《個人信息保護法》逐條解讀：個人信息處理規則（二）

第十七條　個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯系方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，并且便于查閱和保存。

第十八條　個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。

根據第十四條的規定“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”，這就要求個人信息處理者在處理個人信息之前，有告知的義務。告知的程度，應該達到個人“充分知情”的地步。

第十七條規定了需要向個人告知的事項。在這些事項中，名稱（姓名）和聯系方式是一種常規告知。個人信息處理目的、處理方式，這一部分可能會成為一些企業重點考慮的問題，也可能是容易發生變更的事項。很多企業有最大限度處理個人信息的想法，但是目前要求明確處理目的和處理方式，無疑對之后個人信息處理的范圍進行了限制。另外，經營模式的發展以及企業和技術的發展，會產生新的個人信息的處理目的和處理方式。

當已經告知的事項發生變化的時候，需要再次將變更部分告知個人。同時，根據第十四條的規定，需要個人再次同意。這就為一些產品或者服務的提供者提出了新的要求。

第十八條規定了向個人告知的例外情況，主要有兩種例外情況：1、法律、行政法規（不包括部門規章、地方性規定等法律類文件）應當保密的或者不需要告知的；2、緊急情況，為了更高位階的法律價值（生命健康、財產安全）無法及時告知的，可以在緊急情況消除后告知。這種情況不是不告知，只是可以暫緩告知義務。

第十九條　除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

本條是關于個人信息的保存期限的問題。對這個問題，《個人信息保護法》并沒有做出統一的規定，而是規定了一個確定時間的規則，即：為實現處理目的所必要的最短時間。

這條規則，如果遇到法律糾紛，其實是苛以了信息處理者一個舉證義務：說明或者證明某種信息為什么需要保存一個月或者兩個月，必要性在哪里？如果信息處理者無法說明或者證明“必要最短時間”的話，應該承擔相應的法律責任。

第二十條　兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

兩個以上的個人信息處理者共同處理個人信息的情況非常多。有的是兩個以上的經營者共同經營一款產品或者服務，有的是一個或者多個經營者在另外一個經營者提供的平臺上經營，有的是兩個以上的經營者達成協議共同處理個人信息，無論哪種情況，如果共同決定個人信息的處理目的和處理方式的，應該根據本條的規定，約定各自的權利和義務。

共同處理個人信息侵害個人權益的，屬于共同侵權行為，應該承擔連帶責任。

第二十一條　個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監督。

受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。

未經個人信息處理者同意，受托人不得轉委托他人處理個人信息。

本條是規定受托處理個人信息者的義務問題。相比個人信息處理者的義務，受托處理個人信息者的義務要小的多：1、關于合同內容的要求，即約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等；2、接受受托人對個人信息處理活動的監督；3、依照約定處理個人信息；4、合同無效或者終止的，返還或者刪除個人信息；5、不得轉委托。

因為相比個人信息處理者，受托處理信息者的義務小的多，所以有可能一些企業把自己定義為受托處理信息者，來躲避法定的義務。這個時候，我們需要根據實際情況來判決該企業究竟屬于個人信息處理者還是受托處理信息者。如果一個企業既是個人信息處理者又是收圖圖哦處理個人信息者雙重身份，那么就需要根據其具體的經營行為來具體判斷承擔什么樣的法律義務。

第二十二條　個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

本條是關于個人信息處理者合并、分立、解散、被宣告破產等原因需要轉移個人信息的，怎么怎么辦的規則。需要指出的是，個人信息處理者合并、分立的時候未必需要轉移個人信息。而在解散、被宣告破產的時候，一定需要轉移個人信息。