个人信息处理规则的公开、查阅和保存办法

个人信息处理者在处理个人信息前告知法律规定的事项可以采取一对一的方式，例如，在办理相关业务时采用知情同意书的方式逐一告知有关个人信息处理的事项。处理者也可以采用公开个人信息处理规则的方式，也就是通常所说的“隐私政策”“隐私协议”，向不特定当事人告知。目前在使用应用软件、浏览网站等在线服务的情形下，处理者通常采用公开隐私政策的方式向个人告知个人信息处理规则。公开个人信息处理规则应当符合本条第一款的规定，并应当便于个人查阅和保存，以保障个人的知情权。

第十八条　个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

［释义］本条是关于个人信息处理告知例外的规定。

公开透明原则是处理个人信息的基本原则之一，无论基于何种合法性基础处理个人信息，原则上都应当告知个人本法第十七条第一款规定的事项，这是保障个人信息权益的基础。但是，基于法律、行政法规等的规定或者特殊情况下，个人信息处理者不能告知或者无法告知的，本法作出了特殊规定：（1）应当保密的情形，可以免于履行告知义务。这里的“保密”是指保守国家秘密，保守国家秘密法对应当确定为国家秘密的事项以及国家机关、企事业单位和个人等主体的保密义务作出了规定，因此，处理个人信息涉及国家秘密事项的不需要向个人告知。（2）不需要告知的情形主要包括：一是国家机关为履行法定职责处理个人信息，告知将妨碍国家机关履行职责的；二是按照本法规定在合理的范围内处理已公开的个人信息，通常也不需要告知；三是法律、行政法规规定不需要告知的其他情形。（3）在紧急情况下为保护自然人的生命健康和财产安全无法及时告知的，可以在紧急情况消除后再履行告知义务。例如，个人因急救入院治疗，医院从其随身携带的资料中查明了个人身份等信息用于治疗，由于情况紧急无法履行告知义务的，应当在紧急情况消除后及时告知。

第十九条　除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

［释义］本条是关于个人信息保存期限的规定。(www.xing528.com)

个人信息的保存期限与目的明确、最小化处理原则密切相关。根据本法第六条的规定，处理个人信息应当有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式，不得过度收集个人信息。一般而言，个人信息处理行为基于的特定目的本身就有存续期限。这意味着，旨在实现信息处理目的的个人信息的保存也应当限于实现目的所需要的最短期限。如果保存期限不确定或长于实现处理目的所需要的期限，不符合个人对自身权益的合理期待，也会增加信息泄露或不正当使用的风险。处理目的已实现、无法实现或者为实现处理目的不再必要，继续处理个人信息则不再具有正当性，处理者自然没有继续处理个人信息的必要。处理者应当根据本法第四十七条的规定删除个人信息，或者停止除存储和采取必要的安全保护措施之外的处理。

同时，现行法律、行政法规基于维护公共利益等需要，对特定行业和领域的个人信息保存期限作出了明确规定，处理者应当遵守相关保存期限的规定。例如，网络安全法为防范和调查危害网络安全的活动，规定网络日志留存不少于6个月；电子商务法为解决可能发生的消费纠纷的需要，规定商品和服务信息、交易信息保存时间自交易完成之日起不少于3年；证券法、证券投资基金法从反洗钱等需要出发，规定证券投资者的身份资料、交易记录等的保存期限不得少于20年；《征信业管理条例》根据征信业务的特点，规定征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年。据此，根据本条规定，个人信息的保存期限应当为实现处理目的所必要的最短时间，但法律、行政法规对个人信息的保存期限另有规定的，应当按照其规定执行。

第二十条　两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

［释义］本条是关于共同处理个人信息的规定。

本法在附则中将个人信息处理者界定为，在个人信息处理活动中自主决定处理目的、处理方式的组织和个人。相应地，当数人共同自主决定个人信息的处理目的、处理方式时，该个人信息处理行为属于共同处理，共同决定处理目的、处理方式的组织和个人为共同处理者。共同处理行为并不要求数个处理者全程参与个人信息处理的各环节、实施所有处理行为，而是强调数人共同决定个人信息的处理目的、处理方式，共同承担个人信息处理的后果。