包邮中华人民共和国个人信息保护法实务指南

第四十四条【个人的知情权、决定权、限制/拒绝权】个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。 【条文理解】 本条规定了个人的知情权和决定权。 （一）知情权 知情权是个人在个人信息处理活动中享有的*基本权利，是其他各项权利行使的前提和基础。知情权与《个人信息保护法》公开透明原则以及个人信息“告知—同意”的处理规则相对应，主要指个人有权知悉其个人信息被处理的情况，如是否收集其个人信息，收集哪些个人信息，为什么收集等。个人只有在充分知悉其个人信息被处理的情况下，才能有效保护自身的权益。 （二）决定权 决定权是《个人信息保护法》赋予个人*重要的权利之一，在学界也被称为个人信息自决权，主要指个人可以自由地决定其个人信息何时、何地以何种方式被他人处理，对其个人信息的处理享有决定权，有权限制或者拒绝他人对自己的个人信息进行处理。如个人可以拒绝个人信息处理者处理其个人信息，当个人信息处理者向第三方提供个人信息时，个人有权进行限制等。 未经个人决定而处理个人信息是个人信息被滥用的主要原因。现实中，个人在提供个人信息后，很难再对其个人信息实行决定权。此次《个人信息保护法》明确将决定权写入法条，目的也是进一步明确个人在个人信息处理活动中的权利，个人信息处理者若想合规地处理个人信息，须符合个人的决定，包括处理个人信息获得个人同意、允许个人撤回同意等。 （三）例外情形 当然，权利并非没有边界，在国家利益和公共利益面前，个人利益需要进行让步。因此，个人的知情权和决定权在法律、行政法规另有规定的情况下，有所例外。例如，《个人信息保护法》第13条规定，当个人信息处理者为了履行法定职责或法定义务或者紧急情况下为保护自然人的生命健康和财产安全等情况下，可以不经过个人的同意处理个人信息；再例如，《个人信息保护法》第18条规定，个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第1款规定的事项等。充分体现了法律的平衡和对各方利益的保护。 【合规指引】 此次《个人信息保护法》并没有详细规定个人知情权和决定权的具体内容，但从个人信息处理者的义务和个人信息处理规则来看，个人信息处理者需在以下方面保障个人的知情权和决定权。 （一）充分披露个人信息处理情况，保障个人知情权 1.个人信息处理者需要主动公开的内容：（1）自己的身份和联系方式。（2）处理这些个人信息的目的是什么，怎样处理，需要处理哪些个人信息，以及这些个人信息会保存多久等；告知个人如何行使以及怎样行使自己针对其个人信息的权利。（3）如果涉及处理敏感个人信息的，还需要向个人告知处理敏感个人信息的必要性以及对个人权益的影响。（4）如果因合并、分立、解散、被宣告破产等原因需要转移个人信息的,需要向个人告知接收方的身份、联系方式。（5）如果涉及向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类。（6）在公共场所安装图像采集、个人身份识别设备应当设置显著的提示标识。（7）其他法律、行政法规规定需要向个人告知的事项。 2.个人信息处理者需响应个人申请公开的内容：（1）通过自动化决策方式作出的对个人权益有重大影响的决定，当个人要求时，个人信息处理者要对相关内容进行说明；（2）响应个人要求，对个人信息处理规则进行解释和说明。 3.保障个人知情权的方式：一方面，个人信息处理者可以通过隐私政策、用户协议等方式，公开个人信息处理的规则；另一方面，当个人申请公开或解释个人信息处理规则时，个人信息处理者应当及时予以回应。 （二）个人信息的处理需由个人决定，并为个人提供行使决定权的通道 1.个人信息处理需要让个人进行决定（同意）的情形：（1）除《个人信息保护法》第13条规定的情形外，处理个人信息前需取得个人同意；（2）个人信息的处理目的、处理方式以及处理的个人信息种类等发生变更的，应当重新取得个人同意；（3）收集不满14周岁未成年人个人信息的，需获得未成年人父母或者其他监护人的同意；（4）向其他个人信息处理者提供处理的个人信息的，应该取得个人的单独同意；（5）公开处理的个人信息，应当取得个人的单独同意；（6）在公共场所安装的个人信息采集设备收集的个人信息超出维护公共安全目的使用的，需要取得个人的单独同意；（7）处理敏感的个人信息，如种族、民族、宗教信仰、生物识别、医疗健康、行踪轨迹等信息需要取得个人的单独同意等。 2.个人信息处理者需响应个人决定的情形：（1）提供便捷的个人撤回之前同意的方式，当个人撤回同意时进行处理；（2）通过自动化决策方式进行个性化推荐的，当个人不愿接受个性化推荐时，需提供不针对个人特征的选项或拒绝自动化决策的方式；（3）当个人拒绝仅通过自动化决策方式作出的对个人权益有重大影响的决定，个人信息处理者应当进行处理；（4）当个人明确拒绝处理其公开的个人信息时，不得处理相关个人信息；（5）当个人请求删除其个人信息的，个人信息处理者应当删除。 （三）知情权和决定权的例外情形 1.法律、行政法规规定应当保密或者不需要告知的情形。 2.紧急情况下为保护自然人的生命健康和财产安全无法及时告知的，可以进行事后告知。 3.告知将妨碍国家机关履行法定职责的，国家机关可以不予告知。 4.其他法律、行政法规另有规定的情形。 【产业实践】 产业中，许多互联网平台为保障用户更好地享有知情权与决定权，纷纷设立了单独的隐私保护中心保护用户个人信息权益。例如，某搜索平台以及某短视频平台分别成立了专门的隐私保护平台与保护中心，将公司的隐私政策总则以及各产品的隐私政策进行集中、统一的披露，并通过图文介绍等清晰易懂的方式分别介绍旗下产品不同的隐私管理设计，给予用户充分的知情权和控制权，让用户切实感受到“信息被保护，意愿被尊重，服务有价值”。