20250322个人数据单独同意合规修改的副本.pdf

《20250322个人数据单独同意合规修改的副本.pdf》由会员分享，可在线阅读，更多相关《20250322个人数据单独同意合规修改的副本.pdf（27页珍藏版）》请在三个皮匠报告上搜索。

1、超越单独同意：个人数据流超越单独同意：个人数据流通利用合规解决方案通利用合规解决方案高富平 华东政法大学法律学院教授 上海市华诚律师事务所合伙人 Part 01 个保法规定单独同意的理由个保法框架：基于原则的行为规范个保法框架：基于原则的行为规范基于原则的行为规范规范个保法核心架构第二章个人信息处理规则（合法性基础第五章 个人信息处理者义务第四章个人信息处理活动中的权利个人信息保护个人信息保护保护个人信息保护个人信息个人信息保护：保护信息上的利益，而不保护信息本身个保法非权利法，而是行为法个保法非权利法，而是行为法个保法未建立非经同意（“授权”）即侵权/违法的赋权保护模式，而是采行为规范规范对

2、象：个人信息处理行为规范对象：个人信息处理行为个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等 个人信息正当处理原则和规则基本原则个保法：调整个人信息直接使用关系个保法：调整个人信息直接使用关系 目的：“规范个人信息处理活动”，“保护个人信息权益”+“促进个人信息合理利用”手段：预防性规则（处理原则+合法性基础+处理过程合法）+损害赔偿救济 适用范围（应然）：个人信息持续规模化处理行为，非碎片化单独使用行为 适用效果：调整交易/服务/互动关系的个人信息处理关系：个人信息处理者与个人之间的直接处理/使用关系 处理前同意+处理中法定义务(第四章)个人在个人信息处理活动中

3、的权利非直接使用关系非直接使用关系 不调整处理者对外提供/分享/流通行为 第22条：合并、分立、解散、被宣告破产等原因转移个人信息 告知，变更目的同意 第23条：信息处理者向其他处理者提供其处理的个人信息 单独同意 上述两种情形，都在个人与新处理者之间建立个人信息处理关系 理由 维系直接的使用关系，确保个人权利（第4章）行使私力救济的实现 事实上，个人根本无法行使存在法律和事实上的不可能非交互关系中个信使用规则非交互关系中个信使用规则 已经公开个人信息（第27条）：个人自行公开其他合法公开（被合法公开）：限于合法公开，如履行职责和法定义务 处理规则在合理范围内处理对个人权益有重大影响的：同意+

4、合规 何谓公开个人信息？爬虫可合法爬取的都是公开个人信息？个人信息处理者只有经个人同意才能公开个人信息（理论上没有，但实践中很普遍）非接触式采集 在公共场所安装图像采集、个人身份识别设备：告知（提示）+只能用于用于维护公共安全的目的（26）私人场所或业务应用中采集：应当遵循个保法规定如何同意和行使权利？谁监督特定目的的使用？匿名化：脱法行为匿名化：脱法行为 oror 流通行为？流通行为？个匿名化的信息不能识别个人，不属于个人信息，因此匿名化信息没有价值，也不能流通 什么是匿名化，匿名化是“不能识别”吗？在网络背景下，数据都具有可关联性，具有可识别性，我们真能去识别吗？匿名化后可以复原 or 可

5、以重识别 匿名化信息随意流通且不受个保法调整，那么就是脱法行为？处理者A(提供者)处理者B(接受者)个人信息流通匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程个人保护与数据要素利用冲突个人保护与数据要素利用冲突个人保护社会利用使用者决定（社会资源配置利用效率最大化）个人控制/干预（个人权益保护）平衡点在哪里？平衡点在哪里？Part 02 回归个保法本质目的：寻找个人保护与要素化利用的平衡点 回到问题的本质：什么是识别回到问题的本质：什么是识别识别身份 单独指向或关联个的信息（技术可实现，可执行）结合识别个人信息（技术不可实现，只能通过管理措施或行为规范约束）识别个性特征(pro

6、filing)在任何情形下，禁止个性特征识别在技术不可实现，行为规范无意义，除非禁止企业使用数字技术处理个人信息。个人存在、行为过程及结果的数字化记录1)是否要明确信息主体是谁（贷款、买卖交易、业务/友情往来），如果需要，2)技术上可能性：是否实名是否实名、或是否有足够的信息关联分析以识别识别出信息对应的主体出信息对应的主体。信息符号所代表的“你”是一个什么样的人？商业推送等网络群体通信行为产品研发、市场预测、科学研究，等等个人信息利用基本方式个人信息利用基本方式在不知身份情形下，用信息识别信息背后的人（identifying）在已知身份情形下，获取信息，识别该个人的基于特征可识别的个人（DI