◆ 条文要旨

本条是对处理者告知义务的具体规定，包括告知的内容、告知方式等。

◆ 理解与适用

一、规范目的

告知同意规则由告知个人与取得个人同意两部分组成。要确保个人的同意是在充分知情的前提下自愿、明确地作出的，就必须对处理者向个人告知的内容与告知的方式等提出相应的要求。否则，个人的同意不可能是自愿和明确的，个人信息的处理也不可能是公开透明的。这一点在比较法上也非常明确。例如，欧盟《一般数据保护条例》第13条与第14条分别对于控制者从数据主体处和并非从数据主体处收集个人数据时应向数据主体提供的信息作了详细规定。又如，韩国《个人信息保护法》第15条第2款规定：“信息处理者获得第一款第一项规定的同意时，需要将下列事项告知信息主体。下列各项中任意一项有变更时，也应当告知信息主体并获得同意：1.个人信息收集、利用的目的；2.拟收集个人信息的项目；3.保有和利用个人信息的期间；4.享有拒绝同意的权利之事实，以及若拒绝同意产生不利益时，其不利益的内容。”再如，2018年美国《加利福尼亚州消费者隐私权法案》第1798.100条规定，消费者有权要求收集消费者个人信息的企业向其披露企业收集的个人信息的类别和具体要素；收集消费者个人信息的企业应当在收集时或者收集前告知消费者所收集个人信息的类别以及个人信息的使用目的。在未向消费者提供符合本节要求的告知情况下，企业不得收集其他类别的个人信息，或者将所收集个人信息用于其他目的。

为了保障个人对其个人信息的处理的知情权和决定权，使得个人能够在充分知情的前提下自愿、明确地作出同意，法律上将公开透明作为个人信息处理的基本原则，《个人信息保护法》第7条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”同时，法律上具体确定了处理者的告知义务。《民法典》第1035条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（1）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（2）公开处理信息的规则；（3）明示处理信息的目的、方式和范围；（4）不违反法律、行政法规的规定和双方的约定。《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”《个人信息保护法》第17条第1款在上述法律规定的基础上，对于处理者告知的时间、告知方式和告知内容等问题作出了更详细、具体的规定。

二、告知的时间

个人信息处理者必须是在“处理个人信息前”向其个人信息被处理的个人进行告知，而不能在已经实施了个人信息处理行为后再告知个人，这是《个人信息保护法》第17条第1款对告知时间的要求。例如，A网络公司要收集个人信息，那么在收集前就应当履行告知义务，向个人进行告知并取得同意。如果已经收集了个人信息然后告知的，A公司的行为已经是非法收集个人信息。在个人信息处理者将《个人信息保护法》第17条第1款规定的事项告知给个人后，这些事项发生变更的，则应当将变更部分告知个人。这里需要区分变更的究竟是哪些事项，如果变更的是个人信息的处理目的、处理方式、处理的个人信息种类，那么，依据《个人信息保护法》第14条第2款的规定，处理者要重新取得个人同意。故此，在这三个事项发生变更的情形下，只有将变更的部分告知个人并重新取得个人的同意后，处理者才能按照变更后的处理目的、处理方式、处理的个人信息种类来处理个人信息。至于其他不需要重新取得同意的事项发生变更的，只要将变更部分告知个人即可。

三、告知的方式

网络信息社会中个人信息的保护之所以困难，就是因为处理者与个人在信息技术能力上的完全不对等。个人信息处理者尤其是各类网络运营者掌握足够的专业技术知识和充分的信息，但是个人信息主体则处于弱势地位，缺乏相关的专业技术能力，更没有足够的信息。这种情况下，为了尽可能矫正这种不对等的局面，法律必须对个人信息处理者向个人告知的方式作出强制性的要求。欧盟《一般数据保护条例》第12条第1款要求数据控制者应当采取适当措施，“使用清晰明了的语言，以简洁、透明、易懂和易于获取的形式”（in a concise，transparent，intelligible and easily accessible form，using clear and plain language）将需要告知数据主体的事项（如第13条、第14条，第15—22条等规定的）向数据主体进行告知。巴西《通用数据保护法》第9条和第10条规定，数据控制者应当以清晰、充分和明显的方式将法律规定应当提供给数据主体的信息加以提供，如果提供给数据主体的信息包含误导性或者不良内容或者事先没有以透明、清晰、明确的形式予以呈现的，则同意无效。我国《个人信息保护法》第17条第1款明确要求个人信息处理者“应当以显著方式、清晰易懂的语言真实、准确、完整地”向个人告知相关事项。

（一）显著方式、清晰易懂的语言

由于个人信息处理具有很强的技术性，十分专业，个人对此知之甚少，因此导致个人与处理者之间的信息不对称。如果处理者通过一大堆专业术语或者含糊其词的表述来告知相关事项，那么个人难以理解此种个人信息处理对自己的权益有何利弊，存在何种风险，无法作出自愿、明确的同意。《个人信息保护法》第7条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”据此，第17条第1款规定，处理者在履行告知义务的时候，应当“以显著方式、清晰易懂的语言”向个人进行告知。

所谓显著方式，是指个人信息处理者应当以个人容易辨识且易于获取的方式了解到处理者告知的内容，而不能将其隐藏在一大堆包含各种内容的所谓的“隐私政策”当中，或者以极小、难以辨识的字体等其他不显著的方式，让个人无法容易辨识或获取处理者所告知的内容。这种所谓的告知，实际就是欺诈或误导个人。实践中，不少个人信息处理者为了满足法律的要求，规避法律风险，往往采取“捆绑式”的方式列出内容冗长烦琐的隐私政策条款，给用户阅读带来极大的困难。[58]有研究表明，用户仅阅读一年中所使用的网络服务的隐私政策就需要花费224个小时，同时还要考虑到用户的教育背景不一，对于各个条款的理解能力有所偏差所带来的现实性困境。[59]有鉴于此，《个人信息保护法》第17条第1款要求，处理者必须以显著方式进行告知。

所谓清晰易懂的语言，意味着处理者应当以普通的而非专业人士才能理解的语言表述来进行告知，从而使得任何不具备个人信息处理方面的专业知识的个人都能知道处理者所告知的内容。实践中，为规避法律责任，一些个人信息处理者往往倾向于使用极其抽象含混或者晦涩难懂、冗长烦琐，夹杂大量专业术语的语言来描述个人信息的处理目的和处理方式，例如，“改善服务质量”“提升用户体验”“研发新产品”“增强安全性”等。这种语言表述显然违反了本条“清晰易懂的语言”的要求。

（二）真实、准确、完整地告知

《草案二审稿》第17条规定中只是要求处理者以“显著方式、清晰易懂的语言”告知，正式颁布的《个人信息保护法》在第17条中增加了“真实、准确、完整”的告知要求。这是因为，合法、正当、必要和诚信原则是个人信息处理活动应当遵循的基本原则，个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息。误导、欺诈的典型体现就是处理者没有真实、准确、完整地将法律、行政法规规定应当告知的事项告知个人。故此，应当要求处理者必须是真实、准确、完整地告知。所谓真实，意味着处理者不能虚构事实，欺骗个人，将虚假的事实告诉个人，如明明是出于A处理目的而处理信息，却说是出于B处理目的；准确，要求处理者不能将含混不清的信息告知个人，信息必须是正确的，不能有偏差或者令人误读误解；完整，即不能隐瞒一些信息，不告诉全部的信息，如只是告诉个人处理个人信息对其有何种好处，却不说其中的风险等。

四、通过制定个人信息处理规则的方式告知

个人信息处理者履行告知义务的方式可分为以下两类：一是逐一告知，即个人信息的处理者在处理个人信息前，以一对一的方式向每一个其个人信息被处理的自然人进行告知，并逐一取得自然人的同意。此种方式在以人工的或非自动化的方式处理个人信息时使用较多，如在当事人申请不动产登记时，其向登记机构提交登记申请书，申请相应的不动产登记，不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容，进而取得申请人的同意。再如，当个人信息处理者与某一自然人磋商订立合同时而收集该自然人的个人信息，也可能进行一对一的告知并取得同意。

二是统一告知。所谓统一告知，主要是指个人信息的处理者通过提前拟定好的统一的、反复使用的个人信息处理规则来告知个人信息被处理的自然人，进而取得同意。这种方式是在自动化处理个人信息即网络进行个人信息的处理时使用，如用户在下载安装网络公司的各种应用软件时，网络公司通过所谓“隐私政策”来明确个人信息处理规则，就个人信息处理的目的、方式和范围等内容向个人进行告知。这种方式适用于一对多的情形，即某个特定的个人信息处理者面向不特定的个人而处理个人信息。其优点是高效快捷。

当个人信息处理者以制定个人信息处理规则来告知自然人，那么依据《民法典》第1035条和《个人信息保护法》第17条第3款的规定，个人信息处理规则应当公开，并且便于查阅和保存。否则，应当认为个人信息处理者没有履行告知的义务。尤其是实践中个人信息处理规则以电子信息的方式存在的情况下，如果自然人无法方便地查阅和保存这些规则，就容易出现个人没有完全阅读完毕这些个人信息处理规则就必须作出同意的情形，或者出现处理者私自变更规则，以致双方就个人信息的处理发生纠纷时，个人无法提供相应的证据。例如，《App违法违规收集使用个人信息行为认定方法》第1条规定，以下行为可被认定为“未公开收集使用规则”：（1）在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；（2）在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；（3）隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；（4）隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。此外，本书认为，如果处理者没有证明其个人信息处理规则是公开的并且便于查阅和保存的，那么在处理者与个人就处理规则是否公开等问题发生争议时，应当认为个人信息处理者没有履行告知义务。如果个人所保存的处理者的个人信息处理规则与处理者提供的规则不一致，应当以个人提供的规则为准，除非处理者能够证明个人提供的规则是不真实的。

五、应当告知的事项

告知义务的内容，是指处理者应当向个人信息被处理的个人告知哪些事项。就如何规定告知事项，比较法上有所不同。欧盟《一般数据保护条例》第13条和第14条区分了控制者从数据主体处收集个人数据和非从数据主体处收集个人信息这两种情形，分别对应告知的信息作出了规定。日本《个人信息保护法》则是在区分不同类型的个人信息处理活动的基础上分别规定了处理者应当告知的事项，如获取个人信息时应当告知的事项、向第三人提供信息时应当告知的事项等。

在我国法上，就处理者应当向个人告知哪些事项，《民法典》第1035条以及《网络安全法》第41条第1款只是规定了“处理信息的目的、方式和范围”等内容，没有作出更具体的规定。一些规章和标准作了较为详细的规定。例如，国家互联网信息办公室颁布的《儿童个人信息网络保护规定》中对网络运营者收集儿童个人信息时应当告知的事项作出了较为详细的列举，依据该规定第10条第1款，网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：（1）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；（2）儿童个人信息存储的地点、期限和到期后的处理方式；（3）儿童个人信息的安全保障措施；（4）拒绝的后果；（5）投诉、举报的渠道和方式；（6）更正、删除儿童个人信息的途径和方法；（7）其他应当告知的事项。再如，《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第5.4条规定，收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则。

《个人信息保护法》对于告知事项采取了“一般规定+特殊规定”的立法模式。所谓一般规定，就是该法第17条第1款规定的事项。这些事项是任何个人信息处理者在处理个人信息前都应当向个人告知的事项，属于共同事项或一般事项。所谓特殊规定，就是针对一些特殊的个人信息处理行为，专门规定应当告知的一些事项，例如，《个人信息保护法》第23条规定的向其他处理者提供个人信息时应当告知的事项，第30条规定的处理敏感个人信息前应当告知的事项，第39条规定的向境外提供个人信息时应当告知的事项。

依据《个人信息保护法》第17条第1款的规定，一般告知事项包括以下事项：

1.个人信息处理者的名称或者姓名和联系方式

现代网络信息科技的发展，使得个人信息处理活动成为生产生活中的常态，不仅处理主体多种多样，且处理行为隐秘、专业而复杂。如果处理者不向个人告知处理者的名称或者姓名以及联系方式，个人信息究竟是否被处理以及被何人处理了，个人往往难以知悉，更谈不上依法行使个人信息权益的可能。故此，处理者必须向个人告知个人信息处理者的名称或者姓名和联系方式。

2.个人信息的处理目的、处理方式

个人信息处理的目的，是指处理者究竟是出于什么目的而处理个人信息。之所以要求必须告知处理目的，是因为处理目的在个人信息处理中非常重要。首先，目的限制原则是个人信息处理中的基本原则，《个人信息保护法》第6条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。故此，只有明确了处理目的，个人才能自由地决定是否就特定的处理目的的处理行为给予同意。当处理者有多个处理目的时，为了确保个人作出的同意是明确的，不能将这些处理目的进行合并而一次性取得授权，必须分别就具体的处理目的分别取得个人的同意。其次，在个人同意后，个人以及履行个人信息保护职责的机关才能据此判断处理者处理个人信息是否与处理目的直接相关，收集的个人信息是否限于实现处理目的的最小范围，有无超出处理目的的处理行为。再次，处理目的是认定处理者以及共同处理者的重要标准。一方面，《个人信息保护法》第73条第1项规定，只有那些在个人信息处理活动中自主决定处理目的和处理方式的组织或个人才是个人信息处理者。[60]另一方面，只有共同决定个人信息处理目的和处理方式的个人或组织才是共同处理者，其在共同处理个人信息时，如果侵害个人信息权益的，应当承担连带责任（《个人信息保护法》第20条）。最后，处理目的也决定了对敏感的个人信息能否进行处理。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者才可以处理敏感的个人信息（《个人信息保护法》第28条第2款）。

个人信息的处理方式主要是指处理者对个人信息采取何种处理方法，《个人信息保护法》第4条第2款规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。不同的处理方式对于个人权益的影响不同，如只是收集和使用，但不存储，那么个人信息被泄露或被非法窃取的可能性就比较低。再如，公开个人信息这一个人信息处理活动，对于个人权益影响最大，处理者必须取得个人的单独同意，除非法律、行政法规另有规定。此外，即便都是收集、加工和使用个人信息，收集、加工和使用的具体方法不同，对于个人权益的影响也有很大的差别。所以，处理方式属于必须告知个人的事项。

3.处理的个人信息种类、保存期限

个人信息的种类很多，包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息可以分为敏感个人信息与非敏感个人信息，不同的个人信息对于个人信息权益的影响不同。敏感个人信息的处理对于个人信息权益的危险就很大，因为此类信息一旦泄露或者被非法使用，就有可能导致人格尊严受到侵害或者人身、财产安全受到严重危害。所以，个人信息的种类属于必须告知的事项。处理者在向个人告知处理的个人信息种类时，应当遵循公开透明的原则，不能过于笼统。例如，不能简单告知所处理的个人信息是“健康信息”或“与健康有关的信息”，这个范围太广泛了，可能涵盖了无数的信息，处理者必须明确具体的信息种类，如“心率”“血压”或“怀孕年龄”，这取决于处理行为及处理其目的。[61]

个人信息的保存期限很重要，保存期限越长，出现泄露或非法使用的可能性就越大，对个人信息权益的不利影响就越大。故此，《个人信息保护法》第19条规定，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。此外，个人信息的保存期间已经届满的，除非法律、行政法规另有规定，否则个人信息处理者应当主动删除个人信息，没有删除的，个人也有权请求删除。故此，个人信息处理者应当将个人信息的保存期限告知个人。

4.个人行使本法规定权利的方式和程序

我国《民法典》和《网络安全法》赋予了自然人针对其被处理的个人信息享有查询复制权，发现错误时的更正权以及要求删除个人信息的权利。《个人信息保护法》第17条第1款第3项规定的是“个人行使本法规定权利的方式和程序”，也就是说，个人信息处理者只需要向个人告知个人行使《个人信息保护法》规定的权利的方式和程序，至于《民法典》《网络安全法》等其他法律规定的个人针对个人信息的权利如何行使等，本身也为《个人信息保护法》的规定所涵盖。

所谓“本法规定权利”是指《个人信息保护法》规定的个人享有的各种权利，不仅包括该法第4章“个人在个人信息处理活动中的权利”中详细列举的各种权利，还包括该法规定的其他权利。例如，《个人信息保护法》第15条规定，基于个人同意处理个人信息的，个人有权撤回其同意。该权利可称为“撤回同意的权利”，其并非规定在第4章而是在第2章，但也是个人的权利。故此，个人信息处理者应当将个人可以在作出同意后有权随时撤回同意告知个人，并且告知撤回同意的方式。

5.法律、行政法规规定应当告知的其他事项

这是兜底性规定，一方面，使得第17条与《个人信息保护法》其他关于特殊告知事项的规定相衔接；另一方面，也为将来相关法律和行政法规对应当告知事项的规定留下空间。

◆ 疑点与难点

隐私政策与个人信息处理规则的关系

所谓“隐私政策”（privacy policy），是指网络运营者公布在网站上说明该网站如何处理个人信息的一种政策。这个概念来自英美国家，因为这些国家尤其是美国将隐私的概念扩张得很大，以至于将隐私权、个人信息权益等许多人格权全部涵盖进去，故此，隐私政策就被作为一种处理个人信息包括隐私的政策的说明。个人信息处理规则，是指个人信息处理者自行制定的旨在向个人告知自己将如何处理个人信息，包括处理个人信息的目的、处理方式、保存期限、个人权利的行使程序、出现个人信息泄露后如何处理等内容。因此，隐私政策与个人信息处理规则之间可能完全相同，是一回事，也可能隐私政策包含了全部的或部分的个人信息处理规则以及其他内容。实践中，使用隐私政策还是个人信息处理规则，只是一个名称的选择问题，无关紧要。

◆ 相关规定

《民法典》第1035条；《网络安全法》第41条；《儿童个人信息网络保护规定》第10条；《App违法违规收集使用个人信息行为认定方法》第1条、第2条