第五讲 个人信息保护制度

第五讲个人信息保护制度小心！你的个人隐私容易被这样泄漏空调暗藏摄像头女租客被偷拍半年却不敢报警你的身份隐私是如何被卖的？人脸识别《个人信息保护法》立法进程回顾

随着社会信息化进程的深入，个人信息成为整个网络空间中最为重要的数据类型，不仅关涉到公民的私权利保护，也关系到公私领域对于个人信息的利用。面对个人信息保护这一共性问题，虽然已经有相关法律法规有所涉及，但单独的行业监管难以实现相应的顶层设计，在个人信息保护问题上，仍然需要统一立法实现顶层设计。2018年9月，十三届全国人大常委会将个人信息保护法纳入立法计划。

2020年10月21日，全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见。2021年8月20日，全国人民代表大会常务委员会第三十次会议表决通过。2021年11月1日起施行。一、《个人信息保护法》的制度框架

第一章

总 则（第1-12条）第二章个人信息处理规则第一节 一般规定（第13-27条）第二节 敏感个人信息的处理规则（第28-32条）第三节 国家机关处理个人信息的特别规定（第33-37条）第三章 个人信息跨境提供的规则（第38-43条）第四章 个人在个人信息处理活动中的权利（第44-50条）第五章 个人信息处理者的义务（第51-59条）第六章 履行个人信息保护职责的部门（第60-65条）第七章 法律责任（第66-71条）第八章附

则（第72-74条）二、个人信息的界定个人信息personal

information

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。。

个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人敏感信息personal

sensitive

information

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。三、个人信息保护的基本原则个人信息保护四原则：第一，合法原则；第二，正当原则；第三，必要原则（也经常被表述为“最小化”原则）；第四，诚信原则。

《个人信息保护法》第五条 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。（一）合法性原则合法性原则贯穿个人信息收集、使用、加工、传输、再授权的全过程。

《个人信息保护法》第十条

任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处

理活动。（二）正当原则

a)权责一致——采取技术和其他必要的措施保障个人信息的安全，对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任；b)目的明确——具有明确、清晰、具体的个人信息处理目的；

c)选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则，征求其授权同意；

d)主体参与——向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权同意、注销账户、投诉等方法；

e)公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督；

f)确保安全——具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。（三）必要原则第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

第十九条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十八条第二款只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。（四）诚信原则

第二十一条受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

第三十四条 国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。四、个人信息的处理规则（一）个人信息的收集规则1.收集个人信息的合法性要求：a)不得欺诈、诱骗、强迫个人信息主体提供其个人信息;b)不得隐瞒产品或服务所具有的收集个人信息的功能;c)不得从非法渠道获取个人信息;d)不得收集法律法规明令禁止收集的个人信息。2.收集个人信息的最小化要求

对个人信息控制者的要求包括:a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现;

b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。3.收集个人信息时的授权同意对个人信息控制者的要求包括:

a)收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则

(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等)，并获得个人信息主体的授权同意;b)间接获取个人信息时:

1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认;

2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意。4.征得授权同意的例外以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:a)

与国家安全、国防安全直接相关的;b)

与公共安全、公共卫生、重大公共利益直接相关的;c)

与犯罪侦查、起诉、审判和判决执行等直接相关的;d)

出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;e)

所收集的个人信息是个人信息主体自行向社会公众公开的;f)

从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道;g)

根据个人信息主体要求签订和履行合同所必需的;

h)

用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障;i)

个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;

j)

个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的;k)

法律法规规定的其他情形。5.收集个人敏感信息时的明示同意对个人信息控制者的要求包括:

a)收集个人敏感信息时，应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;b)通过主动提供或自动采集方式收集个人敏感信息前，应:

1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;

2)产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。

c)收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意;不满14周岁的，应征得其监护人的明示同意。（二）个人信息的保存1.个人信息保存时间最小化对个人信息控制者的要求包括:个人信息保存期限应为实现目的所必需的最短时间;超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。2.去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。3.个人敏感信息的传输和存储对个人信息控制者的要求包括:a)传输和存储个人敏感信息时，应采用加密等安全措施;

b)存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。4.个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应:及时停止继续收集个人信息的活动;将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c)对其所持有的个人信息进行删除或匿名化处理。（三）个人信息的使用个人信息访问控制措施

对个人信息控制者的要求包括:a)对被授权访问个人信息的内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限;b)宜对个人信息的重要操作应设置内部审批流程，如批量修改、拷贝、下载等;c)应对安全管理人员、数据操作人员、审计人员的角色进行分离设置;

d)如确因工作需要，需授权特定人员超权限处理个人信息的，应由个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册;e)对个人敏感信息的访问、修改等行为，宜在对角色的权限控制的基础上，根据业务流程的需求触发操作授权。例如，因收到客户投诉，投诉处理人员才可访问该用户的相关信息。2.个人信息的使用限制对个人信息控制者的要求包括:a)除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

b)对所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;

c)使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。3.个人信息更正

个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的，个人信息控制者应为其提供请求更正或补充信息的方法。4.个人信息删除对个人信息控制者的要求包括:a)符合以下情形的，个人信息主体要求删除的，应及时删除个人信息:1)个人信息控制者违反法律法规规定，收集、使用个人信息的;2)个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的。

b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止共享、转让的行为，并通知第三方及时删除;

c)个人信息控制者违反法律法规规定或与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。6.约束信息系统自动化决策••

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。7.个人信息的委托处理•••

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者

予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。接受委托处理个人信息的受托人，应当依法采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。••••••8.个人信息跨境提供规则（1）跨境提供个人信息的条件：

《个人信息保护法》第三十八条个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。（2）告知与同意要求

个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。（3）安全评估

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。（4）执法信息提供规则

第四十一条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。（5）对境外违法者的处理措施

第四十二条境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。（6）对等原则

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。五、个人信息权利1.知情权2.决定权3.查阅复制权4.更正权5.删除权六、个人信息处理者的义务1.保全保障义务2.定期合规审计义务3.个人信息保护影响评估义务4.平台类个人信息处理者的义务

1)按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

2)遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；4)定期发布个人信息保护社会责任报告，接受社会监督。七、履行个人信息保护职责的部门1.主管机关网信部门：统筹其他相关部门：在各自职责范围内负责个人信息保护和监督管理工作2.主管部门的职责：履行个人信息保护职责的部门履行下列个人信息保护职责：（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；（二）接受、处理与个人信息保护有关的投诉、举报；（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；（四）调查、处理违法个人信息处理活动；（五）法律、行政法规规定的其他职责。

国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：•••（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；（五）完善个人信息保护投诉、举报工作机制。3.主管部门的职权：（1）询问（2）查阅、复制权（3）检查权（4）查封、扣押权（5）约谈权（6）合规审计权三、法律责任（一）行政法律责任：

第六十六条违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相

关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的

主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限

内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。（二）刑事责任1.侵犯公民个人信息罪刑法（2015）

第二百五十三条违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。属于单位犯罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照上述规定处罚。最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释（2017）“情节严重”：（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（十）其他情节严重的情形。“情节特别严重”：（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；（二）造成重大经济损失或者恶劣社会影响的；（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；（四）其他情节特别严重的情形。2.拒不履行信息网络安全管理义务罪

《刑法修正案（九）》将网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，情节严重的行为规定为犯罪。

《刑法》第二百八十六条之一：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。“信息网络安全管理义务”的把握

1、防止违法信息大量传播义务。《网络安全法》第47条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

2、防止用户信息泄露义务。《网络安全法》第42条第2款网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

3、防止刑事案件证据灭失义务。《网络安全法》第28条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。“情节严重”的认定1、“致使违法信息大量传播的”情形；2、“致使用户信息泄露，造成严重后果”的情形。

3、“致使刑事案件证据灭失，情节严重”的情形。“情节严重”可以主要从致使刑事证据灭失的次数和灭失的刑事证据涉及的案件类型等角度加以认定。

4、“有其他严重情节”的情形。例如：（1）致使国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的信息网络受到破坏，严重影响生产、生活或者造成恶劣社会影响的；（2）致使信息网络服务被多次用于犯罪，或者被用于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的；（3）致使造成特别重大的经济损失的。讨论：“爬虫凶猛”

2019年9月7日，有消息称，大数据服务公司杭州魔蝎数据科技有限公司疑被警方控制，一位核心高管人员被带走。魔蝎科技主要做To

B端的业务，为企业和机构提供风险分析、反欺诈、多维度用户画像、授信评分、贷后预警等全生命周期风险管理服务。官网显示，截至目前已服务2000多家客户，包括银行、网贷平台、消费金融公司等。······魔科技开发的“同业爬虫”产品直接将其他现金贷平台的放款额和风控数据爬出来，太野蛮。除了涉嫌利用技术手段侵犯用户隐私、买卖公民个人信息，魔蝎科技还涉嫌亲自下场放现金贷。

爬虫作为一种计算机技术，具有技术中立性，爬虫技术在法律上从来没有被禁止。爬虫的发展历史可以追溯到20年前，搜索引擎、聚合导航、数据分析、人工智能等业务，都需要基于爬虫技术。如何界定爬虫的合法性？1.数据的采集途径；2.数据的采集行为；3.数据的使用目的。1.数据的采集途径

（1）个人数据：必须在提前告知收集的方式、范围、目的，并经过用户授权或同意后，才能采集使用。

《网络安全法》第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收

集、使用信息的目的、方式和范围，并经被收集者同意。网络运

营者不得收集与其提供的服务无关的个人信息，不得违反法律、

行政法规的规定和双方的约定收集、使用个人信息，并应当依照

法律、行政法规的规定和与用户的约定，处理其保存的个人信息。（2）公开数据2.数据的采集行为

使用技术手段应该懂得克制，一些容易对服务器和业务造成干扰甚至破坏的行为，应当充分衡量对方服务器的承