第一章 總則

第一條 立法目的^[1]

●法律

1.《民法典》（2020年5月28日）^[2]

第109條 自然人的人身自由、人格尊嚴(yán)受法律保護(hù)。

第990條 人格權(quán)是民事主體享有的生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、名稱權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)等權(quán)利。

除前款規(guī)定的人格權(quán)外，自然人享有基于人身自由、人格尊嚴(yán)產(chǎn)生的其他人格權(quán)益。

2.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第1條 為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展，制定本法。

3.《數(shù)據(jù)安全法》（2021年6月10日）

第1條 為了規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益，制定本法。

第7條 國家保護(hù)個人、組織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展。

4.《密碼法》（2019年10月26日）

第1條 為了規(guī)范密碼應(yīng)用和管理，促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護(hù)國家安全和社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，制定本法。

●部門規(guī)章及文件

5.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第1條 為了保護(hù)電信和互聯(lián)網(wǎng)用戶的合法權(quán)益，維護(hù)網(wǎng)絡(luò)信息安全，根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《中華人民共和國電信條例》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)，制定本規(guī)定。

●司法解釋及文件

6.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第1條第1款 因信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息所引起的民事案件，適用本規(guī)定。

第二條 個人信息受法律保護(hù)

●法律

1.《民法典》（2020年5月28日）

第110條 自然人享有生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)、婚姻自主權(quán)等權(quán)利。

法人、非法人組織享有名稱權(quán)、名譽(yù)權(quán)和榮譽(yù)權(quán)。

第111條 自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

第1032條 自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。

隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

第1033條 除法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或者個人不得實(shí)施下列行為：

（一）以電話、短信、即時通訊工具、電子郵件、傳單等方式侵?jǐn)_他人的私人生活安寧；

（二）進(jìn)入、拍攝、窺視他人的住宅、賓館房間等私密空間；

（三）拍攝、窺視、竊聽、公開他人的私密活動；

（四）拍攝、窺視他人身體的私密部位；

（五）處理他人的私密信息；

（六）以其他方式侵害他人的隱私權(quán)。

第1034條 自然人的個人信息受法律保護(hù)。

個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。

2.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第40條 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。

第44條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

3.《消費(fèi)者權(quán)益保護(hù)法》（2013年10月25日）

第14條 消費(fèi)者在購買、使用商品和接受服務(wù)時，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個人信息依法得到保護(hù)的權(quán)利。

第50條 經(jīng)營者侵害消費(fèi)者的人格尊嚴(yán)、侵犯消費(fèi)者人身自由或者侵害消費(fèi)者個人信息依法得到保護(hù)的權(quán)利的，應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失。

4.《英雄烈士保護(hù)法》（2018年4月27日）

第22條 禁止歪曲、丑化、褻瀆、否定英雄烈士事跡和精神。

英雄烈士的姓名、肖像、名譽(yù)、榮譽(yù)受法律保護(hù)。任何組織和個人不得在公共場所、互聯(lián)網(wǎng)或者利用廣播電視、電影、出版物等，以侮辱、誹謗或者其他方式侵害英雄烈士的姓名、肖像、名譽(yù)、榮譽(yù)。任何組織和個人不得將英雄烈士的姓名、肖像用于或者變相用于商標(biāo)、商業(yè)廣告，損害英雄烈士的名譽(yù)、榮譽(yù)。

公安、文化、新聞出版、廣播電視、電影、網(wǎng)信、市場監(jiān)督管理、負(fù)責(zé)英雄烈士保護(hù)工作的部門發(fā)現(xiàn)前款規(guī)定行為的，應(yīng)當(dāng)依法及時處理。

5.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

一、國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息。

任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。

●行政法規(guī)及文件

6.《電信條例》（2016年2月6日）

第6條 電信網(wǎng)絡(luò)和信息的安全受法律保護(hù)。任何組織或者個人不得利用電信網(wǎng)絡(luò)從事危害國家安全、社會公共利益或者他人合法權(quán)益的活動。

第57條 任何組織或者個人不得有下列危害電信網(wǎng)絡(luò)安全和信息安全的行為：

（一）對電信網(wǎng)的功能或者存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除或者修改；

（二）利用電信網(wǎng)從事竊取或者破壞他人信息、損害他人合法權(quán)益的活動；

（三）故意制作、復(fù)制、傳播計算機(jī)病毒或者以其他方式攻擊他人電信網(wǎng)絡(luò)等電信設(shè)施；

（四）危害電信網(wǎng)絡(luò)安全和信息安全的其他行為。

●部門規(guī)章及文件

7.《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（2019年8月22日）

第4條 任何組織和個人不得制作、發(fā)布、傳播侵害兒童個人信息安全的信息。

第7條 網(wǎng)絡(luò)運(yùn)營者收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的，應(yīng)當(dāng)遵循正當(dāng)必要、知情同意、目的明確、安全保障、依法利用的原則。

8.《市場監(jiān)督管理嚴(yán)重違法失信名單管理辦法》（2021年7月30日）

第8條 實(shí)施下列侵害消費(fèi)者權(quán)益的違法行為，且屬于本辦法第二條規(guī)定情形的，列入嚴(yán)重違法失信名單：

（一）侵害消費(fèi)者人格尊嚴(yán)、個人信息依法得到保護(hù)等權(quán)利；

（二）預(yù)收費(fèi)用后為逃避或者拒絕履行義務(wù)，關(guān)門停業(yè)或者遷移服務(wù)場所，未按照約定提供商品或者服務(wù)，且被市場監(jiān)督管理部門確認(rèn)為無法取得聯(lián)系；

（三）制造、銷售、使用以欺騙消費(fèi)者為目的的計量器具；抄襲、串通、篡改計量比對數(shù)據(jù)，偽造數(shù)據(jù)、出具虛假計量校準(zhǔn)證書或者報告，侵害消費(fèi)者權(quán)益；

（四）經(jīng)責(zé)令召回仍拒絕或者拖延實(shí)施缺陷產(chǎn)品召回；

（五）其他違反法律、行政法規(guī)規(guī)定，嚴(yán)重侵害消費(fèi)者權(quán)益的違法行為。

●司法解釋及文件

9.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第2條 信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：

（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；

（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；

（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；

（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；

（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；

（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；

（七）違背公序良俗處理人臉信息；

（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。

第三條 適用范圍

●法律

1.《數(shù)據(jù)安全法》（2021年6月10日）

第2條 在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法。

在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任。

2.《電子商務(wù)法》（2018年8月31日）

第2條 中華人民共和國境內(nèi)的電子商務(wù)活動，適用本法。

本法所稱電子商務(wù)，是指通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)銷售商品或者提供服務(wù)的經(jīng)營活動。

法律、行政法規(guī)對銷售商品或者提供服務(wù)有規(guī)定的，適用其規(guī)定。金融類產(chǎn)品和服務(wù)，利用信息網(wǎng)絡(luò)提供新聞信息、音視頻節(jié)目、出版以及文化產(chǎn)品等內(nèi)容方面的服務(wù)，不適用本法。

●部門規(guī)章及文件

3.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第2條 在中華人民共和國境內(nèi)提供電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用用戶個人信息的活動，適用本規(guī)定。

4.《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（2021年3月15日）

第2條 在中華人民共和國境內(nèi)，通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)（以下簡稱通過網(wǎng)絡(luò)）銷售商品或者提供服務(wù)的經(jīng)營活動以及市場監(jiān)督管理部門對其進(jìn)行監(jiān)督管理，適用本辦法。

在網(wǎng)絡(luò)社交、網(wǎng)絡(luò)直播等信息網(wǎng)絡(luò)活動中銷售商品或者提供服務(wù)的經(jīng)營活動，適用本辦法。

第四條 個人信息及處理的界定

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第76條 本法下列用語的含義：

（一）網(wǎng)絡(luò)，是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。

（二）網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

（三）網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

（四）網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。

（五）個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第3條 本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。

數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

3.《民法典》（2020年5月28日）

第1034條 自然人的個人信息受法律保護(hù)。

個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。

第1035條第2款 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

●部門規(guī)章及文件

4.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第4條 本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點(diǎn)等信息。

5.《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（2005年8月18日）

第4條 本辦法所稱個人信用信息包括個人基本信息、個人信貸交易信息以及反映個人信用狀況的其他信息。

前款所稱個人基本信息是指自然人身份識別信息、職業(yè)和居住地址等信息；個人信貸交易信息是指商業(yè)銀行提供的自然人在個人貸款、貸記卡、準(zhǔn)貸記卡、擔(dān)保等信用活動中形成的交易記錄；反映個人信用狀況的其他信息是指除信貸交易信息之外的反映個人信用狀況的相關(guān)信息。

●司法解釋及文件

6.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第1條 因信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定使用人臉識別技術(shù)處理人臉信息、處理基于人臉識別技術(shù)生成的人臉信息所引起的民事案件，適用本規(guī)定。

人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等。

本規(guī)定所稱人臉信息屬于民法典第一千零三十四條規(guī)定的“生物識別信息”。

7.《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017年5月8日）

第1條 刑法第二百五十三條之一規(guī)定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

8.《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》（2016年8月29日）

第10條 人民法院在互聯(lián)網(wǎng)公布裁判文書時，應(yīng)當(dāng)刪除下列信息：

（一）自然人的家庭住址、通訊方式、身份證號碼、銀行賬號、健康狀況、車牌號碼、動產(chǎn)或不動產(chǎn)權(quán)屬證書編號等個人信息；

（二）法人以及其他組織的銀行賬號、車牌號碼、動產(chǎn)或不動產(chǎn)權(quán)屬證書編號等信息；

（三）涉及商業(yè)秘密的信息；

（四）家事、人格權(quán)益等糾紛中涉及個人隱私的信息；

（五）涉及技術(shù)偵查措施的信息；

（六）人民法院認(rèn)為不宜公開的其他信息。

按照本條第一款刪除信息影響對裁判文書正確理解的，用符號“×”作部分替代。

●國家標(biāo)準(zhǔn)

9.《信息安全技術(shù) 個人信息安全規(guī)范》^[3]（2020年3月6日 GB/T 35273-2020）

3.1 個人信息 personal information

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2：關(guān)于個人信息的判定方法和類型參見附錄A。

注3：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。

3.2 個人敏感信息 personal sensitive information

一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個人信息等。

注2：關(guān)于個人敏感信息的判定方法和類型參見附錄B。

注3：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的，屬于個人敏感信息。

3.3 個人信息主體 personal information subject

個人信息所標(biāo)識或者關(guān)聯(lián)的自然人。

3.4 個人信息控制者 personal information controller

有能力決定個人信息處理目的、方式等的組織或個人。

3.5 收集 collect

獲得個人信息的控制權(quán)的行為。

注1：包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集行為，以及通過共享、轉(zhuǎn)讓、搜集公開信息等間接獲取個人信息等行為。

注2：如果產(chǎn)品或服務(wù)的提供者提供工具供個人信息主體使用，提供者不對個人信息進(jìn)行訪問的，則不屬于本標(biāo)準(zhǔn)所稱的收集。例如，離線導(dǎo)航軟件在終端獲取個人信息主體位置信息后，如果不回傳至軟件提供者，則不屬于個人信息主體位置信息的收集。

第五條 個人信息處理原則

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第9條 網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動，必須遵守法律、行政法規(guī)，尊重社會公德，遵守商業(yè)道德，誠實(shí)信用，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，接受政府和社會的監(jiān)督，承擔(dān)社會責(zé)任。

第41條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第28條 開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會發(fā)展，增進(jìn)人民福祉，符合社會公德和倫理。

第32條 任何組織、個人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。

法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。

第51條 竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權(quán)益的，依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。

3.《民法典》（2020年5月28日）

第1035條 處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

4.《電子商務(wù)法》（2018年8月31日）

第5條 電子商務(wù)經(jīng)營者從事經(jīng)營活動，應(yīng)當(dāng)遵循自愿、平等、公平、誠信的原則，遵守法律和商業(yè)道德，公平參與市場競爭，履行消費(fèi)者權(quán)益保護(hù)、環(huán)境保護(hù)、知識產(chǎn)權(quán)保護(hù)、網(wǎng)絡(luò)安全與個人信息保護(hù)等方面的義務(wù)，承擔(dān)產(chǎn)品和服務(wù)質(zhì)量責(zé)任，接受政府和社會的監(jiān)督。

5.《消費(fèi)者權(quán)益保護(hù)法》（2013年10月25日）

第29條 經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

經(jīng)營者及其工作人員對收集的消費(fèi)者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施。

經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

6.《未成年人保護(hù)法》（2020年10月17日）

第72條 信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要的原則。處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意，但法律、行政法規(guī)另有規(guī)定的除外。

未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外。

7.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。

●部門規(guī)章及文件

8.《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（2021年3月12日）

第1條 為了規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息行為，保障公民個人信息安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，制定本規(guī)定。

第2條 移動智能終端上運(yùn)行的App存在收集用戶個人信息行為的，應(yīng)當(dāng)遵守本規(guī)定。法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件另有規(guī)定的，依照其規(guī)定。

App包括移動智能終端預(yù)置、下載安裝的應(yīng)用軟件，基于應(yīng)用軟件開放平臺接口開發(fā)的、用戶無需安裝即可使用的小程序。

第3條 本規(guī)定所稱必要個人信息，是指保障App基本功能服務(wù)正常運(yùn)行所必需的個人信息，缺少該信息App即無法實(shí)現(xiàn)基本功能服務(wù)。具體是指消費(fèi)側(cè)用戶個人信息，不包括服務(wù)供給側(cè)用戶個人信息。

第4條 App不得因為用戶不同意提供非必要個人信息，而拒絕用戶使用其基本功能服務(wù)。

第5條 常見類型App的必要個人信息范圍：

（一）地圖導(dǎo)航類，基本功能服務(wù)為“定位和導(dǎo)航”，必要個人信息為：位置信息、出發(fā)地、到達(dá)地。

（二）網(wǎng)絡(luò)約車類，基本功能服務(wù)為“網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)、巡游出租汽車電召服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.乘車人出發(fā)地、到達(dá)地、位置信息、行蹤軌跡；

3.支付時間、支付金額、支付渠道等支付信息（網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)）。

（三）即時通信類，基本功能服務(wù)為“提供文字、圖片、語音、視頻等網(wǎng)絡(luò)即時通信服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.賬號信息：賬號、即時通信聯(lián)系人賬號列表。

（四）網(wǎng)絡(luò)社區(qū)類，基本功能服務(wù)為“博客、論壇、社區(qū)等話題討論、信息分享和關(guān)注互動”，必要個人信息為：注冊用戶移動電話號碼。

（五）網(wǎng)絡(luò)支付類，基本功能服務(wù)為“網(wǎng)絡(luò)支付、提現(xiàn)、轉(zhuǎn)賬等功能”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.注冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

（六）網(wǎng)上購物類，基本功能服務(wù)為“購買商品”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.收貨人姓名（名稱）、地址、聯(lián)系電話；

3.支付時間、支付金額、支付渠道等支付信息。

（七）餐飲外賣類，基本功能服務(wù)為“餐飲購買及外送”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.收貨人姓名（名稱）、地址、聯(lián)系電話；

3.支付時間、支付金額、支付渠道等支付信息。

（八）郵件快件寄遞類，基本功能服務(wù)為“信件、包裹、印刷品等物品寄遞服務(wù)”，必要個人信息包括：

1.寄件人姓名、證件類型和號碼等身份信息；

2.寄件人地址、聯(lián)系電話；

3.收件人姓名（名稱）、地址、聯(lián)系電話；

4.寄遞物品的名稱、性質(zhì)、數(shù)量。

（九）交通票務(wù)類，基本功能服務(wù)為“交通相關(guān)的票務(wù)服務(wù)及行程管理（如票務(wù)購買、改簽、退票、行程管理等）”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.旅客姓名、證件類型和號碼、旅客類型。旅客類型通常包括兒童、成人、學(xué)生等；

3.旅客出發(fā)地、目的地、出發(fā)時間、車次/船次/航班號、席別/艙位等級、座位號（如有）、車牌號及車牌顏色（ETC服務(wù)）；

4.支付時間、支付金額、支付渠道等支付信息。

（十）婚戀相親類，基本功能服務(wù)為“婚戀相親”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.婚戀相親人的性別、年齡、婚姻狀況。

（十一）求職招聘類，基本功能服務(wù)為“求職招聘信息交換”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.求職者提供的簡歷。

（十二）網(wǎng)絡(luò)借貸類，基本功能服務(wù)為“通過互聯(lián)網(wǎng)平臺實(shí)現(xiàn)的用于消費(fèi)、日常生產(chǎn)經(jīng)營周轉(zhuǎn)等的個人申貸服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。

（十三）房屋租售類，基本功能服務(wù)為“個人房源信息發(fā)布、房屋出租或買賣”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.房源基本信息：房屋地址、面積/戶型、期望售價或租金。

（十四）二手車交易類，基本功能服務(wù)為“二手車買賣信息交換”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.購買方姓名、證件類型和號碼；

3.出售方姓名、證件類型和號碼、車輛行駛證號、車輛識別號碼。

（十五）問診掛號類，基本功能服務(wù)為“在線咨詢問診、預(yù)約掛號”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.掛號時需提供患者姓名、證件類型和號碼、預(yù)約掛號的醫(yī)院和科室；

3.問診時需提供病情描述。

（十六）旅游服務(wù)類，基本功能服務(wù)為“旅游服務(wù)產(chǎn)品信息的發(fā)布與訂購”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.出行人旅游目的地、旅游時間；

3.出行人姓名、證件類型和號碼、聯(lián)系方式。

（十七）酒店服務(wù)類，基本功能服務(wù)為“酒店預(yù)訂”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.住宿人姓名和聯(lián)系方式、入住和退房時間、入住酒店名稱。

（十八）網(wǎng)絡(luò)游戲類，基本功能服務(wù)為“提供網(wǎng)絡(luò)游戲產(chǎn)品和服務(wù)”，必要個人信息為：注冊用戶移動電話號碼。

（十九）學(xué)習(xí)教育類，基本功能服務(wù)為“在線輔導(dǎo)、網(wǎng)絡(luò)課堂等”，必要個人信息為：注冊用戶移動電話號碼。

（二十）本地生活類，基本功能服務(wù)為“家政維修、家居裝修、二手閑置物品交易等日常生活服務(wù)”，必要個人信息為：注冊用戶移動電話號碼。

（二十一）女性健康類，基本功能服務(wù)為“女性經(jīng)期管理、備孕育兒、美容美體等健康管理服務(wù)”，無須個人信息，即可使用基本功能服務(wù)。

（二十二）用車服務(wù)類，基本功能服務(wù)為“共享單車、共享汽車、租賃汽車等服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.使用共享汽車、租賃汽車服務(wù)用戶的證件類型和號碼，駕駛證件信息；

3.支付時間、支付金額、支付渠道等支付信息；

4.使用共享單車、分時租賃汽車服務(wù)用戶的位置信息。

（二十三）投資理財類，基本功能服務(wù)為“股票、期貨、基金、債券等相關(guān)投資理財服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件；

3.投資理財用戶資金賬戶、銀行卡號碼或支付賬號。

（二十四）手機(jī)銀行類，基本功能服務(wù)為“通過手機(jī)等移動智能終端設(shè)備進(jìn)行銀行賬戶管理、信息查詢、轉(zhuǎn)賬匯款等服務(wù)”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預(yù)留移動電話號碼；

3.轉(zhuǎn)賬時需提供收款人姓名、銀行卡號碼、開戶銀行信息。

（二十五）郵箱云盤類，基本功能服務(wù)為“郵箱、云盤等”，必要個人信息為：注冊用戶移動電話號碼。

（二十六）遠(yuǎn)程會議類，基本功能服務(wù)為“通過網(wǎng)絡(luò)提供音頻或視頻會議”，必要個人信息為：注冊用戶移動電話號碼。

（二十七）網(wǎng)絡(luò)直播類，基本功能服務(wù)為“向公眾持續(xù)提供實(shí)時視頻、音頻、圖文等形式信息瀏覽服務(wù)”，無須個人信息，即可使用基本功能服務(wù)。

（二十八）在線影音類，基本功能服務(wù)為“影視、音樂搜索和播放”，無須個人信息，即可使用基本功能服務(wù)。

（二十九）短視頻類，基本功能服務(wù)為“不超過一定時長的視頻搜索、播放”，無須個人信息，即可使用基本功能服務(wù)。

（三十）新聞資訊類，基本功能服務(wù)為“新聞資訊的瀏覽、搜索”，無須個人信息，即可使用基本功能服務(wù)。

（三十一）運(yùn)動健身類，基本功能服務(wù)為“運(yùn)動健身訓(xùn)練”，無須個人信息，即可使用基本功能服務(wù)。

（三十二）瀏覽器類，基本功能服務(wù)為“瀏覽互聯(lián)網(wǎng)信息資源”，無須個人信息，即可使用基本功能服務(wù)。

（三十三）輸入法類，基本功能服務(wù)為“文字、符號等輸入”，無須個人信息，即可使用基本功能服務(wù)。

（三十四）安全管理類，基本功能服務(wù)為“查殺病毒、清理惡意插件、修復(fù)漏洞等”，無須個人信息，即可使用基本功能服務(wù)。

（三十五）電子圖書類，基本功能服務(wù)為“電子圖書搜索、閱讀”，無須個人信息，即可使用基本功能服務(wù)。

（三十六）拍攝美化類，基本功能服務(wù)為“拍攝、美顏、濾鏡等”，無須個人信息，即可使用基本功能服務(wù)。

（三十七）應(yīng)用商店類，基本功能服務(wù)為“App搜索、下載”，無須個人信息，即可使用基本功能服務(wù)。

（三十八）實(shí)用工具類，基本功能服務(wù)為“日歷、天氣、詞典翻譯、計算器、遙控器、手電筒、指南針、時鐘鬧鐘、文件傳輸、文件管理、壁紙鈴聲、截圖錄屏、錄音、文檔處理、智能家居助手、星座性格測試等”，無須個人信息，即可使用基本功能服務(wù)。

（三十九）演出票務(wù)類，基本功能服務(wù)為“演出購票”，必要個人信息包括：

1.注冊用戶移動電話號碼；

2.觀演場次、座位號（如有）；

3.支付時間、支付金額、支付渠道等支付信息。

第6條 任何組織和個人發(fā)現(xiàn)違反本規(guī)定行為的，可以向相關(guān)部門舉報。

相關(guān)部門收到舉報后，應(yīng)當(dāng)依法予以處理。

第7條 本規(guī)定自2021年5月1日起施行。

9.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第5條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集、使用用戶個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。

10.《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（2021年3月15日）

第3條 網(wǎng)絡(luò)交易經(jīng)營者從事經(jīng)營活動，應(yīng)當(dāng)遵循自愿、平等、公平、誠信原則，遵守法律、法規(guī)、規(guī)章和商業(yè)道德、公序良俗，公平參與市場競爭，認(rèn)真履行法定義務(wù)，積極承擔(dān)主體責(zé)任，接受社會各界監(jiān)督。

第12條 網(wǎng)絡(luò)交易經(jīng)營者應(yīng)當(dāng)在其網(wǎng)站首頁或者從事經(jīng)營活動的主頁面顯著位置，持續(xù)公示經(jīng)營者主體信息或者該信息的鏈接標(biāo)識。鼓勵網(wǎng)絡(luò)交易經(jīng)營者鏈接到國家市場監(jiān)督管理總局電子營業(yè)執(zhí)照亮照系統(tǒng)，公示其營業(yè)執(zhí)照信息。

已經(jīng)辦理市場主體登記的網(wǎng)絡(luò)交易經(jīng)營者應(yīng)當(dāng)如實(shí)公示下列營業(yè)執(zhí)照信息以及與其經(jīng)營業(yè)務(wù)有關(guān)的行政許可等信息，或者該信息的鏈接標(biāo)識：

（一）企業(yè)應(yīng)當(dāng)公示其營業(yè)執(zhí)照登載的統(tǒng)一社會信用代碼、名稱、企業(yè)類型、法定代表人（負(fù)責(zé)人）、住所、注冊資本（出資額）等信息；

（二）個體工商戶應(yīng)當(dāng)公示其營業(yè)執(zhí)照登載的統(tǒng)一社會信用代碼、名稱、經(jīng)營者姓名、經(jīng)營場所、組成形式等信息；

（三）農(nóng)民專業(yè)合作社、農(nóng)民專業(yè)合作社聯(lián)合社應(yīng)當(dāng)公示其營業(yè)執(zhí)照登載的統(tǒng)一社會信用代碼、名稱、法定代表人、住所、成員出資總額等信息。

依照《中華人民共和國電子商務(wù)法》第十條規(guī)定不需要進(jìn)行登記的經(jīng)營者應(yīng)當(dāng)根據(jù)自身實(shí)際經(jīng)營活動類型，如實(shí)公示以下自我聲明以及實(shí)際經(jīng)營地址、聯(lián)系方式等信息，或者該信息的鏈接標(biāo)識：

（一）“個人銷售自產(chǎn)農(nóng)副產(chǎn)品，依法不需要辦理市場主體登記”；

（二）“個人銷售家庭手工業(yè)產(chǎn)品，依法不需要辦理市場主體登記”；

（三）“個人利用自己的技能從事依法無須取得許可的便民勞務(wù)活動，依法不需要辦理市場主體登記”；

（四）“個人從事零星小額交易活動，依法不需要辦理市場主體登記”。

網(wǎng)絡(luò)交易經(jīng)營者公示的信息發(fā)生變更的，應(yīng)當(dāng)在十個工作日內(nèi)完成更新公示。

第13條 網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)交易經(jīng)營者不得采用一次概括授權(quán)、默認(rèn)授權(quán)、與其他授權(quán)捆綁、停止安裝使用等方式，強(qiáng)迫或者變相強(qiáng)迫消費(fèi)者同意收集、使用與經(jīng)營活動無直接關(guān)系的信息。收集、使用個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息的，應(yīng)當(dāng)逐項取得消費(fèi)者同意。

網(wǎng)絡(luò)交易經(jīng)營者及其工作人員應(yīng)當(dāng)對收集的個人信息嚴(yán)格保密，除依法配合監(jiān)管執(zhí)法活動外，未經(jīng)被收集者授權(quán)同意，不得向包括關(guān)聯(lián)方在內(nèi)的任何第三方提供。

11.《互聯(lián)網(wǎng)保險業(yè)務(wù)監(jiān)管辦法》（2020年12月7日）

第38條 保險機(jī)構(gòu)應(yīng)承擔(dān)客戶信息保護(hù)的主體責(zé)任，收集、處理及使用個人信息應(yīng)遵循合法、正當(dāng)、必要的原則，保證信息收集、處理及使用的安全性和合法性：

（一）建立客戶信息保護(hù)制度，明確數(shù)據(jù)安全責(zé)任人，構(gòu)建覆蓋全生命周期的客戶信息保護(hù)體系，防范信息泄露。

（二）督促提供技術(shù)支持、客戶服務(wù)等服務(wù)的合作機(jī)構(gòu)建立有效的客戶信息保護(hù)制度，在合作協(xié)議中明確約定客戶信息保護(hù)責(zé)任，保障客戶信息安全，明確約定合作機(jī)構(gòu)不得限制保險機(jī)構(gòu)獲取客戶投保信息，不得限制保險機(jī)構(gòu)獲取能夠驗證客戶真實(shí)身份的相關(guān)信息。

（三）保險機(jī)構(gòu)收集、處理及使用個人信息，應(yīng)征得客戶同意，獲得客戶授權(quán)。未經(jīng)客戶同意或授權(quán)，保險機(jī)構(gòu)不得將客戶信息用于所提供保險服務(wù)之外的用途，法律法規(guī)另有規(guī)定的除外。

12.《侵害消費(fèi)者權(quán)益行為處罰辦法》（2020年10月23日）

第11條 經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者不得有下列行為：

（一）未經(jīng)消費(fèi)者同意，收集、使用消費(fèi)者個人信息；

（二）泄露、出售或者非法向他人提供所收集的消費(fèi)者個人信息；

（三）未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕，向其發(fā)送商業(yè)性信息。

前款中的消費(fèi)者個人信息是指經(jīng)營者在提供商品或者服務(wù)活動中收集的消費(fèi)者姓名、性別、職業(yè)、出生日期、身份證件號碼、住址、聯(lián)系方式、收入和財產(chǎn)狀況、健康狀況、消費(fèi)情況等能夠單獨(dú)或者與其他信息結(jié)合識別消費(fèi)者的信息。

●司法解釋及文件

13.《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017年5月8日）

第4條 違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規(guī)定的“以其他方法非法獲取公民個人信息”。

●國家標(biāo)準(zhǔn)

14.《信息安全技術(shù)個人信息安全規(guī)范》（2020年3月6日 GB/T 35273-2020）

4 個人信息安全基本原則

個人信息控制者開展個人信息處理活動應(yīng)遵循合法、正當(dāng)、必要的原則，具體包括：

a）權(quán)責(zé)一致——采取技術(shù)和其他必要的措施保障個人信息的安全，對其個人信息處理活動對個人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

b）目的明確——具有明確、清晰、具體的個人信息處理目的。

c）選擇同意——向個人信息主體明示個人信息處理目的、方式、范圍等規(guī)則，征求其授權(quán)同意。

d）最小必要——只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量。目的達(dá)成后，應(yīng)及時刪除個人信息。

e）公開透明——以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

f）確保安全——具備與所面臨的安全風(fēng)險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個人信息的保密性、完整性、可用性。

g）主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息，以及撤回授權(quán)同意、注銷賬戶、投訴等方法。

5 個人信息的收集

5.1 收集個人信息的合法性

對個人信息控制者的要求包括：

a）不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個人信息；

b）不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能；

c）不應(yīng)從非法渠道獲取個人信息。

第六條 必要性要求

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第22條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。

網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護(hù)的規(guī)定。

第30條 網(wǎng)信部門和有關(guān)部門在履行網(wǎng)絡(luò)安全保護(hù)職責(zé)中獲取的信息，只能用于維護(hù)網(wǎng)絡(luò)安全的需要，不得用于其他用途。

第41條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第42條 網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第32條 任何組織、個人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。

法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。

3.《民法典》（2020年5月28日）

第1035條 處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

4.《消費(fèi)者權(quán)益保護(hù)法》（2013年10月25日）

第29條 經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

經(jīng)營者及其工作人員對收集的消費(fèi)者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施。

經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

5.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。

●部門規(guī)章及文件

6.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第9條 未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個人信息。

電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。

電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個人信息或者將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。

電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務(wù)。

法律、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定。

7.《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（2021年3月15日）

第13條 網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)交易經(jīng)營者不得采用一次概括授權(quán)、默認(rèn)授權(quán)、與其他授權(quán)捆綁、停止安裝使用等方式，強(qiáng)迫或者變相強(qiáng)迫消費(fèi)者同意收集、使用與經(jīng)營活動無直接關(guān)系的信息。收集、使用個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息的，應(yīng)當(dāng)逐項取得消費(fèi)者同意。

網(wǎng)絡(luò)交易經(jīng)營者及其工作人員應(yīng)當(dāng)對收集的個人信息嚴(yán)格保密，除依法配合監(jiān)管執(zhí)法活動外，未經(jīng)被收集者授權(quán)同意，不得向包括關(guān)聯(lián)方在內(nèi)的任何第三方提供。

8.《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（2020年9月15日）

第29條 銀行、支付機(jī)構(gòu)處理消費(fèi)者金融信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，經(jīng)金融消費(fèi)者或者其監(jiān)護(hù)人明示同意，但是法律、行政法規(guī)另有規(guī)定的除外。銀行、支付機(jī)構(gòu)不得收集與業(yè)務(wù)無關(guān)的消費(fèi)者金融信息，不得采取不正當(dāng)方式收集消費(fèi)者金融信息，不得變相強(qiáng)制收集消費(fèi)者金融信息。銀行、支付機(jī)構(gòu)不得以金融消費(fèi)者不同意處理其金融信息為由拒絕提供金融產(chǎn)品或者服務(wù)，但處理其金融信息屬于提供金融產(chǎn)品或者服務(wù)所必需的除外。

金融消費(fèi)者不能或者拒絕提供必要信息，致使銀行、支付機(jī)構(gòu)無法履行反洗錢義務(wù)的，銀行、支付機(jī)構(gòu)可以根據(jù)《中華人民共和國反洗錢法》的相關(guān)規(guī)定對其金融活動采取限制性措施；確有必要時，銀行、支付機(jī)構(gòu)可以依法拒絕提供金融產(chǎn)品或者服務(wù)。

第31條 銀行、支付機(jī)構(gòu)應(yīng)當(dāng)履行《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》第二十九條規(guī)定的明示義務(wù)，公開收集、使用消費(fèi)者金融信息的規(guī)則，明示收集、使用消費(fèi)者金融信息的目的、方式和范圍，并留存有關(guān)證明資料。

銀行、支付機(jī)構(gòu)通過格式條款取得消費(fèi)者金融信息收集、使用同意的，應(yīng)當(dāng)在格式條款中明確收集消費(fèi)者金融信息的目的、方式、內(nèi)容和使用范圍，并在協(xié)議中以顯著方式盡可能通俗易懂地向金融消費(fèi)者提示該同意的可能后果。

第32條 銀行、支付機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的規(guī)定和雙方約定的用途使用消費(fèi)者金融信息，不得超出范圍使用。

9.《侵害消費(fèi)者權(quán)益行為處罰辦法》（2020年10月23日）

第11條 經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者不得有下列行為：

（一）未經(jīng)消費(fèi)者同意，收集、使用消費(fèi)者個人信息；

（二）泄露、出售或者非法向他人提供所收集的消費(fèi)者個人信息；

（三）未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕，向其發(fā)送商業(yè)性信息。

前款中的消費(fèi)者個人信息是指經(jīng)營者在提供商品或者服務(wù)活動中收集的消費(fèi)者姓名、性別、職業(yè)、出生日期、身份證件號碼、住址、聯(lián)系方式、收入和財產(chǎn)狀況、健康狀況、消費(fèi)情況等能夠單獨(dú)或者與其他信息結(jié)合識別消費(fèi)者的信息。

10.《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》（2011年12月29日）

第11條 未經(jīng)用戶同意，互聯(lián)網(wǎng)信息服務(wù)提供者不得收集與用戶相關(guān)、能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息（以下簡稱“用戶個人信息”），不得將用戶個人信息提供給他人，但是法律、行政法規(guī)另有規(guī)定的除外。

互聯(lián)網(wǎng)信息服務(wù)提供者經(jīng)用戶同意收集用戶個人信息的，應(yīng)當(dāng)明確告知用戶收集和處理用戶個人信息的方式、內(nèi)容和用途，不得收集其提供服務(wù)所必需以外的信息，不得將用戶個人信息用于其提供服務(wù)之外的目的。

11.《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（2019年8月22日）

第20條 兒童或者其監(jiān)護(hù)人要求網(wǎng)絡(luò)運(yùn)營者刪除其收集、存儲、使用、披露的兒童個人信息的，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)及時采取措施予以刪除，包括但不限于以下情形：

（一）網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的；

（二）超出目的范圍或者必要期限收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的；

（三）兒童監(jiān)護(hù)人撤回同意的；

（四）兒童或者其監(jiān)護(hù)人通過注銷等方式終止使用產(chǎn)品或者服務(wù)的。

12.《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》（2019年11月28日）

四、以下行為可被認(rèn)定為“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”

1.收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)；

2.因用戶不同意收集非必要個人信息或打開非必要權(quán)限，拒絕提供業(yè)務(wù)功能；

3.App新增業(yè)務(wù)功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業(yè)務(wù)功能，新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外；

4.收集個人信息的頻度等超出業(yè)務(wù)功能實(shí)際需要；

5.僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，強(qiáng)制要求用戶同意收集個人信息；

6.要求用戶一次性同意打開多個可收集個人信息的權(quán)限，用戶不同意則無法使用。

●司法解釋及文件

13.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第2條 信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：

（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；

（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；

（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；

（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；

（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；

（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；

（七）違背公序良俗處理人臉信息；

（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。

14.《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（2020年12月29日）

第6條 人民法院依據(jù)民法典第一千一百九十七條認(rèn)定網(wǎng)絡(luò)服務(wù)提供者是否“知道或者應(yīng)當(dāng)知道”，應(yīng)當(dāng)綜合考慮下列因素：

（一）網(wǎng)絡(luò)服務(wù)提供者是否以人工或者自動方式對侵權(quán)網(wǎng)絡(luò)信息以推薦、排名、選擇、編輯、整理、修改等方式作出處理；

（二）網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)具備的管理信息的能力，以及所提供服務(wù)的性質(zhì)、方式及其引發(fā)侵權(quán)的可能性大??；

（三）該網(wǎng)絡(luò)信息侵害人身權(quán)益的類型及明顯程度；

（四）該網(wǎng)絡(luò)信息的社會影響程度或者一定時間內(nèi)的瀏覽量；

（五）網(wǎng)絡(luò)服務(wù)提供者采取預(yù)防侵權(quán)措施的技術(shù)可能性及其是否采取了相應(yīng)的合理措施；

（六）網(wǎng)絡(luò)服務(wù)提供者是否針對同一網(wǎng)絡(luò)用戶的重復(fù)侵權(quán)行為或者同一侵權(quán)信息采取了相應(yīng)的合理措施；

（七）與本案相關(guān)的其他因素。

●國家標(biāo)準(zhǔn)

15.《信息安全技術(shù) 個人信息安全規(guī)范》（2020年3月6日 GB/T 35273-2020）

5.2收集個人信息的最小必要

對個人信息控制者的要求包括：

a）收集的個人信息的類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；直接關(guān)聯(lián)是指沒有上述個人信息的參與，產(chǎn)品或服務(wù)的功能無法實(shí)現(xiàn)。

b）自動采集個人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率。

c）間接獲取個人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

第七條 公開透明原則

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第41條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

2.《民法典》（2020年5月28日）

第1035條 處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

3.《消費(fèi)者權(quán)益保護(hù)法》（2013年10月25日）

第29條第1款 經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

4.《電子商務(wù)法》（2018年8月31日）

第32條 電子商務(wù)平臺經(jīng)營者應(yīng)當(dāng)遵循公開、公平、公正的原則，制定平臺服務(wù)協(xié)議和交易規(guī)則，明確進(jìn)入和退出平臺、商品和服務(wù)質(zhì)量保障、消費(fèi)者權(quán)益保護(hù)、個人信息保護(hù)等方面的權(quán)利和義務(wù)。

5.《未成年人保護(hù)法》（2020年10月17日）

第72條 信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要的原則。處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意，但法律、行政法規(guī)另有規(guī)定的除外。

未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外。

6.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。

●部門規(guī)章及文件

7.《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（2021年3月15日）

第13條 網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。網(wǎng)絡(luò)交易經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)交易經(jīng)營者不得采用一次概括授權(quán)、默認(rèn)授權(quán)、與其他授權(quán)捆綁、停止安裝使用等方式，強(qiáng)迫或者變相強(qiáng)迫消費(fèi)者同意收集、使用與經(jīng)營活動無直接關(guān)系的信息。收集、使用個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息的，應(yīng)當(dāng)逐項取得消費(fèi)者同意。

網(wǎng)絡(luò)交易經(jīng)營者及其工作人員應(yīng)當(dāng)對收集的個人信息嚴(yán)格保密，除依法配合監(jiān)管執(zhí)法活動外，未經(jīng)被收集者授權(quán)同意，不得向包括關(guān)聯(lián)方在內(nèi)的任何第三方提供。

8.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第8條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個人信息收集、使用規(guī)則，并在其經(jīng)營或者服務(wù)場所、網(wǎng)站等予以公布。

9.《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》（2019年11月28日）

一、以下行為可被認(rèn)定為“未公開收集使用規(guī)則”

1.在App中沒有隱私政策，或者隱私政策中沒有收集使用個人信息規(guī)則；

2.在App首次運(yùn)行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則；

3.隱私政策等收集使用規(guī)則難以訪問，如進(jìn)入App主界面后，需多于4次點(diǎn)擊等操作才能訪問到；

4.隱私政策等收集使用規(guī)則難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

●司法解釋及文件

10.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第2條 信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：

（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；

（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；

（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；

（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；

（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；

（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；

（七）違背公序良俗處理人臉信息；

（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。

●國家標(biāo)準(zhǔn)

11.《信息安全技術(shù) 個人信息安全規(guī)范》（2020年3月6日 GB/T 35273-2020）

4 個人信息安全基本原則

個人信息控制者開展個人信息處理活動應(yīng)遵循合法、正當(dāng)、必要的原則，具體包括：

a）權(quán)責(zé)一致——采取技術(shù)和其他必要的措施保障個人信息的安全，對其個人信息處理活動對個人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

b）目的明確——具有明確、清晰、具體的個人信息處理目的。

c）選擇同意——向個人信息主體明示個人信息處理目的、方式、范圍等規(guī)則，征求其授權(quán)同意。

d）最小必要——只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量。目的達(dá)成后，應(yīng)及時刪除個人信息。

e）公開透明——以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

f）確保安全——具備與所面臨的安全風(fēng)險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個人信息的保密性、完整性、可用性。

g）主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息，以及撤回授權(quán)同意、注銷賬戶、投訴等方法。

5 個人信息的收集

5.1 收集個人信息的合法性

對個人信息控制者的要求包括：

a）不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個人信息；

b）不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能；

c）不應(yīng)從非法渠道獲取個人信息。

第八條 準(zhǔn)確性原則

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第43條 個人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

2.《民法典》（2020年5月28日）

第1037條 自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。

自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除。

3.《居民身份證法》（2011年10月29日）

第11條 國家決定換發(fā)新一代居民身份證、居民身份證有效期滿、公民姓名變更或者證件嚴(yán)重?fù)p壞不能辨認(rèn)的，公民應(yīng)當(dāng)換領(lǐng)新證；居民身份證登記項目出現(xiàn)錯誤的，公安機(jī)關(guān)應(yīng)當(dāng)及時更正，換發(fā)新證；領(lǐng)取新證時，必須交回原證。居民身份證丟失的，應(yīng)當(dāng)申請補(bǔ)領(lǐng)。

未滿十六周歲公民的居民身份證有前款情形的，可以申請換領(lǐng)、換發(fā)或者補(bǔ)領(lǐng)新證。

公民辦理常住戶口遷移手續(xù)時，公安機(jī)關(guān)應(yīng)當(dāng)在居民身份證的機(jī)讀項目中記載公民常住戶口所在地住址變動的情況，并告知本人。

4.《未成年人保護(hù)法》（2020年10月17日）

第72條第2款 未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外。

●行政法規(guī)及文件

5.《政府信息公開條例》（2019年4月3日）

第41條 公民、法人或者其他組織有證據(jù)證明行政機(jī)關(guān)提供的與其自身相關(guān)的政府信息記錄不準(zhǔn)確的，可以要求行政機(jī)關(guān)更正。有權(quán)更正的行政機(jī)關(guān)審核屬實(shí)的，應(yīng)當(dāng)予以更正并告知申請人；不屬于本行政機(jī)關(guān)職能范圍的，行政機(jī)關(guān)可以轉(zhuǎn)送有權(quán)更正的行政機(jī)關(guān)處理并告知申請人，或者告知申請人向有權(quán)更正的行政機(jī)關(guān)提出。

6.《征信業(yè)管理條例》（2013年1月21日）

第23條 征信機(jī)構(gòu)應(yīng)當(dāng)采取合理措施，保障其提供信息的準(zhǔn)確性。

征信機(jī)構(gòu)提供的信息供信息使用者參考。

第25條 信息主體認(rèn)為征信機(jī)構(gòu)采集、保存、提供的信息存在錯誤、遺漏的，有權(quán)向征信機(jī)構(gòu)或者信息提供者提出異議，要求更正。

征信機(jī)構(gòu)或者信息提供者收到異議，應(yīng)當(dāng)按照國務(wù)院征信業(yè)監(jiān)督管理部門的規(guī)定對相關(guān)信息作出存在異議的標(biāo)注，自收到異議之日起20日內(nèi)進(jìn)行核查和處理，并將結(jié)果書面答復(fù)異議人。

經(jīng)核查，確認(rèn)相關(guān)信息確有錯誤、遺漏的，信息提供者、征信機(jī)構(gòu)應(yīng)當(dāng)予以更正；確認(rèn)不存在錯誤、遺漏的，應(yīng)當(dāng)取消異議標(biāo)注；經(jīng)核查仍不能確認(rèn)的，對核查情況和異議內(nèi)容應(yīng)當(dāng)予以記載。

●部門規(guī)章及文件

7.《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》（2005年8月18日）

第6條 商業(yè)銀行應(yīng)當(dāng)遵守中國人民銀行發(fā)布的個人信用數(shù)據(jù)庫標(biāo)準(zhǔn)及其有關(guān)要求，準(zhǔn)確、完整、及時地向個人信用數(shù)據(jù)庫報送個人信用信息。

第九條 個人信息處理者的安全保障責(zé)任

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第5條 國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)空間安全和秩序。

第8條 國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。

縣級以上地方人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。

第10條 建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

第42條 網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第27條 開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。

重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

3.《民法典》（2020年5月28日）

第1038條 信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。

信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。

4.《未成年人保護(hù)法》（2020年10月17日）

第72條 信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要的原則。處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意，但法律、行政法規(guī)另有規(guī)定的除外。

未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外。

第73條 網(wǎng)絡(luò)服務(wù)提供者發(fā)現(xiàn)未成年人通過網(wǎng)絡(luò)發(fā)布私密信息的，應(yīng)當(dāng)及時提示，并采取必要的保護(hù)措施。

5.《電子商務(wù)法》（2018年8月31日）

第9條 本法所稱電子商務(wù)經(jīng)營者，是指通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)從事銷售商品或者提供服務(wù)的經(jīng)營活動的自然人、法人和非法人組織，包括電子商務(wù)平臺經(jīng)營者、平臺內(nèi)經(jīng)營者以及通過自建網(wǎng)站、其他網(wǎng)絡(luò)服務(wù)銷售商品或者提供服務(wù)的電子商務(wù)經(jīng)營者。

本法所稱電子商務(wù)平臺經(jīng)營者，是指在電子商務(wù)中為交易雙方或者多方提供網(wǎng)絡(luò)經(jīng)營場所、交易撮合、信息發(fā)布等服務(wù)，供交易雙方或者多方獨(dú)立開展交易活動的法人或者非法人組織。

本法所稱平臺內(nèi)經(jīng)營者，是指通過電子商務(wù)平臺銷售商品或者提供服務(wù)的電子商務(wù)經(jīng)營者。

第30條 電子商務(wù)平臺經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施保證其網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，防范網(wǎng)絡(luò)違法犯罪活動，有效應(yīng)對網(wǎng)絡(luò)安全事件，保障電子商務(wù)交易安全。

電子商務(wù)平臺經(jīng)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，發(fā)生網(wǎng)絡(luò)安全事件時，應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并向有關(guān)主管部門報告。

6.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

四、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止在業(yè)務(wù)活動中收集的公民個人電子信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施。

●部門規(guī)章及文件

7.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第6條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者對其在提供服務(wù)過程中收集、使用的用戶個人信息的安全負(fù)責(zé)。

第13條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)采取以下措施防止用戶個人信息泄露、毀損、篡改或者丟失：

（一）確定各部門、崗位和分支機(jī)構(gòu)的用戶個人信息安全管理責(zé)任；

（二）建立用戶個人信息收集、使用及其相關(guān)活動的工作流程和安全管理制度；

（三）對工作人員及代理人實(shí)行權(quán)限管理，對批量導(dǎo)出、復(fù)制、銷毀信息實(shí)行審查，并采取防泄密措施；

（四）妥善保管記錄用戶個人信息的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體，并采取相應(yīng)的安全儲存措施；

（五）對儲存用戶個人信息的信息系統(tǒng)實(shí)行接入審查，并采取防入侵、防病毒等措施；

（六）記錄對用戶個人信息進(jìn)行操作的人員、時間、地點(diǎn)、事項等信息；

（七）按照電信管理機(jī)構(gòu)的規(guī)定開展通信網(wǎng)絡(luò)安全防護(hù)工作；

（八）電信管理機(jī)構(gòu)規(guī)定的其他必要措施。

8.《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（2021年3月15日）

第36條 市場監(jiān)督管理部門應(yīng)當(dāng)采取必要措施保護(hù)網(wǎng)絡(luò)交易經(jīng)營者提供的數(shù)據(jù)信息的安全，并對其中的個人信息、隱私和商業(yè)秘密嚴(yán)格保密。

●司法解釋及文件

9.《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年7月27日）

第2條 信息處理者處理人臉信息有下列情形之一的，人民法院應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為：

（一）在賓館、商場、銀行、車站、機(jī)場、體育場館、娛樂場所等經(jīng)營場所、公共場所違反法律、行政法規(guī)的規(guī)定使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析；

（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；

（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護(hù)人的單獨(dú)同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護(hù)人的書面同意；

（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；

（五）未采取應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；

（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息；

（七）違背公序良俗處理人臉信息；

（八）違反合法、正當(dāng)、必要原則處理人臉信息的其他情形。

第十條 個人信息處理的禁止性規(guī)定

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第12條 國家保護(hù)公民、法人和其他組織依法使用網(wǎng)絡(luò)的權(quán)利，促進(jìn)網(wǎng)絡(luò)接入普及，提升網(wǎng)絡(luò)服務(wù)水平，為社會提供安全、便利的網(wǎng)絡(luò)服務(wù)，保障網(wǎng)絡(luò)信息依法有序自由流動。

任何個人和組織使用網(wǎng)絡(luò)應(yīng)當(dāng)遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網(wǎng)絡(luò)安全，不得利用網(wǎng)絡(luò)從事危害國家安全、榮譽(yù)和利益，煽動顛覆國家政權(quán)、推翻社會主義制度，煽動分裂國家、破壞國家統(tǒng)一，宣揚(yáng)恐怖主義、極端主義，宣揚(yáng)民族仇恨、民族歧視，傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經(jīng)濟(jì)秩序和社會秩序，以及侵害他人名譽(yù)、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益等活動。

第27條 任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

第41條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第44條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第8條 開展數(shù)據(jù)處理活動，應(yīng)當(dāng)遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實(shí)守信，履行數(shù)據(jù)安全保護(hù)義務(wù)，承擔(dān)社會責(zé)任，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益。

第38條 國家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行；對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。

3.《民法典》（2020年5月28日）

第111條 自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

4.《消費(fèi)者權(quán)益保護(hù)法》（2013年10月25日）

第29條第2款 經(jīng)營者及其工作人員對收集的消費(fèi)者個人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應(yīng)當(dāng)立即采取補(bǔ)救措施。

5.《密碼法》（2019年10月26日）

第12條 任何組織或者個人不得竊取他人加密保護(hù)的信息或者非法侵入他人的密碼保障系統(tǒng)。

任何組織或者個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動。

6.《反間諜法》（2014年11月1日）

第38條 本法所稱間諜行為，是指下列行為：

（一）間諜組織及其代理人實(shí)施或者指使、資助他人實(shí)施，或者境內(nèi)外機(jī)構(gòu)、組織、個人與其相勾結(jié)實(shí)施的危害中華人民共和國國家安全的活動；

（二）參加間諜組織或者接受間諜組織及其代理人的任務(wù)的；

（三）間諜組織及其代理人以外的其他境外機(jī)構(gòu)、組織、個人實(shí)施或者指使、資助他人實(shí)施，或者境內(nèi)機(jī)構(gòu)、組織、個人與其相勾結(jié)實(shí)施的竊取、刺探、收買或者非法提供國家秘密或者情報，或者策動、引誘、收買國家工作人員叛變的活動；

（四）為敵人指示攻擊目標(biāo)的；

（五）進(jìn)行其他間諜活動的。

7.《刑法》（2020年12月26日）

第253條 郵政工作人員私自開拆或者隱匿、毀棄郵件、電報的，處二年以下有期徒刑或者拘役。

犯前款罪而竊取財物的，依照本法第二百六十四條的規(guī)定定罪從重處罰。

8.《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年12月28日）

二、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。

三、網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動中收集的公民個人電子信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

●部門規(guī)章及文件

9.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第10條 電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

第18條 電信管理機(jī)構(gòu)及其工作人員對在履行職責(zé)中知悉的用戶個人信息應(yīng)當(dāng)予以保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

●司法解釋及文件

10.《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017年5月8日）

第3條 向特定人提供公民個人信息，以及通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“提供公民個人信息”。

未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的“提供公民個人信息”，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

● 案例指引^[4]

1.邵某明等侵犯公民個人信息案

案例要旨：非法出售戶籍信息、手機(jī)定位、住宿記錄等個人信息，構(gòu)成侵犯公民個人信息罪。2016年初，被告人邵某明、康某、王某、陸某陽分別以“調(diào)查公司”的名義向他人出售公民個人信息，被告人倪某鴻不久后參與。五被告人通過在微信朋友圈發(fā)布出售個人戶籍、車輛檔案、手機(jī)定位、個人征信、旅館住宿等各類公民個人信息的廣告的方式尋找客戶，接單后通過微信向上家購買信息或讓其他被告人幫忙向上家購買信息后加價出售，每單收取10元至1000余元不等的費(fèi)用。被告人違反國家有關(guān)規(guī)定，向他人出售公民個人信息，情節(jié)嚴(yán)重，其行為均已構(gòu)成侵犯公民個人信息罪。

2.韓某杰等侵犯公民個人信息案

案例要旨：非法查詢征信信息牟利，構(gòu)成侵犯公民個人信息罪。被告人利用某支行征信查詢員的征信查詢ID^[5]號、密碼及被告人其中一人提供的銀行專用網(wǎng)絡(luò)，在該行附近使用電腦非法查詢公民個人銀行征信信息數(shù)萬余條，并將查詢獲得的上述公民個人銀行征信信息出售給他。

3.周某城等侵犯公民個人信息案

案例要旨：非法購買學(xué)生信息出售牟利，構(gòu)成侵犯公民個人信息罪。2016年4月，被告人周某城向他人購買浙江省學(xué)生信息193萬余條。后被告人周某城又出售給被告人劉某、陳某、周某云，共計非法獲利65400元。上述被告人違反國家有關(guān)規(guī)定，向他人出售或者以購買的方法非法獲取公民個人信息，其行為均已構(gòu)成侵犯公民個人信息罪。

4.夏某曉侵犯公民個人信息案

案例要旨：非法買賣網(wǎng)購訂單信息，構(gòu)成侵犯公民個人信息罪。2015年10月至2016年7月，被告人夏某曉買賣大量含有公民姓名、收貨地址、手機(jī)號碼等內(nèi)容的網(wǎng)購訂單信息，非法獲利約5萬元。

5.肖某、周某等侵犯公民個人信息案

案例要旨：利用黑客手段竊取公民個人信息出售牟利，構(gòu)成侵犯公民個人信息罪。被告人肖某、周某預(yù)謀竊取通訊公司內(nèi)部的公民個人信息進(jìn)行出售牟利，共同出資購買了黑客軟件。二人通過黑客軟件侵入通訊公司內(nèi)網(wǎng)竊取其內(nèi)部的公民個人信息103257條，并將竊取的公民個人信息全部出售給被告人李某波。后李某波將購買的公民個人信息出售給被告人王某元40000條，王某元又將購買到的公民個人信息出售給被告人宋某波30000條。

6.杜某興、杜某龍侵犯公民個人信息案

案例要旨：通過互聯(lián)網(wǎng)非法購買、交換、出售公民個人信息，構(gòu)成侵犯公民個人信息罪被告人杜某興、杜某龍加入涉及個人信息交換買賣的QQ^[6]群，通過購買、交換等方式獲取大量公民個人信息，再在群里發(fā)布廣告招攬買家。

7.丁某光侵犯公民個人信息案

案例要旨：非法提供近2000萬條住宿記錄供他人查詢牟利，構(gòu)成侵犯公民個人信息罪“情節(jié)特別嚴(yán)重”。2013年年底，一家為全國4500多家酒店提供網(wǎng)絡(luò)服務(wù)的公司因系統(tǒng)存在安全漏洞，致使全國高達(dá)2000萬條賓館住宿記錄泄露。2015年初至2016年6月，被告人丁某光通過在不法網(wǎng)站下載的方式，非法獲取賓館住宿記錄等公民個人信息，并上傳至自己開辦的網(wǎng)站。該網(wǎng)站除能夠查詢住宿記錄外，還提供用戶QQ、部分論壇賬號及密碼找回功能。其中住宿記錄共有將近2000萬條，用戶經(jīng)注冊成為會員后，可以在網(wǎng)頁“開房查詢”欄目項下，以輸入關(guān)鍵字姓名或身份證號的方式查詢網(wǎng)站數(shù)據(jù)庫中賓館住宿記錄（顯示姓名、身份證號、手機(jī)號碼、地址、住宿時間等信息）。丁某光自2015年5月左右開始對該網(wǎng)站采取注冊會員方式收取費(fèi)用60元/人，到2016年1月上調(diào)到120元/人。2015年11月1日至2016年6月23日，案涉網(wǎng)站共有查詢記錄49698條，收取會員費(fèi)191440.92元。

第十一條 國家保護(hù)責(zé)任

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第3條 國家堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。

第4條 國家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略，明確保障網(wǎng)絡(luò)安全的基本要求和主要目標(biāo)，提出重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全政策、工作任務(wù)和措施。

第6條 國家倡導(dǎo)誠實(shí)守信、健康文明的網(wǎng)絡(luò)行為，推動傳播社會主義核心價值觀，采取措施提高全社會的網(wǎng)絡(luò)安全意識和水平，形成全社會共同參與促進(jìn)網(wǎng)絡(luò)安全的良好環(huán)境。

第11條 網(wǎng)絡(luò)相關(guān)行業(yè)組織按照章程，加強(qiáng)行業(yè)自律，制定網(wǎng)絡(luò)安全行為規(guī)范，指導(dǎo)會員加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，提高網(wǎng)絡(luò)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展。

第15條 國家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院其他有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時修訂有關(guān)網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)和運(yùn)行安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

國家支持企業(yè)、研究機(jī)構(gòu)、高等學(xué)校、網(wǎng)絡(luò)相關(guān)行業(yè)組織參與網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的制定。

第16條 國務(wù)院和省、自治區(qū)、直轄市人民政府應(yīng)當(dāng)統(tǒng)籌規(guī)劃，加大投入，扶持重點(diǎn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)和項目，支持網(wǎng)絡(luò)安全技術(shù)的研究開發(fā)和應(yīng)用，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，保護(hù)網(wǎng)絡(luò)技術(shù)知識產(chǎn)權(quán)，支持企業(yè)、研究機(jī)構(gòu)和高等學(xué)校等參與國家網(wǎng)絡(luò)安全技術(shù)創(chuàng)新項目。

第17條 國家推進(jìn)網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)，鼓勵有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險評估等安全服務(wù)。

第18條 國家鼓勵開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開放，推動技術(shù)創(chuàng)新和經(jīng)濟(jì)社會發(fā)展。

國家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式，運(yùn)用網(wǎng)絡(luò)新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平。

第19條 各級人民政府及其有關(guān)部門應(yīng)當(dāng)組織開展經(jīng)常性的網(wǎng)絡(luò)安全宣傳教育，并指導(dǎo)、督促有關(guān)單位做好網(wǎng)絡(luò)安全宣傳教育工作。

大眾傳播媒介應(yīng)當(dāng)有針對性地面向社會進(jìn)行網(wǎng)絡(luò)安全宣傳教育。

第20條 國家支持企業(yè)和高等學(xué)校、職業(yè)學(xué)校等教育培訓(xùn)機(jī)構(gòu)開展網(wǎng)絡(luò)安全相關(guān)教育與培訓(xùn)，采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進(jìn)網(wǎng)絡(luò)安全人才交流。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第9條 國家支持開展數(shù)據(jù)安全知識宣傳普及，提高全社會的數(shù)據(jù)安全保護(hù)意識和水平，推動有關(guān)部門、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)、個人等共同參與數(shù)據(jù)安全保護(hù)工作，形成全社會共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境。

第10條 相關(guān)行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律，指導(dǎo)會員加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展。

第14條 國家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用。

省級以上人民政府應(yīng)當(dāng)將數(shù)字經(jīng)濟(jì)發(fā)展納入本級國民經(jīng)濟(jì)和社會發(fā)展規(guī)劃，并根據(jù)需要制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃。

第17條 國家推進(jìn)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)。國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。國家支持企業(yè)、社會團(tuán)體和教育、科研機(jī)構(gòu)等參與標(biāo)準(zhǔn)制定。

第18條 國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動。

國家支持有關(guān)部門、行業(yè)組織、企業(yè)、教育和科研機(jī)構(gòu)、有關(guān)專業(yè)機(jī)構(gòu)等在數(shù)據(jù)安全風(fēng)險評估、防范、處置等方面開展協(xié)作。

第19條 國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場。

第20條 國家支持教育、科研機(jī)構(gòu)和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才，促進(jìn)人才交流。

3.《民法典》（2020年5月28日）

第111條 自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

4.《電子商務(wù)法》（2018年8月31日）

第69條 國家維護(hù)電子商務(wù)交易安全，保護(hù)電子商務(wù)用戶信息，鼓勵電子商務(wù)數(shù)據(jù)開發(fā)應(yīng)用，保障電子商務(wù)數(shù)據(jù)依法有序自由流動。

國家采取措施推動建立公共數(shù)據(jù)共享機(jī)制，促進(jìn)電子商務(wù)經(jīng)營者依法利用公共數(shù)據(jù)。

●部門規(guī)章及文件

5.《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（2013年7月16日）

第21條 鼓勵電信和互聯(lián)網(wǎng)行業(yè)協(xié)會依法制定有關(guān)用戶個人信息保護(hù)的自律性管理制度，引導(dǎo)會員加強(qiáng)自律管理，提高用戶個人信息保護(hù)水平。

第十二條 國際交流與合作

●法律

1.《網(wǎng)絡(luò)安全法》（2016年11月7日）

第7條 國家積極開展網(wǎng)絡(luò)空間治理、網(wǎng)絡(luò)技術(shù)研發(fā)和標(biāo)準(zhǔn)制定、打擊網(wǎng)絡(luò)違法犯罪等方面的國際交流與合作，推動構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間，建立多邊、民主、透明的網(wǎng)絡(luò)治理體系。

2.《數(shù)據(jù)安全法》（2021年6月10日）

第11條 國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動。