广东英物律师事务所的邓小红律师

随着信息技术的飞速发展，网络和大数据时代悄然来临，个人信息的地位和重要性不断提升，数字经济的蓬勃发展大大方便人们生活的同时，个人信息的泄露现象却越发严重。为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过，自2021年11月1日起施行。

《个人信息保护法》其实已经正式实施一年有余了，根据第51次中国互联网络发展状况统计报告，截至2022年12月，我国网民规模为10.67 亿，同比增加3.4%，互联网普及率达75.6%，其中19.6%的网民表示遭遇过个人信息泄露，较2021年的22.2%同比下降2.6个百分点。可能各位听众朋友自己或亲友都或多或少遭遇过垃圾信息和骚扰电话的经历，个人信息泄露不仅严重影响了我们的日常生活，甚至是很多违法犯罪的上游犯罪，因此个人信息的保护刻不容缓。

在了解个人信息保护的相关法律知识之前，我们应先明晰个人信息的概念，哪些信息属于个人信息？

民法典第一千零三十四条规定了个人信息的概念：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。《个人信息保护法》第四条规定的个人信息的概念是：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

原来除了姓名、出生日期、身份证号码、电话号码这些个人基本信息外，能与其他信息结合识别特定自然人的信息也属于个人信息的范畴，例如设备中的位置信息、社交账号等设备信息和账户信息，甚至上网时间、地点、访问情况等网络行为信息也属于个人信息。

那么是否得到个人的同意后就可以使用个人信息了？

不只是要征得个人的同意，处理个人信息还应遵循合法、正当、必要原则，民法典第一千零三十五条规定了个人信息处理的原则，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

除了民法典的相关规定外，《个人信息保护法》是否有规定个人信息处理的一般规则？

《个人信息保护法》第十三条规定了个人信息处理规则的一般规定：符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

民法典和《个人信息保护法》都反复提到了处理个人信息前需取得个人的同意，这个同意应当是在何种方式作出的？

《个人信息保护法》第十四条规定：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

如果本人后续不愿意再授权他人处理我的个人信息，这个同意本人是否可以撤回？

可以撤回的。《个人信息保护法》第十五条规定：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

如果本人不同意授权他人处理我的个人信息，例如一些手机上的app软件，不同意这个app收集、使用我的个人信息的话，是否还可以使用这个app中的产品和服务？

《个人信息保护法》第十六条规定：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。根据这一法律规定，原则上是可以使用这类型app的。

现在实践中经常出现一种大数据杀熟的现象，同样的商品或服务，老客户看到的价格反而比新客户要贵出许多，商家这种大数据杀熟行为是否合法？

商家的大数据杀熟行为违反了《个人信息保护法》第二十四条的规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

现在很多公共场所都安装了人脸识别系统，其收集到的人脸信息是否有相应的保护措施？

《个人信息保护法》第二十六条专门对公共场所个人信息的保护进行了规定：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

对于个人信息中涉及生物识别、金融账户等较为重要的个人信息，是否有更为严格的保护措施？

刚刚提到的涉及生物识别、金融账户等信息的个人信息属于敏感个人信息，我国《个人信息保护法》对敏感信息采取了更为严格的保护措施。《个人信息保护法》第二十八条规定了敏感个人信息的定义和处理条件：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。另外，《个人信息保护法》第二十九条规定：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

现在侵犯公民个人信息已成为大量涉网违法犯罪的上游犯罪。哪种侵害个人信息权益的行为可能构成犯罪？

根据刑法第二百五十三条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

广东省高级人民法院曾发布一批个人信息保护典型案例，涉及严厉打击侵犯公民个人信息犯罪、防止个人信息“过度收集”、保障行使个人信息查阅复制权、规范网络平台依法使用个人信息等内容。

下面向大家简单介绍其中一个构成侵犯公民个人信息犯罪的典型案例。

2018年5月，某网络科技公司的实际经营者蔡某某与尹某共谋，通过该公司向上游某软件公司购买含有电话号码、登录平台名称和次数等内容的公民个人信息，再以每条0.35元或0.5元的价格转卖给尹某。蔡某某指派员工刘某、李某具体负责信息买卖业务，至案发前累计出售公民个人信息741238条，获利约50万元。尹某将上述公民个人信息转售给刘某中、刘某翠等人（已判刑），获利66万多元。刘某中、刘某翠利用购得的公民个人信息组建“股民微信交流群”，后致被害人海某被骗。

一审法院认为，某网络科技公司、尹某无视国家法律，违反国家有关规定，向他人购买、出售公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。蔡某某、刘某、李某作为对某网络科技公司直接负责的主管人员和直接责任人员，应以侵犯公民个人信息罪追究其刑事责任。故以侵犯公民个人信息罪判处某网络科技公司罚金80万元；判处尹某有期徒刑三年六个月，并处罚金70万元；判处蔡某某有期徒刑三年八个月，并处罚金30万元；分别判处刘某、李某有期徒刑一年十个月，并处罚金3万元；追缴某网络科技公司违法所得50万元、尹某违法所得661209元。阳江市中级人民法院二审维持原判。

该案是具有典型意义的，即侵犯公民个人信息罪的犯罪主体既包括个人，也包括单位。本案中，人民法院根据各被告人的犯罪性质、情节轻重等依法作出判决，同时对涉案单位处以刑罚，全方位严厉打击侵犯个人信息犯罪行为。

邓律师对大家个人信息保护的建议：

公安部相关负责人在打击侵犯公民个人信息违法犯罪成效情况新闻发布会答记者问中提到，为有效保护个人信息，广大群众应做到“三个不”。一是不乱扔，妥善保管、处置好个人信息的载体，包括一些文件、快递单、外卖单等；二是不乱给，不要在互联网公开平台随意发布个人信息或者提供给他人使用，特别是个人身份证号、电话号码、家庭住址、银行卡号等；三是不乱点，不要随意点击和下载来历不明的网址链接、二维码、免费wifi热点等，不要随意点击App手机软件获取设备权限的“同意”按钮，并在电脑、手机上安装防护软件，及时更新升级，防止恶意木马、程序窃取个人信息。