kaiyun体育 周汉华、周辉：个人信息保护法条文精解与适用指引 | 读书

新书

特征

：

本书由中国社会科学院法学研究所副所长、中国法学会网络与信息法研究会会长周汉华教授策划整理，由中国社会科学院法学研究所网络与信息法研究室团队精心撰写和制作。该书由资深专家精心解读，紧跟规定内容，重点深入剖析。本文从条文、条文主要目的、演变过程、条文解释、适用指南、案例环节、相关条文、相关条文、域外比较等方面对《个人信息保护法》进行了深入分析。结合司法实践，解读法律适用要点，指导新法准确适用。值此新法即将出台之际，我特别推荐广大法学理论工作者和法务工作者。

《个人信息保护法的解释和适用指南》。

主编 • 周涵华执行主编 • 周辉

周汉华，中国社会科学院法学研究所副所长、研究员，中国社会科学院文化与法制研究中心主任，中国社会科学院大学法学院教授、博士生导师，中国法学会学术委员会委员。 中国法学会网络与信息法研究会会长，中国法学会行政法学研究会副会长，《网络信息法研究》主编。兼任中国互联网协会个人信息保护工作委员会主任、全国信息化专家咨询委员会委员、最高人民法院案例指导专家委员会委员。受全国人民代表大会常务委员会法制工作委员会、中华人民共和国互联网信息办公室委托，起草了《个人信息保护法（专家建议草案）》，参与了《网络信息法》的起草工作，还参加了《数据安全法》的专家立法咨询工作， 《电子商务法》、《电信条例》等法律法规。

周辉，中国社会科学院法学研究所网络与信息法研究室副主任（主持）、副研究员，中国社会科学院大学法学院副教授、硕士生导师，北京大学法学博士，国家行政学院博士后。兼任中国法学会网络与信息法学研究会副秘书长、中国互联网学会个人信息保护工作委员会副秘书长、《网络信息法研究》执行主编，参与了《个人信息保护法》的起草和论证工作。 《数据安全法》《网络安全法》《电子商务法》等法律，主持起草了《互联网信息系统法治宣传教育第八个五年规划（2021-2025年）》（专家建议稿）。

权威专家深度参与立法

思维导图显示了系统的全貌

逐一分析该法适用工作要点

案例关联性更加简洁明了

（本书写作团队的核心成员深度参与了立法的起草和论证）。

━ ━ ━

个人信息是重要的数字资产，加强个人信息保护，规范个人信息的获取和使用，不仅关系到个人权益的保护，也关系到数字经济的健康发展。《十四五“规划》和《到2035年远景目标纲要》对加快推进数据安全、个人信息保护等基础立法工作提出了明确要求。《民法典》对个人信息的保护作了规定。

2021年8月，《个人信息保护法》正式通过，并于11月生效。这是一部明确规定个人信息保护基本原则和制度的法律kaiyun官方网app下载app，有效增强了个人信息保护的系统性、权威性和针对性，对于统筹个人信息保护和数据合理使用，统筹数字经济发展和数据安全具有重要意义。 加快推进数字中国建设。

为了更好地保护个人信息的权益，本书以具体条款为背景，围绕条款的规定、条款的主题、演变过程、条款的解读、适用的指引、案例链接、相关条款等进行了详细、全面、深入的分析， 相关规定和域外比对等，以期为读者呈现一幅多维度、全景式的《个人信息保护法》解读图。

━ ━ ━

本书与《个人信息保护法》密切相关，其内容从以下三个方面进行了说明：

▣ 特点一：权威性

本书由中国社会科学院法学研究所副所长、中国法学会网络与信息法研究会会长周汉华研究员策划整理，由中国社会科学院法学研究所网络与信息法研究室团队精心撰写和制作。撰写团队核心成员深度参与了立法的起草和论证，为《个人信息保护法》的颁布提供了重要的学术支持。

▣ 特点2：指导性

基于全国人大常委会法制工作委员会、国家互联网信息办公室委托起草个人信息保护立法的研究成果，以及最高人民法院2021年度司法研究重大课题《通过司法服务发展数字经济研究》的相关研究成果， 本书汇集第一手立法资料，系统呈现法律框架，深入阐释法律逻辑，权威解读条款适用，对标《民法典》最新司法解释，精选典型司法案例。

▣ 特点3：实用性

本书既具有理论性，又具有实践性，是机关、企事业单位做好个人信息合规工作、依法履行个人信息保护职责、司法机关依法履行职责的重要工具手册。

━ ━ ━

第六条 处理个人信息，应当具有明确、合理的目的，并应当与处理目的直接挂钩，采用对个人权益影响最小的方式。

个人信息的收集应当限制在达到处理目的的最小范围内，不得过度收集个人信息。

文章主题

本条明确了个人信息处理中的目的原则，是必要性原则的延伸和延伸。

本条第一款要求，个人信息处理者在处理个人信息时，应当有明确、合理的目的，且处理行为应当与该目的直接相关，并且有必要减轻对个人权益的不利影响。

本条第二款要求，个人信息处理者在收集个人信息时，应当根据其提供的产品和服务的目的，在实现产品和服务所针对的目标的前提下，划定需要收集的个人信息的最小范围。

个人信息最小化原则强调，个人信息收集的范围不应过于宽泛，收集的个人信息应与其提供的产品和服务具有直接或者易于理解的关系，并禁止个人信息处理者过度收集个人信息，否则将导致个人信息处理者获得不合理的利润。 增加个人信息处理的不必要成本，增加泄露风险。

进化过程

初审稿

二次审查

终稿

第六条 处理个人信息，应当具有明确、合理的目的，并应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息的处理。

第六条 处理个人信息，应当具有明确、合理的目的，并应当限于实现处理目的所必需的最小范围，采用对个人权益影响最小的方式，不得进行与处理目的无关的个人信息处理。

第六条 处理个人信息，应当具有明确、合理的目的，并应当与处理目的直接挂钩，采用对个人权益影响最小的方式。

个人信息的收集应当限制在达到处理目的的最小范围内，不得过度收集个人信息。

条款的解释

本条规定是对个人信息处理必要性原则的延伸和拓展，对个人信息处理活动提出了更为具体的要求。

第1款提出，个人信息的处理应当遵循目的原则，又称明确目的原则，或称目的限制原则，其中包含以下三个基本要求：

第2款提出，目的原则应当从个人信息处理的源头，即收集过程开始实现。作为个人信息处理中的首要环节，个人信息的收集对个人信息的保护有着非常重要的影响。在个人信息处理实践中，由于个人信息的收集和存储成本不断下降，信息处理者往往为了从个人身上获取更多利益或为未来需要存储而收集过多的个人信息，这也成为个人信息保护受到重创的领域。第二款回应社会关切，强调个人信息的收集应限于处理目的，并应与产品功能或服务的实现直接相关，从而从处理初期起就降低个人信息权益受损的风险。第二款的规定与第一款的内容相互关联，可以看作是对第一款内容的澄清或者补充，其基本方向是解决个人信息处理和收集中的突出问题，并设置禁止性规范。

适用准则

目的原则为个人信息的处理提供了明确的方向，是必要性原则的直接体现。因为本文提出了“最小影响”和“最小范围”两个“最低限度”要求，所以也被称为“最小化”原则或“最小化”原则，即使用“最小化”一词，用于明确个人信息处理中应把握的尺度，突出保护个人信息权益的倾向。虽然“最低限度”明确了个人信息处理者应当将个人信息处理者对其个人信息权益的影响降到最低限度，限制个人信息收集的范围，但仍是一个抽象的原则，需要具体的规则来指导和适用。

随着个人信息的过度收集和处理行为的随意性成为个人信息保护中普遍存在的问题，相关文件也对“最小必要性”原则提出了具体要求。根据《个人信息保护法》第19条的规定，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必需的最短时间，即对个人信息“最短保存期限”的要求。《个人信息安全规范》基于对个人信息收集的“最低必要性”原则，要求个人信息处理者做好以下工作：

这

国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局印发《关于应用软件违法收集、使用个人信息行为认定办法》指出，有六类行为可以认定为“违反必要性原则，收集与其提供的服务无关的个人信息”：

除了“直接关联”、“最低频次”和“最小数量”的要求外，还提出个人信息处理者不得通过强制用户同意的方式，要求个人提供不必要的授权。

一般而言，个人信息目的原则适用于个人信息处理的全过程，在个人信息的前置处理、处理技术框架的建立、相关用户协议的制定等前期过程中，应落实最小化要求，以达到最小化的收集范围， 最小集合数、最低处理行为频率和最小存储周期数。由于个人信息往往成为互联网企业竞争的核心基础资源，过度收集个人信息已成为一种普遍现象，而目的原则的出现为个人信息保护的处理提供了一种切实可行的途径，也为解释和解释留下了很大的灵活性空间。应当明确的是，目的原则并不限制个人信息处理活动，而是限制处理过程对个人信息主体的不利影响，如果个人信息处理者为了保护信息主体的利益而开展个人信息处理活动，则不存在适用目的原则的前提条件。此外，目的原则对个人信息处理活动的有序开展具有重要意义，如存储最低限度的个人信息，将减轻数据存储压力，尽量减少个人信息的收集和存储，以及及时删除信息，这将有助于减少信息泄露时产生的后果和损失。个人信息最小化，可以更高效地管理个人信息处理者。此外，考虑到个人信息主体的相关权利在未来将越来越清晰和有效保护，当个人信息主体根据《个人信息保护法》的规定要求行使复制权、携带权、删除权等特定权利时， 处于最小化状态的数据集可以对与个人信息相关的索赔提供快速响应。

案例链接

▣郭某诉杭州野生动物世界有限公司服务合同纠纷案（浙江省阜阳市人民法院民事判决（（2019）浙0111民初6971号）。

一、案情简介

杭州野生动物世界推出了年票，让用户在年卡的一年有效期内，想旅行多少次就出行多少次。原告郭某在被告办公室办理年卡时，被被告以原告是通过指纹识别技术进入园区为由，强行采集原告的指纹信息。虽然年卡中心已通过通知等方式对“年卡申领流程”和“使用说明”进行了相关公告，但并未对可能存在信息安全风险的指纹信息的采集、使用提供相关提示或说明。以技术升级为由，年卡中心将要求用户将指纹识别改为人脸识别才能进入园区，且在规定期限内未经人脸识别验证将无法进入园区。

二、案件要点及分析

法院认为，经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则，明确明示收集、使用信息的目的、方式和范围，并征得消费者同意。

基于案情，法院认为，为达到相关用户在有效期内无限次进入园区的目的，野生动物世界利用指纹识别和面部识别技术对相关用户进行筛查，提高进园效率，符合“合法性、 合法性和必要性“在收集信息时。原告郭某在申请年卡时，被告的年卡中心曾使用醒目的文字告知购卡人需要提供包括指纹信息在内的相关个人信息，原告郭某仍决定申请年卡。因此，法院裁定，郭某在申请年卡时提供个人信息是自愿的。

杭州野生动物世界要求郭先生提供面部识别信息，以便他们在升级后可以使用面部识别进入公园。法院认为，该行为超出了必要性原则的要求，是没有道理的。在“年卡申请流程”中，经办人同意拍照，仅限于办理过程中收集的信息范围，因此法院裁定支持郭某关于被告人删除所收集的个人人脸识别信息的请求。

▣ 域外案件个人信息

的处理应当以对个人权益影响最小的方式进行，并应当限制在实现处理目的的最小和必要的范围内，并禁止过度收集，这是《个人信息保护法》中比例原则的具体体现之一。欧盟法院在四个案件中重点关注了这一点：Schecke、爱尔兰数字权利、Tele2 和 TK。

在Schecke案中kaiyun体育登录网页入口，欧洲联盟法院裁定，欧盟要求披露欧盟农业基金受益人的规定无效云开·全站APP登录入口，因为该条款要求笼统地披露所有受益人的个人信息，而没有根据接受补贴的时间、频率、方式、范围等加以区分。欧洲联盟法院认为，农业基金受益人所获得的补贴是其收入来源的很大一部分，在互联网上公布受益人的姓名和所接受补贴的确切数额是侵犯私人生活领域。 以及未经受益人同意而处理个人信息的行为。这种违法行为的依据不足。虽然纳税人有权知道税款的去向，但受益人也有权在私人生活领域获得个人信息保护和不可侵犯性。在发布此类披露要求之前，有关当局应权衡各方的利益，并考虑无区别地披露所有受益人的个人信息是否超出了该规定所追求的合法目的所必需的范围。对税收去向的透明度要求不应直接凌驾于个人信息保护权之上。由于有关当局没有证明在引入披露要求之前已经进行了利益平衡，欧盟法院认为，欧盟的披露要求并未将对个人信息保护权的限制限制在绝对必要的范围内，并且没有采用对自然人影响较小但会达到相同效果的方法， 从而违反了相称性原则。

在爱尔兰数字权利案中，欧盟法院继续发现，另一项欧盟指令要求通信服务提供商保留通信和位置数据，以用于预防、调查犯罪和保护国家安全（第2006/24号指令），违反了相称性原则，构成了对个人数据保护基本权利的不当侵犯。法院首先承认通信和位置数据在预防和调查严重犯罪方面的重要作用，因此，保留数据供主管当局在需要时查阅，原则上符合维护公共利益的合法目标。但是，根据欧盟法院的判例，对个人信息保护的干预和限制必须限制在绝对必要的范围内。就第2006/24号指令的具体情况而言，它涵盖了所有电子通信手段，极其广泛，无一例外地适用于所有注册用户，没有任何区别、限制或例外，甚至适用于某些有保密义务的职业，并且不对保留期限、地理或特殊群体或犯罪作出任何区分。此外，关于主管当局获取数据的问题，第2006/24号指令没有制定任何客观的标准来限制获取数据，更不用说对后续使用的任何实质性和程序性要求和限制了。无论如何，第2006/24号指令所要求的保留和主管当局获取数据的范围超出了该指令所追求的预防、调查犯罪和保护公共安全所必需的范围，并构成了对相称性原则的违反。这一观点在Tele2案中得到了延续。

在Tele2案中，欧盟法院继续认为，成员国法律要求普遍、不分青红皂白地保留通信和位置数据，以及预防和调查严重犯罪的规定，以及主管当局有权在未经法院或其他独立行政机构审查的情况下获取数据，违反了欧盟的指令和判例。

在TK案中，欧洲联盟法院分析了安装摄像头的目的的正当性、手段的必要性以及数据处理者和数据主体之间的利益平衡。法院首先承认，在财产毁损、盗窃事件频发的住宅楼安装摄像头，具有保护居民财产、健康和生命安全的合法合理目的。然而，与此同时，法院指出，仅仅有合法目的是不够的，还应该有其他方式来实现这一目的，这些方式对个人的基本权利限制较少，而且所收集的数据应满足最低限度的要求。在TK案中，至少业主委员会考虑了摄像头的考虑因素，因为它表明在安装摄像头之前已经采取了其他措施，例如使用芯片门禁系统。此外，法院还提到需要考虑拍摄的时间，例如是否只需要夜间摄影就可以达到上述目的，从而减少对个人权益的影响。

相关条款《

个人信息保护法》第19条、第26条、第34条、第56条。

规定

━ ━ ━━━

第二部分 《适用规定》和《实施指引》的解读

第一章 总则

第一条【立法目的】。

第2条【个人信息受法律保护】。

第三条【适用范围】。

第4条 [个人信息和个人信息的处理]。

第五条【合法性、正当性、必要性和诚实信用原则】。

第6条[目的明确和最小化原则]。

第七条【公开透明原则】。

第八条 【信息质量原则】。

第九条【安全责任原则】。

第十条 【依法办理原则】。

第十一条 【国家个人信息保护的职能】。

第十二条【国际合作】。

第二章 个人信息处理规则

第一节 总则

第13条【个人信息的处理】。

第十四条【知情同意规则】。

第十五条【个人有权撤回同意】。

第16条【不同意不影响产品和服务的使用】。

第十七条【通知事项】。

第18条 【需要通知的例外情况】。

第19条：【个人信息的保留期限】。

第二十条 【配合处理个人信息】。

第二十一条 【个人信息处理的委托】。

第二十二条【组织机构变更对个人信息处理的影响】。

第二十三条 【个人信息处理者向外界提供个人信息】。

第二十四条 【使用个人信息进行自动化决策】。