中 国 黄 金 普 法 月 刊（第4期）

中国黄金集团有限公司             主办部门：审计部、法律合规部



个人信息保护法专刊
 

刊首语

为深入学习宣传习近平法治思想，落实“八五”普法要求，响应党史学习教育领导小组关于“我为群众办实事”号召，增强法治宣传教育针对性和实效性，《中国黄金普法月刊》自本期开始将广泛宣传与干部职工群众切身利益密切相关的法律法规，聚焦群众在工作生活中最常遇到的共性法律问题，用简洁专业、生动易懂的语言介绍立法最新动态和典型司法案例，把普法工作办实办好，使干部职工群众自觉尊崇、信仰法律，鼓励干部职工群众善用法律武器维护合法正当权益。《普法月刊》将重点开展民法典普法工作，让民法典走到群众身边、走进群众心里，引导全体员工做社会主义法治的忠实崇尚者、自觉遵守者、坚定捍卫者，使依法合规、守法诚信成为全体员工的自觉共识和基本行为准则。

在信息化时代，个人信息保护与群众生活密切相关，为增强群众对个人信息的保护意识及维权能力，本期个人信息保护法专刊将重点介绍于2021年11月1日正式生效的《中华人民共和国个人信息保护法》以及与人脸信息保护息息相关的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。


 

目  录

【法律速递】 
【法律释义】 
一、个人信息的定义 
二、个人信息处理的一般原则 
三、个人信息处理的基本规则 
四、敏感个人信息的处理规则 
五、个人在个人信息处理活动中的权利 
六、侵犯个人信息行为的法律责任 
【典型案例】 
一、案情简介 
二、一审判决 
三、二审判决 
四、案例解读 
五、延伸思考 
【普法小贴士】

【法律速递】

2021年1月1日正式实施的《中华人民共和国民法典》将人格权独立成编，并以“隐私权和个人信息保护”专章方式，对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。《民法典》虽已勾勒出基础的个人信息保护框架，但其主要聚焦的是遭受侵害后的法律救济问题，若要进一步增强法律规范的系统性、针对性，依然需要对个人信息保护进行专门立法。2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，自2021年11月1日起正式施行。
《个人信息保护法》作为一部个人信息保护方面的专门法律，与《民法典》的有关规定相衔接，该法对个人信息处理活动中个人的各项权利进行了明确，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。该法确立了个人信息处理应遵循的原则，也适用于个人金融信息。该法强调处理个人金融信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围；按照公开处理规则，保证个人金融信息准确，采取安全保护措施等，并将上述原则贯穿于个人金融信息处理的全过程、各环节。同时，该法确立了以“告知—同意”为核心的个人金融信息处理一系列规则，要求处理个人金融信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。

【法律释义】

一、个人信息的定义

《个人信息保护法》第一章第四条对个人信息及个人信息的处理行为的概念作了清晰界定。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

二、个人信息处理的一般原则

《个人信息保护法》第二章第一节对个人信息处理的一般原则进行了提炼。处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。个人信息的保存期限应当为实现处理目的所必要的最短时间。

三、个人信息处理的基本规则

《个人信息保护法》第二章第一节进一步构建了以“告知+同意”为核心的个人信息处理基本规则。
取得个人的同意前提下，个人信息处理者方可处理个人信息。基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
用户在首次使用一款APP时，APP会首先弹出个人信息授权提示，索取用户手机号、短信、位置、相册、日历等各方面无死角的个人信息，如果用户不点击同意则无法进行下一步正常使用。即便APP对用户个人信息的搜集超出了提供相关服务所必要的最小搜集范围，但用户无法选择只同意APP搜集部分必要信息，而只能选择要么不使用APP，要么一揽子同意APP的所有搜集信息请求。《个人信息保护法》对此类以拒绝服务相要挟，强制搜集用户非必要信息个人信息的行为作出了规制，规定个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。
除了取得个人同意这一规则外，另一项个人信息处理基本规则是告知。个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：一是个人信息处理者的名称或者姓名和联系方式；二是个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；三是个人行使本法规定权利的方式和程序；四是法律、行政法规规定应当告知的其他事项。
如果个人信息处理者通过制定个人信息处理规则的方式告知前述事项的，处理规则应当公开，并且便于查阅和保存。如果前述事项发生变更的，个人信息处理者应当将变更部分告知个人。
此外，《个人信息保护法》对于APP过度搜集个人信息、大数据杀熟以及非法买卖泄露个人信息的行为作出了规范，《个人信息保护法》第二十四条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

敏感个人信息的处理规则

《个人信息保护法》第二章第二节对敏感个人信息处理的基本规则作出了特别规定。
敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人在个人信息处理活动中的权利

《个人信息保护法》第四章列举了个人在个人信息处理活动中的相关权利。
首先，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。第二，个人有权向个人信息处理者查阅、复制其个人信息；个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。第三，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。第四，我国《个人信息保护法》借鉴《欧盟数据保护通用条例》中的被遗忘权制度而衍生出的数据删除权，即有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：处理目的已实现、无法实现或者为实现处理目的不再必要；个人信息处理者停止提供产品或者服务，或者保存期限已届满；个人撤回同意；个人信息处理者违反法律、行政法规或者违反约定处理个人信息；法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

侵犯个人信息行为的法律责任

《个人信息保护法》加大了对侵犯个人信息行为的处罚力度，对于违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。
处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

【典型案例】

一、案情简介

一滴水，能折射太阳光辉。一桩案，能彰显法治道理。2021年4月9日，浙江省杭州市中级人民法院就郭兵与杭州野生动物世界有限公司服务合同纠纷二审案件，作为我国“人脸识别第一案”，依法公开宣判。
2019年4月27日，郭兵购买野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭兵发送短信通知相关事宜，要求其进行人脸激活，双方协商未果，遂引发本案纠纷。

二、一审判决

2020年11月20日，杭州市富阳区人民法院作出一审判决，判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元；删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息；驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭兵与野生动物世界均不服，向杭州中院提起上诉。2020年12月11日，杭州中院立案受理该案，并于同年12月29日公开开庭进行审理。

三、二审判决

杭州中院经审理认为，郭兵在知悉野生动物世界指纹识别店堂告示内容的情况下，自主作出办理年卡的决定并提供相关个人信息，该店堂告示对双方均具约束力，且不符合格式条款无效的法定情形；而人脸识别店堂告示并非双方的合同条款，对郭兵不发生效力。野生动物世界为游客游览提供了不同入园方式的选择，郭兵知情同意后办理指纹年卡，其选择权未受到侵害。野生动物世界亦不存在欺诈行为。但野生动物世界单方变更入园方式构成违约，应承担违约责任。一审法院判决野生动物世界赔偿郭兵合同利益损失678元、交通费360元均属适当。野生动物世界欲将其已收集的照片激活处理为人脸识别信息，超出事前收集目的，违反了正当性原则，故应当删除郭兵办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机，致使原约定的入园服务方式无法实现，亦应当删除郭兵的指纹识别信息。据此，二审在原判决的基础上增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。

四、案例解读

本案系因野生动物世界收集、使用生物识别信息验证身份引发的服务合同纠纷。自然人的个人信息受法律保护。生物识别信息作为敏感的个人信息，因其不可更改性和直接识别性等特点，深度体现自然人的生理和行为特征，具备较强的人格属性，其使用关系到人身、财产的核心利益。生物识别信息一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到不测危害，故应当更加谨慎处理和严格保护。
年卡服务模式是野生动物世界在保留传统单次购票入园方式基础上，基于自身商业经营需要所采取的营销方式。因年卡具有特定的人身属性，生物识别技术又具有准确度高、使用便捷等客观优势，故野生动物世界通过店堂告示告知消费者办理年卡需收集、使用生物识别信息用于入园身份验证。而消费者对是否允许经营者使用自身的生物识别信息享有自决权。郭兵在综合权衡后自主决定提供包括指纹在内的相关个人信息成为年卡消费者，其知情权、选择权并未受到限制或侵害。
然而，野生动物世界擅自将入园方式由指纹识别变更为人脸识别，并发送短信告知郭兵未注册人脸识别将无法正常入园，侵害了郭兵作为消费者的信赖利益，有违诚实信用原则，构成违约。野生动物世界除赔偿损失之外，还应当鉴于其在履约过程中停止提供指纹识别入园服务而删除指纹识别信息。同时，郭兵在办卡时同意拍摄照片系为了配合指纹年卡的使用，不应视为其已授权同意野生动物世界将照片用于人脸识别，嗣后野生动物世界要求郭兵激活人脸识别，实际上是欲利用收集的照片扩大信息处理范围，不仅超出事前收集目的，也表明其存在侵害郭兵面部特征信息之人格利益的可能与危险，故亦应当删除郭兵办卡时提交的包括照片在内的面部特征信息。

延伸思考
人脸识别还有一个重要的使用场景是在居民小区。越来越多小区声称为了防疫而推广无接触式的人脸识别门禁系统。人脸识别门禁系统固然有方便快捷的优势，但有些小区物业把人脸识别作为进入小区的唯一方式，强迫居民录脸却不签署任何人脸信息使用授权文件，更换旧的人脸识别系统时不删除人脸信息，又要求居民在新系统里录脸，这些行为已经触及法律红线。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条规定， 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。物业服务企业或者其他建筑物管理人存在未公开处理人脸信息的规则或者未明示处理的目的、方式、范围，未征得自然人或者其监护人的单独同意处理人脸信息，违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围，未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失，违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息，以及违反合法、正当、必要原则、违反公序良俗原则处理人脸信息的其他情形时，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。

【普法小贴士】

我们在使用各类五花八门的APP为我们的生活带来便利的同时，也面临着个人信息等人格权益被侵犯的风险。我们应该重视个人信息保护，审慎授权别人处理我们的个人信息。下面为大家提示一些保护个人信息的小技巧：
1.网购谨防钓鱼网站，仔细查看网址，不轻易接收和安装不明软件，慎重填写银行账户和密码。
2.妥善处置含个人信息的单据，例如快递单、车票、机票、购物小票等包含个人信息的资料，一定要妥善处理好，撕成碎片或涂抹掉个人信息后再扔掉。
3.身份证复印件上写明用途，例如“本复印件仅用于办理××使用，再复印无效”。
4.求职简历不要过于详细填写本人具体信息，尤其是家庭住址、身份证号等，只提供必要信息即可。
5.不在互联网上透露个人信息。在微博、QQ空间、贴吧、论坛等社交网络要尽可能避免透露或标注真实身份信息，慎重参加网上调查活动。
6.不在社交平台晒包含个人信息的照片，如姓名、身份证号、银行卡、二维码等。如果微信聊天中发送了相关照片，也请第一时间撤回或删除。
7.不轻易连接公共场所免费WiFi。
在金融交易时，我们更应该提高警惕，做到以下几点：
8.妥善保管好身份证件、银行卡、网银U盾、手机、银行卡、电子银行转账介质，不出借、转卖他人使用，一旦丢失立即挂失。
9.不轻易透露身份证号码、账号、卡片信息等；不相信任何索要银行卡密码和手机验证码的行为，不向任何人发送带有银行卡信息和支付信息的图片。
10.妥善设置银行卡密码，不使用同一数字、生日、身份证号码等容易被猜测的简单密码；不将银行卡密码作为其他网站、APP密码，多张银行卡不使用同一密码，并定期更改。
11.有效防范资金风险，使用资金额较少的银行卡或开立个人Ⅱ类户专门用于网络支付。
12.银行磁条卡更换为芯片卡；刷卡、取现等交易过程中注意遮挡密码，不随意丢弃银行卡刷卡消费或使用ATM设备的交易凭条，不再使用的银行卡请做销卡处理。
14.开通银行账户变动短信提醒，仔细核对交易业务类型、交易商户和金额是否正确，关注账户变动情况，定期检查账户资金交易明细和余额。
 

责任编辑：张晋
编     辑：万虹
征稿邮箱：zjzyqhb@163.com
微信公众号：zhongyuanyelian
（《中冶手机报》仅限公司员工内部传阅）