保护个人信息的核心规则：取得个人同意

保护个人信息权益源于对人的自由和人格尊严的保护，其核心是赋予个人对其个人信息被处理的决定权和选择权。同意是实现个人的决定权和选择权的基础。个人信息保护法律制度就是通过提高处理行为的透明度，确保个人在充分知情的前提下，决定其个人信息基于何种目的、在何种范围内、以何种方式被处理。同时，由个人对处理行为自愿作出同意，也是意思自治原则在个人信息处理领域的具体体现。因此，同意一直都被视为个人信息保护的基石，也是确保公平合法处理个人信息最有效、最透明的方式。将取得个人的同意作为个人信息处理的合法性基础是各国个人信息保护法律制度的普遍做法，早在1970年德国黑森州制定的《数据保护法》就对知情同意作了规定；1973年美国公布的“公平信息实践准则”报告规定，未经同意不得将个人信息用于个人授权使用之外的目的；1980年经济合作与发展组织（OECD）制定的《隐私保护和个人数据跨境流动指南》在收集限制和使用限制原则下构建了同意规则。欧盟1995年颁布的《关于涉及个人数据处理的保护以及此类数据自由流通的指令》和2016年制定的《通用数据保护条例》，以及近些年许多国家制定的个人信息保护法都将同意作为个人信息处理的首要合法性基础。我国网络安全法、消费者权益保护法以及民法典等法律都对处理个人信息应当取得个人同意作了规定。个人信息保护法总结实践经验，借鉴国际普遍做法，将取得个人同意作为处理个人信息的核心规则。

二、为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

1.为订立、履行个人作为一方当事人的合同所必需，是指个人信息处理者与个人分别为合同双方当事人，而信息处理行为属于为订立和履行合同义务所必需。此处的“必需”是客观上的必要，即个人信息处理者所处理的个人信息种类、处理方式等对订立、履行合同来说应当是必要的，其处理个人信息的行为应符合合同相对人、社会公众的合理期待或者行业惯例。处理个人信息的必要性需要基于合同目的来判断，在兼顾实现合同目的和保护个人信息权益的比例性原则下，如果不处理个人信息就可以实现合同目的，或者通过对个人权益影响更小的个人信息处理方式就可以实现合同目的，则该处理行为不符合必要性的要求。例如，在买卖合同中卖家（信息处理者）需要处理买家（个人）的收货地址，以便履行交付合同标的物的义务，或处理其银行卡等支付信息以便向买家收款，这些处理行为就属于履行合同所必需。但是卖家收集买家的性别、年龄和消费能力等信息用于向其定向推荐商品就不属于履行合同所必需。合同终止后，处理者处理个人信息的行为就不存在履行合同的必要性，应当停止处理，并按照规定删除个人信息。为订立个人作为一方当事人的合同所必需，一般情况下是指个人有订立合同的意向，个人信息处理者应其要求处理必要的个人信息。(www.xing528.com)

2.按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。由于本法规定的同意应当由个人自愿作出，所谓的自愿要求处理者赋予个人真正的选择权和决定权，如果个人被迫同意或者不同意将承担负面后果，则同意无效。在人力资源管理场景中，由于劳动者和用人单位关系不对等，劳动者不同意处理其个人信息，很可能会面临不利后果，此时的同意通常不被认为是真正“自愿”作出的。因此，个人“同意”通常不能作为人力资源管理情形下处理个人信息的充分合法依据。但是，用人单位与劳动者在劳动合同签订、工作考核、离职后的竞业限制管理等场景中处理劳动者个人信息有其合理性和必要性，在一些情况下也很难获得个人的同意。因此，本法将实施人力资源管理所必需作为处理个人信息的一项合法性基础。实施人力资源管理所必需处理个人信息，要按照依法制定的劳动规章制度和依法签订的集体合同实施。劳动合同法第四条对用人单位建立和完善劳动规章制度作了规定，要求用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定；第五十一条还对企业职工一方与用人单位通过平等协商，就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同作了规定。用人单位应当按照劳动合同法的规定，在与劳动者充分协商基础上建立劳动规章制度，在规章制度中对于因实施人力资源管理所必需处理个人信息的规则作出规定。同时，用人单位还可以与劳动者签订集体合同，并在集体合同中对于处理劳动者个人信息的规则作出约定。用人单位在劳动规章制度和集体合同中对个人信息处理规则作出规定和约定，也应当遵守个人信息处理的原则和规则，特别是要符合必要、目的明确、最小化处理等原则，只能处理与实施人力资源管理目的直接相关的个人信息，采取对个人权益影响最小的方式。