《個人信息保護法》2021年8月20日通過，自2021年11月1日起施行。很多企業(yè)所提供的產(chǎn)品或者服務都與個人信息有關系，正確的理解《個人信息保護法》對于企業(yè)的經(jīng)營來說非常重要。

第一章 總則

第一條 為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法。

根據(jù)慣例，第一條要列明立法目的。

《個人信息保護法》的立法目的有三：1、保護個人信息權益；2、規(guī)范個人信息處理活動；3、促進個人信息合理使用。在解釋相關具體規(guī)定的時候，應該兼顧這三個立法目的，不應該只考慮個人信息權益的保護問題，也不應該只考慮促進個人信息合理利用的問題。

第二條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

在我國《民法典》中首先規(guī)定了個人信息的保護問題。《個人信息保護法》可以看做是對《民法典》個人信息保護條款的細化，相比《民法典》屬于特別法和一般法之間的關系。

《民法典》第一百一十一條規(guī)定：自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

第三條 在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內(nèi)自然人提供產(chǎn)品或者服務為目的；

（二）分析、評估境內(nèi)自然人的行為；

（三）法律、行政法規(guī)規(guī)定的其他情形。

該條是有關《個人信息保護法》適用范圍的規(guī)定。

首先，在中國境內(nèi)處理自然人個人信息，自然應該適用《個人信息保護法》的規(guī)定。

其次，對于一些在中國境內(nèi)處理自然人信息的活動，但是向境內(nèi)自然人提供產(chǎn)品或者服務或者分析評估的個人信息屬于中國境內(nèi)自然人信息的，應遵守《個人信息保護法》的規(guī)定。

第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

關于個人信息的定義，《民法典》中也有相關規(guī)定。相比《民法典》中的規(guī)定，《個人信息保護法》特別強調了“不包括匿名化處理后的信息”。這種說法，為個人信息的進一步商用打好了基礎。對于一些個人信息來說，進行了匿名化的“脫敏”之后，可以得到進一步的利用。

《民法典》第一千零三十四條　自然人的個人信息受法律保護。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

需要指出的是，歐盟的《數(shù)據(jù)保護通用規(guī)定》（GDPR）中規(guī)定了數(shù)據(jù)的控制者和處理者。我國的《個人信息保護法》沒有做這種分類，從本條規(guī)定來看，個人信息的處理應該等于GDPR中的“控制+處理”。

《民法典》第一千零三十五條 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！秱€人信息保護法》增加了一項：“刪除”。

第五條 處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

關于處理個人信息的原則，之前在《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》和《民法典》中均有明確規(guī)定。

《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》二、網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

《民法典》第一千零三十五條　處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

第六條 處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。

收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

在之前的《網(wǎng)絡安全法》等法律中對此也有規(guī)定《網(wǎng)絡安全法》中規(guī)定不得收集與服務無關的信息。這些都是有關收集信息范圍的要求，同時也是合法、正當、必要和誠信原則的具體化。

《網(wǎng)絡安全法》第四十一條 網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第七條 處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。

如前所述，《民法典》中也要求明示處理信息的目的、方式和范圍，屬于合法、正當、必要和誠信原則的具體化。

在確定是否進行了規(guī)則公開的時候，不應該僅僅以“勾選點擊同意”為證據(jù)，還需要具體跟根據(jù)《個人信息保護法》的具體規(guī)定，尤其是第十六條、十七條的規(guī)定來判斷是否進行了“公開”和“明示”。