现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
个人信息保护
最后更新:2026-04-05 | 由 LLM 基于知识库原始资料编译
关联概念:网络安全与等保 | 数据出境合规 | 算法合规 | 数据跨境流动 | 重要数据保护
核心法条
- 《个人信息保护法》第 4 条:个人信息定义——以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 [现行有效]
- 《个人信息保护法》第 5-9 条:合法、正当、必要、诚信、公开透明、质量保证、安全保障原则 [现行有效]
- 《个人信息保护法》第 13 条:个人信息处理的七项合法性基础(同意、合同履行、法定职责、紧急避险、公共利益、已公开信息、其他法律规定) [现行有效]
- 《个人信息保护法》第 14-16 条:告知-同意规则、撤回权 [现行有效]
- 《个人信息保护法》第 23 条:向他人提供个人信息的单独同意要求 [现行有效]
- 《个人信息保护法》第 28-32 条:敏感个人信息的定义、单独同意、影响评估要求 [现行有效]
- 《个人信息保护法》第 44-47 条:知情权、决定权、查阅复制权、更正补充权、删除权 [现行有效]
- 《个人信息保护法》第 55 条:个人信息保护影响评估(PIA)义务 [现行有效]
- 《个人信息保护法》第 66 条:法律责任——最高可处5000万元或上年度营业额5%罚款、吊销许可 [现行有效]
- 《民法典》第 1034-1039 条:人格权编中的个人信息保护规则 [现行有效]
- 《网络安全法》第 41-44 条:网络个人信息收集使用规则 [现行有效]
- 最高法人脸识别司法解释:人脸识别等生物特征信息的特殊保护
- 《常见类型移动互联网应用程序必要个人信息范围规定》:必要个人信息边界 [现行有效]
- 《企业数据合规指引》第 16-18 条:上海企业数据合规中的个人信息处理规则 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、个人信息的定义与范围
1.1 定义:"识别+关联"的准双轨标准
《个人信息保护法》第 4 条确立了我国个人信息的定义:"以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。"这一定义采取了"识别+关联"双轨认定标准:
- 已识别信息:可以唯一确定特定自然人身份的信息(如身份证号、姓名、手机号码)
- 可识别信息:与其他信息结合后可合理关联到特定自然人的信息(如设备标识符、位置信息、行踪轨迹)
- 关联信息:虽不能直接识别但与该自然人"有关"的各种信息
与匿名化的界限:经匿名化处理后的信息不属于个人信息。匿名化是指通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原(《个保法》第 73 条第 4 项)。而去标识化处理的信息仍属于个人信息,因其具有被复原的可能性。
1.2 个人信息 vs 隐私
《民法典》第 1034 条:个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用个人信息保护的规定。两者存在交叉但非等同关系:
- 隐私:侧重"不愿被他人知晓的私人领域",保护核心是"不被知悉"
- 个人信息:侧重"可识别的自然人的信息",保护核心是"信息处理的合法性控制"
- 私密信息:两者的交集,如医疗记录、通信内容等
1.3 敏感个人信息的特殊保护
《个人信息保护法》第 28 条界定的敏感个人信息,一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害:
| 类型 | 具体范围 | 实务要点 |
|---|---|---|
| 生物识别信息 | 人脸、指纹、虹膜、声纹、步态等 | 不得强制收集,需单独同意+风险评估 |
| 宗教信仰 | 宗教信仰状况及其相关信息 | 极少场景有合法处理基础 |
| 特定身份 | 政治属性、社会组织身份、特定群体身份等 | 结合具体场景判断 |
| 医疗健康 | 病历、体检、心理、基因、遗传数据 | 《人脸识别司法解释》对公共场所采集有特别限制 |
| 金融账户 | 银行账户、证券账户、支付账户、征信记录 | 金融机构另有金融监管要求 |
| 行踪轨迹 | GPS 定位、行程轨迹、轨迹定位 | 与地图、导航、打车类 App 合规高度相关 |
| 未成年人信息 | 不满14周岁未成年人的全部个人信息 | 一律视为敏感信息,需监护人同意 |
二、个人信息处理的合法性基础与同意机制
2.1 七项合法性基础(第 13 条)
与欧盟 GDPR 类似,我国采取"同意+其他合法性基础"的多元模式:
- 取得个人同意——最常用,但须符合自愿、明确、充分知情等要件
- 合同必需——为订立、履行个人作为一方当事人的合同所必需
- 法定职责/义务——履行法定职责或法定义务所必需
- 紧急避险——为应对突发公共卫生事件,或紧急情况下保护生命健康和财产安全
- 公共利益——合理范围内实施新闻报道、舆论监督
- 已公开信息——在合理范围内处理已合法公开的个人信息
- 其他法律规定——法律、行政法规规定的其他情形
2.2 告知-同意规则的实务要点
根据《企业数据合规指引》第 16 条及《个保法》的要求,同意机制须满足:
- 禁止概括条款:按服务类型分别申请同意,不得使用概括性条款取得同意
- 单独同意:敏感个人信息处理、向第三方提供信息、跨境传输等须取得单独同意
- 禁止强迫:不得以改善服务质量、提升体验、研发新产品为由强迫同意
- 禁止欺诈/诱导:不得通过捆绑不同类型服务、批量申请同意等方式诱导或强迫
- 禁止干扰:个人明确表示不同意后,不得频繁征求同意、干扰正常使用
- 目的变更重同意:处理目的、方式、种类变更时须重新取得同意
- 撤回权:个人有权随时撤回同意,不影响撤回前已处理的合法性
《常见类型移动互联网应用程序必要个人信息范围规定》对不同 App 类型的必要个人信息范围作了清单式界定,App 不得以用户不同意提供非必要为由拒绝提供基本功能服务。
2.3 人脸等生物特征信息的特殊保护
最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》确立了以下规则:
- 单独同意:处理人脸信息须经个人单独同意
- 不得强制:经营场所不得以个人不同意人脸识别为由拒绝提供基本服务(除非有替代方案)
- 风险评估:利用生物特征进行身份认证须评估必要性、安全性
- 公共场所限制:宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等收集使用人脸信息须严格遵守法律规定
三、个人信息主体的权利
3.1 权利体系
| 权利 | 法律依据 | 实务要点 |
|---|---|---|
| 知情权与决定权 | 第 44 条 | 有权知悉处理规则和目的,有权决定处理方式 |
| 查阅权与复制权 | 第 45 条 | 处理者应及时提供,不得设置不合理条件拒绝 |
| 更正权与补充权 | 第 46 条 | 信息不准确或不完整时可请求更正补充 |
| 删除权 | 第 47 条 | 目的已实现、撤回同意、违法处理等情形下行使 |
| 解释说明权 | 第 48 条 | 有权要求处理者对个人信息处理规则进行解释说明 |
| 可携带权 | 第 45 条第 3 款 | 符合条件时可请求转移至指定处理者 |
| 近亲属权利 | 第 49 条 | 自然人死亡后,近亲属可依利益需要行使查阅、复制、更正、删除权 |
3.2 删除权的适用场景(第 47 条)
以下情形个人信息处理者应当主动删除,个人也可请求删除:
- 处理目的已实现、无法实现或者为实现处理目的不再必要
- 个人信息处理者停止提供产品或服务,或者保存期限已届满
- 个人撤回同意
- 个人信息处理者违反法律、行政法规或者违反约定处理个人信息
- 法律、行政法规规定的其他情形
实务难点:删除义务与留痕义务(如网络安全日志留存的 6 个月最低要求)之间的冲突,处理者应当对个人信息作匿名化处理以消除可识别性。
四、个人信息处理者的合规义务
4.1 基本安全义务(第 51 条)
- 制定内部管理制度和操作规程
- 对个人信息实行分类管理
- 采取相应的加密、去标识化等安全技术措施
- 合理确定操作权限,定期培训
- 制定应急预案
- 法律、行政法规规定的其他措施
4.2 个人信息保护影响评估(PIA,第 55-56 条)
处理个人信息有下列情形之一的,应当事前进行影响评估并记录保存至少 3 年:
- 处理敏感个人信息
- 利用个人信息进行自动化决策
- 委托处理个人信息、向其他处理者提供、公开个人信息
- 向境外提供个人信息
- 其他对个人权益有重大影响的个人信息处理活动
4.3 合规管理框架
根据《企业数据合规指引》第 6-10 条的实务框架:
- 第一责任人:企业最高管理者
- 部门设置:数据合规管理部门,不宜由法务部门单独承担
- 日志保存:个人同意记录及提供个人信息的日志记录至少保存 5 年
- 投诉举报:建立便捷渠道,每年公开披露投诉受理和处理情况
五、常见争议
5.1 "同意"的效力认定
核心问题:何种情形下的"同意"应认定为无效?
裁判规则:
- 概括条款、捆绑式同意:无效(《企业数据合规指引》第 16 条)
- 不同意即拒绝提供基本功能服务:无效
- 以默示/默认方式取得的同意:原则上无效,须自愿、明确作出
- 欺诈、胁迫、误导方式取得的同意:无效
- 例外:合同必需、法定职责等情形下无需同意
5.2 个人信息的权属争议
核心问题:个人信息是否存在财产属性?企业基于用户数据形成的数据产品,其权益如何认定?
实务趋势:
- "数据三权分置"理论正在探索(数据来源者权益→数据处理者权→数据产品经营权)
- 最高人民法院已发布数据权益司法保护指导性案例
- 企业不能仅凭用户同意条款就取得用户个人信息的财产权
5.3 个人信息保护与知情权的冲突
核心问题:用户要求查阅企业持有的本人信息,与企业的商业秘密保护之间如何平衡?
裁判规则:
- 个人查阅复制权优先,企业不得以商业秘密为由完全拒绝(姚建军,参见知识库相关研究)
- 可采取信息脱敏、部分隐瞒等方式在保护商业秘密的同时满足个人请求
5.4 人脸识别的司法适用
最高法人脸识别司法解释要点:
- 信息处理者处理人脸信息,未取得单独同意的,构成侵权
- 物业、经营场所等不得以人脸识别作为唯一验证方式
- 涉及未成年人人脸信息的,须取得监护人的单独同意
知识库原始资料索引
法律
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
- 中华人民共和国民法典(人格权编)
- 中华人民共和国数据安全法
法院审判指导
- 常见类型移动互联网应用程序必要个人信息范围规定
地方指引
- 企业数据合规指引(上海市杨浦区)
学术研究
- 《个人信息保护法》适用要点解读(中伦文德)/_个人信息保护法_适用要点解读.md)
- 程啸:我国个人信息法律保护的里程碑
- 姚建军:个人信息保护与知情权冲突的裁判
- 邵山:个人信息保护法告知同意规则的实务疑难问题
- 薛天涵:个人信息保护公益诉讼制度的法理展开
实务文章
- 海泰视点:润物细无声的数据合规法律问题
- 滴滴因违法收集个人信息下架:企业数据合规
- 2024年数据保护领域值得关注的10大趋势