《個(gè)人信息保護(hù)法》2021年8月20日通過，自2021年11月1日起施行。很多企業(yè)所提供的產(chǎn)品或者服務(wù)都與個(gè)人信息有關(guān)系，正確的理解《個(gè)人信息保護(hù)法》對于企業(yè)的經(jīng)營來說非常重要。

第一章 總則

第一條 為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。

根據(jù)慣例，第一條要列明立法目的。

《個(gè)人信息保護(hù)法》的立法目的有三：1、保護(hù)個(gè)人信息權(quán)益；2、規(guī)范個(gè)人信息處理活動；3、促進(jìn)個(gè)人信息合理使用。在解釋相關(guān)具體規(guī)定的時(shí)候，應(yīng)該兼顧這三個(gè)立法目的，不應(yīng)該只考慮個(gè)人信息權(quán)益的保護(hù)問題，也不應(yīng)該只考慮促進(jìn)個(gè)人信息合理利用的問題。

第二條 自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。

在我國《民法典》中首先規(guī)定了個(gè)人信息的保護(hù)問題。《個(gè)人信息保護(hù)法》可以看做是對《民法典》個(gè)人信息保護(hù)條款的細(xì)化，相比《民法典》屬于特別法和一般法之間的關(guān)系。

《民法典》第一百一十一條規(guī)定：自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。

第三條 在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

（二）分析、評估境內(nèi)自然人的行為；

（三）法律、行政法規(guī)規(guī)定的其他情形。

該條是有關(guān)《個(gè)人信息保護(hù)法》適用范圍的規(guī)定。

首先，在中國境內(nèi)處理自然人個(gè)人信息，自然應(yīng)該適用《個(gè)人信息保護(hù)法》的規(guī)定。

其次，對于一些在中國境內(nèi)處理自然人信息的活動，但是向境內(nèi)自然人提供產(chǎn)品或者服務(wù)或者分析評估的個(gè)人信息屬于中國境內(nèi)自然人信息的，應(yīng)遵守《個(gè)人信息保護(hù)法》的規(guī)定。

第四條 個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

關(guān)于個(gè)人信息的定義，《民法典》中也有相關(guān)規(guī)定。相比《民法典》中的規(guī)定，《個(gè)人信息保護(hù)法》特別強(qiáng)調(diào)了“不包括匿名化處理后的信息”。這種說法，為個(gè)人信息的進(jìn)一步商用打好了基礎(chǔ)。對于一些個(gè)人信息來說，進(jìn)行了匿名化的“脫敏”之后，可以得到進(jìn)一步的利用。

《民法典》第一千零三十四條　自然人的個(gè)人信息受法律保護(hù)。

個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

需要指出的是，歐盟的《數(shù)據(jù)保護(hù)通用規(guī)定》（GDPR）中規(guī)定了數(shù)據(jù)的控制者和處理者。我國的《個(gè)人信息保護(hù)法》沒有做這種分類，從本條規(guī)定來看，個(gè)人信息的處理應(yīng)該等于GDPR中的“控制+處理”。

《民法典》第一千零三十五條 個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！秱€(gè)人信息保護(hù)法》增加了一項(xiàng)：“刪除”。

第五條 處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

關(guān)于處理個(gè)人信息的原則，之前在《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和《民法典》中均有明確規(guī)定。

《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

《民法典》第一千零三十五條　處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

第六條 處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個(gè)人權(quán)益影響最小的方式。

收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。

在之前的《網(wǎng)絡(luò)安全法》等法律中對此也有規(guī)定《網(wǎng)絡(luò)安全法》中規(guī)定不得收集與服務(wù)無關(guān)的信息。這些都是有關(guān)收集信息范圍的要求，同時(shí)也是合法、正當(dāng)、必要和誠信原則的具體化。

《網(wǎng)絡(luò)安全法》第四十一條 網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

第七條 處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。

如前所述，《民法典》中也要求明示處理信息的目的、方式和范圍，屬于合法、正當(dāng)、必要和誠信原則的具體化。

在確定是否進(jìn)行了規(guī)則公開的時(shí)候，不應(yīng)該僅僅以“勾選點(diǎn)擊同意”為證據(jù)，還需要具體跟根據(jù)《個(gè)人信息保護(hù)法》的具體規(guī)定，尤其是第十六條、十七條的規(guī)定來判斷是否進(jìn)行了“公開”和“明示”。