双清单”中的“个人信息收集清单”也在实践中部分承担了满足用户查阅权的功能。App端的“个人信息收集清单”往往会设置成多级菜单，用户点击某一信息类型后便可以看到自己相应的个人信息，同时可在相应的个人信息栏中更改或补充部分个人信息（如下图15）。同时，App在用户申请查询时，也存在要求用户先进行身份验证，确保个人信息在查询时处于安全的设置（如下图16）。

图15

 图16

3. 复制转移权

《个保法》第四十五条第二款、第三款规定了“复制转移权”。虽然法律目前没有明确行使可携带权的途径和条件，但现实中部分企业已经开始了探索。实践中，企业允许用户下载其收集的部分个人信息，但尚不能实现“转移”的功能。对于App提供的个人信息副本，内容大多较为简单，例如用户的基本个人资料等或账户信息个人信息（用户名、头像、注册信息等）。在下载路径方面，最普遍的提供途径为邮箱接收，根据不同类型企业的实践，一般当用户提交下载申请后的几分钟至数小时内便能收到企业传输的该请求用户的个人信息（如图17）。如果需要企业进一步提供用户的其他个人信息，通常则需要向企业公开的联系方式提出请求。而企业提供下载的个人信息格式却有很大不同，有的企业提供的是txt文本，而有的则是js和css，实践中尚未实行统一化处理，实际上企业向用户提供的个人信息格式往往已经从其内部数据库存储的格式进行过一次转码了，目的是保护内部数据库数据的安全和保密。

此外，根据相关司法案例可知，[4]法院认为个人信息主体实现复制权的客体范围既包括个人信息，也包括个人信息处理的相关情况，例如账户信息、设备信息、日志信息、与第三方共享的个人信息等；而行业惯例虽可以从一定程度上体现个人信息保护水平与相关行权成本，但并非个人信息处理者拒绝提供相应个人信息的法定理由。从这个角度看，司法实践要求个人信息处理者需要切实落实个人信息主体对于复制权的行权要求。

图17

4. 撤回同意权

《个保法》第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。实践中，“权限”和“第三方共享”领域已经逐渐探索出了较为成熟的用户权利行使方式。很多App会在“权限管理”选项中允许用户对于特定权限进行自主地设置（即设置授权或者撤回授权的按钮），而部分App则需要用户跳转至终端设备系统的“设备管理”中才能操作对权限设置的修改（如图18）。同时也有一些App专门为用户设置了管理第三方共享信息的开关，允许用户便捷地撤回授权和同意（如图19）。

图18

图19

5. 与自动化决策相关的权利

根据《个保法》第四十八条，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。该项权利更多地被运用在自动化决策领域。除了解释说明，个人信息处理者在进行自动化决策时还需要确保决策的透明性和结果的公平公正，允许信息主体便捷地拒绝。目前，“个性化推荐关闭”功能已经在大多数具备此功能的App中落地，除了简单的开启或关闭外，部分App还允许用户对个性化的标签进行管理（如图20）。在实践中，部分企业会在隐私政策中公示自己所使用的算法，并通过独立说明的方式对基本原理、目的与主要运行机制进行说明，以满足相关法规要求（如图21）。

图20

图21

6. 删除权

实践中，删除权已经融入了日常的使用过程中，大部分App会为用户提供删除使用记录、历史记录、删除缓存的选项。而在社交平台上，用户可以选择行使删除权的空间更大，可以删除的对象还包括聊天记录或在公开的朋友圈、社交小组中发表的内容记录。同时较为常见的还包括，在购物类App中，用户可以行权删除购物记录；在搜索类App中，用户可行权删除搜索记录。此外，还有App处理者允许用户删除“登录过的设备”记录（如图22）。除此以外，大多数企业还会为用户提供注销账号的行权路径，并在用户注销前通过《注销须知》显著提示用户注销账号的后果，以及在哪些情况下不适用账号注销（如图23）。

图22

图23

7. 逝者个人信息

第四十九条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。在实践中，很多企业都在隐私政策中设置了“逝者个人信息保护”或者“逝者近亲属权利”的条款（如图24）。

图24

目前，部分企业推出了“纪念账号”功能（如图25）来尝试落实对于逝者个人信息的保护。当逝者的家属将逝者的账号申请为纪念账号后，账号会被冻结，之后任何人都将无法登录该账号。

图25

8. 响应机制

实践中，很多企业会在隐私政策的末尾或者开头披露个人信息保护负责人（机构）的联系方式，多数为邮箱加上邮寄地址，有些还会同时提供客服电话。根据《App违法违规收集使用个人信息行为认定方法》的要求，大部分企业都将承诺时间设定为15个工作日内，但也有企业对自己采取了更高的要求，承诺会在48小时内回复信息处理者的请求（如图26）。根据实际调研可以发现，大部分主流App普遍在数小时内完成响应，同时较多国内App运营者均实现了十五个工作日内响应的法定要求。

图26

（三）合规展望

信息主体的权利行使是当个人主体的信息在受企业控制时主张其权益的有效手段，也是保护其权益免受侵害的重要途径。在《个保法》实施一周年的时间里，我们看到监管部门和各行业的个人信息处理者通过共同努力，已经为个人信息主体行使合法权利提供了良好的环境和平台。无论是从用户的知情权还是授权同意的管理，目前的实践已经较为成熟。同时，随着相关法律法规的进一步明确，诸如个人信息复制转移权中的另一层次——向指定第三方平台的转移权也应当被逐步探索，并寻求出行业普遍能够接受和遵循的落地施行方式，相信不会很远了。

注释：

[1] 参见程啸,王苑：《论个人信息处理中无需取得个人同意的情形》，载《人民司法》2021年第22期，第79页。

[2] 学者们大致分为“狭义”和“广义”两派。“狭义说”认为“法”应该仅限于“法律和行政法规”，而“广义说”认为“法”是广义的法，既包括全国人大及其常委会颁布的法律，也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。

[3] 《网络数据安全管理条例（征求意见稿）》第七十三条（八）。

[4] 参见（2021）粤0192民初17422号、（2022）粤01民终3937号。