作 者：王万俊 成都市人大常委会法制工作委员会主任

本文经作者同意授权转载

法律底线，是任何组织和个人都必须遵守的最重要的行为规范。法律文本中，法律底线主要是以“不得”“禁止”等词语作出的禁止性规范。个人信息处理方面的法律底线，也是以这种词语表述方式，载明于有关法律文本之中。

个人信息，通常指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。按照《民法典》第一千零三十四条，个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中，有一种比较特殊的信息，叫“敏感个人信息”。按照《个人信息保护法》第二十八条的规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

个人信息与个人隐私，即相互关联，又彼此区别。按照《民法典》第一千零三十二条，个人隐私，是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

从信息的角度看，个人信息的含义，大于个人隐私。个人隐私信息，大体上与“敏感个人信息”相当。成年人的个人姓名，属于个人信息，但不属于个人敏感信息。经匿名化处理后的各种个人信息，不再属于法律上的个人信息，更不属于个人隐私信息。

对个人信息特别是敏感个人信息或者个人隐私的保护，我国法律十分重视。除个人信息保护法和民法典外，网络安全法、电子商务法、消费者权益保护法、传染病防治法、公证法、农村土地承包经营纠纷调解仲裁法、公共图书馆法、国家情报法、反恐怖主义法、行政复议法、行政诉讼法、民事诉讼法、广告法、未成年人保护法、慈善法、刑法等现行有效法律，均从不同的角度对个人信息保护作了明确的规定，划定出个人信息处理方面的法律底线。

个人信息处理，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理方面的法律底线，主要有下列四十三个方面：

01 自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。（个人信息保护法第二条）

02 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。（个人信息保护法第五条）

03 收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。（个人信息保护法第六条）

04 任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。（个人信息保护法第十条、民法典第一百一十一条）

05 任何组织、个人不得从事危害国家安全、公共利益的个人信息处理活动。（个人信息保护法第十条）

06 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。（个人信息保护法第十六条）

07 个人信息处理者委托处理个人信息的，受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。（个人信息保护法第二十一条）

08 个人信息处理者委托处理个人信息，委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。（个人信息保护法第二十一条）

09 未经个人信息处理者同意，受托人不得转委托他人处理个人信息。（个人信息保护法第二十一条）

10 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。（个人信息保护法第二十四条）

11 个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。（个人信息保护法第二十五条）

12 在公共场所安装图像采集、个人身份识别设备，所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。（个人信息保护法第二十六条）

13 国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。（个人信息保护法第三十四条）

14 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。（民法典第一千零三十九条）

15 非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。（个人信息保护法第四十一条）

16 履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。（个人信息保护法第六十三条）

17 任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。（民法典第一千零三十二条）

18 任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。（民法典第一千零三十三条）

19 任何组织或者个人不得进入、拍摄、窥视他人的住宅、宾馆房间等私密空间。（民法典第一千零三十三条）

20 任何组织或者个人不得拍摄、窥视、窃听、公开他人的私密活动。（民法典第一千零三十三条）

21 任何组织或者个人不得拍摄、窥视他人身体的私密部位。（民法典第一千零三十三条）

22 任何组织或者个人不得处理他人的私密信息。（民法典第一千零三十三条）

23 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。（民法典第一千零三十八条）

24 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。（网络安全法第四十一条）

25 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。（网络安全法第四十二条）

26 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。（网络安全法第四十四条）

27 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。（网络安全法第四十五条）

28 有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。（电子商务法第二十五条）

29 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。（消费者权益保护法第二十九条）

30 经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。（消费者权益保护法第二十九条）

31 经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。（消费者权益保护法第二十九条）

32 在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。（传染病防治法第十二条）

33 公证机构不得泄露在执业活动中知悉的个人隐私。（公证法第十三条）

34 公证员不得泄露在执业活动中知悉的个人隐私。（公证法第二十三条）

35 农村土地承包经营纠纷仲裁证据，应当在开庭时出示，但涉及国家秘密、商业秘密和个人隐私的证据不得在公开开庭时出示。（农村土地承包经营纠纷调解仲裁法四十条）

36 公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售或者以其他方式非法向他人提供。（公共图书馆法第四十三条）

37 国家情报工作机构及其工作人员应当严格依法办事，不得泄露国家秘密、商业秘密和个人信息。（国家情报法第十九条）

38 因报告和制止恐怖活动，在恐怖活动犯罪案件中作证，或者从事反恐怖主义工作，本人或者其近亲属的人身安全面临危险的，经本人或者其近亲属提出申请，公安机关、有关部门应当采取，不公开真实姓名、住址和工作单位等个人信息。（反恐怖主义法第七十六条）

39 证据应当在法庭上出示，并由当事人互相质证。对涉及国家秘密、商业秘密和个人隐私的证据应当保密，需要在法庭出示的，不得在公开开庭时出示。（民事诉讼法第六十八条）

40 广告不得危害人身、财产安全，泄露个人隐私。（广告法第九条）

41  涉及国家秘密、商业秘密、个人隐私的信息以及捐赠人、慈善信托的委托人不同意公开的姓名、名称、住所、通讯方式等信息，不得公开。（慈善法第七十六条）

42 任何组织或者个人不得披露未成年人的个人隐私。（未成年人保护法第三十九条）

43 对未成年人的信件、日记、电子邮件，任何组织或者个人不得隐匿、毁弃；除因追查犯罪的需要，由公安机关或者人民检察院依法进行检查，或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外，任何组织或者个人不得开拆、查阅。（未成年人保护法第三十九条）

任何个人信息处理者（组织或者个人）违反上述法律底线规定，收集、存储、传输、买卖、泄露、公开他人的个人信息，拍摄、窥视、窃听、侵扰他人的个人隐私，均属于违法，甚至涉嫌犯罪。个人信息和隐私权受到侵害的自然人，可以要求有关个人信息处理者立即改正，或者向网信部门等县级以上地方人民政府履行个人信息保护职责的部门投诉，或者向人民法院提起起诉。如果是众多自然人的个人信息权益受到侵害，还可以向人民检察院、消费者组织等反映，寻求公益诉讼支持。如果发现有关个人信息处理者涉嫌侵犯公民个人信息罪的，还应当及时向公安机关报案。

 附：《刑法》第二百五十三条之一（侵犯公民个人信息罪）

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

作者简介

王万俊，中国人民大学法学博士，现任成都市人大常委会法制工作委员会主任。2014年05月，任成都市人民政府法制办公室副主任。2019年01月，任成都市司法局副局长。2023年12月，任成都市人大常委会法制工作委员会主任。