2021年11月1日，《中華人民共和國個人資訊保護法》（以下簡稱《個人資訊保護法》）正式施行。作為我國第一部專門針對個人資訊保護的系統性、綜合性法律，《個人資訊保護法》積極迴應“禁止APP過度收集個人資訊”等社會熱點話題，構建了以“告知-同意”為核心的個人資訊處理規則，掀開了我國個人資訊保護的新篇章。

告知同意規則由告知規則與同意規則構成，告知是同意的前提。那麼，APP運營商等個人資訊處理者應如何更好地履行“告知”義務呢？請看下文。

《中華人民共和國個人資訊保護法》 第十七條

個人資訊處理者在處理個人資訊前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人資訊處理者的名稱或者姓名和聯絡方式；

（二）個人資訊的處理目的、處理方式，處理的個人資訊種類、儲存期限；

（三）個人行使本法規定權利的方式和程式；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人資訊處理者透過制定個人資訊處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閱和儲存。

一、告知義務的含義

《個人資訊保護法》第17條規定的個人資訊處理者的告知義務，是指為了讓資訊主體對其個人資訊處理活動的相關事項知情，個人資訊處理者依法負有的主動向資訊主體告知與其個人資訊處理相關重要事項資訊的法定義務。

個人資訊保護中的告知同意規則由告知規則與同意規則構成。

在《個人資訊保護法》中，告知規則對應資訊主體的知情權和個人資訊處理者的告知義務，同意規則對應資訊主體的資訊自決權，兩者密不可分。讓個人資訊處理者承擔告知義務的目的是保證資訊主體的知情權，滿足個人資訊處理的公開透明原則，進而確保資訊主體在充分知情的前提下，自願、明確地作出有效的同意，為個人資訊處理者的個人資訊處理行為提供合法性基礎。［1］換言之，同意以告知為前提。

資訊主體的知情權包括積極和消極兩個方面：

前者是指資訊主體主動要求個人資訊處理者提供與其個人資訊處理相關事項資訊的自由和權利；後者是指無須資訊主體主動行使其知情權，個人資訊處理者負有對資訊主體的主動告知義務。［2］本條正是從資訊主體知情權的消極方面對個人資訊處理者的主動告知義務作出明確規定。

［1］ 參見程嘯：《論我國個人資訊保護法中的個人資訊處理規則》，載《清華法學》2021年第3期。

［2］ 參見張新寶、葛鑫：《個人資訊保護法（專家建議稿）及其立法理由書》，中國人民大學出版社2021年版，第33頁。

二、告知義務的內容

告知義務的內容，是指處理者應當向個人資訊被處理的個人告知的事項。一般而言，告知的內容越多，資訊主體的知情權就越能夠得到充分的保障。但對企業而言，告知義務的履行必然需要一定的成本，告知的內容越多，需要的成本就越高，因此告知義務的內容就應當具有合理的限制。

我國《個人資訊保護法》在借鑑比較法經驗的基礎上透過

“一般規定＋特殊規定”

的方式對處理者應當向個人告知的事項作了規定。所謂一般規定，就是《個人資訊保護法》第17條第1款規定的事項。這些事項是任何個人資訊處理前，個人資訊處理者都應當向個人告知的共同事項或一般性事項。所謂特殊規定，就是針對一些特殊的個人資訊處理行為而增加一些告知事項的規定，如《個人資訊保護法》第22條、第23條、第30條、第39條等的規定。告知義務的具體內容包括以下幾個方面：

1. 個人資訊處理者的名稱或者姓名和聯絡方式

由於處理者主體複雜多元和處理行為隱秘專業，為了確保個人資訊處理的公開透明與公正，處理者必須向個人告知其名稱或者姓名與聯絡方式，從而使得個人知悉其個人資訊究竟是被何人處理。不同的資訊處理者的個人資訊保護水平是不同的，資訊處理者的身份會對資訊主體決定是否同意讓其處理個人資訊產生重大影響。此外，只有知道個人資訊處理者的名稱或者姓名和聯絡方式，資訊主體才能夠向個人資訊處理者行使其在個人資訊處理中的權利，如查閱、複製、更正、補充、刪除等權利。

2. 個人資訊的處理目的、處理方式，處理的個人資訊的種類、儲存期限

所謂個人資訊處理的目的，是指處理者究竟是為了什麼而處理個人資訊。之所以要求必須告知處理目的，是因為處理目的在個人資訊處理中非常重要。目的限制原則是個人資訊處理中的基本原則，其要求處理者在處理個人資訊時應當具有明確、合理的目的，並應當限於實現處理目的所必要的最小範圍，採取對個人權益影響最小的方式，不得進行與處理目的無關的個人資訊處理。故此，只有明確處理目的，個人才能有針對性地決定是否就基於特定處理目的的處理行為作出同意。個人資訊的處理方式，主要是指處理者對個人資訊採取何種處理方法，具體包括個人資訊的收集、儲存、使用、加工、傳輸、提供、公開、刪除等。因此，處理者必須告知個人，其採取哪些處理方式，是僅僅收集、儲存，但不使用、加工，抑或收集、儲存、使用、加工但不提供等。不同的處理方式對於個人資訊權益的影響不同，故需要告知個人並取得同意。個人資訊的種類很多，包括但不限於自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。個人資訊可以分為敏感的個人資訊與非敏感的個人資訊，不同的個人資訊對於個人資訊權益的影響不同。敏感個人資訊的處理對於個人資訊權益會產生很大的風險，因為此類資訊一旦洩露或者被非法使用，就有可能導致個人受到歧視或者人身、財產安全受到嚴重侵害。所以，個人資訊的種類屬於必須告知的事項。處理者在向個人告知處理的個人資訊的種類時，應當遵循公開透明的原則，不能過於籠統。例如，不能簡單告知所處理的個人資訊是“健康資訊”或“與健康有關的資訊”，該範圍過於廣泛，可能涵蓋無數的資訊，處理者必須明確具體的資訊種類，如“心率”“血壓”和“懷孕年齡”，這取決於處理行為及處理目的。個人資訊的儲存期限也很重要，儲存期限越長，出現洩露或被非法使用的可能性就越大，對個人資訊權益的不利影響就越大，因此需要告知個人。個人知悉儲存期限也有利於其在儲存期限屆滿時及時依據《個人資訊保護法》第47條的規定行使刪除權。

3. 個人行使本法規定權利的方式和程式

所謂“行使本法規定權利”，是指《個人資訊保護法》第4章所規定的個人在個人資訊處理活動中的權利，包括知情決定權、查閱複製權、資料攜帶權、更正補充權、刪除權、解釋說明權等。之所以要告知個人行使《個人資訊保護法》規定權利的方式和程式，是為了鼓勵和便利資訊主體行權。

4. 法律、行政法規規定應當告知的其他事項

這是兜底性規定，一方面與《個人資訊保護法》關於特殊告知事項的規定相銜接，另一方面也為相關法律和行政法規的規定留下空間。

特殊的告知事項具體主要包括四類情形：首先，在個人資訊處理者因為法人或非法人組織的合併、分立等原因而需要轉移個人資訊時，依據《個人資訊保護法》第22條的規定，應當向個人告知接收方的名稱或者姓名和聯絡方式，這主要是為了確保個人能夠向接收方主張個人資訊處理中的權利。其次，個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的，依據《個人資訊保護法》第23條的規定，還必須向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類，並取得個人的單獨同意。這是因為，處理者將個人資訊提供給他人的，接收方並非單純地接受個人資訊，有可能要按照新的處理目的，採取新的處理方式對個人資訊進行處理。故此，要求處理者而非接收方向個人進行告知並取得單獨同意，否則不得向他人提供個人資訊。再次，為了更好地保護敏感的個人資訊，《個人資訊保護法》第30條要求，個人資訊處理者在處理敏感的個人資訊時，不僅要告知第17條第1款規定的事項，還應當向個人告知處理敏感個人資訊的必要性以及對個人的影響，依照《個人資訊保護法》規定可以不向個人告知的除外。之所以要求處理敏感的個人資訊時必須告知處理的必要性，是因為敏感的個人資訊一旦洩露或被非法使用，可能會導致個人受到歧視或人身、財產安全受到嚴重侵害，故法律上應當給予更強的保護。雖然我國《個人資訊保護法》沒有采取原則上禁止、例外才允許的處理敏感個人資訊的模式，但透過強化對處理敏感個人資訊的必要性的要求，可以更好地保護個人資訊權益。所謂對個人的影響，是指處理敏感的個人資訊可能會對個人產生的影響，主要是指不利的影響。只有充分披露這種影響，才能保證個人是在充分知情的情況下作出自願的同意。最後，在個人資訊跨境提供時，依據《個人資訊保護法》第39條，處理者應當向個人告知境外接收方的名稱或者姓名、聯絡方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使《個人資訊保護法》規定權利的方式和程式等事項，並取得個人的單獨同意。

三、告知義務的履行

1. 告知義務履行的時間

個人資訊處理者必須在處理個人資訊前向個人資訊被處理的個人進行告知，而不能在已經實施個人資訊處理行為之後再告知個人，這是對處理者告知時間的要求。因為只有事前告知對於資訊主體才有意義。

在例外情況下，如根據《個人資訊保護法》第18條的規定，可以免於告知或者事後及時告知。

2. 告知義務履行的方式

《個人資訊保護法》第17條第1款明確規定了個人資訊處理者告知義務履行的方式，即“應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知”。

所謂顯著方式，是指個人資訊處理者應當以個人容易辨識且易於獲取的方式讓個人瞭解到處理者告知的內容，而不能將其隱藏在一大堆包含各種內容的所謂的“隱私政策”當中，或者以極小、難以辨識的字型等其他不顯著的方式，讓個人無法容易辨識或獲取處理者所告知的內容。這種所謂的告知也可認為本質上是一種欺詐或誤導的做法。

清晰易懂的語言，意味著處理者應當以普通人能理解的語言表述進行告知，從而使得任何不具備個人資訊處理專業知識的個人能夠知道處理者所告知的內容。在實踐中，為規避法律責任，個人資訊處理者往往傾向於使用極其抽象或相當晦澀的語言來描述隱私政策中對個人資訊收集和使用的目的，如“改善服務質量”“提升使用者體驗”“研發新產品”“增強安全性”等。這種語言表述顯然是非常模糊的，而且也使得處理者的處理目的很不明確，違反了目的限制原則和公開透明原則。

“真實”意味著個人資訊處理者告知的資訊不能是虛假的；“準確”意味著個人資訊處理者告知的資訊不能是錯誤的；“全面”意味著個人資訊處理者告知的資訊不能是不完整的。這些要求都是為了強化個人資訊處理者的告知義務，保障資訊主體的知情權。

之所以如此詳細地規定告知義務的履行方式，是為了消除資訊主體和個人資訊處理者之間的資訊不對稱。個人資訊處理具有很強的技術性，十分專業，而個人對此知之甚少，因此導致二者的資訊不對稱。如果處理者透過一大堆專業術語或者含糊其辭的表述來告知，那麼個人難以理解此種個人資訊處理對自己的權益有何利弊，存在何種風險，這意味著資訊主體難以作出自由的決定。在實踐中，不少個人資訊處理者為了滿足法律的要求，規避法律風險，往往採取“捆綁式”的方式列出內容冗長煩瑣的隱私政策條款，給使用者帶來閱讀上的極大困難。明確告知義務履行方式有利於破解實踐中的此種難題，同時這也是《個人資訊保護法》第7條規定的公開透明原則的必然要求。

注：以上內容節選自《<中華人民共和國個人資訊保護法>條文理解與適用》，江必新、郭鋒主編，人民法院出版社出版。

●

國家網際網路資訊辦公室公佈《資料出境安全評估辦法》（附全文+答記者問）

●

浙江法院釋出侵犯公民個人資訊犯罪十大典型案例

●

8月1日起施行！國家網際網路資訊辦公室釋出《網際網路使用者賬號資訊管理規定》（附全文+答記者問）

●

司法案例課題 | 肖芄：大型網際網路平臺侵害兒童個人資訊權益的認定——兼評某短影片平臺侵害未成年人個人資訊民事公益訴訟案

●

田野：職場智慧監控下的勞動者個人資訊保護——以目的原則為中心

●

利用駭客軟體竊取“人臉資訊”的司法規制

宣告：本文轉載自“人民法院出版社”微信公眾號，在此致謝！

編輯：費嘉榮

排版：

王 俏

稽核：

劉 暢