《个人信息保护法》逐条解读：个人信息处理规则（一）

第一节：一般规定

第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

根据《个人信息保护法》第五条的规定“处理个人信息应当遵循合法、正当、必要和诚信原则”，那么何为“合法、正当”呢？本条所解决的问题就是“合法、正当”的问题。

取得个人同意，在大多数没有特殊关系和特别场景的情况下需要适用的规则。例如，我们的手机APP要收集哪些手机里面的信息，需要经过我们的同意。

除了“取得个人同意之外”，在一些特殊关系或者特定场景下，为了社会的正常运转，考虑人们已经形成的惯常行为和习惯，可以不用经过个人的同意，也可以处理个人信息。这些情况是：

1、订立、履行合同的需要。在签订合同的时候，我们需要写清楚双方当事人是谁。为了特定化当事人，需要写入一些当事人的信息，例如身份证信息。签订合同之后，履行合同的时候，由于履行的需要，双方或者多方当事人得知道其他各方的一些信息，例如联系人的姓名、电话、邮箱、地址等等。如果没有这些个人信息，会造成合同无法履行。

2、在劳动关系中，由于法律的规定以及缴纳社保、公积金的要求，单位一方往往需要知道员工很多的个人信息，这些信息相比签订履行合同所需要的的信息更多、更详细。如果员工拒不提供个人信息，会导致单位无法依法履行其职责以及无法有效管理。

3、为履行法定职责或者法定义务所必需，指的是国家有关机关或者司法机关、事业单位，因为法律明确规定了他们的职责和义务，为了履行职责和义务，需要获取个人信息的情况。例如，公安机关户籍部门需要收集、整理公民的户籍信息。

4、为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。这种情况在疫情期间表现的尤为明显。在法律上，人的生命健康权是更高位阶的权利。为了维护人的生命健康权，需要处理个人信息的，不用经过个人同意。不过，这里面也有度的问题。，“应当限于实现处理目的的最小范围，不得过度收集个人信息”，更不得滥用、非法转让和买卖收集到的个人信息。

5、在新闻报道中使用个人信息一般属于合理使用的范围。之前的《民法典》第九百九十九条也规定：为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。

6、在《民法典》中，个人信息保护与隐私权保护放在了一起进行规定，因为个人信息公开有可能侵犯其隐私权。但是，对于自行公开或者依法公开的个人信息，自然没有隐私的问题，只要不侵犯其其他合法权益，是可以使用的。

其中，已经合法公开的个人信息，往往是因为法律的要求而公开的，有其他的社会价值。例如工商注册信息、判决书、被执行人信息和限制高消费信息等。

有一些APP就是通过集合已经公开的个人或者企业信息，进行进一步的归类，让这些信息产生新的价值。

最后，规定了一个兜底条款，为适应社会和法律的发展和变化留了余地，即“法律、行政法规规定的其他情形 ”。

第十四条：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

从第十四条到第十六条是关于“个人同意”更为具体的规定。什么叫“个人同意”？看上去是个简单的问题，但是实践中问题不少。例如，在网页上或者APP上勾选电子协议或者各种方式的“告知书”，是否就算是“个人同意”呢？很长时间以来，不少网站和APP就是这么做的。

可是，有多少人认真的看过电子协会或者告知书呢？服务或者产品的接受者之所以点击“同意”，是因为不点击同意就无法使用产品或者服务。电子协议或者告知书越写越长，却没有什么人看。这种情况下，貌似个人同意了处理个人信息，但是这种同意属于“伪同意”，是一种虚假的同意。

另外，如果错误的进行了“同意”，或者反悔了“同意”，能否撤回呢？之前，我们使用的产品或者服务中，基本上很少有这样的功能，让我们可以撤回同意。不能撤回的同意，其实也是虚伪的“同意”。

第十四条主要规定：同意的前提是“充分知情”。我国《消费者权益保护法》规定了消费者具有知情权。如果没有“充分知情”，则没有真正的“同意”。关于如何告知，下面的第十七条有明确的规定。

第十五条主要规定：个人有权撤回其同意，并且要求“个人信息处理者应当提供便捷的撤回同意的方式”。目前来看，很多产品或者服务目前不符合该条的规定。在《个人信息法》生效之后，提供的产品或者服务有处理个人信息情况的，需要进行功能的完善，增加“撤回同意”的方式。

第十六条主要规定，不同意处理其个人信息或者撤回同意的，能否继续使用产品或者服务的问题。如前所述，消费者之所以同意处理其个人信息，原因是不同意就不能使用产品或者服务，没得选择，“传统”做法其实是侵犯了消费者（或者用户）的选择权。

根据这条规定，如果涉及到处理个人信息的产品或者服务以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的，需要说明理由，即需要说明特定的同意是提供产品或者服务所必须的。如果不是必须的，则违反了法律的规定。

根据这条规定，市场上的一些产品或者服务需要进行修改，在用户同意部分需要分清哪些是提供产品或者服务所必须的，哪些不是必须的。不是必须的，应该给用户选择权。

对于何种信息是必要，应用程序APP类的服务可以参见《常见类型移动互联网应用程序必要个人信息范围规定》的规定。