《中华人民共和国个人信息保护法》已经在今年的11月1日，开始生效。如何理解一部新的法律，成为一个重要的问题，这一点对于处理公民个人信息的企业而言，尤为关键。本文拟对本法的三个要点，做出理解性探讨。

一、个人信息的范围

《个人信息保护法》对个人信息的范围做了扩大化的规定。

本法第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。因此，个人信息应该具备能够直接或者间接将某一自然人从社会中特定化的性质，也即通过某些信息能够实现对信息主体的识别。能否识别个人，是对个人信息进行理解的基本点。

然而，不能将个人进行识别的信息，也可能属于本法规定的个人信息范围。第4条对于个人信息的规定，指的是与具备识别性的自然人“有关”的信息，“有关的”这一规定表明，个人信息不一定必须具备识别性，而是只要与可以或者已经特定化的自然人相关即可。例如，网络上的大数据杀熟、网络营销，是通过收集用户的浏览记录、消费记录等，实现对用户的行为模式判定，但是这样的信息并不会使得信息主体被识别，但却与已经识别过的自然人用户相关。研读本法第24条可知，大数据杀熟等结果不公正的自动化决策行为，是被明令禁止的。因此，本法确定的个人信息范围宽于识别说。

还需说明的是，匿名化信息不在本法涵盖的范围内。本法73条第4项规定，匿名化指的是个人信息经过处理无法识别特定自然人且不能复原的过程。

二、处理个人信息的规则

个人信息应该按照怎样的步骤进行收集、使用等，本法也做了明确。

对于一般情况而言，个人信息处理者，需要在处理之前告知，并且须处理中取得作为信息所有者的自然人的同意，也即需遵守“告知-同意”规则。

本法将一般情形下的告知与同意规则，分离规定在不同条文中。告知规则，规定在本法的17-18条。告知的时间为，处理个人信息行为之前；告知的方式应当显著、语言应清晰易懂、内容应从法定且准确、完整。同意规则规定在13-16条。人力资源运用、法定职责所需等五种明列情形，或者存在法律、行政法规规定时，可以不经个人同意而处理其个人信息。其他情况，均需取得自然人的同意。需要详细说明的是同意的具体方式。本法第14条规定对一般同意的要求为，个人充分知情同意，自愿、明确地做出同意。本条还规定了单独同意与书面同意的特殊方式。书面同意，应当包括可以事后查询的电子形式同意。至于单独同意，其含义的理解，在与概括同意、授权捆绑等社会中出现过的同意方式的对比中，更易于理解。概括同意是指，个人信息处理者，在收集或者有其他处理个人信息行为时，一次对多种类的个人信息，要求个人予以同意处理。捆绑授权在网络平台登入中较为常见，例如，某APP在登入时，其以隐蔽的方式，默认勾选同意收集相关联的APP上收集到的个人信息，此种行为对个人对信息的决定权极不尊重。

国家机关处理个人信息时，需要出于履行法定职责目的，且仅需履行告知义务。这样的规定具有合理性，国家行为出于公益目的，其处理行为由相关法律法规授权，因此其处理程序应较一般信息处理者简单。 SHAPE \* MERGEFORMAT

三、敏感个人信息的特殊处理

敏感个人信息的定义，规定在本法的第28条，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

敏感个人信息的处理，需要遵循特殊的规则。其一，处于特定目的，具有充分必要性；其二，采取严格保护措施以及专门的处理规则；其三，取得个人单独同意或者书面同意；其四，处理未满十四周岁未成年人的个人信息，还需取得未成年人父母同意。

结语

《个人信息保护法》的颁布施行，是立法行为的告一段落，但却是法律运用的一个新的开始。若要在实务中精准适用该法，还需不断的深入研究。