第3章 总则
- 个人信息保护法一本通(第八版)
- 法规应用研究中心
- 28431字
- 2024-05-28 16:29:23
第一条【立法目的】[1]
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
宪 法
1.《中华人民共和国宪法》(2018年3月11日)
第37条 中华人民共和国公民的人身自由不受侵犯。
任何公民,非经人民检察院批准或者决定或者人民法院决定,并由公安机关执行,不受逮捕。
禁止非法拘禁和以其他方法非法剥夺或者限制公民的人身自由,禁止非法搜查公民的身体。
第38条 中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
法律
2.《中华人民共和国民法典》(2020年5月28日)
第109条 自然人的人身自由、人格尊严受法律保护。
第990条 人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。
除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。
3.《中华人民共和国网络安全法》(2016年11月7日)
第1条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
4.《中华人民共和国数据安全法》(2021年6月10日)
第1条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第7条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
5.《中华人民共和国密码法》(2019年10月26日)
第1条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。
部门规章及文件
6.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第1条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
司法解释及文件
7.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第1条第1款 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。
第二条 【个人信息受法律保护】
自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
法律
1.《中华人民共和国民法典》(2020年5月28日)
第110条 自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。
法人、非法人组织享有名称权、名誉权和荣誉权。
第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第1032条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第1033条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第1034条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
2.《中华人民共和国网络安全法》(2016年11月7日)
第40条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第44条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
3.《中华人民共和国消费者权益保护法》(2013年10月25日)
第14条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。
第50条 经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
4.《中华人民共和国英雄烈士保护法》(2018年4月27日)
第22条 禁止歪曲、丑化、亵渎、否定英雄烈士事迹和精神。
英雄烈士的姓名、肖像、名誉、荣誉受法律保护。任何组织和个人不得在公共场所、互联网或者利用广播电视、电影、出版物等,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉。任何组织和个人不得将英雄烈士的姓名、肖像用于或者变相用于商标、商业广告,损害英雄烈士的名誉、荣誉。
公安、文化、新闻出版、广播电视、电影、网信、市场监督管理、负责英雄烈士保护工作的部门发现前款规定行为的,应当依法及时处理。
5.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
行政法规及文件
6.《中华人民共和国电信条例》(2016年2月6日)
第6条 电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。
第57条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:
(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;
(二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;
(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;
(四)危害电信网络安全和信息安全的其他行为。
部门规章及文件
7.《儿童个人信息网络保护规定》(2019年8月22日)
第4条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。
第7条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
8.《市场监督管理严重违法失信名单管理办法》(2021年7月30日)
第8条 实施下列侵害消费者权益的违法行为,且属于本办法第二条规定情形的,列入严重违法失信名单:
(一)侵害消费者人格尊严、个人信息依法得到保护等权利;
(二)预收费用后为逃避或者拒绝履行义务,关门停业或者迁移服务场所,未按照约定提供商品或者服务,且被市场监督管理部门确认为无法取得联系;
(三)制造、销售、使用以欺骗消费者为目的的计量器具;抄袭、串通、篡改计量比对数据,伪造数据、出具虚假计量校准证书或者报告,侵害消费者权益;
(四)经责令召回仍拒绝或者拖延实施缺陷产品召回;
(五)其他违反法律、行政法规规定,严重侵害消费者权益的违法行为。
司法解释及文件
9.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第2条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
第三条【适用范围】
在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
法律
1.《中华人民共和国数据安全法》(2021年6月10日)
第2条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
2.《中华人民共和国电子商务法》(2018年8月31日)
第2条 中华人民共和国境内的电子商务活动,适用本法。
本法所称电子商务,是指通过互联网等信息网络销售商品或者提供服务的经营活动。
法律、行政法规对销售商品或者提供服务有规定的,适用其规定。金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,不适用本法。
部门规章及文件
3.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第2条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
4.《网络交易监督管理办法》(2021年3月15日)
第2条 在中华人民共和国境内,通过互联网等信息网络(以下简称通过网络)销售商品或者提供服务的经营活动以及市场监督管理部门对其进行监督管理,适用本办法。
在网络社交、网络直播等信息网络活动中销售商品或者提供服务的经营活动,适用本办法。
第四条【个人信息及处理的界定】
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第76条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2.《中华人民共和国数据安全法》(2021年6月10日)
第3条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
3.《中华人民共和国民法典》(2020年5月28日)
第1034条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第1035条第2款 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
部门规章及文件
4.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第4条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
5.《个人信用信息基础数据库管理暂行办法》(2005年8月18日)
第4条 本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。
前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。
司法解释及文件
6.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第1条 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。
人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。
7.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日)
第1条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
8.《最高人民法院关于人民法院在互联网公布裁判文书的规定》(2016年8月29日)
第10条 人民法院在互联网公布裁判文书时,应当删除下列信息:
(一)自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息;
(二)法人以及其他组织的银行账号、车牌号码、动产或不动产权属证书编号等信息;
(三)涉及商业秘密的信息;
(四)家事、人格权益等纠纷中涉及个人隐私的信息;
(五)涉及技术侦查措施的信息;
(六)人民法院认为不宜公开的其他信息。
按照本条第一款删除信息影响对裁判文书正确理解的,用符号“×”作部分替代。
国家标准
9.《信息安全技术个人信息安全规范》(2020年3月6日 GB/T 35273-2020)
3.1 人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的判定方法和类型参见附录A。
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。
3.2 个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的判定方法和类型参见附录B。
注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。
3.3 个人信息主体 personal information subject
个人信息所标识或者关联的自然人。
3.4 个人信息控制者 personal information controller
有能力决定个人信息处理目的、方式等的组织或个人。
3.5 收集 collect
获得个人信息的控制权的行为。
注1:包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。
注2:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。
第五条【个人信息处理原则】
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第9条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第41条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
2.《中华人民共和国数据安全法》(2021年6月10日)
第28条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第32条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第51条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
3.《中华人民共和国民法典》(2020年5月28日)
第1035条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
4.《中华人民共和国电子商务法》(2018年8月31日)
第5条 电子商务经营者从事经营活动,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。
5.《中华人民共和国消费者权益保护法》(2013年10月25日)
第29条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
6.《中华人民共和国未成年人保护法》(2020年10月17日)
第72条 信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。
未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。
7.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
部门规章及文件
8.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第5条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
9.《网络交易监督管理办法》(2021年3月15日)
第3条 网络交易经营者从事经营活动,应当遵循自愿、平等、公平、诚信原则,遵守法律、法规、规章和商业道德、公序良俗,公平参与市场竞争,认真履行法定义务,积极承担主体责任,接受社会各界监督。
第12条 网络交易经营者应当在其网站首页或者从事经营活动的主页面显著位置,持续公示经营者主体信息或者该信息的链接标识。鼓励网络交易经营者链接到国家市场监督管理总局电子营业执照亮照系统,公示其营业执照信息。
已经办理市场主体登记的网络交易经营者应当如实公示下列营业执照信息以及与其经营业务有关的行政许可等信息,或者该信息的链接标识:
(一)企业应当公示其营业执照登载的统一社会信用代码、名称、企业类型、法定代表人(负责人)、住所、注册资本(出资额)等信息;
(二)个体工商户应当公示其营业执照登载的统一社会信用代码、名称、经营者姓名、经营场所、组成形式等信息;
(三)农民专业合作社、农民专业合作社联合社应当公示其营业执照登载的统一社会信用代码、名称、法定代表人、住所、成员出资总额等信息。
依照《中华人民共和国电子商务法》第十条规定不需要进行登记的经营者应当根据自身实际经营活动类型,如实公示以下自我声明以及实际经营地址、联系方式等信息,或者该信息的链接标识:
(一)“个人销售自产农副产品,依法不需要办理市场主体登记”;
(二)“个人销售家庭手工业产品,依法不需要办理市场主体登记”;
(三)“个人利用自己的技能从事依法无须取得许可的便民劳务活动,依法不需要办理市场主体登记”;
(四)“个人从事零星小额交易活动,依法不需要办理市场主体登记”。
网络交易经营者公示的信息发生变更的,应当在十个工作日内完成更新公示。
第13条 网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。
网络交易经营者及其工作人员应当对收集的个人信息严格保密,除依法配合监管执法活动外,未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。
10.《互联网保险业务监管办法》(2020年12月7日)
第38条 保险机构应承担客户信息保护的主体责任,收集、处理及使用个人信息应遵循合法、正当、必要的原则,保证信息收集、处理及使用的安全性和合法性:
(一)建立客户信息保护制度,明确数据安全责任人,构建覆盖全生命周期的客户信息保护体系,防范信息泄露。
(二)督促提供技术支持、客户服务等服务的合作机构建立有效的客户信息保护制度,在合作协议中明确约定客户信息保护责任,保障客户信息安全,明确约定合作机构不得限制保险机构获取客户投保信息,不得限制保险机构获取能够验证客户真实身份的相关信息。
(三)保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。未经客户同意或授权,保险机构不得将客户信息用于所提供保险服务之外的用途,法律法规另有规定的除外。
11.《侵害消费者权益行为处罚办法》(2020年10月23日)
第11条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者不得有下列行为:
(一)未经消费者同意,收集、使用消费者个人信息;
(二)泄露、出售或者非法向他人提供所收集的消费者个人信息;
(三)未经消费者同意或者请求,或者消费者明确表示拒绝,向其发送商业性信息。
前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。
司法解释及文件
12.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日)
第4条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
国家标准
13.《信息安全技术个人信息安全规范》(2020年3月6日 GB/T 35273-2020)
4 个人信息安全基本原则
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a)权责一致——采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;
b)目的明确——具有明确、清晰、具体的个人信息处理目的;
c)选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d)最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e)公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f)确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g)主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
5 个人信息的收集
5.1 收集个人信息的合法性
对个人信息控制者的要求包括:
a)不应以欺诈、诱骗、误导的方式收集个人信息;
b)不应隐瞒产品或服务所具有的收集个人信息的功能;
c)不应从非法渠道获取个人信息。
第六条【必要性要求】
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第22条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第30条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第41条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第42条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
2.《中华人民共和国数据安全法》(2021年6月10日)
第32条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
3.《中华人民共和国民法典》(2020年5月28日)
第1035条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
4.《中华人民共和国消费者权益保护法》(2013年10月25日)
第29条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
5.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
部门规章及文件
6.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第9条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
7.《网络交易监督管理办法》(2021年3月15日)
第13条 网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。
网络交易经营者及其工作人员应当对收集的个人信息严格保密,除依法配合监管执法活动外,未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。
8.《中国人民银行金融消费者权益保护实施办法》(2020年9月15日)
第29条 银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。
金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。
第31条 银行、支付机构应当履行《中华人民共和国消费者权益保护法》第二十九条规定的明示义务,公开收集、使用消费者金融信息的规则,明示收集、使用消费者金融信息的目的、方式和范围,并留存有关证明资料。
银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。
第32条 银行、支付机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。
9.《侵害消费者权益行为处罚办法》(2020年10月23日)
第11条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者不得有下列行为:
(一)未经消费者同意,收集、使用消费者个人信息;
(二)泄露、出售或者非法向他人提供所收集的消费者个人信息;
(三)未经消费者同意或者请求,或者消费者明确表示拒绝,向其发送商业性信息。
前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。
10.《规范互联网信息服务市场秩序若干规定》(2011年12月29日)
第11条 未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称“用户个人信息”),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。
互联网信息服务提供者经用户同意收集用户个人信息的,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的。
11.《儿童个人信息网络保护规定》(2019年8月22日)
第20条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。
12.《App违法违规收集使用个人信息行为认定方法》(2019年11月28日)
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
司法解释及文件
13.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第2条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
14.《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020年12月29日)
第6条 人民法院依据民法典第一千一百九十七条认定网络服务提供者是否“知道或者应当知道”,应当综合考虑下列因素:
(一)网络服务提供者是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理;
(二)网络服务提供者应当具备的管理信息的能力,以及所提供服务的性质、方式及其引发侵权的可能性大小;
(三)该网络信息侵害人身权益的类型及明显程度;
(四)该网络信息的社会影响程度或者一定时间内的浏览量;
(五)网络服务提供者采取预防侵权措施的技术可能性及其是否采取了相应的合理措施;
(六)网络服务提供者是否针对同一网络用户的重复侵权行为或者同一侵权信息采取了相应的合理措施;
(七)与本案相关的其他因素。
国家标准
15.《信息安全技术个人信息安全规范》(2020年3月6日 GB/T 35273-2020)
5.2收集个人信息的最小必要
对个人信息控制者的要求包括:
a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
第七条【公开透明原则】
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第41条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
2.《中华人民共和国民法典》(2020年5月28日)
第1035条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
3.《中华人民共和国消费者权益保护法》(2013年10月25日)
第29条第1款 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
4.《中华人民共和国电子商务法》(2018年8月31日)
第32条 电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。
5.《中华人民共和国未成年人保护法》(2020年10月17日)
第72条 信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。
未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。
6.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
部门规章及文件
7.《网络交易监督管理办法》(2021年3月15日)
第13条 网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。
网络交易经营者及其工作人员应当对收集的个人信息严格保密,除依法配合监管执法活动外,未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。
8.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第8条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
9.《App违法违规收集使用个人信息行为认定方法》(2019年11月28日)
一、以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
司法解释及文件
10.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第2条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
国家标准
11.《信息安全技术个人信息安全规范》(2020年3月6日 GB/T 35273-2020)
4 个人信息安全基本原则
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a)权责一致——采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;
b)目的明确——具有明确、清晰、具体的个人信息处理目的;
c)选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d)最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e)公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f)确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g)主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
5 个人信息的收集
5.1 收集个人信息的合法性
对个人信息控制者的要求包括:
a)不应以欺诈、诱骗、误导的方式收集个人信息;
b)不应隐瞒产品或服务所具有的收集个人信息的功能;
c)不应从非法渠道获取个人信息。
第八条【准确性原则】
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第43条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
2.《中华人民共和国民法典》(2020年5月28日)
第1037条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
3.《中华人民共和国居民身份证法》(2011年10月29日)
第11条 国家决定换发新一代居民身份证、居民身份证有效期满、公民姓名变更或者证件严重损坏不能辨认的,公民应当换领新证;居民身份证登记项目出现错误的,公安机关应当及时更正,换发新证;领取新证时,必须交回原证。居民身份证丢失的,应当申请补领。
未满十六周岁公民的居民身份证有前款情形的,可以申请换领、换发或者补领新证。
公民办理常住户口迁移手续时,公安机关应当在居民身份证的机读项目中记载公民常住户口所在地住址变动的情况,并告知本人。
4.《中华人民共和国未成年人保护法》(2020年10月17日)
第72条第2款 未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。
行政法规及文件
5.《中华人民共和国政府信息公开条例》(2019年4月3日)
第41条 公民、法人或者其他组织有证据证明行政机关提供的与其自身相关的政府信息记录不准确的,可以要求行政机关更正。有权更正的行政机关审核属实的,应当予以更正并告知申请人;不属于本行政机关职能范围的,行政机关可以转送有权更正的行政机关处理并告知申请人,或者告知申请人向有权更正的行政机关提出。
6.《征信业管理条例》(2013年1月21日)
第23条 征信机构应当采取合理措施,保障其提供信息的准确性。
征信机构提供的信息供信息使用者参考。
第25条 信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正。
征信机构或者信息提供者收到异议,应当按照国务院征信业监督管理部门的规定对相关信息作出存在异议的标注,自收到异议之日起20日内进行核查和处理,并将结果书面答复异议人。
经核查,确认相关信息确有错误、遗漏的,信息提供者、征信机构应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载。
部门规章及文件
7.《个人信用信息基础数据库管理暂行办法》(2005年8月18日)
第6条 商业银行应当遵守中国人民银行发布的个人信用数据库标准及其有关要求,准确、完整、及时地向个人信用数据库报送个人信用信息。
第九条【个人信息处理者的安全保障责任】
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第5条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第8条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第10条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第42条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
2.《中华人民共和国数据安全法》(2021年6月10日)
第27条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
3.《中华人民共和国民法典》(2020年5月28日)
第1038条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
4.《中华人民共和国未成年人保护法》(2020年10月17日)
第72条 信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。
未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。
第73条 网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
5.《中华人民共和国电子商务法》(2018年8月31日)
第9条 本法所称电子商务经营者,是指通过互联网等信息网络从事销售商品或者提供服务的经营活动的自然人、法人和非法人组织,包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。
本法所称电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。
本法所称平台内经营者,是指通过电子商务平台销售商品或者提供服务的电子商务经营者。
第30条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。
电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。
6.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
部门规章及文件
7.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第6条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第13条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
8.《网络交易监督管理办法》(2021年3月15日)
第36条 市场监督管理部门应当采取必要措施保护网络交易经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密。
司法解释及文件
9.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年7月27日)
第2条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
第十条【个人信息处理的禁止性规定】
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
宪 法
1.《中华人民共和国宪法》(2018年3月11日)
第5条 中华人民共和国实行依法治国,建设社会主义法治国家。
国家维护社会主义法制的统一和尊严。
一切法律、行政法规和地方性法规都不得同宪法相抵触。
一切国家机关和武装力量、各政党和各社会团体、各企业事业组织都必须遵守宪法和法律。
一切违反宪法和法律的行为,必须予以追究。
任何组织或者个人都不得有超越宪法和法律的特权。
法律
2.《中华人民共和国网络安全法》(2016年11月7日)
第12条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第27条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第41条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第44条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
3.《中华人民共和国数据安全法》(2021年6月10日)
第8条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第38条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
4.《中华人民共和国民法典》(2020年5月28日)
第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
5.《中华人民共和国消费者权益保护法》(2013年10月25日)
第29条第2款 经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
6.《中华人民共和国国家安全法》(2015年7月1日)
第13条 国家机关工作人员在国家安全工作和涉及国家安全活动中,滥用职权、玩忽职守、徇私舞弊的,依法追究法律责任。
任何个人和组织违反本法和有关法律,不履行维护国家安全义务或者从事危害国家安全活动的,依法追究法律责任。
7.《中华人民共和国密码法》(2019年10月26日)
第12条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
8.《中华人民共和国反间谍法》(2014年11月1日)
第38条 本法所称间谍行为,是指下列行为:
(一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动;
(二)参加间谍组织或者接受间谍组织及其代理人的任务的;
(三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买或者非法提供国家秘密或者情报,或者策动、引诱、收买国家工作人员叛变的活动;
(四)为敌人指示攻击目标的;
(五)进行其他间谍活动的。
9.《中华人民共和国刑法》(2020年12月26日)
第253条 邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。
犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。
10.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
部门规章及文件
11.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第10条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第18条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
司法解释及文件
12.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日)
第3条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
案例指引
1.邵某明等侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之一)[2]
案例要旨:非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪。2016年初,被告人邵某明、康某、王某、陆某阳分别以“调查公司”的名义向他人出售公民个人信息,被告人倪某鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。被告人违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。
2.韩某杰等侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之二)
案例要旨:非法查询征信信息牟利,构成侵犯公民个人信息罪。被告人利用某支行征信查询员的征信查询ID号、密码及被告人其中一人提供的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息数万余条。并将查询获得的上述公民个人银行征信信息出售给他。
3.周某城等侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之三)
案例要旨:非法购买学生信息出售牟利,构成侵犯公民个人信息罪。2016年4月,被告人周某城向他人购买浙江省学生信息193万余条。后被告人周某城又出售给被告人刘某、陈某、周某云,共计非法获利65400元。上述被告人违反国家有关规定,向他人出售或者以购买的方法非法获取公民个人信息,其行为均已构成侵犯公民个人信息罪。
4.夏某晓侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之四)
案例要旨:非法买卖网购订单信息,构成侵犯公民个人信息罪。2015年10月至2016年7月,被告人夏某晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。
5.肖某、周某等侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之五)
案例要旨:利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪。被告人肖某、周某预谋窃取邮局内部的公民个人信息进行出售牟利,共同出资购买了黑客软件。二人通过黑客软件侵入邮局内网窃取邮局内部的公民个人信息103257条,并将窃取的公民个人信息全部出售给被告人李某波。后李某波将购买的公民个人信息出售给被告人王某元40000条,王某元又将购买到的公民个人信息出售给被告人宋某波30000条。
6.杜某兴、杜某龙侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之六)
案例要旨:通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪被告人杜某兴、杜某龙加入涉及个人信息交换买卖的QQ群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家。
7.丁某光侵犯公民个人信息案(2017年最高人民法院公布侵犯公民个人信息犯罪典型案例之七)
案例要旨:非法提供近2000万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”。2013年年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁某光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的网站。该网站除能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近2000万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。丁某光自2015年5月左右开始对该网站采取注册会员方式收取费用60元/人,到2016年1月上调到120元/人。2015年11月1日至2016年6月23日,案涉网站共有查询记录49698条,收取会员费191440.92元。
第十一条 【国家保护责任】
国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第3条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第4条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第6条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第11条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第15条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第16条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第17条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第18条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第19条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第20条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
2.《中华人民共和国数据安全法》(2021年6月10日)
第9条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第10条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第14条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第17条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第18条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第19条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第20条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
3.《中华人民共和国民法典》(2020年5月28日)
第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
4.《中华人民共和国电子商务法》(2018年8月31日)
第69条 国家维护电子商务交易安全,保护电子商务用户信息,鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动。
国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据。
部门规章及文件
5.《电信和互联网用户个人信息保护规定》(2013年7月16日)
第21条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第十二条 【国际交流与合作】
国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
法律
1.《中华人民共和国网络安全法》(2016年11月7日)
第7条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
2.《中华人民共和国数据安全法》(2021年6月10日)
第11条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。