主持人：今天的节目继续普法关于民法典中民众关注的法律问题，嘉宾詹惠玉律师将和我们来聊聊民法典中的个人信息保护与刚刚出台的《个人信息保护法》。

去餐厅吃饭被要求扫码点餐，且必须填写姓名、出生年月、手机号码等与服务无关的个人信息；想下载使用一款App，需要和平台方达成“交易”，点选是否允许授权打开相册、是否允许授权打开通讯录、是否允许授权开启定位……近年来，诸如此类收集信息的方式，频频引发人们对个人信息泄露的担忧和质疑。

这些应该都是属于个人信息和隐私权的问题，那么法律对此是怎么规定的呢？

詹律师：

主持人好，听众朋友好！

您说的这个问题，恐怕确实是近年来几乎每个人都遇到过的窘境，因为不愿意提供这些个人信息就放弃一次朋友聚餐，或者导致聚餐不愉快，肯定不是人们喜闻乐见的事情。

近期最热点的新法《个人信息保护法》应声出台！所以今天要来聊聊个人信息保护和隐私权在法律上的规定。

在《民法典》中“人格权篇”单独成章，规定隐私权和个人信息保护，在民事私法领域为隐私权和个人信息保护提供救济基础，弥补公法保护的不足，契合了新时代人们的司法需求，具有重大意义。

主持人：民法典具体有哪些规定呢？

詹律师：

《民法典》第六章 隐私权和个人信息保护

第1032条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

【民法典中“隐私”定义】隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

第1033条 除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：

（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；

（二）进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；

（三）拍摄、窥视、窃听、公开他人的私密活动；

（四）拍摄、窥视他人身体的私密部位；

（五）处理他人的私密信息；

（六）以其他方式侵害他人的隐私权。

【民法典中个人信息的定义】第1034条 自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

第1035条 处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第1036条 处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

第1037条 自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

第1038条 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第1039条国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。

主持人：个人信息和隐私权之间有什么区别？

詹律师：参与民法典编撰的王利民教授就此有过专门论述，跟大家分享一下：

“就整体而言，个人信息这一概念远远超出了隐私权的范畴”，就权利内容的界分，隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等，对隐私权的侵害主要是非法的披露和骚扰。

而个人信息权主要是指对个人信息的支配和自主决定。包括对信息被收集、利用等的知情权，以及自己利用或者授权他人利用的决定权等内容。个人信息权称为“信息自决权。所以，即使一些个人信息与隐私之间存在交叉，但隐私权制度的重心在于防范个人秘密不被非法披露，侵害个人信息，主要表现为非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态。其中，大量侵害个人信息的行为都表现为非法篡改、加工、使用个人信息的行为。

主持人：个人信息保护法出台又带来哪些改变呢？

詹律师：

个人信息保护法，在2021年8月20日公布，将于2021年11月1日实施。

与民法典6个条文的基础性保护相比较，个人信息保护法用74个条文，对个人信息的保护明确和具体化了。

个人信息保护的核心规制：个人信息处理以“告知-同意”规则为核心，且须遵循法定原则并落实安全保障责任。

根据《个人信息保护法》的规定， 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除全流程。

对个人信息进行处理，需要满足以下条件：

一、知情同意（告知-同意）：①充分知情下的自愿、明确同意。除特定情形外，个人信息处理应当以个人在充分知情的前提下自愿、明确作出同意的规则为核心；②同意后可撤回。基于信息主体同意处理个人信息的，还应当允许个人撤回同意。③并更-重新同意。处理目的、处理方式和处理的个人信息种类发生变更的，还应当重新取得个人同意。

二、遵循合法、正当、必要、诚信、公开、透明的基本原则。具体而言，处理个人信息，应当具有明确、合理的目的，公开个人信息处理规则，明示处理的目的、方式和范围；收集个人信息，应当限于实现处理目的的最小范围。

如前面主持人说的，餐厅点个餐都要提供大量个人信息，已经违背个人信息收集正当、必要、合理目的原则要求，根据《个人信息保护法》的规定，这是一种违法行为，《个人信息保护法》的出台能够遏制App“强制同意”乱象。

《个人信息保护法》：

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第七条 处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

三、具备安全保障能力。具体而言，个人信息处理者应当采取必要措施保障所处理的个人信息的安全；同时保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

《个人信息保护法》：

第八条 处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

主持人：

还有一种常见现象：用户用两款手机分别打开某旅行App订酒店，点选同样的酒店、同样的时段后发现，老用户比新用户要多花钱;拨打客服电话得到的回复是：确实存在会员价格比新客户贵的情况，原因是平台对新用户的优惠力度较大。

詹律师：这叫做“大数据杀熟”，《个人信息保护法》予以禁止

“大数据杀熟”违反了《个人信息保护法》第五条规定的处理个人信息应当遵循诚信原则，也侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，是法律予以禁止的行为。

主持人：　据《中国互联网络发展状况统计报告》显示，截至2020年12月，我国小学及以下网民群体占比由2020年3月的17.2%提升至19.3%，未成年人已经是我国网民的重要组成部分。但随着互联网的不断普及，网络直播诱导打赏、网络暴力等侵害青少年个人信息合法权益的情况屡有发生。《个人信息保护法》对于未成年人信息的有什么特殊的保护？

詹律师：未成年人信息被列为敏感个人信息

个人信息保护法首次确立了“敏感个人信息”的法律概念，同时不满14周岁未成年人信息直接被列为“敏感个人信息”。根据规定，处理“敏感个人信息”比处理一般个人信息更为严格，只有在特定目的和充分必要情形下，并采取严格保护措施的情形下，取得个人单独或书面同意才能进行，体现了分类保护的思路。

《个人信息保护法》第二节 敏感个人信息的处理规则

【敏感信息定义】第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

【敏感信息单独、书面同意】第二十九条 处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

【特殊告知】第三十条 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

【未成年人专门保护】第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

主持人：互联网平台服务提供者能够获得用户的大量个人信息，法律对此是否有特殊的规制呢？

詹律师：

《个人信息保护法》第58条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

这些条款被称为“个人信息守门人”规定。

相关题目：

判断题

1.处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。（√）

2.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。（√）

3.处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。（√）